PUBLICACIONES

Know how

Brexit y transferencias internacionales de datos

12 Apr, 2020
Seguramente haya leído infinidad de artículos sobre las consecuencias jurídicas del Brexit, pero nunca se haya planteado las consecuencias a tener en cuenta a nivel de privacidad y Protección de Datos. Imaginemos que somos una empresa española con filial en Uk y cedemos constantemente datos de trabajadores o clientes a dicha filial, o a la inversa, recibimos datos personales de una empresa proveedora con sede en Uk. Si consideramos Uk como miembro de la UE, esta cesión de datos no tendría mayor problema, podría hacerse sin autorización alguna, puesto que España y Uk contarían con niveles idóneos de seguridad en privacidad y Protección de Datos por aplicación del RGPD.
Pero una vez se produzca la ruptura con la UE, por aplicación del artículo 50 del Tratado de Lisboa, UK no será considerado país europeo y deberemos conocer los escenarios que pueden ocasionarse para poder enviar los datos de UK a España y viceversa sin sanciones o incidencias.
Keywords: Brexit, privacidad, transferencias internacionales de datos, privacy, privacy shield A lo largo de este artículo temático sobre privacidad y cómo el Brexit afectará a la Protección de datos de las transacciones mercantiles, vamos a tratar: 1.- Marco normativo de UK en privacidad. 2.- Casuísticas de protección de datos. 3.- Escenarios que puede encontrar una empresa española que tienen filiales o realiza tratamientos en Reino Unido. 4.- Conclusiones. 5.- Normativa. 6.- Bibliografía y jurisprudencia. 1.- Marco normativo de Uk en privacidad. En primer lugar, debemos tener en cuenta que UK cuenta actualmente con normativa nacional en Protección de Datos adaptada a la Directiva 95/46/CE de la UE. Además, como todavía Estado Miembro de la UE le es de aplicación lo dispuesto en el nuevo RGPD 2016/679 en vigor desde el 25 de mayo de 2018. Para una mejor definición de los escenarios y problemas planteados, deberemos observar las fechas de los acontecimientos que envuelven al Brexit. Teniendo en cuenta que el RGPD entró en vigor el pasado 25 de mayo de 2018 y la salida de Reino Unido será efectiva el 31 de enero de 2020, podemos considerar que la normativa europea en Protección de Datos será aplicable entre dichas fechas por pertenecer Reino Unido a UE. Por lo tanto, el escenario surgido antes del 31 de enero de 2020 no plantearía problema alguno. En este caso, aplicaríamos lo dispuesto en el RGPD para todo tratamiento de datos entre Reino Unido y resto de Estados Miembro.  2.- Casuísticas de Protección de Datos. El escenario interesante y problemático se nos plantea a partir del 31 de enero de 2020, fecha en la cual Reino Unido ya no sería parte de la Unión Europea y no gozaría del marco jurídico ni los reconocimientos de protección establecidos. En este caso, y para las casuísticas de tratamiento de datos por parte de empresas británicas de ciudadanos de la Unión, el RGPD es claro en este sentido, fijando en su artículo 3.2. la solución al problema: “El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”. 
Las compañías tecnológicas americanas podrían estar a favor del ‘brexit’, porque la normativa de privacidad británica es más similar a la norteamericana, que siempre ha sido más proservicio que prousuario”, comenta Morell. El resultado: que el país británico sea más atractivo para muchas compañías de EEUU, que prefieran comenzar por las islas antes de incorporarse al continente”
Jan Philipp Albrecht, diputado alemán del Parlamento Europeo que participó en la elaboración de las normas de protección de datos de la UE, descarta la posibilidad de que la Comisión Europea considere adecuadas las normas de Reino Unido: “Debido a los programas de vigilancia GCHQ y a que hay menores garantías para los servicios de inteligencia que en el caso de EEUU, lo dudo”, tuiteó.” Por lo comentado anteriormente, Reino Unido deberá acatar lo dispuesto en el RGPD en el caso de tratamiento de datos de ciudadanos de la Unión cuando ofrezcan bienes y servicios en la UE o bien controlen el comportamiento de ciudadanos de la UE mediante técnicas de Big Data o elaboración de perfiles. Por último, debemos de tener en cuenta que, cuando el responsable o encargado de tratamiento pertenece a un país tercero de la Unión y realice tratamientos de ciudadanos europeos, se debe nombrar a un representante salvo en los siguientes supuestos:
  • el tratamiento sea ocasional,
  • no incluya el tratamiento a gran escala de categorías especiales de datos personales
  • el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas.
