Togas.biz

La más que probable perspectiva de que se produzca un Brexit “duro” implica importantes consecuencias en materia de protección de datos, salvo que finalmente se apruebe un régimen transitorio aplicable a las transferencias de datos de carácter personal que tengan como destino el Reino Unido.

El gobierno del Reino Unido ha dejado claro que el Reglamento 2016/679 de Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”) será absorbido por su legislación nacional. Sin embargo lo cierto es que, a partir del próximo 30 de marzo, este territorio pasará a ser un “tercer país” y, por consiguiente –no existiendo decisión de adecuación por parte de la Comisión-, es recomendable que todas aquellas empresas que en el marco de su operativa realicen comunicaciones transfronterizas de datos personales que tengan como destino sociedades localizadas en Reino Unido lleven a cabo las siguientes acciones:

  • Identificar y revisar los flujos de datos que pudieran verse afectados para poder continuar con su actividad con normalidad, tras la salida del Reino Unido de la UE.
  • Aplicar las salvaguardias correspondientes para asegurar que la transferencia internacional de datos se encuentre correctamente legitimada, lo que se traducirá, según el caso concreto, en (i) la suscripción de las cláusulas tipo adoptadas por la Comisión o la autoridad de control, o bien (ii) la suscripción de otras cláusulas contractuales previa autorización de la autoridad de protección de datos.
  • En el caso de grupos multinacionales con entidades establecidas en el Reino Unido hay que valorar también la opción de configurar a nivel grupo un régimen de normas corporativas vinculantes (si bien hay que destacar que su procedimiento de aprobación se demora bastantes meses).
  • A falta de los anteriores mecanismos, habrá que verificar si concurre alguna de las excepciones previstas por la norma que permiten transferir datos sin garantías adecuadas (necesidad de la transferencia para la ejecución de un contrato, consentimiento, etc.).
  • Adaptar las políticas de privacidad y procedimientos internos relativos a transferencias internacionales de datos de cara a contemplar este nuevo escenario.

Además es importante recordar que las entidades con sede en el Reino Unido que traten datos de interesados que se encuentren en la UE para la oferta de bienes o servicios, o para el control de su comportamiento, deberán designar por escrito un representante en la UE, que actuará como representante local ante los interesados y las autoridades de protección de datos en el territorio de la UE, salvo que concurra alguna de las excepción legalmente previstas (que el tratamiento sea ocasional, que no incluya el manejo a gran escala de categorías especiales de datos y que sea improbable que entrañe un riesgo para los derechos libertades de las personas físicas).

En línea con lo anterior, la Information Commissioner’s Office (ICO), Autoridad de Control en materia de protección de datos del Reino Unido, ha publicado una serie de directrices sobre cómo prepararse para cumplir con los requisitos establecidos en el RGPD si el Reino Unido abandona la UE el 29 de marzo sin llegar a un acuerdo en materia de protección de datos: https://ico.org.uk/about-the-ico/news-and-events/blog-data-protection-and-brexit-ico-advice-for-organisations/.

Fuente: Deloitte

Source