Las transferencias internacionales de datos de la Unión Europea a Reino Unido tras el Brexit

Las transferencias internacionales de datos de la Unión Europea a Reino Unido tras el Brexit

El pasado 31 de diciembre de 2020 finalizó el periodo transitorio para la salida oficial del Reino Unido de la Unión Europea. Este hecho político tiene impacto en materia de protección de datos en relación con los mecanismos legales para el flujo de datos personales entre el Reino Unido y la propia Unión Europea. A partir de esta fecha, el país británico es considerado «un país tercero» a efectos de protección de datos, es decir, existen condiciones más estrictas para las transferencias internacionales de datos, ya que de momento se considera que no cumple los requisitos para las transferencias internacionales de datos.

Esta situación actual es la que regirá mientras no se produzca una evaluación de adecuación en materia de protección de datos que, en su caso, permita en un posible futuro considerarlo como «país equivalente» y que la Comisión Europea considere, por tanto, que los niveles de protección en materia de protección de datos son similares al del RGPD.

Por tanto, ¿Qué mecanismos legítimos existen actualmente para la transferencia de datos personales desde cualquier Estado de la Unión Europea a Reino Unido?

1. Cláusulas contractuales tipo

Se trata de utilizar los modelos de contrato aprobados por la Comisión Europea para realizar las transferencias internacionales de datos. Estos ofrecen las garantías adicionales adecuadas en materia de protección de datos de acuerdo con el RGPD.

  • Transferencia de responsable ubicado en el EEE a un responsable de un «tercer país»: 2001/497/CE y 2004/915/CE.
  • Transferencia de un responsable ubicado en el EEE a un encargado de tratamiento ubicado en un «tercer país»: 2010/87/UE.

2. Normas corporativas vinculantes

Estas son las políticas corporativas en materia de protección de datos aprobadas por las empresas multinacionales con el fin de legitimar las transferencias internacionales de datos personales entre las empresas del grupo para proporcionar las garantías de acuerdo con el RGPD. Estas NCV seguirán siendo válidas siempre que se actualicen de acuerdo con el RGPD.

3. Códigos de conducta y mecanismos de certificación

Estos códigos de conducta y mecanismos de certificación deben ofrecer garantías adecuadas para las transferencias internacionales de datos. Además, su contenido será vinculante y aplicable a la entidad receptora de los datos personales ubicada fuera del EEE.

4. Excepciones previstas por el art. 49 RGPD. Mediante:

  • Consentimiento informado, previo y expreso de los titulares de los datos, tras haber sido informados de los posibles riesgos de dichas transferencias.
  • Transferencia necesaria para la celebración o ejecución de un contrato, en interés del interesado.
  • Por razones importantes de interés público reconocido por el Derecho de la Unión o de los Estados miembros que se aplique al responsable de tratamiento.
  • Formulación, ejercicio o defensa de reclamaciones.
  • La transferencia sea necesaria para proteger los intereses vitales del interesado.

Estas excepciones permiten las transferencias internacionales de datos sin necesidad de aplicar los mecanismos de adecuación para las transferencias anteriormente mencionadas, pero al tratarse de una excepción, su aplicación se interpretará de manera restrictiva, previsto para tratamientos ocasionales y no repetitivos.

Es necesario destacar que aquellos responsables o encargados de tratamiento situados en Reino Unido que traten de manera continuada datos personales de ciudadanos de la Unión Europea en relación con su oferta de bienes y/o servicios, o para el control de su comportamiento o elaboración de perfiles, estarán sujetos a la normativa del Reglamento General de Protección de Datos, de acuerdo con el artículo 3.2. del RGPD.

Estas entidades deberán designar por escrito un representante en materia de protección de datos, el cual velará por el cumplimiento del RGPD respecto a los ciudadanos europeos cuyos datos trate la entidad, y actuará como representante local ante los interesados y las autoridades de protección de datos en el territorio de la UE. Salvo que concurra alguna de las excepciones (tratamientos de datos no sea a gran escala, los datos tratados no sean de categoría especial, el tratamiento no entrañe riesgo para los derechos y libertades de los ciudadanos europeos).

En resumen, teniendo en cuenta los mencionados mecanismos de adecuación para las transferencias internacionales de datos, las empresas y entidades del EEE que transfieran datos personales al Reino Unido deberán:

  1. Identificar y revisar sus flujos de datos personales a Reino Unido.
  2. Actualizar los contratos, así como implementar alguno de los instrumentos de adecuación para dichas transferencias internacionales de datos.
  3. Actualizar las políticas y cláusulas informativas afectadas por las transferencias internacionales de datos.
  4. Actualizar el Registro de Actividades de Tratamientos, según corresponda.

Tania Muñoz Sánchez
Abogada Senior del Área de Nuevas Tecnologías y Protección de Datos

Si desea ampliar la presente información, no dude en ponerse en contacto con nuestro despacho llamando al 91.205.44.25 o enviando un email a contacto@alierabogados.com

Deja un comentario

Cerrar