El Comité Europeo de Protección de Datos (CEPD), el organismo de la Unión Europea (UE) responsable de la aplicación del Reglamento general de protección de datos (RGPD), ha publicado una nota informativa sobre las transferencias de datos bajo el Reglamento General de Protección de Datos (RGPD) en el caso de que dé un Brexit sin acuerdo.
El llamado “brexit duro”, al que se llegaría en caso de ausencia de acuerdo entre el Reino Unido y la Unión Europea, supondría la creación de barreras digitales entre ambos territorios y obligaría a las empresas y organizaciones a tomar medidas antes del 29 de marzo de 2019, fecha en la que el Reino Unido abandonará la UE.
En caso de que no haya acuerdo de salida, la nota informativa del CEPD estipula que el 30 de marzo de 2019 el Reino Unido pasará a ser un país tercero en lo que se refiere a la aplicación del RGPD. El propio RGPD establece que toda transmisión de datos personales a países terceros está sujeta a condiciones de modo que el nivel de protección de las personas naturales no se ve menoscabado.
La nota informativa enumera cinco pasos que las empresas que transfieran datos a Reino Unido tendrán que dar para prepararse para un escenario de Brexit sin acuerdo:
- Identificar qué actividades de tratamiento de datos personales incluyen la transferencia de datos al Reino Unido.
- Determinar el instrumento de transferencia de datos más apropiado para su situación.
- Implementar el instrumento escogido de modo que esté listo para el 30 de marzo de 2019.
- Indicar en la documentación interna que se van a realizar transferencias de datos al Reino Unido (procedimientos internos sobre privacidad, códigos de conducta o políticas de protección de datos).
- Actualizar tu política de privacidad para que los sujetos se informen.
La identificación de posibles transferencias de datos por parte de las empresas no debe limitarse tan solo a identificar proveedores que estén radicados en el Reino Unido, sino que tiene que incluir, por ejemplo, posibles servicios digitales que usen servidores localizados en suelo británico. Las actividades de tratamiento llevadas a cabo por encargados de tratamiento también deben ser tenidas en cuenta a la hora de hacer una evaluación de las posibles transferencias de datos hacia el Reino Unido.
Hasta que la Comisión Europea adopte una posición sobre la transferencia de datos a Reino Unido, se ponen a disposición de las empresas distintos instrumentos:
- Cláusulas de protección estándar y ad hoc (a firmar entre las partes).
- Reglas corporativas obligatorias (en caso de multinacionales o grupos empresariales).
- Códigos de conducta y mecanismos de certificación (que pueden garantizar el cumplimiento de las salvaguardas necesarias).
De estos tres instrumentos, las cláusulas de protección estándar y ad hoc serán las más adecuadas para la mayor parte de las empresas. Se trata de firmar un contrato con un conjunto de cláusulas tipo fijas y no modificables. En el caso de que el caso particular de un responsable de tratamiento requiera unas salvaguardas especiales, se deja la opción de incluir cláusulas ad hoc que deben ser aprobadas por las autoridades de protección de datos.
El CEPD es el organismo de la Unión Europea (UE) responsable de la aplicación del Reglamento general de protección de datos (RGPD) y que está compuesto por el director/a de cada autoridad de protección de datos (APD) y el Supervisor Europeo de Protección de Datos.
