Transferencias internacionales al Reino Unido ¿En qué punto estamos?

Durante los últimos meses a raíz de la pandemia por la Covid-19 y por la entrada en vigor del acuerdo de salida del Reino Unido y la Unión Europea, las consultas en materia de privacidad y protección de datos se han disparado, teniendo particular relevancia las relacionadas con las transferencias internacionales de datos.

Las transferencias internacionales es uno de los conceptos que desde el punto de vista teórico puede parecer sencillo pero que en la práctica revista una gran complejidad debido al gran número de actores que pueden participar en una transferencia internacional. en este sentido, resulta interesante revisar el estado actual de las transferencias internacionales de datos entre la Unión Europea y el Reino Unido, pues después del acuerdo de salida del 31 de diciembre de 2020 hay una serie de aspectos que se han configurados y que tienen una importante relevancia en esta materia. A continuación se analizarán los puntos más relevantes para entender el punto en el que nos encontramos en cuanto a las transferencias de datos entre la UU y el Reino Unido.

Como se ha adelantado, el 31 de diciembre de 2020 finalizó el periodo transitorio para la salida oficial del Reino Unido de la Unión Europea. Esto implica que cuando un país deja de formar parte de la Unión Europea, automáticamente se dejan de aplicar todas las políticas comunitarias. Dentro de estas políticas comunitarias, las relativas a la protección de datos no están exentas. Así, en materia de protección de datos, este acto jurídico y político tiene importantes implicaciones para efectos de la protección de datos, pues por regla general, al abandonar la UE, este país es considerado un tercer país, quedando fuera del ámbito de aplicación de la normativa comunitaria, en este caso de cualquier Reglamento (como es el caso del Reglamento General de Protección de Datos), Directiva, Decisión o Recomendación.

No obstante lo anterior, es importante referirnos a una serie de instrumentos que se han celebrado entre la Unión Europea y el Reino Unido de cara a establecer una serie de mecanismos tendientes a establecer una serie de lineamientos de cara a facilitar la salida del Reino Unido de la Unión Europea. En este sentido, es importante considerar el acuerdo que se firmó el 24 de diciembre de 2020. Se trata del acuerdo de comercio y cooperación entre la Unión Europea y el Reino Unido e Irlanda del Norte. Este acuerdo es relevante en cuanto al tratamiento de datos personales pues establece que las transferencias internacionales de datos de la UE al Reino Unido no serán consideradas transferencias a un tercer país durante los próximos 6 meses. Esto implica que hasta junio se pueden seguir transfiriendo datos desde la UE hacia el Reino Unido.

Este acuerdo es relevante puesto que por disposición expresa del mismo, el Reino Unido no será considerado como un tercer país para efectos de las transferencias internacionales a pesar de haber abandonado la UE, durante los próximos 6 meses. En este sentido, este plazo de 6meses en el cual el Reino Unido no será considerado un tercer país, tiene dos implicaciones importantes. La primera de ella ese que en este plazo de 6 meses la Comisión Europea y el Gobierno del Reino Unido deberán aprobar una nueva decisión de adecuación para la transferencia internacional de datos entre la ambos países. La segunda de estas implicaciones es que, para que estas transferencias de datos se puedan seguir llevando a cabo, UK deberá mantener su legislación en materia de protección de datos conforme a la normativa europea de protección de datos y no la podrá enmendar sin un acuerdo con la UE dentro del periodo de 6 meses referido.

Por otro lado, resulta una buena noticia tomar en cuenta que ya hay un primer borrador de la Decisión de Adecuación aprobado por la Comisión Europea. Lo que implica que, de aprobarse, se podrán seguir transfiriendo datos hacia el Reino Unido, al considerar la Comisión Europea que UK es un país adecuado en materia de protección de datos. Ahora, el proyecto tiene que ser analizado por el Comité Europeo de Protección de Datos y un comité integrado por los 27 Estados Miembros de la UE.

Posteriormente, hay dos escenarios posibles. El primero de ellos implica que dicho comité, representado por los 27 estados miembros de la UE, apruebe la decisión de adecuación lo que conllevaría que podrá ser adoptada formalmente por la Comisión y los datos podrán transferirse libremente. El segundo de estos escenarios, traería como consecuencia que dicha decisión de adecuación sea rechazada por el comité de los 27 estados por lo que en tal caso, las transferencias tendrán que realizarse conforme a alguno de los mecanismos que determina el artículo 46 del RGPD (lo más recomendable son las cláusulas tipo aprobadas por la comisión).

En resumen, hasta junio se pueden seguir transfiriendo datos personales hacia UK en espera de la aprobación definitiva de la decisión de adecuación por parte de la Comisión Europea. Se espera que la aprobación definitiva ocurra antes de que concluya este plazo de 6 meses. Si finalmente no se aprueba la decisión de adecuación (lo cual resultaría improbable) se deberán implementar garantías adecuadas para transferir datos como la utilización de cláusulas tipo aprobadas por la Comisión Europea.

Finalmente, es importante tomar en cuenta que las transferencias de datos son fundamentales en un mundo como en el que vivimos actualmente en el que el negocio de los datos es el negocio mas rentable del mundo. Por tanto, deben darse las herramientas adecuadas para que estas transferencias de datos se han con las mayores garantías posibles para beneficio de los ciudadanos. LA salida del Reino Unido de la UE es ya una realidad, por lo que se deben llevar a cabo de manera eficiente los objetivos planteados en los diversos acuerdos comerciales celebrados entre la UE y el Reino Unido.

Abogado por la Universidad Panamericana (México) y abogado ejerciente colegiado por el Ilustre Colegio de la Abogacía de Madrid. Cuenta con un posgrado en Derecho y Negocio de las Nuevas Tecnologías, Internet y Audiovisual. Especialista en temas de Telecomunicaciones, Medios, Tecnologías y Protección de Datos. Actualmente, Analista Especialista en Riesgos de Privacidad en Aquanima Grupo Santander en donde lleva a cabo la gestión de riesgos de proveedores de Grupo Santander para Reino Unido y resto del Grupo dentro de VRAC (Vendor Risk Assessment Centre). Es, asimismo, profesor de posgrado invitado en la Universidad CEU San Pablo.