Daniel Marcano
Consultor en Protección de Datos, Compliance y Ciberseguridad


El Reglamento (UE) 2016/679 Del Parlamento Europeo y Del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en lo consiguiente RGDP) en su Art 1.1 establece su ámbito territorial en todas las actividades de un responsable o encargado cuyo establecimiento principal se encuentre en la Unión Europea. Así las cosas, a partir del 25 de mayo de 2018 todos los Estados miembros de la UE estaban obligados a cumplir con los lineamientos y directrices emanados por este cuerpo normativo.

Ahora bien, tras 44 años el 23 de junio de 2016 el Reino Unido celebró un referéndum consultivo a la población en la cual se consideraba el abandono de la Unión Europea, siendo que la decisión fuere notificada al Consejo Europeo el día 29 de marzo de 2017. En dicha notificación se suscribió un período de transición para la salida del Tratado de poco más de dos años y hasta el 31 de diciembre de 2020 en el cual las partes involucradas generarían acuerdos de colaboración en distintas áreas, incluyendo lo referente a la protección de datos personales desde y hacia Reino Unido por parte de responsables o encargados establecidos en la Unión.

Dentro del tratado de colaboración suscrito, se estableció un período de 06 meses a contar desde el 01 de enero de 2021 en el cual Reino Unido emitiría su propia legislación interna referente a la protección de datos personales y cuyo articulado teóricamente iría alienado a la normativa europea.

Es por ello por lo que, desde el 01 de enero de 2021 y hasta el 30 de junio de 2021 las transferencias de datos personales entre las partes implicadas no serán consideradas como transferencias internacionales, no siendo necesario la adopción de alguna de las medidas consideradas por el RGPD en su Art 44 y ss.

Como se ha establecido en el párrafo anterior, la calificación de transferencia doméstica tiene como período de caducidad el día 30 de junio de 2021, por lo cual, aquellos responsables y encargados de tratamiento que traten datos conjuntamente en algún estado de la Unión y Reino Unido, deberán adoptar sus protocolos de privacidad para hacer frente a las consecuentes transferencias internacionales, a saber, incluir en sus cláusulas contractuales la transferencia internacional de sus datos a un tercer estado, de conformidad con lo establecido en el Art 12 referente al principio de transparencia e información.

De igual manera, deberán ejecutar las correspondientes DUE DILIGENCES para asegurar que sus proveedores en Reino Unido cuentan con las garantías suficientes para la realización de los tratamientos de datos personales y, en aquellas trasnacionales con sedes en distintos Estados (incluyendo Reino Unido) se deberá considerar la elaboración de unas normas corporativas vinculantes (BCR por sus siglas en inglés) que garanticen la integridad, disponibilidad y seguridad de los datos personales objeto de tratamiento entre ambas entidades, normas que no podrán ser autorizadas por las autoridades británicas y que necesariamente habrán que ser presentadas ante la Autoridad de Control de cualquier Estado de la Unión.

Adicionalmente, se deberá considerar el nombramiento de un representante ante la UE y actualizar los protocolos de notificación de brechas de seguridad, siendo que aquellas suscitadas dentro de las fronteras del Reino Unido deberán ser notificadas ante la Autoridad De Control Británica (ICO por sus siglas en inglés). Así las cosas, las empresas que trabajen directamente con sucursales o empresas independientes en Reino Unido, deberán fortalecer sus medidas de seguridad y procedimientos para poder cumplir con el principio rector de la nueva protección de datos, el Accountability o la responsabilidad proactiva.

No obstante, a raíz de la pandemia del COVID19 que ha afectado a la población mundial y que ha obligado a la suspensión de acuerdos y reformas legislativas en la mayoría de los Estados, no sería de extrañar que se acuerde la extensión del acuerdo de colaboración entre UE y Reino Unido; prorrogando el plazo para la creación de la Ley británica y continuando con la calificación de transferencia interna o doméstica.

Finalmente, sugiero a aquellas empresas que actúen directa o indirectamente en Reino Unido que no esperen a una decisión por parte del Consejo Europeo sobre una posible prórroga y que procedan a la actualización de sus políticas y protocolos para hacer frente a un evento que tendrá lugar más temprano que tarde, a modo de evitar posibles brechas e incumplimientos generadoras de sanciones pecuniarias por parte de las Autoridades de Control de los Estados miembros.

Fuente: www.legaltoday.com