Impacto del Brexit de Boris en la privacidad de los datos del Reino Unido

Así que el Reino Unido tiene un nuevo primer ministro.

Boris Johnson ha comenzado su mandato reuniendo a su equipo, tras una limpieza a gran escala del gabinete, con el ex canciller Philip Hammond y el ex secretario de Asuntos Exteriores Jeremy Hunt entre los que se van.

Pero este artículo no trata del quién es quién del nuevo gabinete del Sr. Johnson. Tampoco se trata de la promesa de reforzar el cuerpo de policía prometiendo 20.000 agentes más, ni de la promesa de solucionar la asistencia social en todo el país.

Qué es En la mente de la población británica está firmemente la cuestión de si Boris puede o no cumplir su promesa del Brexit -que el Reino Unido abandone la Unión Europea el 31 de octubre- "sin peros".

Sin embargo, lo que las empresas de todo el mundo con intereses comerciales en el Reino Unido quieren saber ahora, es...

¿Qué significa el Brexit para la protección de datos en el Reino Unido?

Miles de empresas, no solo en la UE, sino también en otros países, han implantado procesos, políticas y procedimientos para cumplir con el RGPD, muchos de ellos con un coste considerable, para proteger sus ventas de productos y servicios a clientes de la UE.

Así pues, a sólo 99 días de que (según el Sr. Johnson) el Reino Unido abandone la UE, continúa la incertidumbre sobre cómo el nuevo primer ministro orquestará la salida del Reino Unido, con o sin acuerdo.

¿Trato o no trato?

Actualmente, como Estado miembro de la UE, Gran Bretaña aplicó debidamente el Reglamento General de Protección de Datos (RGPD) en mayo del año pasado. Desde entonces, se ha beneficiado del flujo ilimitado de datos personales entre el Reino Unido y el resto de la UE.

Si (y es un enorme SI) el nuevo primer ministro es capaz de acordar un "mejor acuerdo" (Acuerdo de Retirada) con sus homólogos de la UE, el Reino Unido y la UE entrarán en un período de transición, durante el cual las dos partes se esforzarán por acordar un nuevo acuerdo comercial a más largo plazo.

Al menos, esa es la teoría.

Sin embargo, como todo el mundo sabe, la predecesora de Boris, Teresa May, no consiguió ganarse a los líderes de la UE, los señores Juncker y Tusk, y en cambio volvió al Parlamento después de cada visita, con lo que la Cámara consideraba un acuerdo aceptable.

A pesar de varios intentos de la entonces primera ministra por convencer a los políticos de que lo que presentaba era el mejor acuerdo disponible, no consiguió llevar a cabo el Brexit, para creciente frustración de la nación.

....pero estoy divagando... volviendo a la protección de datos...

Si el Reino Unido se va CON un acuerdo

Durante el mencionado "periodo de transición", Gran Bretaña tendrá que acatar todas las normas de la UE en materia de protección de datos. Esto significa que los datos personales de los residentes en la UE podrán seguir circulando libremente.

Mientras tanto, la UE estudiará si las prácticas de protección de datos del Reino Unido son, en esencia, las mismas que el RGPD de la UE, y "se esforzará por adoptar" una decisión de adecuación que garantice la continuidad del libre flujo de datos personales tras el periodo de transición.

Hasta ahora, la Comisión Europea ha reconocido a Andorra, Argentina, Canadá (organizaciones comerciales), las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza, Uruguay y los Estados Unidos de América (limitado al Marco del Escudo de la privacidad) como una protección adecuada.

Si, y cuando, el Reino Unido abandona la UE, será evaluado, al igual que cualquier otro país que solicite ser incluido bajo una "decisión de adecuación". Pero, aunque el Reino Unido haya aplicado el RGPD, no hay garantía absoluta de recibir una decisión de adecuación afirmativa de la UE.

La UE examinará con lupa todos los aspectos de los acuerdos de protección de datos del Reino Unido, prestando especial atención al estado de derecho y al grado de acceso de las autoridades públicas a los datos personales.

Como medida de precaución, el Reino Unido ya ha incorporado el RGPD a la legislación británica con referencias a la legislación de la UE, en lugar de remitirse a los organismos británicos apropiados y a la legislación incorporada.

