Brexit y protección de datos. Transferencias internacionales de datos con Reino Unido

I.- Introducción.

Seguramente haya leído infinidad de artículos sobre las consecuencias jurídicas del Brexit, pero nunca se haya planteado las consecuencias a tener en cuenta a nivel de privacidad y Protección de Datos.

Imaginemos que somos una empresa española con filial en Uk y cedemos constantemente datos de trabajadores o clientes a dicha filial, o a la inversa, recibimos datos personales de una empresa proveedora con sede en Uk.

Si consideramos Uk como miembro de la UE, esta cesión de datos no tendría mayor problema, podría hacerse sin autorización alguna, puesto que España y Uk contarían con niveles idóneos de seguridad en privacidad y Protección de Datos por aplicación del RGPD.

Pero una vez se produzca la ruptura con la UE, por aplicación del artículo 50 del Tratado de Lisboa, UK no será considerado país europeo y deberemos conocer los escenarios que pueden ocasionarse para poder enviar los datos de UK a España y viceversa sin sanciones o incidencias.

Keywords: Brexit, privacidad, transferencias internacionales de datos, privacy, privacy shield.

II.- Índice.

A lo largo de este artículo temático sobre privacidad y cómo el Brexit afectará a la Protección de datos de las transacciones mercantiles, vamos a tratar:

1. Introducción.
2. Índice.

• Marco normativo de UK en privacidad.

IV.- Casuísticas de protección de datos.

V.- Escenarios que puede encontrar una empresa española que tienen filiales o realiza tratamientos en Reino Unido.

VI.- Conclusiones.

VII.- Normativa.

VIII.- Bibliografía y jurisprudencia.

III.- Marco normativo de Uk en privacidad.

En primer lugar, debemos tener en cuenta que UK cuenta actualmente con normativa nacional en Protección de Datos adaptada a la Directiva 95/46/CE de la UE.

Además, como todavía Estado Miembro de la UE le es de aplicación lo dispuesto en el nuevo RGPD 2016/679 en vigor desde el 25 de mayo de 2018.

Para una mejor definición de los escenarios y problemas planteados, deberemos observar las fechas de los acontecimientos que envuelven al Brexit.

Teniendo en cuenta que el RGPD entró en vigor el pasado 25 de mayo de 2018 y la salida de Reino Unido será efectiva el 31 de enero de 2020, podemos considerar que la normativa europea en Protección de Datos será aplicable entre dichas fechas por pertenecer Reino Unido a UE.

Por lo tanto, el escenario surgido antes del 31 de enero de 2020 no plantearía problema alguno.

En este caso, aplicaríamos lo dispuesto en el RGPD para todo tratamiento de datos entre Reino Unido y resto de Estados Miembro.

IV.- Casuísticas de Protección de Datos.

El escenario interesante y problemático se nos plantea a partir del 31 de enero de 2020, fecha en la cual Reino Unido ya no sería parte de la Unión Europea y no gozaría del marco jurídico ni los reconocimientos de protección establecidos.

En este caso, y para las casuísticas de tratamiento de datos por parte de empresas británicas de ciudadanos de la Unión, el RGPD es claro en este sentido, fijando en su artículo 3.2. la solución al problema:

“El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”. 

“Las compañías tecnológicas americanas podrían estar a favor del ‘brexit’, porque la normativa de privacidad británica es más similar a la norteamericana, que siempre ha sido más proservicio que prousuario», comenta Morell. El resultado: que el país británico sea más atractivo para muchas compañías de EEUU, que prefieran comenzar por las islas antes de incorporarse al continente”

“Jan Philipp Albrecht, diputado alemán del Parlamento Europeo que participó en la elaboración de las normas de protección de datos de la UE, descarta la posibilidad de que la Comisión Europea considere adecuadas las normas de Reino Unido: «Debido a los programas de vigilancia GCHQ y a que hay menores garantías para los servicios de inteligencia que en el caso de EEUU, lo dudo», tuiteó.”

Por lo comentado anteriormente, Reino Unido deberá acatar lo dispuesto en el RGPD en el caso de tratamiento de datos de ciudadanos de la Unión cuando ofrezcan bienes y servicios en la UE o bien controlen el comportamiento de ciudadanos de la UE mediante técnicas de Big Data o elaboración de perfiles.

Por último, debemos de tener en cuenta que, cuando el responsable o encargado de tratamiento pertenece a un país tercero de la Unión y realice tratamientos de ciudadanos europeos, se debe nombrar a un representante salvo en los siguientes supuestos:

• el tratamiento sea ocasional,
• no incluya el tratamiento a gran escala de categorías especiales de datos personales
• el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas.

V.- Transferencia internacional de datos.

El Brexit tiene una gran trascendencia para aquellas empresas cuyo modelo de negocio se basa en la transmisión de datos.

