This post is also available in: English

El pasado 31 de enero de 2020 el Reino Unido confirmó su salida de la Unión Europea, convirtiéndose así en un tercer Estado. Entre los diferentes ámbitos que se ven afectados por esta decisión, la salida del Reino Unido tiene especial trascendencia en materia de protección de datos, ya que –una vez finalizado el actual período transitorio– el intercambio de datos entre los Estados Miembros de la UE y el Reino Unido pasará a ser considerado como una transferencia de datos personales a un tercer país. De esta manera, será necesario que se observen las condiciones y garantías recogidas en el Capítulo V del Reglamento General de Protección de Datos (RGPD), ya que solo así se podrán transmitir datos al Reino Unido.

En la actualidad, el Reino Unido se encuentra en un período transitorio (que durará hasta el 31 de diciembre de este año) y le sigue siendo aplicable el Derecho de la UE en todos los ámbitos, incluyendo la normativa en materia de protección de datos personales. Sin embargo, es esencial conocer la situación legal posterior a la finalización del periodo de transición y las garantías que se deberán observar para la transmisión de datos con el Reino Unido.

Entre los mecanismos que proporciona el RGPD, la opción que a priori resulta más previsible es la adopción por parte de la Comisión Europea de una decisión de adecuación respecto al Reino Unido, que establezca que el Reino Unido ofrece un nivel de protección equivalente al ofrecido por la UE. En este contexto, el pasado 9 de julio de 2020 la Comisión Europea publicó una comunicación en la que afirma que “la UE hará todo lo posible por concluir la evaluación del régimen del Reino Unido a finales de 2020 con vistas a la posible adopción de una decisión de adecuación si el Reino Unido cumple las condiciones aplicables”. Actualmente, la Comisión está realizando esta evaluación y ha celebrado distintas reuniones técnicas con los interlocutores del Reino Unido para recabar la información necesaria.

En todo caso, mientras no se adopte una decisión de adecuación, de conformidad con lo que regula el Acuerdo de Retirada celebrado entre el Reino Unido y la Unión en su artículo 71, conviene recordar que el Derecho de la UE seguirá aplicándose al tratamiento de determinados datos personales:

  • Aquellos datos que se hubieran tratado en el Reino Unido antes del final del período transitorio en virtud del Derecho de la UE;
  • Aquellos datos que se traten en el Reino Unido después del final del período transitorio con base en el Acuerdo de Retirada.

En el caso de que la Comisión no adopte una decisión de adecuación respecto al Reino Unido, solamente se podrán transmitir datos personales si se ofrecen garantías adecuadas en virtud del artículo 46 del RGPD. Entre las diferentes garantías que se pueden aportar, destacamos las siguientes:

  • Sujeción a normas corporativas vinculantes aprobadas por la autoridad de control competente de acuerdo con el artículo 47 RGPD.
  • Utilización de las cláusulas tipo de protección de datos adoptadas por la Comisión.
  • Elaboración de un código de conducta aprobado de conformidad con el artículo 40 RGPD.
  • Creación de un mecanismo de certificación aprobado de acuerdo con el artículo 42 RGPD.

En la sentencia Schrems II del pasado 16 de julio, el TJUE advierte que, para que la Comisión pueda adoptar una decisión de adecuación, o para considerar que se ofrecen garantías adecuadas, es necesario que el tercer Estado garantice a los interesados un nivel de protección de los derechos fundamentales y libertades equivalente al ofrecido por el RGPD. Pueden obtener más información sobre esta transcendental resolución aquí.

Finalmente, en ausencia de una decisión de adecuación o de garantías adecuadas, es necesario hacer mención a las excepciones previstas en el artículo 49 del RGPD, que permiten la transmisión de datos personales a un tercer país en situaciones específicas. Por ejemplo, cuando el interesado haya dado explícitamente su consentimiento a la transferencia concreta tras haber sido informado de los posibles riesgos o cuando la transmisión sea necesaria para la ejecución de un contrato celebrado entre el interesado y el responsable del tratamiento.

Autores: Sergi Gálvez y Ainhoa Rey.

This post is also available in: English

Autores:

Asociado

42 artículos

Asociado del Área de Propiedad Intelectual y Protección de Datos. Especialista en protección de datos y tecnologías disruptivas. Participa en el asesoramiento recurrente en materia de protección de datos y contratación tecnológica de compañías nacionales e internacionales, especialmente en la configuración jurídica de evaluaciones de impacto, transferencias internacionales de datos personales, contratos de encargo de tratamiento y en el asesoramiento durante violaciones de seguridad. Además de prestar asesoramiento continuado a clientes en los ámbitos mencionados, tiene experiencia en asesorar a empresas de diferentes sectores en la configuración legal de proyectos que implementan tecnologías disruptivas, tales como el Big Data, Internet of Things, artificial intelligence y smart robots.

sergi.galvez@cuatrecasas.com

Prácticas

10 artículos



ainhoa.rey@cuatrecasas.com