BREXIT - Es una palabra que mantiene los ojos de los ciudadanos del Reino Unido pegados a las últimas noticias ...

... O bien, arranca un enorme gemido de una población británica profundamente frustrada.

Si el primer ministro Boris Johnson consigue realmente su objetivo, y el Reino Unido abandona la Unión Europea el 31 de octubre, dejará de ser miembro de la Unión Europea.

Esto significa que los residentes del Reino Unido ya no se beneficiarán de las protecciones proporcionadas a los individuos basados en la UE bajo el GDPR, las empresas del Reino Unido ya no estarán obligadas a cumplir con el artículo 3 (1) del GDPR, que establece:

"El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento de un responsable o un encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no."

No puedo evitar preguntarme cuántas empresas británicas se dan cuenta de que podría haber mucha más burocracia en torno a la privacidad de los datos de la que existe actualmente.

Aunque es relativamente conocido que el RGPD ha sido objeto de muchas versiones copiadas en todo el mundo -la Ley de Privacidad del Consumidor de California (CCPA) es la más prolífica-, lo que no es tan conocido es el hecho de que la aplicación del RGPD dentro de la Unión Europea puede variar de un país a otro. De hecho, cada estado miembro de la UE ha aprobado ya, o aprobará pronto, el GDPR en su propia legislación de protección de datos. Y el Reino Unido no es una excepción, ya que ha aprobado el Ley de protección de datos del Reino Unido de 2018 (DPA) en mayo de 2018, - la implementación en el Reino Unido de la legislación del GDPR de la UE, codificando sus requisitos en la legislación del Reino Unido.

Sin embargo, en la versión del Reino Unido, hay algunos escenarios adicionales en los que los datos deben procesarse de acuerdo con protecciones similares a las del RGPD. También hay ciertas exenciones relativas a los derechos de acceso a los datos y a las notificaciones. La DPA también transpone la normativa de la UE Directiva de aplicación de la ley en el Reino Unido al mismo tiempo que el GDPR.

Linda Thielov, consejera de privacidad de OneTrust, dijo:

Es posible que la gente no se dé cuenta de lo estrechamente relacionada que está la legislación del Reino Unido con el GDPR de la UE y de que, en realidad, se basa en muchos principios similares, sin dejar de ser una especie de legislación autónoma y yo diría que bastante independiente al mismo tiempo,

Brexit con acuerdo o sin acuerdo: la protección de datos en el Reino Unido se mantendrá

Sea cual sea el tipo de Brexit con el que acabe el Reino Unido, la Ley de Protección de Datos seguirá vigente, aunque con una apariencia diferente. Esto significa que las empresas británicas seguirán estando obligadas a cumplir un conjunto casi idéntico de normas y requisitos.

Además, al igual que cualquier otro país fuera de la Unión Europea, las empresas del Reino Unido que procesan la información personal de los ciudadanos de la UE seguirán estando obligadas a cumplir con el GDPR de la UE.

Cuando el Reino Unido se separe de la Unión Europea, la actual ley DPA será sustituida de hecho por El Reglamento de protección de datos, privacidad y comunicaciones electrónicas (modificación, etc.) (salida de la UE) de 2019.

Este cambio tendrá dos efectos importantes:

  1. El impacto en las transferencias de datos entre el Reino Unido y la UE;
  2. Las empresas podrían tener que nombrar un representante adicional de la UE

El mayor quebradero de cabeza para el Reino Unido es que, si bien declarará que la UE es "adecuada" desde el primer día, el Reino Unido necesitará una "decisión de adecuación" de la UE para confirmar que las leyes de protección de datos del país están al mismo nivel que el RGPD de la UE, para que esto sea recíproco.

Algunas empresas pueden confiar en la idea de que si se produce el Brexit, y cuando se produzca, tendremos una decisión de adecuación con efecto inmediato. Sin embargo, según Thielov, es muy probable que no sea así.

La Comisión Europea suele tardar bastante tiempo en tomar una decisión sobre la adecuación. Aconsejaría a las empresas que, cuando se preparen para el Brexit, no confíen en la adecuación como la forma más probable de transferir datos personales entre la UE y el Reino Unido y busquen otras opciones.

Esto significa básicamente que la información personal relativa a los ciudadanos del Reino Unido podrá fluir libremente hacia la UE en virtud del artículo 45, pero los datos personales de la UE que fluyan hacia el Reino Unido estarán sujetos a las salvaguardias adecuadas según el artículo 46.

Thielov reitera el efecto de esta cuestión:

Cuando se transfieren datos fuera del Reino Unido a la UE, hay que asegurarse de que existen algunas salvaguardias y es posible que haya que establecer un representante dentro de la UE para asegurarse de que es fácil llegar a él y de que hay alguien responsable en la UE en caso de que se produzcan problemas de cumplimiento.

