Comienza el contenido principal

Volver

El Brexit pone contra las cuerdas el envío de datos personales a Reino Unido

La salida de Reino Unido de la Unión Europea impactará la normativa referente a la proteccion de datos. El CEPD ya ha señalado que las comunicaciones de datos personales que se realicen desde los paises del Espacio Económico Europeo a Reino Unido se considerarán como una transferencia internacional de datos a un tercer país.

A partir del próximo 30 de marzo de 2019, salvo un cambio de última hora, el Brexit se hará efectivo y Reino Unido dejará de ser parte de la Unión Europea. El principal interrogante es si finalmente se materializará un Brexit duro o blando, lo que sin duda impactará en la normativa referente a la protección de datos.

La fecha está marcada en rojo en el calendario y el Comité Europeo de Protección de Datos (CEPD), figura creada por el Reglamento General de Protección de Datos, ya ha señalado que a partir de la citada fecha las comunicaciones de datos personales que se realicen desde países situados en el Espacio Económico Europeo (EEE) a Reino Unido se considerarán como una transferencia internacional de datos a un tercer país, del mismo modo que si se realizan a México, Brasil u otro país considerado como puerto no seguro.

Por tanto, para cumplir con las exigencias previstas en la legislación en relación con las transferencias internacionales, los responsables y encargados de tratamiento radicados en el EEE deberán llevar a cabo algunas de las siguientes actuaciones antes de comunicar datos personales a Reino Unido:

1. Elaboración de Normas Corporativas Vinculantes -o Binding Corporate Rules- (NCV). Consiste en la aprobación de unas normas internas por parte de las empresas del grupo para el libre intercambio de datos personales entre ellas.

Estas NCV deberán ser aprobadas previamente por las autoridades competentes en materia de protección de datos. Su aprobación inicialmente se suele presentar ante la autoridad de la matriz del grupo, pero posteriormente ésta consultará a dos autoridades en materia de protección de datos interesadas dependiendo de donde se sitúen las demás entidades del grupo.

Esta opción resulta recomendable para grupos de empresas con filiales situadas en Reino Unido, y que por tanto, el flujo de datos entre el EEE y el país anglosajón sea continuo y recurrente para las actividades del grupo de empresas.

2. Suscripción de cláusulas estandarizadas propuestas por la Comisión Europea que posteriormente deberán ser aprobadas por la Agencia Española de Protección de Datos u otra autoridad de protección de datos competente.

Esto resulta de utilidad en casos de transferencias internacionales concretas, como por ejemplo para la contratación de un prestador de servicios de “hosting” situado en Reino Unido. Es decir, para un tratamiento concreto y específico.

3. Otra opción, es que las empresas radicadas en Reino Unido se adhieran a códigos de conducta o mecanismos de certificación que garanticen el cumplimiento de la normativa con las mismas garantías que los países del EEE para salvaguardar la conservación e integridad de los datos personales. Actualmente esta iniciativa se encuentra en ciernes y está siendo desarrollada por el CEPD, por lo que no hay nada en firme.

4. Excepciones establecidas en el artículo 49 del Reglamento General de Protección de Datos. En caso de que se cumpla alguno de los requisitos recogidos en el mencionado artículo, no será necesario cumplir con ninguno de los puntos anteriormente descritos.

Entre las excepciones tasadas se encuentran que el interesado haya prestado explícitamente su consentimiento para la transferencia propuesta, la transferencia sea necesaria para la ejecución de un contrato o para proteger los intereses vitales del interesado, entre otras.

Por otro lado, consideramos probable la negociación y aprobación de un acuerdo para la transferencia de datos personales segura entre el EEE y el Reino Unido, siguiendo el modelo del acuerdo denominado como Escudo de Privacidad (Privacy Shield) suscrito entre la Unión Europea y Estados Unidos.

No obstante, la autoridad de protección de datos inglesa (Information Commisioner´s Office) ha confirmado que las condiciones para realizar comunicaciones de datos personales desde el Reino Unido a países del EEE no cambiarán y se mantendrán como hasta ahora, sin que sea necesaria ninguna garantía adicional.

Ahora toca esperar a ver si la balanza se inclina hacia un Brexit “duro” o un Brexit “blando”. En función del acuerdo que alcancen Londres y Bruselas, los responsables y encargados de tratamiento se enfrentarán a un escenario u otro, lo que sin duda marcará el camino a seguir a la hora de tratar los datos personales de las empresas.

Utiliza el siguiente formulario para darnos tu opinión. La dirección de correo electrónico es necesaria para poder ponernos en contacto contigo, en ningún momento se publicará en este sitio web.

Política de Privacidad

Andersen Tax & Legal le informa de que los datos de carácter personal que nos proporcione rellenando el presente formulario serán tratados por Andersen Tax & Legal como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales que le solicitamos es para gestionar los comentarios que realiza en este blog. Legitimación: al marcar la casilla de aceptación, está dando su legítimo consentimiento para que sus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad. Podrá ejercer sus derechos de acceso, rectificación, limitación y suprimir los datos en la dirección comunicacion@AndersenTaxLegal.es, así como el derecho a presentar una reclamación ante una autoridad de control. Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra Política de Privacidad.

No hay comentarios aún

Fin del contenido principal