Si en los últimos tiempos ha habido un hecho político que ha acaparado las portadas de nuestros medios de comunicación, este ha sido sin duda, el Brexit. Este acuerdo, que supuso la salida del Reino Unido de la Unión Europea (UE), tuvo un impacto directo en materia de protección de datos pues implicaba que el RGPD dejaba de ser norma aplicable al Reino Unido.
Y de pronto, se agolparon las dudas. ¿Pasaba a ser Reino Unido un tercer Estado? ¿Qué ocurriría con los flujos de datos desde los países miembros de la UE y Reino Unido? ¿Qué garantías debían tenerse en cuenta?
Se inició así, un período de transición en el que las partes debían elaborar pactos, acuerdos o tratados, que permitieran regular de manera estructurada esta salida y que tuvo como resultad, la firma, entre ambas partes, de un Acuerdo Comercial y de Cooperación que regulaba sus relaciones a partir del 1 de enero de 2021. En materia de protección de datos, este Acuerdo garantizaba la libre circulación de los datos entre el Reino Unido y la UE durante un período adicional de 6 meses (hasta el 30 de junio de 2021), finalizado el cual, ambas partes debían llegar a un acuerdo sobre la circulación de esos datos. Consecuentemente:
- Hasta el 30 de junio de 2021, los flujos de datos hacia empresas del Reino Unido se regirán por lo dispuesto en el RGPD.
- A partir del 1 de julio de 2021, esos flujos de datos comenzarán a ser considerados como transferencias internacionales de datos lo que, ineludiblemente, implica que tendrán que regularse por el régimen que el RGPD y la LOPDGDD prevén para estas transferencias.
¿Qué escenarios podremos, entonces, encontrarnos, tras el fin de esta moratoria?
- El primero, y más probable, es que el Reino Unido sea declarado, por la Comisión Europea, como un país con un nivel de protección adecuado. En este caso, los flujos de datos desde la UE al Reino Unido podrán realizarse libremente, aunque con la necesidad de tener en cuenta los requisitos que el RGPD marca para este tipo de transferencias internacionales (artículo 45 RGPD).
- Que la Comisión Europea no considere a Reino Unido como país con un nivel de protección adecuado. Este hecho, implicaría la necesidad de recurrir a los restantes mecanismos que el RGPD prevé para las transferencias internacionales de datos y que, a día de hoy, siguen siendo válidos; tales como las cláusulas contractuales tipo aprobadas por la Comisión Europea, Normas Corporativas Vinculantes para grupos de empresas, consentimiento de los interesados…etc.
Esperamos un próximo pronunciamiento de la Comisión Europea a este respecto, ya que se acerca el final del periodo de transición y del que os informaremos en su momento.