El Reglamento General de Protección de Datos (RGPD) tiene efecto extraterritorial, por lo que también se ven afectados los países no pertenecientes a la Unión Europea (UE). A pesar de que el Reino Unido tiene previsto abandonar la UE, el Reino Unido tendrá que cumplir con el RGPD. Una de las razones es el período de transición entre la entrada en vigor del RGPD y la salida del Reino Unido de la UE. El Reino Unido tendrá que cumplir con el Reglamento mientras siga formando parte de la UE. Asimismo, las empresas británicas que continúen haciendo negocios con la UE después de Brexit tendrán que cumplir con el Reglamento para evitar infracciones.
Estas últimas semanas se ha hablado mucho del objetivo de llegar a un acuerdo entre el Reino Unido y la UE con el fin de garantizar que las empresas y los particulares salgan de ella lo más fácilmente posible, y dar tiempo a las dos partes para que establezcan una relación comercial permanente. Pero, ¿qué pasa si no hay acuerdo? ¿Cómo impacta el no-acuerdo en la protección de datos? Pues bien, el RGPD es un Reglamento de la UE y, en principio, ya no se aplicará al Reino Unido si éste se va de la UE sin un acuerdo. Sin embargo, si las empresas operan dentro del Reino Unido, tendrán que cumplir con la ley de protección de datos del Reino Unido. El gobierno británico tiene la intención de incorporar el RGPD a la ley de protección de datos del Reino Unido cuando se haya salido de la UE, por lo que en la práctica habrá pocos cambios en los principios, derechos y obligaciones básicas de protección de datos que se encuentran en el RGPD.
El ICO, la autoridad inglesa de Protección de Datos, no será el regulador de ninguna actividad específica europea contemplada por la versión de la UE del RGPD. Sin embargo, ya ha publicado que el gobierno inglés ha comunicado que las transferencias de datos del Reino Unido al Espacio Económico Europeo (EEE) no estarán restringidas. Sin embargo, si no hay acuerdo con la UE, las normas de transferencia del RGPD se aplicarán a cualquier dato procedente del EEE al Reino Unido, por lo que se deberá considerar qué salvaguardias pueden o deben establecerse para garantizar que los datos puedan seguir fluyendo hacia el Reino Unido.
A continuación, indicaré algunas de las recomendaciones que el ICO ha publicado en relación con las transferencias internacionales de datos:
1. Transferencias de Datos Personales de países del EEE al Reino Unido
Si la empresa inglesa recibe datos de organizaciones del EEE, el remitente deberá cumplir con las disposiciones sobre transferencias del régimen de la UE. Esto significa que el remitente debe asegurarse de que existen las salvaguardias adecuadas, o de que se aplican las excepciones enumeradas en el RGPD.
Si, finalmente, el Reino Unido y la UE acuerdan una decisión formal de adecuación, el régimen del Reino Unido ofrecerá un nivel adecuado de protección y no habrá necesidad de salvaguardias específicas. Sin embargo, sin acuerdo se debe planear la implementación de las medidas adecuadas de seguridad como las cláusulas contractuales tipo o, en el caso de multinacionales, las normas corporativas vinculantes (BCRs). No obstante, todo esto queda sujeto a la confirmación del EDPB (Consejo Europeo de Protección de Datos).
2. Transferencias de Datos Personales del Reino Unido a países del EEE
2.1. Transferencias desde Reino Unido a Europa
El gobierno del Reino Unido ha declarado que, cuando el Reino Unido salga de la UE, las transferencias a países del EEE no se verán restringidas. Esto significa que se podrá continuar enviando datos personales desde el Reino Unido a EEE sin requisitos adicionales.
2.2. Transferencias desde Reino Unido a países que se encuentran fuera del EEE
Es probable que las normas sobre transferencias a países fuera del EEE sigan siendo similares. El gobierno del Reino Unido confirmó que habrá disposiciones transitorias para reconocer las actuales decisiones de adecuación, cláusulas contractuales tipo y las BCRs aprobadas.
Dicho todo lo anterior, cabe añadir que el impacto del RGPD en el Brexit es un tema sujeto a cambios y a debate por lo que se necesitará esperar a futuros pronunciamientos y a posibles acuerdos.