Implicaciones del Brexit en materia de protección de datos y transferencias internacionales de datos.
El resultado del referéndum sobre la permanencia de Reino Unido en la Unión Europea ha suscitado dudas a las empresas en cuanto al panorama regulatorio en la situación que se aproxima, sobre todo en lo que respecta a la adaptación de las compañías de Reino Unido al nuevo Reglamento General de de Protección de Datos.
Teniendo en cuenta que quedan menos de dos años para que se empiece a aplicar el Reglamento General de Protección de Datos (RGPD) y que Reino Unido aún no ha activado el mecanismo previsto en el artículo 50 del TUE, momento tras el cual se inicia un periodo de negociaciones de hasta dos años para la salida de la UE, tendremos un periodo en el que el RGPD será de aplicación en Reino Unido, por seguir siendo parte de la UE. Si el artículo 50 no se activa hasta octubre de 2016, como se está diciendo, este periodo de aplicación será de al menos seis meses y las empresas en Reino Unido deberán cumplir con las obligaciones del RGPD. Además, una vez se produzca la salida de Reino Unido de la UE y aunque se derogue el RGPD, habrá empresas que tendrán que seguir cumpliendo con las obligaciones del RGPD por serle éste de aplicación en el caso en que ofrezcan bienes o servicios en la UE o bien controlen el comportamiento de ciudadanos de la UE.
En definitiva, las empresas del Reino Unido deben seguir preparándose para la entrada en vigor del RGPD, ya sea para cumplir con sus obligaciones en el periodo que vaya desde el 25 de mayo de 2016 y hasta la salida efectiva de Reino Unido de la UE, o para cumplir con sus obligaciones tras la salida de la UE si el RGPD les sigue siendo de aplicación.
Pero las dudas relacionadas con el mundo de la protección de datos de carácter personal tras la victoria del leave en el referéndum no solo han surgido para las empresas de Reino Unido, sino que también han surgido en las empresas españolas que realizan transferencias de datos a Reino Unido, ya que una vez se produzca su salida de la UE pueden ser consideradas como transferencias internacionales de datos fuera del EEE y por lo tanto solo estarán permitidas si el país de destino ofrece una protección adecuada de los datos de carácter personal con la autorización previa de la Directora de la Agencia Española de Protección de Datos (AEPD), a no ser que la Comisión Europea confirme que Reino Unido ofrece un nivel adecuado de protección.
Teniendo en cuenta que lo más probable es que Reino Unido abandone la UE después del 25 de junio de 2016, desde este momento y mientras sea de aplicación el RGPD, las transferencias de datos se pueden realizar sin necesidad de solicitar autorización de la Directora de la AEPD. Desde el 25 de junio de 2018 y hasta la salida de Reino Unido de la UE, las transferencias de datos podrán realizarse también sin mayores requisitos a Reino Unido al ser de aplicación el RGPD. Una vez salga Reino Unido de la UE, si la transferencia de datos está basada en una decisión de adecuación de la Comisión Europea, también podrá realizarse sin más requisitos.
Es indudable que Reino Unido pretende ser considerado como un país que ofrece un nivel adecuado de protección por la Comisión Europea. Para que la Comisión Europea considere que Reino Unido ofrece tal nivel de protección, éste debe ser similar al nivel de protección que ofrece el nuevo RGPD, pero es bastante improbable que Reino Unido empiece a redactar una nueva ley de protección de datos, teniendo en cuenta que se aproxima uno de los momentos legislativos más ajetreados de su historia, solamente para ser considerado como un país que ofrece un nivel adecuado de protección de los datos de carácter personal. Será mucho más sencillo, eficiente, y también más probable que Reino Unido adopte el nuevo RGPD y sea así considerado como un país que ofrece un nivel adecuado de protección a los datos de carácter personal.
El escenario por tanto más complicado para que las empresas en España realicen transferencias de datos a Reino Unido será aquel que va desde su salida de la UE hasta que la Comisión Europea dicte una decisión de adecuación respecto de Reino Unido. Pero no todo son malas noticias para las empresas en España en cuanto a las transferencias internacionales de datos a Reino Unido. El RGPD establece que no se podrán exigir autorizaciones por parte de los Estados Miembros para realizar transferencias internacionales de datos, si la transferencia se realiza mediante las garantías adecuadas que enumera el propio reglamento.
Los mecanismos más comunes para aportar las garantías adecuadas a las transferencias internacionales de datos a las que se refiere el RGPD, que además ya se utilizan en España para facilitar la autorización de la transferencia, y que a partir de mayo de 2018 serán suficientes para realizar la transferencia sin autorización, son las Normas Corporativas Vinculantes, un instrumento desarrollado y favorecido por la UE para legitimar las transferencias internacionales de datos entre las empresas que conforman un mismo grupo, y las Clausulas Tipo de la Comisión Europea, ya que se considera que los contratos celebrados de acuerdo con lo previsto en estas cláusulas establecen las garantías adecuadas para proteger los datos transferidos.
Pero en el RGPD se incorporan también otros mecanismos que aportan las garantías adecuadas a las transferencias internacionales de datos, como son, entre otros, los códigos de conducta o los mecanismos de certificación y que, una vez sea de aplicación el RGPD, serán suficientes para realizar transferencias internacionales de datos sin necesidad de autorización por la AEPD.
Teniendo en cuenta lo anterior se pueden dar dos situaciones en las que las empresas deberán prestar especial atención a la hora de realizar transferencias internacionales de datos a Reino Unido. La primera y más improbable, es aquella en que la salida de Reino Unido de la UE se produzca antes del 25 de junio de 2018, en cuyo caso, desde la salida de la UE y hasta la aplicación del RGPD las transferencias internacionales de datos de España a Reino Unido requerirían autorización de la Directora de la AEPD, a no ser que se aplicase alguna de las excepciones previstas en la Ley Orgánica de Protección de Datos (incluso si se aportan Clausulas Tipo o Normas Corporativas Vinculantes).
La segunda situación en la que las empresas deberán prestar atención a la hora de realizar transferencias de datos a Reino Unido es aquella en la que la salida de la UE de Reino Unido se produzca después del 25 de mayo de 2018; en este caso, entre el momento en que Reino Unido salga de la UE hasta que la Comisión Europea dicte una decisión de adecuación respecto de Reino Unido, se deberán aportar las garantías adecuadas a través de los mecanismos que establece el RGPD como son las ya mencionadas Normas Corporativas Vinculantes, Clausulas Tipo, códigos de conducta o mecanismos de certificación, entre otros. En este caso, siempre que se utilicen los mecanismos establecidos en el RGPD, la AEPD no podrá exigir autorización para la transferencia...LEER NOTICIA COMPLETA.