El Brexit y las transferencias internacionales de datos
El pasado 31 de enero de 2020 y después de diferentes prórrogas, se produjo el BREXIT, la salida del Reino Unido de la Unión Europea después de 47 años .
Entre las muchas consecuencias que este hecho ha comportado y aún tiene que comportar, algunas de ellas tienen que ver con el cumplimiento de la normativa de protección de datos y es que el modelo en Europa en este sentido, siempre se ha basado en que la transferencia de datos fuera del territorio europeo, implica unos riesgos adicionales para los ciudadanos.
Hasta el Brexit el Reino Unido era un Estado de la UE de pleno derecho y por tanto el flujo de datos personales entre empresas con dirección o desde el Reino Unido no estaba sometido a ninguna medida adicional. Esto cambia con el Brexit.
¿Cuándo se aplican los cambios en la normativa de protección de datos?
Hasta diciembre de 2020, nada cambia ya que estamos dentro del período de transición; a partir de enero de 2021, el Reino Unido será considerado, a todos los efectos un tercer país y por tanto sometido a las exigencias que el RGPD prevé para las transferencias internacionales de datos.
¿Cómo afecta el Brexit a las transferencias internacionales de datos de empresas de la UE?
Si soy una empresa de la UE y envío datos a una empresa del Reino Unido, ¿qué pasa?
Esto se considerará a todos los efectos como una transferencia internacional de datos personales, por lo que será necesario que cumplas con los requisitos del RGPD (arts. 44 y siguientes).
Piensa en servicios tanto habituales como el hosting, ERP, CRM, etc. … si las empresas que te dan este servicio tienen su sede en el Reino Unido, esto te afecta.
Entre otras opciones se puede
- pedir el consentimiento expreso al titular de los datos ,
- firmar un contrato tipo de los que ofrece la UE o
- elaborar un contrato y pedir la autorización de la Autoridad de Protección de Datos.
¿Cómo afecta a las transferencias internacionales de datos de empresas del Reino Unido?
Si soy una empresa del Reino Unido y trato datos de ciudadanos europeos, ¿qué debo hacer?
Las empresas del Reino Unido que tengan clientes, trabajadores o datos de personas físicas, en la UE, a partir de enero de 2021, deberán nombrar un un representante de la entidad frente alguna de las Autoridades de Protección de Datos de algún Estado miembro de la UE.
Este representante responderá en nombre de la sociedad o empresa británica en caso de peticiones de ciudadanos europeos por cuestiones relacionadas con el tratamiento de sus datos. No debe confundirse esta figura con la del Delegado de Protección de Datos; en este caso el representante no debe demostrar una capacitación específica en materia de protección de datos, pero es recomendable que demuestre experiencia para poder atender las reclamaciones de las personas o los requerimientos de la Autoridad de Protección de Datos que corresponda.
La relación entre la empresa británica y el representante deberá estar regulada en un contrato y comunicar el nombramiento a la Autoridad de Protección de Datos.