El Brexit i les transferències internacionals de dades
El passat 31 de gener de 2020 i després de diferents pròrrogues, es va produir el BREXIT, la sortida del Regne Unit de la Unió Europea després de 47 anys .
Entre les moltes conseqüències que aquest fet ha comportat i encara ha de comportar, algunes d’elles tenen a veure amb el compliment de la normativa de protecció de dades. El model a Europa en aquest sentit, sempre s’ha basat en que la transferència de dades fora del territori europeu, implica uns riscos addicionals pels ciutadans.
Fins el Brexit el Regne Unit era un Estat de la UE de ple dret i per tant el flux de dades personals entre empreses amb direcció o des del Regne Unit no estava sotmès a cap mesura addicional. Ara per això tot canvia.
Quan s’apliquen els canvis en la normativa de protecció de dades?
Fins al desembre de 2020, res canvia ja que estem dins del període de transició; a partir de gener de 2021, el Regne Unit serà considerat, a tots els efectes un tercer país i per tant sotmès a les exigències que el RGPD preveu per les transferències internacionals de dades.
Com afecta el Brexit a les transferències internacionals de dades d’empreses de la UE?
Si sóc una empresa de la UE i envio dades a una empresa del Regne Unit, què passa?
Això es considerarà a tots els efectes com una transferència internacional de dades personals, pel que serà necessari que compleixis amb els requisits del RGPD (arts. 44 i següents).
Pensa en serveis tant habituals com el hosting, ERP, CRM, etc…si alguna de les empreses que et presta aquest servei té la seu al Regne Unit, això t’afecta.
Entre d’altres opcions es pot:
- demanar el consentiment exprés al titular de les dades,
- signar un contracte tipus dels que ofereix l’UE o
- elaborar un contracte i demanar l’autorització de l’Autoritat de Protecció de Dades.
Com afecta a les transferències internacionals de dades d’empreses del Regne Unit?
Si sóc una empresa del Regne Unit i tracto dades de ciutadans europeus, què he de fer?
Les empreses del Regne Unit que tinguin clients, treballadors o dades de persones físiques, a la UE, a partir de gener de 2021, hauran de nombrar un representant de l’entitat en front d’alguna de les Autoritats de Protecció de Dades d’algun Estat membre de la UE.
Aquest representant respondrà en nom de la societat o empresa britànica en cas de peticions de ciutadans europeus per qüestions relacionades amb el tractament de les seves dades. No es pot confondre aquesta figura amb la del Delegat de Protecció de Dades; en aquest cas el representant no ha de demostrar una capacitació específica en matèria de protecció de dades, però és recomanable que demostri experiència per tal de poder atendre les reclamacions de les persones o els requeriments de l’Autoritat de Protecció de Dades que correspongui.
La relació entre l’empresa britànica i el representant haurà d’estar regulada en un contracte i comunicar el nomenament a l’Autoritat de Protecció de Dades.