Muchas son las consecuencias que van a producirse cuando el Brexit se materialice, tanto para los británicos como para el resto de Europa. Consecuencias en varios ámbitos, como el económico o el político, más relevantes en un principio, pero que tampoco pueden empañar los efectos adversos que también pueden producirse en otros sectores no menos importantes en los que parece que todavía no se ha puesto el foco.
En materia de protección de datos, el Brexit puede suponer un punto de inflexión para el Reino Unido y el resto de países del territorio europeo, cuyas entidades puedan tener proveedores procedentes de las islas británicas. Cuando se haga efectiva su salida, Gran Bretaña pasará a ser país tercero de la Unión Europea (UE) y el Espacio Económico Europeo (EEE) desde el punto de vista del RGPD, convirtiéndose las comunicaciones de datos personales realizadas a/desde dicho país, consideradas como transferencias internacionales de datos.
En caso de que los datos se envíen a un país fuera del Espacio Económico Europeo, los niveles de seguridad y garantías disminuyen considerablemente. Como regla general no se permiten esos flujos de datos a países terceros, aunque hay una serie de excepciones que pueden permitir que esas comunicaciones de datos se ajusten a la normativa europea.
Esto provocará que el Reino Unido tendrá que solicitar una decisión de adecuación a la Comisión Europea, para que ésta le confiera el estatus de tercer Estado con un nivel de adecuación suficiente, en el sentido de alcanzar un nivel de protección de datos equiparable al previsto en el RGPD. No obstante, esta decisión de adecuación conlleva el estudio por parte de la Comisión Europea, lo que puede provocar una demora en esa declaración del Reino Unido como tercer estado con un nivel adecuado de garantías para la comunicación de datos.
Hasta entonces, todos los contratos que puedan estar en vigor deberán modificarse para establecer cláusulas contractuales tipo, que son las establecidas por la Comisión en orden a garantizar una seguridad similar a la existente en el ámbito de aplicación del Reglamento.
Todo esto sin olvidar que también las relaciones entre el Reino Unido y los Estados Unidos se verán afectadas en esta materia, al no ser ya extensible el ámbito de aplicación del Privacy Shield, y que también puede perjudicar gravemente a los intercambios de datos realizados entre ambos países angloparlantes.
Llevando esto a la práctica, va a resultar en la obligación de volver a redactar los clausulados correspondientes en materia de protección de datos cuando, por ejemplo, nuestra empresa se sirva de un hosting que está radicado en territorio británico, lo cual puede ser una de las situaciones y problemas más habituales que se le podrán presentar a entidades que tengan contratados proveedores británicos.
Si nos ponemos en el lugar de una empresa europea, nos podemos encontrar, de la noche a la mañana, con que pasamos de facilitar datos a un país que está sometido por normativa a las máximas garantías del RGPD, a estar comunicando datos a un tercer país mediante una transferencia internacional de datos, con las consecuencias que eso puede conllevar y la diferencia de requisitos que debemos cumplir.