El Brexit y la protección de datos de las empresas y organizaciones

El Brexit y la protección de datos de las empresas y organizaciones

El Brexit y la protección de datos de las empresas y organizaciones

A raíz del referéndum celebrado el 23 de junio de 2016 y la posterior notificación dirigida al Consejo Europeo el 29 de marzo de 2017 invocando el artículo 50 del Tratado de la Unión Europea, el Reino Unido de Gran Bretaña e Irlanda del Norte (“GB”) abandonaron la Unión Europea (“UE”) el 31 de enero de 2020 y entraron en un período de transición que finalizó el 31 de diciembre del mismo año, con el denominado Brexit. Desde entonces, la relación entre GB y la UE se sustenta sobre el «Acuerdo de Comercio y Cooperación» el cual supone un importante cambio para ciudadanos, empresas y administraciones de la UE y de GB, sobre todo en materia de protección de datos.

 

¿Qué consecuencias tiene el Brexit en la protección de datos de las empresas?

Asimismo, desde el 1 de enero de 2021 GB pasó a ser un país ajeno al Espacio Económico Europeo (“EEE”) lo que incide, teniendo en cuenta la de protección de datos, en que todo flujo de datos personales a destinatarios establecidos en países no pertenecientes al EEE supone una transferencia internacional de datos, cuestión que requiere que el responsable del tratamiento proporcione las garantías jurídicas adecuadas.

Sin embargo, debido a la incertidumbre generada en las empresas y organizaciones que transfieren datos personales de forma recíproca entre GB y la UE, se ha establecido una moratoria de 6 meses (hasta el 1 de julio de 2021) para que durante ese periodo se puedan seguir aplicando las disposiciones recogidas en el Reglamento General de Protección de Datos (“RGPD”).

 

Una vez finalice la moratoria, ¿cómo deberán aplicar el RGPD las empresas con Gran Bretaña?

Una vez finalizado ese periodo, GB deberá haber transpuesto la normativa del RGPD o coloquialmente llamado “el RGPD de UK” (en inglés, “UK GDPR”) y por su parte, la Comisión Europea reconocerá a GB como país que garantiza un nivel adecuado de protección. En caso contrario, todos los flujos transfronterizos de datos personales entre ambas partes serán considerados como una transferencia internacional de datos, con la consiguiente y preceptiva aplicación de las garantías recogidas en el RGPD, como pueden ser:

  • Normas corporativas vinculantes.
  • Cláusulas tipo de protección de datos estándar o ad hoc.
  • Códigos de conducta.
  • Mecanismos de certificación.

Complementariamente, cabe destacar la posibilidad de acogerse a las excepciones recogidas en el artículo 49 del RGPD, las cuales deben interpretarse de forma restrictiva.

 

¿Qué excepciones destacan en el artículo 49 de Reglamento General de Protección de Datos?

  • El consentimiento explícito del interesado, habiendo sido informado previamente de los posibles riesgos de las transferencias.
  • Cuando la transferencia es necesaria para la celebración o ejecución de un contrato, en interés y/o solicitud del interesado.
  • Cuando es necesaria por razones importantes de interés público o;
  • Es necesaria para la formulación, el ejercicio o la defensa de reclamaciones, entre otras.

No obstante, en el caso de que no concurra ninguna de las excepciones anteriores, la transferencia internacional de datos solo se podrá llevar a cabo si no resulta recurrente, cuando afecte solo a un número limitado de interesados, y sea pertinente para fines e intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades de los propios interesado.

El responsable del tratamiento debe evaluar todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrecer garantías apropiadas con respecto a la protección de datos personales. En este supuesto el responsable del tratamiento informará a la autoridad de control y al interesado de la transferencia, expresando los intereses legítimos imperiosos perseguidos.

 

Pasos que deben seguir las empresas para transferir datos a Gran Bretaña

Como resultado y siguiendo las indicaciones del Comité Europeo de Protección de Datos, las empresas y organizaciones deberán seguir estos pasos cuando transfieran datos a GB:

  1. Identificar qué actividades de tratamiento implicarán la transferencia de datos personales a GB.
  2. Determinar las garantías de transferencia de datos adecuadas para su situación.
  3. Aplicar la garantía de transferencia de datos elegida.
  4. Indicar en su documentación interna que se efectuarán transferencias a GB.
  5. Actualizar sus políticas de privacidad para informar a los particulares.

En lo que respecta a las transferencias de datos desde GB al EEE, la práctica actual que según el Gobierno británico permite que los datos personales fluyan libremente, continuará en el caso de no alcanzarse un acuerdo entre ambas partes en cuanto a la transferencia de datos personales se refiere.

 

¿Quieres que tu empresa u organización cumpla con los requisitos de la protección de datos y el Brexit?

En Afiens ponemos a tu disposición la tecnología de AFIENS Collaborate para cumplir con el RGPD. Te ayudamos a implantar todas las medidas de protección de datos, podemos ser tu figura de DPO y realizamos una auditoría completa de tu RGPD.

 

Esta nota es únicamente un resumen y no un análisis exhaustivo de las cuestiones objeto de la misma. Para más información, se ruega contacten con nosotros.

Atentamente,

Equipo AFIENS LEGAL, S.L.P.

info@afiens.com

91 192 00 63

afiensco
afiensco

Leave a Comment

Abrir chat
1
¡Hola! ¿En qué podemos ayudarte?