PUBLICACIONES

Know how

Brexit y transferencias internacionales de datos

12 Abr, 2020
Seguramente haya leído infinidad de artículos sobre las consecuencias jurídicas del Brexit, pero nunca se haya planteado las consecuencias a tener en cuenta a nivel de privacidad y Protección de Datos. Imaginemos que somos una empresa española con filial en Uk y cedemos constantemente datos de trabajadores o clientes a dicha filial, o a la inversa, recibimos datos personales de una empresa proveedora con sede en Uk. Si consideramos Uk como miembro de la UE, esta cesión de datos no tendría mayor problema, podría hacerse sin autorización alguna, puesto que España y Uk contarían con niveles idóneos de seguridad en privacidad y Protección de Datos por aplicación del RGPD.
Pero una vez se produzca la ruptura con la UE, por aplicación del artículo 50 del Tratado de Lisboa, UK no será considerado país europeo y deberemos conocer los escenarios que pueden ocasionarse para poder enviar los datos de UK a España y viceversa sin sanciones o incidencias.
Keywords: Brexit, privacidad, transferencias internacionales de datos, privacy, privacy shield A lo largo de este artículo temático sobre privacidad y cómo el Brexit afectará a la Protección de datos de las transacciones mercantiles, vamos a tratar: 1.- Marco normativo de UK en privacidad. 2.- Casuísticas de protección de datos. 3.- Escenarios que puede encontrar una empresa española que tienen filiales o realiza tratamientos en Reino Unido. 4.- Conclusiones. 5.- Normativa. 6.- Bibliografía y jurisprudencia. 1.- Marco normativo de Uk en privacidad. En primer lugar, debemos tener en cuenta que UK cuenta actualmente con normativa nacional en Protección de Datos adaptada a la Directiva 95/46/CE de la UE. Además, como todavía Estado Miembro de la UE le es de aplicación lo dispuesto en el nuevo RGPD 2016/679 en vigor desde el 25 de mayo de 2018. Para una mejor definición de los escenarios y problemas planteados, deberemos observar las fechas de los acontecimientos que envuelven al Brexit. Teniendo en cuenta que el RGPD entró en vigor el pasado 25 de mayo de 2018 y la salida de Reino Unido será efectiva el 31 de enero de 2020, podemos considerar que la normativa europea en Protección de Datos será aplicable entre dichas fechas por pertenecer Reino Unido a UE. Por lo tanto, el escenario surgido antes del 31 de enero de 2020 no plantearía problema alguno. En este caso, aplicaríamos lo dispuesto en el RGPD para todo tratamiento de datos entre Reino Unido y resto de Estados Miembro.  2.- Casuísticas de Protección de Datos. El escenario interesante y problemático se nos plantea a partir del 31 de enero de 2020, fecha en la cual Reino Unido ya no sería parte de la Unión Europea y no gozaría del marco jurídico ni los reconocimientos de protección establecidos. En este caso, y para las casuísticas de tratamiento de datos por parte de empresas británicas de ciudadanos de la Unión, el RGPD es claro en este sentido, fijando en su artículo 3.2. la solución al problema: “El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”. 
Las compañías tecnológicas americanas podrían estar a favor del ‘brexit’, porque la normativa de privacidad británica es más similar a la norteamericana, que siempre ha sido más proservicio que prousuario», comenta Morell. El resultado: que el país británico sea más atractivo para muchas compañías de EEUU, que prefieran comenzar por las islas antes de incorporarse al continente”
Jan Philipp Albrecht, diputado alemán del Parlamento Europeo que participó en la elaboración de las normas de protección de datos de la UE, descarta la posibilidad de que la Comisión Europea considere adecuadas las normas de Reino Unido: «Debido a los programas de vigilancia GCHQ y a que hay menores garantías para los servicios de inteligencia que en el caso de EEUU, lo dudo», tuiteó.” Por lo comentado anteriormente, Reino Unido deberá acatar lo dispuesto en el RGPD en el caso de tratamiento de datos de ciudadanos de la Unión cuando ofrezcan bienes y servicios en la UE o bien controlen el comportamiento de ciudadanos de la UE mediante técnicas de Big Data o elaboración de perfiles. Por último, debemos de tener en cuenta que, cuando el responsable o encargado de tratamiento pertenece a un país tercero de la Unión y realice tratamientos de ciudadanos europeos, se debe nombrar a un representante salvo en los siguientes supuestos:
  • el tratamiento sea ocasional,
  • no incluya el tratamiento a gran escala de categorías especiales de datos personales
  • el tratamiento de datos personales relativos a condenas e infracciones penales, y sea improbable que entrañe un riesgo para los derechos y libertades de las personas físicas.
