La protección de datos personales en el preacuerdo sobre el brexit

19-11-2018 — AR/2018/086

La Comisión Europea publica el borrador del acuerdo sobre la retirada del Reino Unido e Irlanda del Norte de la UE, conocido como brexit, que prevé que, durante el periodo de transición, seguirá aplicándose el reglamento comunitario en suelo británico. En ausencia del acuerdo sobre el brexit, la UE no tiene previsto adoptar una decisión de adecuación respecto del Reino Unido, y el nivel de protección de datos personales que se establezca en la normativa de este estado se alineará con el nivel de la UE.

La Comisión Europea publicó, el 14-11-2018, el borrador del acuerdo sobre la retirada del Reino Unido e Irlanda del Norte (en adelante, UK) de la Unión Europea (UE), conocido como brexit, que se presentará al Consejo Europeo el 25-11-2018, para luego, si procede, someterse a la ratificación del Parlamento de UK.

¿Qué prevé este borrador del acuerdo sobre la protección de datos personales?

Esta materia la tratan los artículos 70 a 74, que resuelven la regulación de las transferencias internacionales de datos personales entre el UK y la UE. Para ello, se distinguen las siguientes casuísticas:

  • Transferencia de datos personales de la UE al UK realizada durante el periodo de transición, es decir, antes del 31-12-2020 (artículo 126 del acuerdo), o basándose en el acuerdo sobre el brexit: seguirá aplicándose el reglamento comunitario (RGPD) en suelo británico, salvo que se apruebe una decisión de adecuación por la Comisión Europea, en cuyo caso regirá la normativa del UK respecto de estos datos.
  • En el caso de que la decisión de adecuación adoptada en la UE perdiera su vigencia: el UK se compromete a aplicar estándares “esencialmente equivalentes” a los del RGPD para la protección de datos personales.

¿Qué ocurriría si no se adoptase este acuerdo?

La Comisión Europea publicó el 13-11-2018 una comunicación en la que indica que, en ausencia del acuerdo sobre el brexit, la UE no tiene previsto adoptar una decisión de adecuación respecto del UK. Por lo tanto, tal y como ya lo precisó en una comunicación anterior del 9-1-2018, solo se podría legitimar una transferencia internacional de datos personales de la UE al UK basándose en:

  • Cláusulas contractuales tipo adoptadas por la Comisión.
  • Normas corporativas vinculantes aprobadas.
  • Códigos de conducta aprobados.
  • Mecanismos de certificación aprobados.
  • Las excepciones previstas por el artículo 49 del RGPD (consentimiento, ejecución de un contrato, etc.).

Estas medidas alternativas no supondrían muchas dificultades de aplicación. En efecto, el UK es un estado miembro de la UE desde hace muchos años y no solo participó en la redacción del RGPD, sino que su autoridad de control, la Information Commissioner’s Office, inspiró a la Comisión Europea para aplicar e interpretar la normativa europea de protección de datos.

En consecuencia, no se puede discutir que el nivel de protección de datos personales que se establezca en la normativa del UK se alineará con el nivel de la UE. Mientras tanto, siempre se podrá recurrir a las cláusulas contractuales tipo para legitimar una transferencia de datos a una empresa implantada en un país cuyos estándares de protección son similares a los de la UE.

Puede consultar el borrador del acuerdo sobre el brexit en el apartado de documentos vinculados.