Tras innumerables ampliaciones de negociación, el Brexit finalmente es una realidad. Más allá de los acuerdos alcanzados ‘in extremis’ entre Reino Unido y la Unión Europea, aún queda en el aire saber qué ocurrirá en materia de Protección de Datos, ya que desde el 1 de enero de 2021 se considera un país ajeno a Europa y por tanto, estaríamos hablando de una Trasnferencia Internacional de Datos en lo que a RGPD se refiere.
Conscientes de la incertudimbre generada en las miles de empresas que transfieren datos entre UK y EU, ambas partes han acordado una prórroga de seis meses (página 32, punto 182), a contar desde el 1 de enero de 2021, para alcanzar un acuerdo. Por tanto, hasta el 30 de junio del 2021, el tratamiento de datos entre Reino Unido y Europa seguirá las normas del actual RGPD.
Una vez lleguemos a esa fecha, Reino Unido debería haber traspuesto la normativa del RGPD a lo que ellos llaman «el RGPD de UK» («UK GDPR» en inglés, que será una actualización de su actual «Data Protection Act 2018«) y la Unión Europea debería haber alcanzado un acuerdo con Reino Unido en cuanto a la transferencia de datos personales entre ambas partes.
Lo que SÍ se sabe que necesitarás adecuar
- Salvo excepciones concretas, si tu empresa trata datos personales de ciudadanos de Reino Unido y NO tiene oficina/delegación en dicho país, necesitarás asignar un representante establecido en UK, el cual pueda actuar en nombre de tu negocio, tanto para dar respuestas a derechos de ciudadanos así como para responder a la ICO (la AEPD británica) ante cualquier requerimento.
- Modificar la recogida y tratamiento de datos personales para que cumplan con el «UK GDPR»; los rumores apuntan a que será similar al RGPD, aunque algo más estricto.
- Preparar todas las medidas necesarias para cumplir con la transferencia internacional de datos que se producirá a partir del 1 de julio de 2021, en caso de que tu negocio transfiera datos desde/hacia UK.
- Si tu negocio tenía la necesidad de realizar un EIPD y va a tratar datos personales de ciudadanos UK, será necesario actualizar el EIPD para que refleje los cambios realizados para el cumplimiento de los riesgos y medidas aplicadas en lo que se refiere a la nueva Transferencia Internacional de Datos que se va a generar.
- Si procesas datos personales de ciudadanos UK, o transfieres datos entre responsable/encargado de tratamiento desde/hacia UK, necesitarás actualizar tu Política de Privacidad indicando este escenario.
Otras acciones que tal vez tengas que realizar
Puesto que aún no hay borrador de la nueva «UK GDPR» y no se ha filtrado ningún pre-acuerdo en esta materia, este listado NO es aún definitivo:
- Suscribir unas Cláusulas Contractuales Tipo («SCC» por sus siglas en inglés) entre el proveedor y el responsable del tratamiento, a la hora de transferir datos entre ambas regiones cuando dicha trasnferencia sea entre empresas. Si las SCC no han sido adoptadas por la Comisión, será necesario solicitar una autorización expresa a la AEPD o a la ICO, según corresponda.
- En caso de que tu empresa tenga la obligación de designar un DPD, seguramente deba designar un DPD ubicado en UK, y es probable que no pueda ser la misma persona/empresa.
- Adecuar los formularios de recogida de datos para que el interesado de explícitamente su consentimiento del tratamiento de datos personales en terceros países.
- Indicar -correctamente- en la Política de Privacidad (o en las cláusulas de contrato) que el tratamiento de datos personales desde terceros países es necesaria para la ejecución del contrato entre el interesado y el responsable del tratamiento.
- Existe información contradictoria sobre si el representante que escojas para UK
Ante futuras novedades, iremos actualizando esta entrada para que tengas a mano toda la información necesaria en el mismo sitio. Suscríbete a nuestro boletín si quieres que te avisemos por correo electrónico: