No cabe duda de que vivimos tiempos de gran incertidumbre. Incertidumbre sobre los efectos a largo plazo del Coronavirus, incertidumbre sobre la ecología de nuestro planeta y, si vives y trabajas en el Reino Unido, está la preocupante incertidumbre sobre el Brexit, la salida de la Unión Europea.
Seamos sinceros. Estamos programados para odiar la incertidumbre.
Un nuevo estudio demuestra que la incertidumbre es incluso más estresante que saber que algo malo va a ocurrir definitivamente. Pero todos podemos superarlo, según el neurocientífico y psicólogo del desarrollo Marc Lewis.
Ahora, no vamos a entrar en la ciencia que hay detrás de nuestros sentimientos de incertidumbre. Lo que sí son va a hacer es tratar la incertidumbre planteada por el Brexit y, con suerte, proporcionar una comprensión más clara de cómo será el panorama de la privacidad de los datos una vez que el Reino Unido haya abandonado completamente la Unión Europea.
¿Qué leyes de privacidad aplicará el Reino Unido para proteger los datos personales después del 31 de diciembre de 2020?
El tema de qué ley de privacidad de datos se aplicará una vez que el Reino Unido abandone la UE sigue siendo un misterio para muchas empresas del país.
En la actualidad, el Reino Unido opera bajo el GDPR apoyado por la Ley de Protección de Datos (DPA) 2018, que agrega varias exenciones que permiten que el GDPR encaje perfectamente en el rompecabezas del Reino Unido; Por ejemplo, en situaciones en las que se aplican cuestiones de seguridad nacional.
Existe una idea errónea de que la Ley de Protección de Datos (DPA) del Reino Unido de 2018 incorpora el Reglamento General de Protección de Datos (GDPR) a la legislación británica después del Brexit. Sin embargo, esta es una suposición falsa, según la mayoría de los abogados especializados en privacidad; esto será gestionado por el Ley de la UE (Acuerdo de Retirada). La DPA tiene el propósito vital de administrar un marco de procesamiento de datos para el procesamiento de los servicios policiales y de inteligencia. Esto se hace de acuerdo con la Directiva de la UE sobre el cumplimiento de la ley.
En este momento, la Ley de Protección de Datos (DPA) de 2018 seguirá funcionando en paralelo con el GDPR. Según Ashley Winton, socio del bufete de abogados internacional McDermott Will & Emery, y presidente del Foro de Protección de Datos, aunque la posición de protección de datos del Reino Unido parecerá relativamente sencilla en lo que respecta al consumidor, la posición jurídica de las organizaciones se complicará por la superposición de la legislación. Dice Winton:
La DPA 2018 introduce el concepto de "GDPR aplicado". Se trata de una versión británica del GDPR que se aplicará como ley británica, pero solo se aplica en circunstancias muy especializadas: Principalmente para ciertos fines de seguridad nacional o defensa. El Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas [Enmiendas, etc.] [Salida de la UE] de 2019 adaptará el GDPR para formar el "GDPR del Reino Unido", que regirá la mayor parte del procesamiento de protección de datos en el Reino Unido.
Uno de los principios centrales de la campaña del "Leave" fue la concepción de que el Reino Unido podría recuperar el control de sus leyes. Desde entonces, esto ha suscitado numerosas preguntas sobre si el Reino Unido trataría de modificar las leyes establecidas de la UE tras abandonar el bloque.
Aparte de algunas modificaciones administrativas menores del RGPD, como el cambio de las referencias al "Derecho de la Unión" por el "Derecho interno", es muy posible que se produzcan cambios más importantes.
El Primer Ministro británico, Boris Johnson, ha declarado anteriormente que el Reino Unido intentará crear "políticas separadas e independientes en ámbitos como la protección de datos". Pero, por otro lado, el Gobierno británico también se ha comprometido en el Declaración política sobre la futura relación entre el Reino Unido y la UE para garantizar "un alto nivel de protección de los datos personales".
¿Cómo transferirán las empresas británicas sus datos a otros países?
El RGPD se ha incorporado a la legislación del Reino Unido y, por tanto, se seguirán aplicando ciertas restricciones a la hora de acordar transferencias de datos personales a otros países. El Gobierno británico ya ha confirmado que considerará que todos los países del Espacio Económico Europeo (EEE) tienen una legislación de datos "adecuada". Es probable que los datos personales transferidos desde el Reino Unido al EEE permanezcan intactos tras el periodo de transición y las empresas no tendrán que hacer ningún ajuste. El mismo acuerdo se extiende a los 12 países fuera del EEE, con los que la UE ya ha firmado acuerdos de adecuación.
Una vez finalizado el periodo de transición, se espera que el Reino Unido comience a crear sus propios procesos para la transferencia de datos a países que aún no están cubiertos. Estos procesos deberán seguir cumpliendo los principios del RGPD.
Para las transferencias de datos a otros países, debe existir un mecanismo de transferencia. Esto significa que el intercambio de datos entre un Reino Unido post-Brexit y Brasil -que actualmente no está reconocido como adecuado por la UE- tendrá que estar cubierto por uno de estos mecanismos. A corto plazo, el Reino Unido mantendrá los actuales mecanismos de adecuación aprobados por la Comisión Europea, incluidas las cláusulas contractuales modelo y las normas jurídicamente vinculantes.
¿Es probable que las transferencias de datos desde la UE se vean interrumpidas cuando termine el periodo de transición?
