13 enero 2021
Hemos empezado el año con la salida de Reino Unido de la Unión Europea. En lo que respecta a la protección de datos de carácter personal, el Brexit ha supuesto el fin de la aplicación del Reglamento General de Protección de Datos (GDPR por su sigla en inglés) en el Reino Unido.
A partir de ahora y mientras no tengamos un acuerdo entre el Reino Unido y el Espacio Económico Europeo (en adelante, EEE), el tratamiento de datos realizado por empresas británicas no estará sujeto al GDPR (a no ser que tengan sede en territorio EEE, o traten datos de europeos).
Es decir, como usuario, el Brexit no tiene por qué afectarnos en los casos en que hayamos confiado nuestros datos a empresas británicas, ya que estas empresas deberán cumplir con el GDPR igualmente.
Otro apunte que debemos destacar es que la autoridad de control de Reino Unido, Information Comissioner’s Officer (ICO), instaba en una nota de finales de diciembre de 2020 a las empresas británicas a seguir cumpliendo con el Reglamento General de Protección de Datos, y su normativa local de protección de datos.
A las empresas, en cambio, sí que les podrá afectar:
Consecuencias:
TRANSFERENCIAS INTERNACIONALES
Así las cosas, y a falta de una decisión de adecuación entre el Reino Unido y el EEE (Artículo 45 GDPR), por norma general, cualquier intercambio de datos personales entre entidades del EEE y entidades del Reino Unido constituirán una transferencia de datos personales a un tercer país y por tanto, requerirá garantías adecuadas (Artículo 46 GDPR); es decir, se podrán transmitir datos personales a un tercer país (en ese caso, Reino Unido) u organización internacional (británica) si se ofrecen garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
Según lo dispuesto en el artículo 49 del Reglamento, otra opción válida para aceptar transferencias internacionales de datos entre el EEE y Reino Unido pasa por informar al interesado de dicha transferencia y los posibles riesgos, y solicitar el consentimiento explícito al interesado para poder realizar la transferencia.
Asimismo, según el artículo 49 GDPR, también podremos seguir realizando transferencias internacionales entre EEE y Reino Unido cuando la transferencia sea necesaria para:
· La celebración y/o ejecución de un contrato o medidas precontractuales adoptadas por el interesado, o en interés del interesado.
· La formulación, el ejercicio o la defensa de reclamaciones.
· Proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.
· La transferencia se realice por razones importantes de interés público o
· se efectúe desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta
En su nota de diciembre de 2020, el Comité Europeo de Protección de Datos señalaba que se trata de excepciones que deben utilizarse de manera restrictiva.
REPRESENTANTE EN LA UNIÓN EUROPEA
Otro cambio es que, ahora, las empresas británicas que estén sujetas al RGPD y que no cuenten con una sede en el territorio del EEE, deberán designar un representante en la Unión Europea, según lo establecido en el artículo 27 del GDPR.
En concreto, está sujeto a esta obligación todo responsable o encargado del tratamiento del ámbito privado que realice tratamiento de datos no ocasional, a gran escala de categorías especiales de datos, a gran escala de datos relativos a condenas e infracciones penales, y que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas.
El representante, que deberá estar establecido en la UE, actuará de punto de contacto del responsable o encargado con los interesados y con las autoridades de control.
VENTANILLA ÚNICA
Otro punto que hay que tener en cuenta en los tratamientos transfronterizos es la Ventanilla única. A modo recordatorio, el mecanismo de ventanilla única prevé que haya una única autoridad principal de protección de datos, en los casos en que una entidad realice tratamiento de datos en varios países de la UE. Pues bien, como es lógico, desde el pasado 1 de enero, el Reino Unido deja de pertenecer a este sistema de ventanilla única.
Comentarios
No hay comentarios