3.- Transferencia internacional de datos. El Brexit tiene una gran trascendencia para aquellas empresas cuyo modelo de negocio se basa en la transmisión de datos. El Reino Unido ya no tendría que estar a la altura de los estándares de gestión y protección de datos establecidos por la Unión Europea (UE), pero podría ser considerado un país sin un nivel adecuado de protección de datos personales de ciudadanos europeos. Esto significa, por un lado, que las empresas británicas perderían el derecho a enviar datos a cualquier lugar de la UE, y por otro lado, tendrían que desarrollar una nueva normativa para poder ser considerado país seguro para este tipo de transferencias de datos. Está claro que el Brexit tiene como consecuencia un nuevo marco legal que se establecerá entre Reino Unido y la Unión Europea (UE) y transferir información personal de España a Reino Unido requeriría un proceso mucho más complejo legalmente para cualquier empresa. La libre circulación de datos está garantizada en la UE pero su transmisión fuera de éste, requerirá de autorización de la Agencia Española de Protección de Datos salvo en supuestos de excepción legal o que los datos se transfieran a países que proporcionen un nivel de protección adecuado. Actualmente, las transferencias que se realizan con países externos a la UE se realizan con restricciones adecuadas para garantizar la debida protección. Los movimientos de datos dentro de los Estados miembros de la Unión Europea son libres, con el efecto del Brexit, la transferencia de datos con Reino Unido se convierte en una “transferencia internacional” regulada por el nuevo Reglamento General de Protección de Datos que entró en vigor en 2018. Según la Agencia Española de Protección de Datos, una “transferencia internacional de datos”, es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. Para esta cuestión que se plantea, el Reino Unido será considerado en todos sus términos como un país fuera de la UE que deberá ser analizado para verificar si cuenta con los criterios necesarios que permitan mantener un nivel adecuado de protección de datos.  4.- Escenarios que puede encontrar una empresa española que tienen filiales o realiza tratamientos en Reino Unido. Este planteamiento cuestionaría los envíos de datos a Reino Unido por ser considerado este país “sin protección adecuada” al no encontrarse en el marco europeo. Por lo tanto, Reino Unido podría adoptar las siguientes decisiones o modelos basados en casuística internacional a fin de beneficiarse de determinados marcos, regulaciones y estándares aun sin pertenecer a la UE: a) Que el Reino Unido opte por seguir siendo miembro del Espacio Económico Europeo, donde el nivel de protección en seguridad ofrecido, sea equiparable al admitido en los estados Miembro. b) Que Reino Unido solicite a la U.E. el reconocimiento de un nivel de protección adecuado respecto a la protección de datos lo que permitiría que las transferencias de datos internacionales fueran lícitas sin necesidad de autorización (actualmente se precisaría autorización del director de la AEPD), apostando, por ejemplo, por un sistema similar al que actualmente tiene Suiza (Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000). No debe olvidarse que la actual Data Protection Act de 1998 cubriría los requerimientos de la Directiva 95/46/CE, pero que podría necesitar de determinados ajustes para cumplir con los requerimientos para terceros países del Reglamento General de Protección de Datos. c) Que se firmaran acuerdos bilaterales entre Reino Unido y los Países de la UE, o acuerdo de escudo de privacidad similar al Privacy Shield que la U.E. tiene con EE.UU. d) Que Reino Unido opte por no seguir siendo miembro del EEE, para lo cual deberá suscribir mecanismos que le proporcionen un nivel de seguridad adecuado: e) Creación de Normas Corporativas Vinculantes (NCV) o Binding Corporate Rules (BCR) que son un instrumento que legitima las transferencias internacionales de datos entre las empresas que conforman un grupo multinacional y sus filiales establecidas fuera del Espacio Económico Europeo. Como requisito se establece que las reglas tengan suficientes garantías respecto a la protección de datos y se garantice el cumplimiento de los principios y obligaciones del RGPD.
  • La actual LOPD prevé las cláusulas contractuales tipo de la Comisión. Para ello, es necesaria la autorización del director de la AEPD y aportar una serie de documentación y requisitos.
  • Códigos de conducta o herramientas de certificación.
5.- Conclusiones. Durante esta lectura, hemos hablado siempre de compañías que prestan servicios, pero, ¿qué empresas no ofertan bienes o servicios? ¿las ONG’s?.
También resaltar que actualmente hay muchos servicios que se ofertan en la nube cuyos servidores se encuentran físicamente en el Reino Unido y que actualmente no suponen transferencia internacional y que en el futuro habrá que revisar toda esa contratación y la documentación que atañe a la relación.
Todo un escenario que no dejará a nadie indiferente y del que esperaremos nuevas normativas, jurisprudencia y doctrina.  6.- Normativa.
  • Directiva 95/46/CE.
  • Reglamento General de Protección de Datos (Reglamento Europeo de Protección de Datos) 2016/679 (artículo 3.2.).
  • Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000
  • Data Protection Act de 1998 de Reino Unido.
  • Binding Corporate Rules.
7.- Bibliografía y jurisprudencia.
  1. VIGIL, A., “Consecuencias legales del ‘Brexit’ para empresas y trabajadores”, http://www.expansion.com/juridico/actualidad_tendencias/2016/06/02/57505e5be704ec75d8b4635
  2. MENDOZA LOSANA, ANA. I., ALMARCHA JAIME, J., “La afectación multisectorial del brexit: ¿cuáles son las consecuencias jurídicas?”, http://www.gomezacebo-pombo.com/index.php/es/conocimiento/analisis/item/2365-laafectaci%C3%B3n-multisectorial-del-brexit-%C2%BFcu%C3%A1les-son-las-consecuenciasjur%C3%ADdicas
  3. ORTIZ, E., “Algunas consecuencias jurídicas y fiscales del Brexit”, http://www.sweetpress.com/63793/
  Abrir