3.- Transferencia internacional de datos. El Brexit tiene una gran trascendencia para aquellas empresas cuyo modelo de negocio se basa en la transmisión de datos. El Reino Unido ya no tendría que estar a la altura de los estándares de gestión y protección de datos establecidos por la Unión Europea (UE), pero podría ser considerado un país sin un nivel adecuado de protección de datos personales de ciudadanos europeos. Esto significa, por un lado, que las empresas británicas perderían el derecho a enviar datos a cualquier lugar de la UE, y por otro lado, tendrían que desarrollar una nueva normativa para poder ser considerado país seguro para este tipo de transferencias de datos. Está claro que el Brexit tiene como consecuencia un nuevo marco legal que se establecerá entre Reino Unido y la Unión Europea (UE) y transferir información personal de España a Reino Unido requeriría un proceso mucho más complejo legalmente para cualquier empresa. La libre circulación de datos está garantizada en la UE pero su transmisión fuera de éste, requerirá de autorización de la Agencia Española de Protección de Datos salvo en supuestos de excepción legal o que los datos se transfieran a países que proporcionen un nivel de protección adecuado. Actualmente, las transferencias que se realizan con países externos a la UE se realizan con restricciones adecuadas para garantizar la debida protección. Los movimientos de datos dentro de los Estados miembros de la Unión Europea son libres, con el efecto del Brexit, la transferencia de datos con Reino Unido se convierte en una “transferencia internacional” regulada por el nuevo Reglamento General de Protección de Datos que entró en vigor en 2018. Según la Agencia Española de Protección de Datos, una “transferencia internacional de datos”, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. Para esta cuestión que se plantea, el Reino Unido será considerado en todos sus términos como un país fuera de la UE que deberá ser analizado para verificar si cuenta con los criterios necesarios que permitan mantener un nivel adecuado de protección de datos.  4.- Escenarios que puede encontrar una empresa española que tienen filiales o realiza tratamientos en Reino Unido. Este planteamiento cuestionaría los envíos de datos a Reino Unido por ser considerado este país “sin protección adecuada” al no encontrarse en el marco europeo. Por lo tanto, Reino Unido podría adoptar las siguientes decisiones o modelos basados en casuística internacional a fin de beneficiarse de determinados marcos, regulaciones y estándares aun sin pertenecer a la UE: a) Que el Reino Unido opte por seguir siendo miembro del Espacio Económico Europeo, donde el nivel de protección en seguridad ofrecido, sea equiparable al admitido en los estados Miembro. b) Que Reino Unido solicite a la U.E. el reconocimiento de un nivel de protección adecuado respecto a la protección de datos lo que permitiría que las transferencias de datos internacionales fueran lícitas sin necesidad de autorización (actualmente se precisaría autorización del director de la AEPD), apostando, por ejemplo, por un sistema similar al que actualmente tiene Suiza (Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000). No debe olvidarse que la actual Data Protection Act de 1998 cubriría los requerimientos de la Directiva 95/46/CE, pero que podría necesitar de determinados ajustes para cumplir con los requerimientos para terceros países del Reglamento General de Protección de Datos. c) Que se firmaran acuerdos bilaterales entre Reino Unido y los Países de la UE, o acuerdo de escudo de privacidad similar al Privacy Shield que la U.E. tiene con EE.UU. d) Que Reino Unido opte por no seguir siendo miembro del EEE, para lo cual deberá suscribir mecanismos que le proporcionen un nivel de seguridad adecuado: e) Creación de Normas Corporativas Vinculantes (NCV) o Binding Corporate Rules (BCR) que son un instrumento que legitima las transferencias internacionales de datos entre las empresas que conforman un grupo multinacional y sus filiales establecidas fuera del Espacio Económico Europeo. Como requisito se establece que las reglas tengan suficientes garantías respecto a la protección de datos y se garantice el cumplimiento de los principios y obligaciones del RGPD.
  • La actual LOPD prevé las cláusulas contractuales tipo de la Comisión. Para ello, es necesaria la autorización del director de la AEPD y aportar una serie de documentación y requisitos.
  • Códigos de conducta o herramientas de certificación.
5.- Conclusiones. Durante esta lectura, hemos hablado siempre de compañías que prestan servicios, pero, ¿qué empresas no ofertan bienes o servicios? ¿las ONG’s?.
También resaltar que actualmente hay muchos servicios que se ofertan en la nube cuyos servidores se encuentran físicamente en el Reino Unido y que actualmente no suponen transferencia internacional y que en el futuro habrá que revisar toda esa contratación y la documentación que atañe a la relación.
Todo un escenario que no dejará a nadie indiferente y del que esperaremos nuevas normativas, jurisprudencia y doctrina.  6.- Normativa.
  • Directiva 95/46/CE.
  • Reglamento General de Protección de Datos (Reglamento Europeo de Protección de Datos) 2016/679 (artículo 3.2.).
  • Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
  • Data Protection Act de 1998 de Reino Unido.
  • Binding Corporate Rules.
7.- Bibliografía y jurisprudencia.
  1. VIGIL, A., “Consecuencias legales del ‘Brexit’ para empresas y trabajadores”, http://www.expansion.com/juridico/actualidad_tendencias/2016/06/02/57505e5be704ec75d8b4635
  2. MENDOZA LOSANA, ANA. I., ALMARCHA JAIME, J., “La afectación multisectorial del brexit: ¿cuáles son las consecuencias jurídicas?”, http://www.gomezacebo-pombo.com/index.php/es/conocimiento/analisis/item/2365-laafectaci%C3%B3n-multisectorial-del-brexit-%C2%BFcu%C3%A1les-son-las-consecuenciasjur%C3%ADdicas
  3. ORTIZ, E., “Algunas consecuencias jurídicas y fiscales del Brexit”, http://www.sweetpress.com/63793/
  Abrir

Publicaciones relacionadas

El vacío legal de la prostitución en España: Análisis doctrinal y jurisprudencial.

