CMS Albiñana & Suárez de Lezo
Miguel Recio
La Unión Europea (UE) y el Reino Unido alcanzaron el pasado 24 de diciembre de 2020 un acuerdo “in extremis” sobre el Brexit. Se trata del Acuerdo de Comercio y Cooperación (en inglés, UK-EU Trade and Cooperation Agreement) y es el primero en la historia de la UE que incluye la protección de datos como parte de este.
En materia de comercio digital el Acuerdo prevé la libre circulación de datos y prohíbe los requisitos de almacenar y tratar los datos en una localización determinada, al mismo tiempo que confirma el compromiso de ambas partes de lograr un alto nivel de protección de datos, la protección de los consumidores y fomentar la confianza en la economía digital. En este sentido, el Acuerdo parte del objetivo común de hacer frente a barreras injustificadas al comercio por medios electrónicos y garantizar un entorno en línea abierto, seguro y fiable para las empresas y los consumidores.
Por lo que se refiere a las transferencias de datos personales entre la UE/EEE (siglas estas últimas que hacen referencia al Espacio Económico Europeo) y el Reino Unido, una de las provisiones finales del Acuerdo es que dichas transferencias podrán seguir llevándose a cabo desde la UE/EEE hasta que se adopte una decisión de adecuación, lo que debería producirse en un plazo máximo de seis meses. Además, cabe resaltar que, con carácter transitorio y de manera recíproca, el Reino Unido considera que los países del EEE tienen la consideración de países con nivel adecuado, lo que permite también las transferencias de datos personales desde el Reino Unido sin la necesidad de cumplir con requisitos adicionales.
A pesar de lo anterior, la Information Commissioner´s Office (ICO), en una declaración publicada el 28 de diciembre de 2020, ha recomendado que las empresas adopten mecanismos alternativos de transferencias con la finalidad de prevenir cualquier interrupción del libre movimiento de los datos personales desde la UE hacia el Reino Unido.
En la práctica, esto supone que en caso de que no se reconociera el nivel adecuado del Reino Unido en el plazo indicado, quienes tuvieran que transferir datos personales desde la UE/EEE al Reino Unido tuvieran que recurrir a otras garantías adecuadas, tales como las cláusulas contractuales o las normas corporativas vinculantes. Además, en el caso de las Administraciones Públicas, podría tratarse de un instrumento jurídicamente vinculante y exigible o, incluso cuando se trate de autoridades policiales y judiciales competentes en materia penal, también en un instrumento jurídicamente vinculante en ausencia de una decisión de adecuación.
En cualquier caso, es recomendable desarrollar una estrategia que sirva para evitar interrupciones en la transferencia de datos. Como parte de esta estrategia, es clave considerar desde ahora los riesgos inherentes a la transferencia internacional de datos fuera de la UE/EEE, sin que durante los seis primeros meses se considere al Reino Unido como tercer país.
En particular, en el caso de las PYMEs, la ICO recomienda el uso de cláusulas contractuales tipo. Al respecto, la ICO publicó dos modelos de cláusulas contractuales, una para las transferencias entre responsables del tratamiento y otra para las transferencias entre un responsable y un encargado del tratamiento, que se suman a los modelos de cláusulas contractuales tipo de la Comisión Europea.
Y en el caso de otras empresas, cuando hayan adoptado normas corporativas vinculantes, el Brexit podría implicar la necesidad de revisar estas por si fuera necesario hacer algún cambio y notificarlo a la autoridad de protección de datos competente.
Tres recomendaciones prácticas para afrontar este nuevo escenario son:
- Evaluar los riesgos relativos a las transferencias de datos hacia el Reino Unido, ya que, si bien actualmente no se considera como un tercer país, implican que salgan del EEE;
- Adoptar medidas específicas que proporcionen garantías adecuadas para las transferencias de datos, tales como las cláusulas contractuales, que permitan evitar la interrupción si finalmente no se declarase el nivel adecuado del Reino Unido o, posteriormente, si la decisión de adecuación fuera suspendida o declarada invalida, y
- Revisar periódicamente que la medida adoptada cumple con los requisitos necesarios, de manera que permita responder a las necesidades planteadas en materia de transferencia de datos personales.
Se trata de que el responsable del tratamiento y, en su caso, el encargado del tratamiento, cumplan y puedan demostrar el cumplimiento de la normativa sobre protección de datos, lo que implica aplicar en la práctica la responsabilidad proactiva.
Por último, un aspecto importante es el relativo al ámbito territorial, ya que es necesario tener en cuenta que, según lo indicado por la ICO, el Reino Unido incluye Inglaterra, Escocia e Irlanda del Norte, quedando excluidas las dependencias de la Corona Británica o los territorios ultramar del Reino Unido, incluyendo Gibraltar.