Como se ha mencionado anteriormente, el Reino Unido ya ha dejado claro que considerará a los países del EEE como "adecuados", garantizando que el flujo de datos después del Brexit pueda mantenerse. Por lo tanto, nada indica que el flujo de datos del Reino Unido a la UE vaya a verse obstaculizado.
Aunque en la actualidad todo parece indicar que habrá reciprocidad, la UE aún no lo ha confirmado. Además, nadie puede decir cuánto tiempo podría tardar en conseguirse un acuerdo de adecuación una vez que se dé el visto bueno.
El Reino Unido no es el único que se encuentra en esta situación, ya que hay otros países pendientes de adecuación. Sin embargo, "según la letra negra de la ley de adecuación, el Reino Unido es adecuado y debe ser juzgado como tal", dice Alexander Milner-Smith, socio y codirector del Grupo de Datos y Privacidad del bufete de abogados Lewis Silkin.
¿Las empresas británicas que necesiten compartir datos con Estados Unidos tendrán que utilizar el Escudo de Privacidad?
Desde julio de este año, los mecanismos de transferencia de datos fuera de la UE se encuentran en un atolladero jurídico. El máximo tribunal europeo emitió un veredicto contundente sobre los poderes de vigilancia de Estados Unidos, dictaminando que los datos de la UE no estarían a salvo del fisgoneo en virtud de un acuerdo transatlántico de protección de datos.
El fallo del tribunal cancela el acuerdo del Escudo de Privacidad y, de paso, arroja al limbo legal miles de millones de dólares en comercio digital, reavivando una discusión de cinco años sobre la vigilancia resultante de las revelaciones del denunciante Edward Snowden sobre el espionaje estadounidense.
El Tribunal de Justicia de la Unión Europea dictaminó que el Escudo de la Privacidad -que sustituyó a un acuerdo anterior de transferencia de datos llamado Safe Harbor- no ofrecía una protección adecuada de los datos de la UE cuando se enviaban al extranjero porque la ley de vigilancia estadounidense era demasiado intrusiva.
Y entonces surge la pregunta: ¿Qué sustituirá al Escudo de la Privacidad? ...¿Quién lo sabe?
Una cosa es segura. Al Reino Unido le interesa la libre circulación de datos con Estados Unidos. Sin embargo, esto debe sopesarse con la necesidad de mantener una legislación sólida en materia de protección de datos para que el Reino Unido mantenga su estatus de adecuación.
Según un artículo de Politico del mes pasado, "hasta ahora, ambas partes han tocado notas conciliadoras. Un alto cargo Un funcionario estadounidense dijo a POLITICO que Washington estaba dispuesto a revisar la protección de la privacidad de los datos de la UE si se anulaba el Escudo de la Privacidad. Y Didier Reynders, comisario europeo encargado de la protección de datos, dijo después de la sentencia que lo discutiría con sus homólogos estadounidenses con vistas a encontrar un nuevo acuerdo.
Para la Comisión Europea, que respaldó el Escudo de Privacidad como un mecanismo viable, la sentencia supone una nueva y poderosa reprimenda justo un día después de que el Tribunal de la UE rechazara una sentencia fiscal de 13.000 millones de euros contra Apple.
Los funcionarios se esfuerzan por mantener los flujos de datos libres con la UE después del Brexit. Pero los activistas llevan mucho tiempo cuestionando que las leyes de vigilancia intrusiva del Reino Unido sean aceptables para la UE, y la sentencia del Escudo de Privacidad eleva hoy el listón de cualquier acuerdo entre Londres y Bruselas.
Así que...
Tendrá el Reino Unido libertad para crear sus propias leyes de privacidad después del Brexit?
El periodo de transición del Brexit durará hasta el 31 de diciembre de 2020, fecha en la que comenzará la nueva relación entre la UE y el Reino Unido. El plazo para ampliar la transición ya ha pasado.
Cuando termine este periodo de transición, el Reino Unido abandonará automáticamente los principales acuerdos comerciales de la UE: el mercado único y la unión aduanera. Y aunque esto también marcará el inicio de un nuevo periodo de legislación independiente, los expertos jurídicos coinciden en que la presencia de la UE se seguirá notando en la normativa británica sobre privacidad de datos.
Si el Reino Unido quiere mantener su estatus de adecuación a la UE, puede que no sea completamente libre de decidir su propia normativa. Es muy probable que sus leyes de privacidad de datos deban permanecer en paridad con las de la UE, aunque no hasta el punto de ser palabra por palabra.
Algunos expertos jurídicos opinan que si el Reino Unido intenta crear una normativa de privacidad de datos puramente nacional que se desvincule de la UE, es posible que las empresas se encuentren haciendo malabares con múltiples leyes de privacidad de datos cuando procesen conjuntos de datos antiguos.
Este escenario daría a la UE la ventaja, haciendo posible que el bloque siga ejerciendo presión sobre las leyes de privacidad que se adopten en el Reino Unido.
Fuentes de investigación: Noticias de la BBC, Instituto para el Gobierno, Política, IT Pro
NOTA: Este artículo se proporciona únicamente con fines informativos y no constituye un asesoramiento legal o profesional. El Grupo de Privacidad de Datos recomienda que las empresas contraten los servicios de un profesional con experiencia en privacidad y protección de datos, así como de un asesor legal, cuando quieran cumplir con las leyes de privacidad de datos.