La prostitución es un tema controvertido que conduce al debate social, económico, jurídico, o incluso; moral. ¿Está permitida o prohibida? ¿Qué modelos existen?
Conoce con este artículo por qué en España existe limbo legal y como trata la regulación a trabajadores y clientes.

La estiba y su impacto en PRL (Documentos y procesos)

Este caso real es una guía sobre las obligaciones de documentación e información que deberán intercambiarse entre los transportistas y cargadores en cuanto a la actividad de carga y estiba. Esta información comprende riesgos en las instalaciones empresariales, cuyo fin es evitar consecuencias ante posibles accidentes por mala estiba.

¿La identidad soberana, evitará el edadismo laboral? Aplicaciones blockchain innovadoras.

Estos sistemas de identidad digital o soberana podrían suponer que en los procesos de selección del personal se elimine la discriminación por edad o “edadismo”. Descubre cómo beneficiarían al futuro de la privacidad de nuestros datos.

¿Cómo vender inmuebles en blockchain sin problemas legales?

¿Podemos vender o transmitir bienes muebles e inmuebles por medio de blockchain? ¿Podemos hacerlo de manera más sencilla, rápida, con menos coste y burocracia que el sistema tradicional? La respuesta es sí.  Por lo tanto, si te interesa conocer las ventajas, sigue...

El edadismo laboral y su solución con blockchain. La ID soberana

El edadismo laboral y su solución por medio de la Identidad soberana de blockchain. ¿Qué es la identidad digital y soberana? ¿Qué diferencias existen y qué utilidades tienen?
Un podcast con el que podrás escuchar los conceptos básicos técnicos y jurídicos.

¿Para qué es útil firmar un contrato de transporte? Un micro relato para reflexionar.

Con este micro relato aprenderás algunas ventajas muy útiles de firmar un contrato de transporte, tanto para cargadores como transportistas.
Conceptos como carta de porte electrónica, paralizaciones, subidas de gasóleo, órdenes de carga, cobran mucho sentido habiendo un contrato escrito.

¿VUCA ha terminado? Bienvenido BANI, las nuevas organizaciones ágiles de la nueva generación.

La transformación digital pasa por la creación previa de empresas ágiles y adaptadas en cultura, procesos y estructura al mundo BANI.
La transformación de la toma de decisiones, estilo de liderazgo y forma de organizar el trabajo, serán los nuevos pasos al éxito.

Sino queda satisfecho, le devolvemos su dinero… no es una garantía, sino obligación legal.

Los 5 errores más comunes que se comenten legalmente hablando las páginas web y Ecommerce.

Consejos legales poco conocidos pero no todos cumplidos y que pueden sernos de utilidad tanto si somos comerciantes o consumidores.

El protocolo de responsabilidad jurídica de la estiba. Solución a las lagunas de la Directiva 47/2014

El protocolo de responsabilidad jurídica de la estiba, es un producto registrado, titularidad de Eva Hernández Ramos, que cubre las lagunas de la norma y beneficia a cargadores y transportistas. Recoge los pactos entre las partes, la responsabilidad de cada actor de la cadena logística y funciona como certificado de carga.

1er Podcast E&J “Conflicto entre blockchain y normativa de protección de datos”

Disponible el primer podcast emitido por Economist & Jurist en su nueva sección. En esta pieza hablo de la tecnología blockchain y su impacto en la protección de datos:
Blockchain y derecho al olvido, el dilema del Responsable de Tratamiento y las incidencias en los sistemas IoT (Internet of things).

Su autora, Eva María Hernández, exime cualquier responsabilidad que pueda originarse en  cuanto a la integridad, la exactitud y la actualización de los textos, contenido y modelos aportados en sus estándares.

El contenido de estos artículos es fundamentalmente informativo y didáctico. No reemplaza ni sustituye al consejo personalizado, y en ningún caso se debe considerar sustitutivo o alternativo de las legislaciones y normativas ni del consejo profesional en cada caso individualizado. Los artículos funcionan como ejemplo que deberá adaptarse a cada caso concreto.

Limitación de responsabilidad: salvo que lo disponga expresa e imperativamente la ley aplicable, en ningún caso la autora será responsable por cualesquiera daños resultantes, generales o especiales (incluido el  daño emergente y el lucro cesante), fortuitos o causales, directos o indirectos, producidos  en conexión con sus publicaciones, incluso si la autora  hubiera sido informada de la posibilidad de tales daños.