El Comité Europeo de protección de datos anuncia cómo prepararse ante el Brexit

2020-12-24T16:18:00

El Comité Europeo de Protección de Datos (CEPD) publicó el pasado martes 15 de diciembre un comunicado sobre las consecuencias derivadas del final del período de transición del Brexit, que se producirá el próximo 31 de diciembre.

El Comité Europeo de protección de datos anuncia cómo prepararse ante el Brexit
24 de diciembre de 2020

El Comité Europeo de Protección de Datos (CEPD) publicó el pasado martes 15 de diciembre un comunicado sobre las consecuencias derivadas del final del período de transición del Brexit, que se producirá el próximo 31 de diciembre.

La declaración, firmada por la presidenta Andrea Jelinek, recuerda que, a partir del 1 de enero, el Reino Unido dejará de aplicar el Reglamento General de Protección de Datos (en adelante, RGPD) en el tratamiento de datos personales, que pasará a regirse por un nuevo marco legal propio en el territorio británico.

Por ello, todos los intercambios de datos personales entre el Espacio Económico Europeo (en adelante, EEE) y el Reino Unido se reputarán como transferencias internacionales de datos a un tercer país, por lo que estarán sujetas a las provisiones del Capítulo V del RGPD.

En este sentido, el comunicado recuerda que, en ausencia de una decisión de adecuación aplicable al Reino Unido, de conformidad con el artículo 45 RGPD, dichas transferencias de datos personales requerirán salvaguardias apropiadas, así como derechos exigibles por los interesados y recursos jurídicos efectivos, según lo establecido en el artículo 46 del RGPD.

Por ello, hasta que no exista una decisión de adecuación por parte de la Comisión Europea, del art. 46 del RGPD se deriva que todos los tratamientos de datos personales entre el EEE y el Reino Unido deberán realizarse o bien mediante instrumentos jurídicamente vinculantes y exigibles entre autoridades y organismos públicos, mediante normas corporativas vinculantes o cláusulas tipo autorizadas por las autoridades de control y aprobadas por la Comisión, o mediante códigos de conducta o mecanismos de certificación que cumplan los requisitos establecidos en el RGPD.

No obstante, la Presidenta también señala que, en ausencia de una decisión de adecuación o de garantías adecuadas en las transferencias internacionales de datos con el Reino Unido, también será posible transferir datos personales a territorio británico sobre la base de la excepción enumerada en el artículo 49 del RGPD. Dicha excepción permite la transferencia de datos personales a terceros países en supuestos tasados, como en el caso de que el interesado haya dado explícitamente su consentimiento a la transferencia propuesta tras haber sido informado de los posibles riesgos, o bien que la transferencia sea necesaria para la ejecución o celebración de un contrato a solicitud o en interés del sujeto afectado, y también en otros supuestos de interés público o de defensa de las reclamaciones del interesado.

Sin embargo, el comunicado recuerda que estas excepciones del artículo 49 del RGPD son de carácter excepcional y deben ser interpretadas restrictivamente, ya que se refieren principalmente a actividades de procesamiento que sean ocasionales y no reiterativas.

Por otra parte, el CEPD también recuerda las consecuencias del Brexit sobre el mecanismo «de ventanilla única», establecido en el RGPD para casos en los que un operador realice tratamiento de datos en distintos países de la Unión Europea. En estos supuestos, el mecanismo «de ventanilla única» prevé que haya una única autoridad principal de protección de datos, que será la autoridad correspondiente del país de la UE en el que el operador tenga su establecimiento principal. El comunicado informa que este mecanismo dejará de aplicarse al Reino Unido a partir del 1 de enero de 2021, y destaca que el CEPD ha estado en contacto con la autoridad británica de protección de datos (Information Commissioner’s Office, ICO) durante los últimos meses, para permitir un cambio fluido a la nueva situación. De esta forma, se pretende asegurar que las autoridades del EEE sigan un enfoque compartido y eficiente en la tramitación de las reclamaciones existentes y de los casos transfronterizos en los que actualmente interviene la ICO, para así reducir al mínimo los retrasos y los posibles inconvenientes para aquellos interesados que hayan presentado reclamaciones.

Asimismo, el comunicado subraya que la decisión de acogerse al mecanismo «de ventanilla única» en los casos de tratamiento de datos transfronterizos corresponde a cada uno de los responsables y encargados del tratamiento de datos y que, a esos efectos, podrán optar por fijar un nuevo establecimiento principal en el EEE una vez finalizado el período de transición del Brexit.

Por último, el comunicado advierte que los responsables y encargados de tratamiento de datos personales no establecidos en el EEE pero cuyas actividades de procesamiento estén sujetas a la aplicación de RGPD en virtud de su artículo 3.2, deberán designar un representante en la Unión Europea, de conformidad con el artículo 27 de la GDPR. Las autoridades de control y los interesados podrán dirigirse a dicho representante en relación con todas las cuestiones vinculadas a las actividades de tratamiento a fin de garantizar el cumplimiento del RGPD.

Autores: Pedro Miguel Santos y Albert Agustinoy

24 de diciembre de 2020