Tras la marcha de Reino Unido de la UE denominada Brexit, por la aplicación del artículo 50 del Tratado de Lisboa, en el que se ofrece la posibilidad de retirada de la UE a cualquier Estado miembro, Reino Unido ha dejado de tener la consideración de país europeo, en consecuencia, en diciembre de 2020 dejó de ser aplicable el Reglamento General de Protección de Datos (RGPD).
Ante esta cuestión se aprobó un acuerdo comercial entre UE y Reino Unido el pasado 24 de diciembre, entrando en vigor en enero de 2021, y que establece, entre otras cuestiones, aspectos a tener en cuenta en materia de protección de datos personales.
En este sentido, el acuerdo reconoce el derecho a la protección de datos y a la privacidad, señalando que las normas estrictas al respecto en esta materia contribuyen con la economía y con el desarrollo del comercio. El acuerdo permite que las partes adopten medidas sobre la materia.
En lo que respecta al flujo de datos transfronterizos, el acuerdo establece un plazo de seis meses para continuar realizando transferencias internacionales de datos. Cumplido este plazo, se prevé que la Comisión Europea haya adoptado una decisión de adecuación en la que puedan basarse las transferencias internacionales de datos. En cualquier caso, en el acuerdo se establece la necesidad de asegurar este flujo, imponiendo a las partes que realicen las acciones necesarias para continuar con ellos. Así pues, no se podrán restringir los flujos de datos entre las partes (Países UE y Reino Unido), en los siguientes casos:
En lo que respecta a estas disposiciones, se establece la revisión y evaluación de su funcionamiento en un plazo de tres años y así lo ofrece el acuerdo. No obstante, se otorga a las partes el derecho a solicitar la revisión de estas disposiciones en cualquier momento.
Por otra parte, es necesario que las empresas del Reino Unido se adapten y cumplan una serie de condiciones, pues la salida de la UE lo sitúa como un “tercero no miembro”, debiéndose de aplicar lo establecido en el artículo 27 del RGPD, es decir, la obligación de nombrar un representante dentro del territorio de la Unión Europea, cuando estas empresas establecidas en el Reino Unido traten datos personales de ciudadanos europeos en relación con la oferta de bienes o servicios, o el control de su comportamiento.
En este sentido, el Information Commissioner’s Office (ICO), la autoridad competente de Reino Unido, ya ha indicado que esta figura será de aplicación para las entidades establecidas en la Unión Europea que traten datos personales de ciudadanos del Reino Unido, y en las mismas condiciones que el artículo 27 del RGPD. Adicionalmente, indica que será necesario contar con un mandato por escrito para el representante. Lo habitual es emplear un contrato con indicación del representante, en el que se indique que éste actuará como mandatario y se asegure de que ostenta las capacidades legales y administrativas necesarias para actuar en el Reino Unido. Asimismo, esta información debe quedar reflejada en las cláusulas informativas o política de privacidad de las empresas.
Esta regla general a la necesidad de representante quedaría exceptuada cuando se dieran las condiciones de autoridad pública o en caso de que el tratamiento de datos sea ocasional y de riesgo bajo para los derechos de protección de datos personales.
En consecuencia, en materia de protección de datos personales, no estamos ante grandes cambios a consecuencia del Brexit, siempre y cuando la Comisión Europea adopte la decisión de adecuación lo antes posible, puesto que si no se considera a Reino Unido como un país que garantice los derechos de los ciudadanos europeos en materia de protección de datos, se deberán utilizar métodos alternativos para regularizar las transferencias internacionales de datos, tales como las cláusulas contractuales tipo o la firma de normas corporativas vinculantes.