El pasado 28 de junio, la Comisión Europea (la “Comisión”) publicó su decisión de adecuación para la libre transmisión de datos entre la Unión Europea (“UE”) y el Reino Unido bajo el RGPD (la “Decisión”).

¿Qué es una decisión de adecuación?

El RGPD supedita las transferencias de datos personales a terceros países y organizaciones internacionales al cumplimiento de alguna de las condiciones establecidas en su capítulo V, con el fin de obtener unas garantías de protección de los datos personales transferidos similares a las garantías ofrecidas en la UE.

En este sentido, conforme al artículo 45 del RGPD, la Comisión tiene la autoridad para determinar si un país fuera de la UE ofrece un nivel adecuado de protección de datos personales. Cuando esto sucede, la Comisión adopta una decisión de adecuación. El efecto de dicha decisión es que los datos personales pueden fluir de la UE a terceros países sin ser necesaria ninguna garantía adicional.

Aspectos que fueron relevantes en la aprobación de la Decisión

Régimen jurídico muy similar

La Decisión tuvo a su favor que el marco normativo en materia de protección de datos del Reino Unido está en gran parte basado en el marco normativo de la UE (concretamente el RGPD y la Directiva (UE) 2016/680), dado que hasta el 31 de enero de 2020, Reino Unido fue miembro de la UE.

En este sentido, la UK Data Protection Act 2018 que entró en vigor el 23 de mayo de 2018, complementa la aplicación del RGPD y también transpone la Directiva (UE) 2016/680 en el Reino Unido.

Controles en el acceso por parte de las autoridades a los datos personales transferidos al Reino Unido

Otro de los aspectos que facilitaron la aprobación de la Decisión fue el reforzamiento por el Reino Unido de las competencias de los tribunales denominados “Tribunales de Poderes de Investigación” (the Investigatory Powers Tribunal en inglés) en su ley Investigatory Powers Act 2016.

Estos tribunales son los competentes para dirimir casos de abuso de poderes de investigación por parte de las autoridades policiales y de los servicios de inteligencia.

Asimismo, en la ley Investigatory Powers Act 2016, Reino Unido también creó la figura de los Comisarios Judiciales que entre otras, tienen la función de aprobar las medidas de vigilancia a aplicar sobre individuos, con carácter previo a su implementación.

Cláusula de extinción de la Decisión

El Gobierno británico ha declarado que tiene intención de desarrollar normativa independiente en materia de protección de datos que podría comprometer el actual nivel de protección de datos personales.

Por esta razón, se ha incluido en la Decisión una cláusula de extinción a los 4 años. Transcurrido ese periodo de tiempo, la Unión Europea y Reino Unido deberán valorar si se renueva la Decisión, siempre que el Reino Unido pueda seguir garantizando un nivel adecuado de protección de datos.

El Comité Europeo de Protección de Datos ha recomendado a la Comisión que monitorice la evolución de la normativa de protección de datos en el Reino Unido durante la vigencia de la Decisión, en caso de que en algún momento fuera necesario ajustar o suspender la Decisión antes de que transcurra el periodo de los 4 años.

Salvaguardas en el reenvío de los datos personales por parte del Reino Unido a terceros países

La Comisión explica que las normas aplicables en el Reino Unido con respecto a la transferencia de datos personales a terceros países deberán garantizar que dichos terceros países puedan proporcionar un nivel de protección esencialmente equivalente al del RGPD.

Datos personales relacionados con la inmigración

Las transferencias de datos personales para el control de la inmigración en el Reino Unido no están incluidas en el ámbito de aplicación de la Decisión.

Conclusión

La adopción de la Decisión es sin duda positiva y dará certidumbre en materia de protección de datos personales a las empresas de la UE que continúan realizando actividades económicas en el Reino Unido y viceversa.

Sin embargo, la Decisión es frágil y su continuidad dependerá de la voluntad del Reino Unido en mantener su actual normativa en materia de protección de datos.

El Comisario Europeo de Justicia, Didier Reynders, explica: “Después de meses de cuidadosas evaluaciones, hoy podemos darles a los ciudadanos de la UE la certeza de que sus datos personales estarán protegidos cuando se transfieran al Reino Unido. Esto es un componente esencial de nuestra nueva relación con el Reino Unido. Es importante para un comercio fluido y una lucha eficaz contra el crimen. La Comisión monitorizará de cerca cómo evoluciona el sistema del Reino Unido en el futuro y hemos reforzado nuestra posición para permitir esto y para intervenir si es necesario. La UE tiene los más altos estándares en lo que respecta a la protección de datos personales, y estos no deben verse comprometidos cuando los datos personales se transfieren al extranjero”.

En la fecha actual, la Comisión ha adoptado decisiones de adecuación para la transmisión de datos personales a los siguientes países (por orden cronológico): Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey, Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda, Japón y Reino Unido.

La Comisión también publicó el pasado 16 de junio de 2021 el inicio formal del proceso para conseguir una decisión de adecuación con Corea del Sur.

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.