El pasado viernes fue un día triste para la Unión Europea y los países que la conforman. Aunque algunos no nos lo terminemos de creer, definitivamente el Reino Unido dejará de formar parte de ésta.
Si bien aún se dispone de un plazo de dos años para negociar la salida del Reino Unido de la Unión Europea, no está de más pararse a qué consecuencias puede traer este acontecimiento en la aplicación de la normativa de protección de datos.
Los movimientos de datos dentro de los Estados miembros de la UE no se consideran “transferencias internacionales de datos”.
La salida de esta zona de “libre circulación de datos” implicará que el Reino Unido pase a ser considerado como “tercer país”. No obstante, es presumible que la Comisión le otorgue el estatus de “país seguro”, dado que heredaría la regulación vigente hasta el momento, desarrollada y aplicada al igual que el resto de países de la Unión.
Sin embargo, puede existir un lapso de tiempo entre que se produzca la separación definitiva de la Unión Europea y la Decisión de la Comisión de considerar a Reino Unido como país seguro, en cuyo caso, el movimiento de datos que se produjera en ese período sí que podría suponer una Transferencia Internacional de Datos, y por tanto, las empresas que contraten servicios de tratamiento o alojamiento de datos en Reino Unido podrían tener que regularizar estas transferencias para un periodo de tiempo indeterminado.
Por otra parte, también cabe la posibilidad de que la UE reaccione al Brexit con revanchismo, y que, entre las muchas trabas que le ponga a Reino Unido esté la de no reconocerle como “país seguro”. Si fuese el caso, caería en un bloqueo de facto, similar al que llevamos sufriendo desde octubre de 2015, cuando se anuló el marco de Puerto Seguro con Estados Unidos.
Se plantean además otros interrogantes en relación a la aplicación del nuevo Reglamento General de Protección de Datos, que aunque ya ha entrado en vigor, no será exigible hasta dentro de dos años, pudiendo coincidir con la fecha de la salida definitiva de Reino Unido.
Si su salida de la Unión fuera más tarde del 25 de mayo de 2018, fecha límite para la aplicación del nuevo Reglamento europeo, este movimiento de datos a empresas de Reino Unido podría basarse en una de las nuevas figuras que el Reglamento contempla:
- Una decisión de adecuación de la Comisión, si considera que Reino Unido garantiza un nivel de protección adecuado, si bien estaría sometido a evaluaciones periódicas, al menos cada 4 años, que verifiquen el estado de adecuación.
- Una demostración de garantías adecuadas, siempre que los interesados cuenten con derechos cuyo cumplimiento puedan exigir y dispongan de la posibilidad de ejercitar acciones legales.
- La existencia de normas corporativas vinculantes, siempre que sean jurídicamente vinculantes, confieran derechos exigibles a los interesados, y cumplan una serie de requisitos específicos.
A los interrogantes que esta situación plantea con respecto a la protección de datos, debemos añadir otros tantos, como qué ocurrirá con el comercio electrónico, los impuestos, o los costes de aduanas, puesto que tanto el Reino Unido y como la Unión Europea se han visto envueltos en un viaje sin precedentes, del que tendrán que ir construyendo el camino.
En definitiva, muchos interrogantes que, lamentablemente, tendremos que ir respondiendo poco a poco.
Loreto Jiménez Muñoz
Áudea Ciberseguridad