Publicaciones relacionadas

El nuevo RD 1055/2022, de 27 de diciembre, de envases y residuos de envases

¿Sabías que el 2023 los envases que se vendan en el mercado deberán ser reciclados y, si es posible reutilizables? Además existen objetivos en cifras sobre reciclado de los residuos y responsabilidades de los productores respecto a los mismos, como su recogida separada.

Internamiento no voluntario por trastorno psíquico

Consulta sobre la posibilidad de internamiento no voluntario de una persona con trastorno psíquico (esquizofrenia afectiva). La hija del consultante, mayor de edad, no desea seguir su tratamiento psiquiátrico, ni visitar al Facultativo que se lo prescribió. El padre plantea la posibilidad de internamiento psiquiátrico.

Validez procesal de la prueba o evidencia en blockchain

El artículo trata una cuestión sobre la validez procesal de las muchas plataformas o BaaS que ofrecen servicios de registro de evidencias como forma de acreditar el trazado de una transacción o inmutabilidad de los archivos o información que se sube a la blockchain. ¿Es válido como prueba procesal? ¿Se considera prueba fehaciente?

Requisitos legales a considerar para la compraventa de criptomonedas

La compraventa de criptomonedas, es una actividad económica sujeta al IAE, pero no es de aplicación la no sujeción dispuesta en el art. 81.4, puesto que no es una venta al por menor de manera aislada. La Resolución DGT V2908-17, establece que no procede el alta en el grupo 999, recalificándolo en el grupo 831.9.

La Comunidad Europea del Carbón y del Acero: génesis institucional de la actual UE.

El 9 de mayo de 1950, en el que curiosamente celebramos el “Día de Europa”, el ex ministro de Asuntos Exteriores francés R. Schuman hizo su famosa “Declaración”; “Plan Schuman”. El Plan Schuman se considera la primera propuesta oficial para la construcción de una Europa integrada.

Los RD 3/2022 y RD 14/2022 ¿Realmente conoces todas las responsabilidades del transportista y personal de almacén?

Pienso que no, que quizás no lo has leído todo. Conoce de primera mano las responsabilidades de conductores y personal del cargador que no se mencionan en esta nueva normativa.

Guía sobre fiscalidad y tributación de criptomonedas Economist & Jurist.

Las crypto presentan muchas inquietudes y dudas respecto a su fiscalidad y tributación, en parte, por la ausencia de una normativa en España que regule esta materia de forma precisa.

En este artículo analizamos la tributación de crypto, con las CV de la AEAT.

¿Tu empresa quiere pagarte en criptomonedas? Descubre límites y escenarios

«Las criptomonedas son consideradas representaciones digitales de valor aceptadas como método de pago en transacción económica por las partes”.

¿Se pueden realizar pagos de nómina en criptomonedas? ¿Puede una empresa española facturar en criptomonedas? ¿Se puede aplicar I.V.A a estas transacciones?

Formulario de prestación de servicios por personal autónomo

Este contrato de prestación de servicios o contrato de arrendamiento de servicios, ostenta un carácter mercantil mediante el cual;

Una parte, el prestador de dicho servicio, se compromete frente a la otra parte, el cliente/empresa que lo contrata, a prestar un servicio a cambio de un precio o de forma gratuita.

Todos mis artículos en Economist & Jurist (transporte, tecnología, robótica y creatividad jurídica)

Si no sabes cómo buscar mis últimos artículos publicados en revistas jurídicas sobre asuntos de total actualidad; tecnología, novedades normativas, transporte, blockchain, biotech y robótica, prueba a buscar en este enlace. Hemeroteca de artículos jurídicos.

Su autora, Eva María Hernández, exime cualquier responsabilidad que pueda originarse en  cuanto a la integridad, la exactitud y la actualización de los textos, contenido y modelos aportados en sus estándares.

El contenido de estos artículos es fundamentalmente informativo y didáctico. No reemplaza ni sustituye al consejo personalizado, y en ningún caso se debe considerar sustitutivo o alternativo de las legislaciones y normativas ni del consejo profesional en cada caso individualizado. Los artículos funcionan como ejemplo que deberá adaptarse a cada caso concreto.

Limitación de responsabilidad: salvo que lo disponga expresa e imperativamente la ley aplicable, en ningún caso la autora será responsable por cualesquiera daños resultantes, generales o especiales (incluido el  daño emergente y el lucro cesante), fortuitos o causales, directos o indirectos, producidos  en conexión con sus publicaciones, incluso si la autora  hubiera sido informada de la posibilidad de tales daños.