No-Deal Brexit: Transferencias Internacionales de Datos

29 de marzo de 2019: fecha oficial para que se produzca el Brexit. A poco más de un mes (y por ahora sin acuerdos), estudiemos más profundamente las consecuencias que, en nuestro sector, podrá tener que el “no-deal Brexit” finalmente se materialice.

Y la primera pregunta que nos planteamos es ¿qué va a pasar con los tratamientos de datos que se están realizando en el Reino Unido como consecuencia de encargos de tratamiento, cesiones a empresas del grupo/matriz, etc..?

El Comité Europeo de Protección de Datos ha sido muy claro al respecto. En la sesión plenaria del pasado 12 de febrero abordaron la cuestión, llegando a la siguiente conclusión: “En ausencia de un acuerdo entre la UE y el Reino Unido (no-deal Brexit), el Reino Unido pasará a ser un tercer país a partir de las 00:00 CET del 30 de marzo de 2019. Como consecuencia, la transferencia de datos personales del EEE al Reino Unido tendrá que basarse en uno de los siguientes instrumentos: cláusulas tipo de protección de datos, normas corporativas vinculantes, códigos de conducta y mecanismos de certificación e instrumentos jurídicamente vinculantes y exigibles entre autoridades u organismos públicos. En ausencia de cláusulas tipo de protección de datos u otras garantías apropiadas alternativas, se podrán aplicar las excepciones para situaciones específicas. Los flujos de datos desde el Reino Unido hacia el EEE se podrán seguir realizando libremente como hasta ahora”.

Recordemos una situación relativamente similar que ya vivimos: la anulación, el 6 de octubre de 2015 y por parte del Tribunal de Justicia de la Unión Europea, del Acuerdo de Puerto Seguro para flujos de datos hacia Estados Unidos. No fue hasta julio de 2016 cuando se adoptó el Escudo de Privacidad como herramienta sustitutiva. Durante ese periodo de tiempo, las organizaciones que habían declarado ante la Agencia de Protección de Datos (AEPD) la realización de transferencias basadas en Puerto Seguro, recibieron comunicaciones de ésta instando a que, a la mayor brevedad posible, se regularizara el flujo de datos.

Pues bien, la gran diferencia con la situación actual es que, en el caso de Puerto Seguro, la AEPD era conocedora de las transferencias a través de la declaración de ficheros; obligación que actualmente ha desaparecido. Ahora nos encontramos ante una clara situación de aplicación del “principio de responsabilidad proactiva” de las organizaciones. Si nada lo remedia y sin que la AEPD nos deba instar a ello, a partir de abril, tendremos que actualizar los flujos de datos hacia el Reino Unido tratándolo como un tercer país y, por tanto, considerando que estamos ante transferencias internacionales de datos.

El contenido de la nota emitida por el Comité Europeo de Protección de Datos se puede consultar en el siguiente enlace:

https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12-infonote-nodeal-brexit_en.pdf

 

Natalia Antón Carabias

nanton@helasconsultores.com

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *