La pròrroga del Brexit finalitza avui, 31 de gener. Una de les conseqüències jurídiques de la sortida del Regne Unit de la Unió Europea, serà la situació davant la privacitat i protecció de dades. Volem posar sobre la taula els escenaris de les empreses europees que ara tenen dades al Regne Unit i que passaran a no estar regulades pel RGPD, doncs estarem davant transferències internacionals de dades.
Fins a la sortida del Regne Unit i Irlanda del Nord de la Unió Europea, la normativa de protecció de dades aplicada era el Reglament (UE) 2016/679 del Parlament Europeu i del Consell de 27 d’abril de 2016 relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades (RGPD).
Davant la falta d’aplicació de la mateixa normativa de protecció de dades entre la UE i el Regne Unit, hem d’analitzar què pot passar en el tractament de dades d’europeus al Regne Unit i viceversa.
Escenaris possibles
- Primer escenari: empreses que estan establertes al Regne Unit, però tracten dades de ciutadans de la Unió Europea. En aquest cas, encara que el Regne Unit no sigui un Estat membre de la Unió Europea, el RGPD en base a l’article 3.2 deixa clar que:
“El present Reglament s’aplica al tractament de dades personals d’interessats que resideixen a la Unió per part d’un responsable o encarregat no establert a la Unió quan les activitats de tractament estiguin relacionades amb: a) l’oferta de béns o serveis a aquests interessats a la Unió, independentment de si a aquests se’ls requereix el seu pagament o b) el control del seu comportament, en la mesura en què aquest tingui lloc a la Unió.”
Per tant, el Regne Unit haurà d’acatar el disposat al RGPD en el cas del tractament de dades de ciutadans de la Unió quan les empreses del Regne Unit ofereixin béns i serveis a la UE o bé controlin el comportament de ciutadans de la UE mitjançant tècniques de Big Data o elaboració de perfils.
- Segon escenari: transferència internacional de dades.
Les empreses del Regne Unit perdran el dret a enviar dades a qualsevol lloc de la Unió Europea i les empreses de la Unió Europea que vulguin enviar dades al Regne Unit estaran davant una transferència internacional.
La lliure circulació de dades està garantida a la UE, però la seva transmissió fora d’aquesta requerirà que l’Agència Espanyola de Protecció de Dades (AEPD) l’autoritzi, excepte en supòsits d’excepció legal o que les dades es transfereixin a països que proporcionin un nivell de protecció adequat. Ja s’estan realitzant actuacions per a què el Regne Unit pugui ser qualificat com a Estat declarat de nivell adequat per la Comissió Europea.
En vistes de què la protecció de dades és un dels punts que pot suposar un problema en les relacions actuals entre països membres de la UE amb el Regne Unit, la Declaració política en la que s’exposa el marc de les relacions futures entre la Unió Europea i el Regne Unit (2019/C 384 I/02) recull l’apartat de protecció de dades. En ell es reflecteix la necessitat de facilitar els fluxos de dades entre la UE i el Regne Unit i, el més important, recull l’avaluació per part de la Comissió Europea, en cas de què compleixi les condicions aplicables, el ser un país amb nivell de protecció adequat.
Per tant, tal i com recullen les disposicions inicials de la declaració política de relacions futures entre la Unió Europea i el Regne Unit, a més trigar a finals de 2020 i si el Regne Unit compleix amb les condicions aplicables per a ser un país amb nivell de protecció adequat, podrem seguir realitzant les relacions de transferències de dades actuals sense la necessitat de l’autorització de l’AEPD.
- Tercer escenari: empresa de la UE que té filials al Regne Unit.
Mentre el Regne Unit no sigui considerat un país amb nivell de protecció adequat per no estar a la UE i mentre la Comissió Europea no dugui a terme l’avaluació del compliment dels requisits, les empreses podran crear les Normes Corporatives Vinculants o Binding Corporate Rules (BCR) (article 47 del RGPD) que són un instrument que legitima les transferències internacionals de dades entre les empreses que conformen un grup multinacional i les seves filials establertes fora de l’Espai Econòmic Europeu. Com a requisit s’estableix que les regles tinguin suficients garanties respecte a la protecció de dades i es garanteixi el compliment dels principis i obligacions del RGPD.
Seguirem els canvis, la nova normativa i jurisprudència per informar-vos.
Si teniu qualsevol dubte al respecte, contacteu amb nosaltres.
Equip de Pymelegal.