Este artículo fue publicado en Legal Today con motivo del Día Internacional de Protección de Datos.
El Brexit ha provocado un cambio en el flujo de datos personales entre el Reino Unido y la Unión Europea. Así las cosas, ante la falta de pronunciamiento por parte de las Autoridades Nacionales de Protección de Datos de la UE, las últimas orientaciones en torno a las transferencias de datos personales con Reino Unido, vienen lideradas por los criterios y decisiones tomadas por el Comité Europeo de Protección de Datos o European Data Protection Board (en adelante “EDPB”) y, en el caso de Reino Unido, por autoridad británica en esta materia, esto es, la Oficina del Comisionado de Información del Reino Unido (“ICO” por sus siglas en inglés).
En este sentido, el pasado 15 de diciembre del 2020, el EDPB publicó una nota donde advertía de las consecuencias que suponía la salida de Reino Unido de la Unión Europea (UE) en materia de transferencias de datos personales, concluyendo que, a partir del 1 de enero de 2021, debía considerarse como un tercer país y por tanto aplicar las salvaguardas contempladas en el Capítulo V del Reglamento Europeo de Protección de Datos (o “RGPD”), entre las que se encuentran las Cláusulas Contractuales Tipo.
Pero poco tiempo después, el 31 de diciembre de 2020, Reino Unido y la UE firmaron el acuerdo de cooperación denominado “Acuerdo de Comercio y Cooperación UE – Reino Unido” mediante el cual se acuerda, entre otras cuestiones, un periodo de transición (de máximo seis meses), por el cual el régimen de protección de datos actual (RGPD) continuaría siendo de aplicación, no considerando así a Reino Unido un tercer país. Motivo por el cual, durante el mencionado periodo, las empresas de la UE que realicen transferencias a Reino Unido, no tendrán que aplicar las garantías que establece el Capítulo V del RGPD hasta conseguir que la Comisión Europea decida que el Reino Unido acredite un nivel adecuado de protección (según el artículo 45 del RGPD). Ahora bien, en caso de que dicha decisión no se adopte al finalizar el periodo de transición, todas las trasferencias realizadas a Reino Unido deberán contar con alguna de las salvaguardas indicadas en el Capítulo V del RGPD. Argumento apoyado igualmente por la ICO según sus últimos criterios.
Por todo ello, es importante que las empresas que mantengan un flujo de datos con el Reino Unido, tengan en cuenta las recomendaciones publicadas por el EDPB el pasado noviembre, de medidas complementarias a las previstas por el RGPD, Recomendaciones 01/2020 ya que para conseguir el nivel adecuado de protección de datos podrían llegar a ser necesarias salvaguardas adicionales. Además, tanto los responsables como los encargados del tratamiento que se encuentren en esta situación, deberán revisar sus registros de tratamientos o avisos de privacidad incorporando las transferencias al Reino Unido.
2.- Medidas provisionales
Tal y como se adelantaba, el EDPB y el ICO son, en la actualidad, los únicos organismos que ofrecen información y proporcionan orientaciones y posibles medidas a implementar si queremos mantener los flujos de datos personales con Reino Unido durante y después del periodo de transición indicado. No obstante, las empresas españolas deben estar bien asesoradas y pendientes de los pronunciamientos de la Autoridad de Control española de Protección de Datos (AEPD) así como de las decisiones que se tomen desde la Comisión Europea o el EDPB.
2.1. Conclusiones de las Autoridades sobre las Cláusulas Contractuales Tipo (CCT)
La EDPB ha publicado junto con el Supervisor Europeo de Protección de Datos (en adelante, EDPS), el pasado 15 de enero de 2021, opinión sobre los documentos publicados por la Comisión Europea el pasado noviembre, en el que se analizan los borradores propuestos por la Comisión sobre la aplicación de las CCT para realizar transferencias internacionales de datos personales de conformidad con el RGPD. Este borrador, identifica diferentes escenarios distinguiendo las transferencias entre responsables del tratamiento (modulo 1), de responsable a encargado del tratamiento (modulo 2), entre encargados del tratamiento (modulo 3) y de encargado a responsable del tratamiento (modulo 4). A modo ejemplificativo, se solicita:
1) Evaluar y aclarar, si las transferencias entre responsables (modulo 1), son aplicables únicamente para responsables del tratamiento independientes, o si aplica a situaciones de corresponsabilidad cuando uno de los corresponsables esté establecido fuera de la UE o en UK y no esté sujeto al RGPD.
2) Recordar que los datos anonimizados no están sujetos a las obligaciones del RGPD,
3) Realizar inclusiones, aclaraciones, e incluso modificaciones íntegras en las cláusulas recogidas en los distintos módulos propuestos. Entre ellas, encontramos desde meras puntualizaciones aclaratorias sobre la aplicabilidad de los módulos o de la normativa local de los destinatarios, hasta peticiones de eliminación de cuestiones que, al no contemplarse en el RGPD, plantearía dificultades en su aplicación.
En este sentido, cabe apreciar que las Autoridades requieren ampliar información sobre la aplicabilidad de los distintos módulos, así como de las limitaciones de responsabilidad de las partes (entidad originaria y destinataria) e instan a la Comisión a incluir en los borradores la necesidad de aplicar lo recogido en los borradores finales de las nuevas CCT, junto con las mencionadas Recomendaciones del EDPB sobre medidas complementarias, debido a que pueden existir escenarios no contemplados en estos borradores.