«Brexit: transferencias internacionales de datos y comercio electrónico», artículo de Elena Gil González, abogada de ECIJA.
El pasado 23 de junio de 2016 se convocó el referéndum sobre la permanencia de Reino Unido en la Unión Europea, popularmente conocido como Brexit, en el que ganó la opción de abandonar la Unión por el 51,9% de los votos. Es cierto que este cambio no será repentino, sino que se abre ahora un período transitorio en el que se hará efectiva la separación a través del proceso previsto en los tratados, que nunca ha sido utilizado y que plantea numerosas dudas.
En todo caso, esta situación despliega numerosas consecuencias, y cabe comenzar a plantearse ¿cómo afectará esta nueva situación a las transferencias internacionales de datos?
El Brexit podría tener una amplia trascendencia para aquella empresas cuyo modelo de negocio se basa en la transmisión de datos, y si partimos del hecho de que Reino Unido es el líder mundial de ventas de comercio electrónico al por menor, ésta se torna en una cuestión relevante.
Para realizar transferencias de datos a países externos a la Unión Europea es necesario que la Comisión Europea declare que dicho país garantiza un nivel de protección «adecuado» sobre la vida privada o las libertades o derechos fundamentales. Esta evaluación puede llevar a cabo de dos maneras.
En primer lugar, sobre el país tercero de destino de modo general, a la vista de su legislación interna y de sus compromisos internacionales. En segundo lugar, a pesar de que el país tercero no garantice un nivel de protección adecuado, se podrá considerar que un responsable del tratamiento específico sí lo hace, en atención a las garantías que ofrezca.
En la actualidad, la transferencia de datos a países fuera de la Unión Europea está sujeta al límite de que dicho tercer país ofrezca un nivel de protección «adecuado» según los estándares de la Unión. De este modo, el Brexit provocaría que la Unión Europea examinase la adecuación de las normas de protección de datos del país al estándar comunitario.
Es cierto que la normativa nacional británica sobre protección de datos ha sido descrita como estricta, lo que podría dar lugar a pensar que su nivel de protección cumpliría el escrutinio europeo. No obstante, también es cierto que Reino Unido ha sido histórico defensor de posturas más proclives a la vigilancia de los datos de sus ciudadanos, y que su salida de la UE podría acuciar esta actitud. Ello podría abrir la puerta a un minucioso examen de su normativa interna y abrir difíciles negociaciones sobre la transferencia internacional de datos de manera similar a las que han protagonizado la Unión Europea y Estados Unidos, principalmente desde que el Tribunal de Justicia de la Unión Europea decidiese invalidar el acuerdo Safe Harvour en octubre de 2015.
Finalmente, UE y Estados Unidos consiguieron llegar a un acuerdo de último momento que se materializó en el Privacy Shield. Pero, de nuevo, parece que no se trata de un instrumento suficientemente garantista, a la luz de lo declarado por el Supervisor Europeo de Protección de Datos. Esta situación crea incertidumbre en los mercados, que con el Brexit podría extenderse a Reino Unido.
En última instancia, esta situación podría suponer que numerosas empresas, tanto británicas como de otros países, tuvieran que asumir los costes de medidas necesarias como el asesoramiento de expertos, el cambio de la localización de sus almacenes de datos, el re-enrutamiento de los flujos, etc.
En conclusión, si bien las consecuencias del resultado del referéndum que ha culminado con el Brexit no se harán notar de forma inmediata, es previsible que en el corto y medio plazo se podrán observar las secuelas de la decisión, entre las que están aquellas relacionadas con la protección de datos de los ciudadanos comunitarios. Es por ello que el estudio de dichas consecuencias y sus posibles soluciones debe comenzar con premura, en aras de disminuir la incertidumbre que esta situación causa sobre empresas, autoridades públicas y ciudadanos.