El Reglamento (UE) 2016/679 Del Parlamento Europeo y Del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo consiguiente RGPD) en su Art 1.1 establece su ámbito territorial en todas las actividades de un responsable o encargado cuyo establecimiento principal se encuentre en la Unión Europea. Así las cosas, a partir del 25 de mayo de 2018 todos los Estados miembros de la UE estaban obligados a cumplir con los lineamientos y directrices emanados por este cuerpo normativo.
Ahora bien, tras 44 años el 23 de junio de 2016 el Reino Unido celebró un referéndum consultivo a la población en la cual se consideraba el abandono de la Unión Europea, siendo que la decisión fuere notificada al Consejo Europeo el día 29 de marzo de 2017. En dicha notificación se suscribió un período de transición para la salida del Tratado de poco más de dos años y hasta el 31 de diciembre de 2020 en el cual las partes involucradas generarían acuerdos de colaboración en distintas áreas, incluyendo lo referente a la protección de datos personales desde y hacia Reino Unido por parte de responsables o encargados establecidos en la Unión.
Dentro del tratado de colaboración suscrito, se estableció un período de 06 meses a contar desde el 01 de enero de 2021 en el cual Reino Unido emitiría su propia legislación interna referente a la protección de datos personales y cuyo articulado teóricamente iría alienado a la normativa europea.
Es por ello por lo que, desde el 01 de enero de 2021 y hasta el 30 de junio de 2021 las transferencias de datos personales entre las partes implicadas no serán consideradas como transferencias internacionales, no siendo necesario la adopción de alguna de las medidas consideradas por el RGPD en su Art 44 y ss.
Sin embargo y a raíz de la pandemia mundial causada por el COVID19 no era de extrañarse que se llegara a una prórroga del acuerdo, siendo que los distintos gobiernos han colocado casi la totalidad de sus fuerzas en la gestión de este fenómeno epidemiológico.
Finalmente y tras meses de revisión en fecha 28 de junio de 2021 la Comisión Europea promulgó de conformidad con el Art 45 del RGPD una decisión de adecuación sobre el Reino Unido, proporcionándole un nivel de seguridad equivalente al exigido por dicho cuerpo normativo a los distintos Estados miembros de la Unión Europea, un resultado que parece prima facie bastante lógico al entender que dicho país formó parte de la Unión hasta el 31 de diciembre de 2020.
No obstante, es importante destacar que esta decisión de adecuación no cubre todos los extremos de la protección de datos, siendo que expresamente la Comisión hace referencia a el tratamiento de datos personales por motivos migratorios, siendo que, en palabras propias del órgano, existe una excepción a la decisión de adecuación por no haber podido demostrar el Reino Unido que para este tratamiento se aplican las medidas de seguridad homologadas por el RGPD. Una vez que la nueva normativa de UK en protección de datos solvente esta excepción, será de aplicación inmediata la decisión de adecuación sobre dicho tratamiento.
Por todo lo antes expuesto, sugiero a aquellas empresas que actúen directa o indirectamente en Reino Unido aun cuando ya es oficial esta decisión de adecuación, apliquen las medidas de homologación de encargados de tratamiento, al igual que aplica en el caso de los encargos domésticos, con la finalidad de dar mayor asidero legal a la actividad y al tratamiento al que se refiere. que no esperen a una decisión por parte del Consejo Europeo sobre una posible prórroga y que procedan a la actualización de sus políticas y protocolos para hacer frente a un evento que tendrá lugar más temprano que tarde, a modo de evitar posibles brechas e incumplimientos generadoras de sanciones pecuniarias por parte de las Autoridades de Control de los Estados miembros.
