El 23 de junio de 2016 se celebró un referéndum sobre la permanencia del Reino Unido en la Unión Europea (UE). El resultado fue de un 51.9% a favor de la salida de la UE, y de un 48.1% a favor de la permanencia. Dicho procedimiento de salida estaba previsto que se completara en marzo de 2019, pero la falta de acuerdo en el Parlamento Británico ha terminado retrasando sine die las condiciones que tendrán que aceptar el Reino Unido y la UE en su nueva relación política, económica y jurídica. Y sí, en el aspecto jurídico se producirán muchos cambios, profundos, o no tanto, todo dependerá de cuál sea la posición final de ambas partes. Pero algo pueden tener por seguro, la protección de datos va a ser un aspecto fundamental que condicionará, no sólo los viajes turísticos, sino las todas las operaciones comerciales con ese, en breve, «tercer país», que es como se denomina a un Estado que no forma parte de la UE.
Una vez acabe el proceso de – desconexión -, el Reino Unido tendrá este estatus respecto a las relaciones con la UE. A partir de entonces, las transferencias de datos que se realicen desde la UE al Reino Unido serán consideradas como transferencias realizadas a un tercer Estado (internacionales). En ese sentido, el Reglamento General de Protección de Datos (RGPD) prevé un régimen mucho más restrictivo que para las transferencias a miembros de la UE (transfronterizas). De este modo, las transferencias internacionales a estos terceros Estados no estarán autorizadas, salvo en tres supuestos:
1. Decisión de adecuación. En este caso, la Comisión Europea debe estudiar la normativa de privacidad de un tercer país (Reino Unido), y decidir si ésta, o una organización internacional que se encuentre en ese territorio, garantizan un nivel de protección adecuado al nivel europeo.
2. Garantías adecuadas. Una segunda situación que se podría producir, es que el país de destino (u organización internacional), no cuente con una decisión de adecuación, pero aún así podría llegar a realizarse una transferencia internacional de datos, siempre y cuando exisandeterminadas garantías, como cláusulas tipo, códigos de conducta y mecanismos de certificación, o normas corporativas vinculantes.
3. Situaciones específicas. Si ninguno de los dos supuestos anteriores se cumplen, existen una serie de situaciones específicas (artículo 49 RGPD) que avalan una transferencia internacional de datos (interés público, intereses vitales del interesado, ejercicio o defensa de reclamaciones…).
Mientras el Reino Unido siga perteneciendo a la UE seguirá teniendo los mismos derechos y las mismas obligaciones que el resto de los Estados miembros. De hecho, el Reino Unido ha manifestado su intención de seguir desarrollando una legislación acorde a las líneas del RGPD, dado que es un país referente en el modelo de negocio digital a escala mundial. Por lo pronto, el Reino Unido deberá, llegado el momento, solicitar la decisión de adecuación correspondiente a la Comisión Europea. Un proceso burocrático que se demorará, por lo que será conveniente que las empresas de ese país vayan adaptándose a las cláusulas tipo de la UE, a fin de asegurar su relaciones con proveedores y terceros.
Es importante tener en cuenta, que aquellas entidades con sede en el Reino Unido que realicen un tratamiento de datos de interesados que se encuentren en la UE (oferta de bienes o servicios, control de comportamiento…), tendrán la obligación de designar por escrito un representante en la UE, que actuará como representante «local» ante los interesados y las autoridades de protección de datos en el territorio de la UE, como señala el artículo 27.3 del RGPD (a no ser que el tratamiento de datos sea ocasional, no se manejen a gran escala categorías especiales de datos, o que difícilmente suponga un riesgo para los derechos libertades de las personas físicas).
Cabe decir, que uno de los múltiples escenarios que se pueden plantear es que el Reino Unido mantenga una relación con la UE como tienen EEUU o Japón en materia de protección de datos, es decir, mediante una Privacy Shield propia. Pero antes de llevar a cabo especulaciones, es importante que las operaciones empresariales en donde se produce un intercambio de datos con sociedades que estén localizadas en el Reino Unido adopten determinadas reservas:
- Identificar los posibles flujos de datos que puedan verse comprometidos con transferencias al Reino Unido.
- Comprobar si el intercambio internacional de datos puede acogerse a alguna de las excepciones del artículo 49 del RGPD.
- Adoptar cláusulas tipo validadas por la Comisión o la autoridad de control para intercambios internacionales de datos.
- Adaptar las políticas y los procedimientos de gestión de la privacidad de cara a las transferencias de datos a Reino Unido.
- Establecer normas corporativas vinculantes (grupos empresariales).
Estamos en un momento decisivo. Debemos estar preparados.
Legislación vigente:
– RGPD[REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
