Aunque aún hay incertidumbres sobre lo que pasará con el Brexit, los expertos en protección de datos aluden a que si este se hace efectivo, será necesario considerar el trasvase de datos a este país como una transferencia internacional. Por tanto, no está de más conocer las medidas que habrá que tomar si llegase la hora de que Reino Unido saliese definitivamente de la Unión Europea.
¿Cuál es la situación de Reino Unido de cara a la protección de datos actualmente?
Antes de mencionar cómo se debería actuar, es necesario puntualizar que se deben contemplar tres supuestos en los que los países externos a la UE podrían encontrarse en materia de protección de datos. Y, en base a cuál de ellos se cumpla, habrá que actuar de una forma u otra.
Aplicación de excepciones tasadas
Este sería el tercer supuesto en el que un país podría encontrarse de cara a la regulación de la protección de datos a ojos de la Unión Europea. Esta aplicación de las excepciones tasadas viene a decir lo siguiente:
Cuando la TID se dirige a un destino no considerado como seguro y que no tenga blindada la comunicación con las garantías adecuadas, podrá llevarse a cabo el trasvase de datos. Pero solo se podrá hacer si verdaderamente se puede amparar la protección de los mismos en alguna de las situaciones excepcionales que contempla el Reglamento General de Protección de Datos.
Esta sería la situación de Reino Unido. Dado que lo más probable es que Reino Unido no alcance un acuerdo antes de su marcha de la UE, no se tendría por qué paralizar el envío de datos personales ya que se puede amparar en estas excepciones tasadas.
¿Cuáles son los otros dos supuestos?
Decisión de adecuación
Es importante tener claro que si el país cuenta con una decisión de adecuación, no habría ningún problema a la hora de trasvasar los datos. No obstante, para ello es necesario que la Comisión Europea haya estudiado la normativa de privacidad del país. Si tras este estudio dicho organismo considera que cumple con las exigencias suficientes para estar a la altura de las exigencias del RGPD, se daría vía libre al intercambio de información.
Un ejemplo de este caso ha sido Japón, quien ha conseguido la aprobación de la Comisión Europea el 24 de Enero de 2019.
Contar con garantías adecuadas
El segundo supuesto se daría si el país en cuestión no hubiese adoptado una decisión de adecuación pero sí hayan impuesto ciertas garantías, podría obtenerse un permiso de libre envío de información. De esta manera, el país no tendría que adoptar las medidas totales del Reglamento General de Protección de Datos, sería suficiente con lo siguiente:
– Adoptar las normas corporativas vinculantes.
– Adoptar los códigos de conducta y mecanismos de certificación.
Estas medidas son completamente novedosas ya que su inclusión vino de la mano de la entrada en vigor del Reglamento General de Protección de Datos. De esta manera, antes de enviar datos de carácter personal a ningún país que se encuentre fuera del Espacio Económico Europeo, habrá que informarse acerca de si este es el estado en el que se encuentran sus protocolos de protección de la información personal.
¿Cómo adecuar la protección de datos para interactuar con Reino Unido?
Hay dos pasos fundamentales que se deben llevar a cabo antes de que el Brexit tenga lugar.
1. Anticiparse
Lo primero que se debe tener en cuenta es que, tras el Brexit, Reino Unido pasará a ser un país independiente de toda normativa de la Unión Europea. Por ello, tendrá que pedir a Bruselas ser considerado como un Estado que tiene un adecuado nivel de protección sobre la privacidad y los datos personales.
La cuestión es que esto puede tardar varios meses en los que las comunicaciones quedarían terminantemente prohibidas. Para evitar este problema, lo mejor es anticiparse al Brexit.
Por ejemplo, si se colabora con empresas de Reino Unido, lo mejor es adherirlas a las cláusulas contractuales tipo de la Unión Europea. Esto ayudará a mantener las relaciones entre proveedores y terceros y a que no se paralice el trasvase de datos internacional.
2. Trabajar en el nuevo contexto
Es importante que las empresas revisen las relaciones profesionales que las empresas de Reino Unido tienen con sus bases de datos. Tras esto, habrá que determinar cuáles de estas son la responsabilidad de la empresa y adaptar dichas relaciones a la legalidad de la Unión Europea. De esta forma, se consiguen evitar contingencias legales y estar cubiertos por el Derecho de la UE.
¿Conviene acudir a una consultoría de protección de datos?
La respuesta a esta pregunta es un sí rotundo. Es importante adecuar el trasvase a lo recogido en la ley para evitar sanciones por incumplimiento del Reglamento General de Protección de Datos. Todo ello debe hacerse antes del 29 de marzo. De ahí la necesidad de contar con expertos en la materia.