1.- Situación actual
El Brexit ha provocado un cambio en el flujo de datos personales entre el Reino Unido y la Unión Europea. Así las cosas, ante la falta de pronunciamiento por parte de las Autoridades Nacionales de Protección de Datos de la UE, las últimas orientaciones en torno a las transferencias de datos personales con Reino Unido, vienen lideradas por los criterios y decisiones tomadas por el Comité Europeo de Protección de Datos o European Data Protection Board (en adelante “EDPB”) y, en el caso de Reino Unido, por autoridad británica en esta materia, esto es, la Oficina del Comisionado de Información del Reino Unido (“ICO” por sus siglas en inglés).
En este sentido, el pasado 15 de diciembre del 2020, el EDPB publicó una nota donde advertía de las consecuencias que suponía la salida de Reino Unido de la Unión Europea (UE) en materia de transferencias de datos personales, concluyendo que, a partir del 1 de enero de 2021, debía considerarse como un tercer país y por tanto aplicar las salvaguardas contempladas en el Capítulo V del Reglamento Europeo de Protección de Datos (o “RGPD”), entre las que se encuentran las Cláusulas Contractuales Tipo.
Pero poco tiempo después, el 31 de diciembre de 2020, Reino Unido y la UE firmaron el acuerdo de cooperación denominado “Acuerdo de Comercio y Cooperación UE – Reino Unido” mediante el cual se acuerda, entre otras cuestiones, un periodo de transición (de máximo seis meses), por el cual el régimen de protección de datos actual (RGPD) continuaría siendo de aplicación, no considerando así a Reino Unido un tercer país. Motivo por el cual, durante el mencionado periodo, las empresas de la UE que realicen transferencias a Reino Unido, no tendrán que aplicar las garantías que establece el Capítulo V del RGPD hasta conseguir que la Comisión Europea decida que el Reino Unido acredite un nivel adecuado de protección (según el artículo 45 del RGPD). Ahora bien, en caso de que dicha decisión no se adopte al finalizar el periodo de transición, todas las trasferencias realizadas a Reino Unido deberán contar con alguna de las salvaguardas indicadas en el Capítulo V del RGPD. Argumento apoyado igualmente por la ICO según sus últimos criterios.
Por todo ello, es importante que las empresas que mantengan un flujo de datos con el Reino Unido, tengan en cuenta las recomendaciones publicadas por el EDPB el pasado noviembre, de medidas complementarias a las previstas por el RGPD, Recomendaciones 01/2020 ya que para conseguir el nivel adecuado de protección de datos podrían llegar a ser necesarias salvaguardas adicionales. Además, tanto los responsables como los encargados del tratamiento que se encuentren en esta situación, deberán revisar sus registros de tratamientos o avisos de privacidad incorporando las transferencias al Reino Unido.
2.- Medidas provisionales
Tal y como se adelantaba, el EDPB y el ICO son, en la actualidad, los únicos organismos que ofrecen información y proporcionan orientaciones y posibles medidas a implementar si queremos mantener los flujos de datos personales con Reino Unido durante y después del periodo de transición indicado. No obstante, las empresas españolas deben estar bien asesoradas y pendientes de los pronunciamientos de la Autoridad de Control española de Protección de Datos (AEPD) así como de las decisiones que se tomen desde la Comisión Europea o el EDPB.
2.1. Conclusiones de las Autoridades sobre las Cláusulas Contractuales Tipo (CCT)
La EDPB ha publicado junto con el Supervisor Europeo de Protección de Datos (en adelante, EDPS), el pasado 15 de enero de 2021, opinión sobre los documentos publicados por la Comisión Europea el pasado noviembre, en el que se analizan los borradores propuestos por la Comisión sobre la aplicación de las CCT para realizar transferencias internacionales de datos personales de conformidad con el RGPD. Este borrador, identifica diferentes escenarios distinguiendo las transferencias entre responsables del tratamiento (modulo 1), de responsable a encargado del tratamiento (modulo 2), entre encargados del tratamiento (modulo 3) y de encargado a responsable del tratamiento (modulo 4). A modo ejemplificativo, se solicita:
1) Evaluar y aclarar, si las transferencias entre responsables (modulo 1), son aplicables únicamente para responsables del tratamiento independientes, o si aplica a situaciones de corresponsabilidad cuando uno de los corresponsables esté establecido fuera de la UE o en UK y no esté sujeto al RGPD.
