Hace ya más de 5 años que el Reino Unido decidió abandonar la Unión Europea. Esto dejó muchas carpetas sobre la mesa, incluyendo las relacionadas con la protección de datos. Sin embargo, han quedado algunos asuntos importantes que tratar, especialmente en lo que se refiere a las condiciones para el envío y recepción de datos personales para y desde el Reino Unido.
Estas situación obliga muy especialmente a las empresas españolas y europeas a que cumplan estos dos requisitos:
- El ofrecer bienes o servicios a personas físicas en el Reino Unido; monitorear el comportamiento de los mismos, o extraer metadatos no personales de sus comunicaciones
- Y no tener oficinas de representación, filiales o cualquier otro establecimiento en el Reino Unido con sede física y personal capacitado.
De entrada, a parte del cumplimiento de la legislación en materia de protección de datos (básicamente, el Reglamento Europeo 2016/679 – GDPR o RGPD), es necesario también cumplir con la legislación del Reino Unido, es decir el Data Protection Act 2018, que sería la adaptación inglesa al RGPD. No habría, de entrada problemas. Las dos normas mencionadas comparten una visión de la privacidad muy parecida, enfocada en la protección de los datos personales a través de una correcta gestión del riesgo, asegurando un flujo seguro de información en el mercado nacional y europeo.
Pero el ICO (la agencia de protección de datos del Reino Unido), y he aquí la novedad, establece la obligación de nombrar a un representante en territorio del Reino Unido, para las empresas que cumplan con los dos requisitos antes mencionados (texto completo, en inglés, AQUÍ).
Esta representación deberá, además cumplir con una serie de requisitos como:
- Ser establecida por un contrato por escrito;
- Que se indique que el representante actúa como mandatario de la empresa extranjera en todo lo concerniente a la protección de datos;
- Que se asegure que el representante (persona física o jurídica) tenga las capacidades técnicas, legales y administrativas para llevar a cabo las tareas encargadas; es decir, se obliga a la existencia de un DPD inglés.
- Y todo ha de quedar reseñado en las ”Políticas de Privacidad”.
Las futuras relaciones entre la Unión Europea y el Reino Unido, también en materia de protección de datos, deberán establecerse en los acuerdos que comienzan a negociarse a partir de la entrada en vigor del Acuerdo de Retirada, es decir el 1 de enero de 2021.
En el ámbito de la protección de datos, la opción que, en principio, resulta más previsible es que la Comisión Europea pudiera adoptar una «decisión de adecuación« en la que se reconozca que el Reino Unido ofrece un nivel de protección esencialmente equivalente al que proporciona el marco normativo de la Unión, siempre y cuando ello no sea un subterfugio para que los datos personales lleguen a USA vulnerando la Sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020.
El propio Acuerdo de Retirada se refiere expresamente a que «la Comisión Europea iniciará lo antes posible, tras la retirada del Reino Unido, las evaluaciones respecto de dicho país, con ánimo de adoptar las decisiones correspondientes a más tardar a finales de 2020, si se cumplen las condiciones aplicables.» Vamos tarde, de nuevo.
Para poder adoptar estas decisiones, la Comisión deberá evaluar el ordenamiento jurídico y la práctica en materia de protección de datos de UK, pudiendo negociar con los ingleses, la introducción de cambios normativos o en su defecto, la aplicación práctica de las normas que permitan asegurar la existencia de ese nivel adecuado de protección. Las decisiones se deben revisar regularmente, a fin de comprobar que se siguen dando las condiciones que permitieron su adopción.
En el caso de que finalmente se produzca la declaración de adecuación mediante una decisión de la Comisión, el envío de datos al Reino Unido podría realizarse sin ningún tipo de requisito formal, de un modo similar en la práctica a como se haría para comunicaciones de datos entre los Estados Miembro.
Pero ahora, no.