El Reino Unido ya no tendría que estar a la altura de los estándares de gestión y protección de datos establecidos por la Unión Europea (UE), pero podría ser considerado un país sin un nivel adecuado de protección de datos personales de ciudadanos europeos.

Esto significa, por un lado, que las empresas británicas perderían el derecho a enviar datos a cualquier lugar de la UE, y por otro lado, tendrían que desarrollar una nueva normativa para poder ser considerado país seguro para este tipo de transferencias de datos.

Está claro que el Brexit tiene como consecuencia un nuevo marco legal que se establecerá entre Reino Unido y la Unión Europea (UE) y transferir información personal de España a Reino Unido requeriría un proceso mucho más complejo legalmente para cualquier empresa.

La libre circulación de datos está garantizada en la UE pero su transmisión fuera de éste, requerirá de autorización de la Agencia Española de Protección de Datos salvo en supuestos de excepción legal o que los datos se transfieran a países que proporcionen un nivel de protección adecuado.

Actualmente, las transferencias que se realizan con países externos a la UE se realizan con restricciones adecuadas para garantizar la debida protección.

Los movimientos de datos dentro de los Estados miembros de la Unión Europea son libres, con el efecto del Brexit, la transferencia de datos con Reino Unido se convierte en una “transferencia internacional” regulada por el nuevo Reglamento General de Protección de Datos que entró en vigor en 2018.

Según la Agencia Española de Protección de Datos, una “transferencia internacional de datos”, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Para esta cuestión que se plantea, el Reino Unido será considerado en todos sus términos como un país fuera de la UE que deberá ser analizado para verificar si cuenta con los criterios necesarios que permitan mantener un nivel adecuado de protección de datos.

VI.- Escenarios que puede encontrar una empresa española que tienen filiales o realiza tratamientos en Reino Unido.

Este planteamiento cuestionaría los envíos de datos a Reino Unido por ser considerado este país “sin protección adecuada” al no encontrarse en el marco europeo.

Por lo tanto, Reino Unido podría adoptar las siguientes decisiones o modelos basados en casuística internacional a fin de beneficiarse de determinados marcos, regulaciones y estándares aun sin pertenecer a la UE:

1. Que el Reino Unido opte por seguir siendo miembro del Espacio Económico Europeo, donde el nivel de protección en seguridad ofrecido, sea equiparable al admitido en los estados Miembro.

1. Que Reino Unido solicite a la U.E. el reconocimiento de un nivel de protección adecuado respecto a la protección de datos lo que permitiría que las transferencias de datos internacionales fueran lícitas sin necesidad de autorización (actualmente se precisaría autorización del director de la AEPD), apostando, por ejemplo, por un sistema similar al que actualmente tiene Suiza (Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000).

No debe olvidarse que la actual Data Protection Act de 1998 cubriría los requerimientos de la Directiva 95/46/CE, pero que podría necesitar de determinados ajustes para cumplir con los requerimientos para terceros países del Reglamento General de Protección de Datos.

1. Que se firmaran acuerdos bilaterales entre Reino Unido y los Países de la UE, o acuerdo de escudo de privacidad similar al Privacy Shield que la U.E. tiene con EE.UU.

1. Que Reino Unido opte por no seguir siendo miembro del EEE, para lo cual deberá suscribir mecanismos que le proporcionen un nivel de seguridad adecuado:

• Creación de Normas Corporativas Vinculantes (NCV) o Binding Corporate Rules (BCR) que son un instrumento que legitima las transferencias internacionales de datos entre las empresas que conforman un grupo multinacional y sus filiales establecidas fuera del Espacio Económico Europeo. Como requisito se establece que las reglas tengan suficientes garantías respecto a la protección de datos y se garantice el cumplimiento de los principios y obligaciones del RGPD.
• La actual LOPD prevé las cláusulas contractuales tipo de la Comisión. Para ello, es necesaria la autorización del director de la AEPD y aportar una serie de documentación y requisitos.
• Códigos de conducta o herramientas de certificación.

VII.- Conclusiones.

Durante esta lectura, hemos hablado siempre de compañías que prestan servicios, pero, ¿qué empresas no ofertan bienes o servicios? ¿las ONG’s?.

También resaltar que actualmente hay muchos servicios que se ofertan en la nube cuyos servidores se encuentran fisicamente en el Reino Unido y que actualmente no suponen transferencia internacional y que en el futuro habrá que revisar toda esa contratación y la documentación que atañe a la relación.

Todo un escenario que no dejará a nadie indiferente y del que esperaremos nuevas normativas, jurisprudencia y doctrina.

VIII.- Normativa.

• Directiva 95/46/CE.
• Reglamento General de Protección de Datos (Reglamento Europeo de Protección de Datos) 2016/679 (artículo 3.2.).
• Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
• Data Protection Act de 1998 de Reino Unido.
• Binding Corporate Rules.

Eva María Hernández Ramos. Socia y directora legal de iSEC, Presidenta Instituto Alana y jurista nominada a los premios E&J 2020.