2) Recordar que los datos anonimizados no están sujetos a las obligaciones del RGPD,
3) Realizar inclusiones, aclaraciones, e incluso modificaciones íntegras en las cláusulas recogidas en los distintos módulos propuestos. Entre ellas, encontramos desde meras puntualizaciones aclaratorias sobre la aplicabilidad de los módulos o de la normativa local de los destinatarios, hasta peticiones de eliminación de cuestiones que, al no contemplarse en el RGPD, plantearía dificultades en su aplicación.
En este sentido, cabe apreciar que las Autoridades requieren ampliar información sobre la aplicabilidad de los distintos módulos, así como de las limitaciones de responsabilidad de las partes (entidad originaria y destinataria) e instan a la Comisión a incluir en los borradores la necesidad de aplicar lo recogido en los borradores finales de las nuevas CCT, junto con las mencionadas Recomendaciones del EDPB sobre medidas complementarias, debido a que pueden existir escenarios no contemplados en estos borradores.
2.2. ICO (Information Commissioner´s Officer)
La ICO ha puesto a disposición de las empresas de Reino Unido herramientas y recomendaciones con el fin de garantizar el nivel de protección adecuado en el flujo de datos que realizan con los países de la UE. En ese sentido, el organismo realiza una serie de premisas dirigidas a las empresas de Reino Unido que lleven a cabo flujos de datos con países de la UE.
Entre ellas, advierte que la legislación aplicable en Reino Unido sobre protección de datos deberá garantizar los niveles exigidos por la UE y que actualmente se encuentra alineado con las exigencias del RGPD. A pesar de ello y del Acuerdo de cooperación Reino Unido y la UE, la ICO recomienda a las empresas afectadas, implementar medidas de seguridad alternativas durante este periodo de transición antes de junio de 2021.
Asimismo, pone de manifiesto que Reino Unido está trabajando en la obtención de una decisión de adecuación de la Comisión para conseguir que, tras el periodo de transición, sea considerado un país adecuado de protección. De esta manera, se evitaría el coste y esfuerzo que supone para muchas empresas la regularización e implementación de las salvaguardas indicadas. No obstante, recomienda a las empresas de Reino Unido que en este intervalo de tiempo hasta la posible decisión de adecuación hacer uso de las salvaguardas, entre ellas, las citadas CCT cuyo contenido está siendo actualizado por la Comisión Europea.
Por otro lado, advierte que en caso de ser una empresa que trate datos personales de ciudadanos de Reino Unido y no tenga una delegación en dicho país, salvo excepciones, deberá asignar un representante establecido en dicho país para actuar en nombre de tu empresa de conformidad con el RGPD.
3.- Conclusiones y recomendaciones
De acuerdo con los últimos pronunciamientos de las Autoridades y las propuestas (aun en borrador) realizadas por la Comisión Europea, nos encontramos aún ante una situación que no se encuentra claramente definida. Por ello, estando a la espera de posibles modificaciones durante el periodo de transición, en caso de que exista un flujo de datos personales con Reino Unido en su organización, recomendamos cumplir con los siguientes requisitos:
- Informar a los interesados sobre las transferencias internacionales conforme a los requisitos exigidos por la normativa de Protección de Datos.
- Analizar las medidas técnicas de las empresas que van a actuar como destinatarios con el fin de garantizar un nivel de protección adecuado.
- Contemplar en los contratos con los destinatarios el clausulado y medidas propuestas por el EDPB, suscribiendo en todo caso unas CCT.
- Atender a transferencias estrictamente necesarias para la relación con los interesados.
Sin perjuicio de los pronunciamientos de las autoridades, no debemos de olvidar que, toda medida que implementemos durante el periodo de transición alineada con el RGPD nos garantizará estar operando de acuerdo con las recomendaciones de la Comisión Europea y, por tanto, dentro de los parámetros exigidos por terceros países (inclusive de aquellos que dejen de formar parte de la Unión Europea Europa), y cuyo nivel de protección se encuentre en proceso de adecuación, como Reino Unido.