Si el Reino Unido se va SIN un acuerdo

En caso de que el Reino Unido salga de la UE en un escenario de "no acuerdo", seguirá incorporando el RGPD a la legislación británica de protección de datos. Sin embargo, la Unión Europea considerará al Reino Unido como un tercer país.

En este escenario, se aconseja a las empresas que consideren las siguientes acciones:

Documentación sobre privacidad de datos
Revisar toda la documentación relativa a la privacidad de los datos, los contratos y otros acuerdos que incluyan referencias a la UE, el Reino Unido y el Espacio Económico Europeo (EEE) y aplicar las actualizaciones necesarias.

Transferencias internacionales de datos

Trazar todas las transferencias de datos personales entre el Reino Unido y la UE/EEE. Con respecto a las transferencias del Reino Unido a la UE/EEE, el Gobierno británico considerará que la UE/EEE es adecuada. Las leyes de cualquier otro país que ya haya recibido una decisión de adecuación también serán consideradas adecuadas por el Reino Unido.

En cuanto a las transferencias de datos personales de la UE/EEE al Reino Unido, la UE considerará al Reino Unido como un tercer país. La UE/EEE no considerará al Reino Unido "adecuado". Por lo tanto, cualquier transferencia de este tipo tendrá que realizarse sobre otra base legal, como las cláusulas contractuales estándar o las normas corporativas vinculantes (BCR). Con el tiempo, la UE examinará la adecuación del Reino Unido. Sin embargo, se considera poco probable que haya un plazo acordado para completar este proceso.

En este caso, las empresas deben asegurarse de que existen las salvaguardias adecuadas -o de que hay una excepción a la que se puede recurrir- para transferir datos personales de la UE/EEE al Reino Unido de forma legal.

Si la salvaguarda se basa en las BCR, las empresas deben pensar en la ubicación de la actual autoridad principal. Si la autoridad principal es el Reino Unido, debe cambiarse por una autoridad principal de la UE. Además, habría que actualizar las BCR para garantizar que el Reino Unido se considere un tercer país. Tanto el Reino Unido como la UE tendrían que aprobar las futuras BCR.

Representante de la UE
Las empresas que tienen su sede en el Reino Unido y no realizan operaciones comerciales en la UE, pero que se dirigen a los interesados de la UE, o supervisan el comportamiento de los interesados de la UE, deben considerar si necesitan nombrar un representante de la UE.

El Reino Unido también reproducirá esta disposición cuando una empresa tenga su sede fuera del Reino Unido, pero se dirija a los interesados en el Reino Unido, o vigile el comportamiento de los interesados en el Reino Unido, en cuyo caso deberá designarse un representante en el Reino Unido.

Informes de infracción
Si se produce una violación de datos tanto en el Reino Unido como en la UE, la empresa deberá informar de la misma tanto a la Oficina del Comisario de Información (ICO) como a la autoridad de protección de datos de la UE correspondiente. Es posible que esto dé lugar a la imposición de sanciones económicas tanto por parte de la ICO como de la autoridad de protección de datos de la UE.

 

¿Y si el Brexit se retrasa de nuevo?

A pesar de la audaz promesa de Boris Johnson de que el Brexit will ocurrir el 31 de octubre, tres meses es mucho tiempo en política, así que cualquier cosa puede pasar en los próximos 99 días.

En el momento de escribir estas líneas, no hay forma de saber si el Brexit se retrasará, o incluso se detendrá por completo.

Lo que está claro es que hasta que el Reino Unido no salga de la UE, es probable que nada cambie. Mientras el Reino Unido siga siendo miembro de la Unión Europea, los datos personales pueden seguir circulando libremente.

Fuentes y créditos: IAPP, Proskauer

Más información: Protección de datos tras el Brexit

Contactar con el autor
Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Peter Borner
Presidente Ejecutivo y Director Fiduciario

Como cofundador, presidente ejecutivo y director de confianza de The Data Privacy Group, Peter Borner aprovecha sus más de 30 años de experiencia para impulsar los ingresos de las organizaciones dando prioridad a la confianza. Peter diseña estrategias a medida para ayudar a las empresas a cosechar los frutos de una mayor fidelidad de los clientes, una mejor reputación y, en última instancia, mayores ingresos. Su enfoque proporciona a los clientes una tranquilidad permanente, consolidando sus cimientos en el ámbito de la confianza digital.

Contacte con nuestro equipo hoy mismo
Le espera una conversación confidencial y sin compromiso.