La UE ya ha publicado un declaración que confirma que tratará al Reino Unido como "tercer país" después de la fecha de retirada, hasta que se tome una decisión de adecuación.

Representación o fracaso

Según el artículo 27 del RGPD, una empresa de fuera de la UE está obligada a designar un representante de la UE si vende a ciudadanos de la UE, o los supervisa...

"El representante deberá estar establecido en uno de los Estados miembros donde se encuentren los interesados cuyos datos personales se traten en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle."

Asimismo, en virtud de la legislación británica, si una empresa que no tiene representación en el Reino Unido vende a clientes de ese país, o los supervisa, debe nombrar un representante en el Reino Unido.

Para complicar aún más las cosas, las empresas que no tengan una oficina, ni en el Reino Unido ni en la UE, tendrán que designar ambas. Normalmente, estas empresas ya tienen una oficina en la UE. Sin embargo, a menos que esa oficina también tenga un representante en el Reino Unido, ahora tendrá que encontrar uno que actúe como tal.

Las empresas radicadas en el Reino Unido que vendan a clientes de Estados de la UE, pero no tengan una oficina en la UE, tendrán que nombrar un representante en la UE, y viceversa.

Formular cualquier tipo de plan es extremadamente difícil para las empresas británicas, debido al grado de incertidumbre que rodea al Brexit.

El gobierno del Reino Unido perdió la pequeña mayoría que tenía anteriormente en el Parlamento, por lo que es muy probable que se celebren elecciones generales, pero de ninguna manera es una certeza. El primer ministro sigue manteniendo que el Reino Unido saldrá de la UE el 31 de octubre, con o sin acuerdo, mientras sigue insistiendo en que preferiría salir con un acuerdo. Y los periódicos siguen publicando noticias contradictorias según se inclinen hacia la izquierda o hacia la derecha.

Así que, sin que nadie tenga realmente una idea clara de lo que puede ocurrir a finales de octubre, y con la UE expresando su desdén ante la perspectiva de otra prórroga, es probable que emprender unas elecciones generales retrase cualquier acción legislativa decidida, al menos hasta que nos acerquemos mucho más a la fecha límite del Brexit.

Cuando una "mejor estimación" es mejor que no tener ningún plan

Los profesionales de la privacidad de los datos, tanto en el Reino Unido como en la UE, han sugerido a las empresas varias acciones preparatorias. Los siguientes elementos son ofrecidos por Tim Bell, escribiendo para la Asociación Internacional de Profesionales de la Privacidad (IAPP), a las empresas que están considerando nombrar un representante del Reino Unido o de la UE en este momento.

  • ¿Puedes acordar un contrato condicional con ellos para que no haya que pagar nada si no se produce el Brexit, el nombramiento se retrasa durante cualquier periodo de prórroga o se acuerda un acuerdo entre la UE y el Reino Unido (un contrato "No Brexit, No Fee")?
  • ¿Tendrá que nombrar más de un representante (Reino Unido y UE) si no lo tiene actualmente? O bien, ¿puede nombrar a un representante con establecimientos en ambas jurisdicciones?
  • Si ya tiene un representante de la UE, ¿tiene éste un establecimiento en el Reino Unido? Si es así, ¿se incluirá automáticamente la función de representante en el Reino Unido con su actual nombramiento?
  • Las consideraciones habituales para el nombramiento de un representante de la UE:

- ¿Están establecidos en el Estado miembro de la UE en el que el responsable/encargado del tratamiento tiene el mayor número de interesados (una expectativa de buenas prácticas establecida en la nota orientativa 03/2018 del Consejo Europeo de Protección de Datos, sección 4)?

- ¿Tendrán los interesados de otros Estados miembros de la UE un acceso fácil al representante (también establecido en las orientaciones)?

- ¿El representante ya actúa como responsable de la protección de datos (tenga en cuenta que, de acuerdo con las directrices, esto no está permitido debido al posible conflicto de intereses entre las funciones)?

- ¿Cuál es su capacidad de respuesta, es decir, tienen un nivel de servicio de acuse de recibo y reenvío de las comunicaciones que reciben para garantizar que usted tenga el máximo tiempo restante en el calendario de un mes para responder a la solicitud?

- ¿Se han protegido contra el riesgo de que se les exija el pago de las multas e indemnizaciones impuestas por el RGPD a sus otros clientes, algo que las autoridades de la UE pueden pedir al representante (si su cliente no ha satisfecho esos pagos)?

Con la gran probabilidad de que se produzcan aún más giros antes de que el Brexit se haga finalmente -de una forma u otra- todo lo que cualquier empresa puede hacer es "prepararse y esperar lo mejor". El Grupo de Privacidad de Datos es experto en Implantación de OneTrust - si quiere saber más, por favor ponte en contacto.

Fuentes: ICO, IAPP, Gov.uk, CSO

Entradas relacionadas