La autoridad de protección de datos del Reino Unido emite documentos de ayuda para las transferencias internacionales de datos

El Brexit convirtió al Reino Unido en un tercer país de la Unión Europea (UE). En consecuencia, el flujo de datos personales entre este Estado y la UE quedó limitado, de acuerdo con el Reglamento General de Protección de Datos (RGPD).

No obstante, la Comisión Europea emitió, el 28-6-2021, su decisión sobre la adecuación del Reino Unido para las transferencias internacionales de datos con la UE, con lo que, de momento, no se necesitan tomar medidas adicionales para transferir datos a este país.

Asimismo, el 4-6-2021, la Comisión Europea publicó las «cláusulas contractuales tipo» para la transferencia de datos personales a terceros países de conformidad con el RGPD. Se trata de un mecanismo adicional que asegura la protección de datos personales transferidos a países sobre los que no hay una decisión de adecuación.

Sin embargo, la Information Commissioner’s Office, autoridad de control de protección de datos del Reino Unido, ha desarrollado sus propios mecanismos para proteger los datos personales cuando se transfieren fuera del Reino Unido.

Estos documentos han entrado en vigor el 21-3-2022 y sustituyen a las cláusulas tipo de la Comisión Europea.

Se describen brevemente estos documentos y la intención de la autoridad del Reino Unido.

Mecanismos implantados por el Reino Unido

Acuerdo para las transferencias internacionales de datos

El supervisor británico, siguiendo el ejemplo de las cláusulas contractuales tipo de la Comisión Europea, ha elaborado su propio acuerdo para las transferencias internacionales de datos cuya firma habilita la exportación de datos personales a terceros países con garantías suficientes.

Este acuerdo, conocido por las siglas inglesas IDTA, desarrolla un conjunto de cláusulas que deben incluirse siempre en el acuerdo firmado entre exportador e importador de datos personales, además de otras cláusulas o medidas adicionales según el nivel de protección que se requiera.

Permite también añadir cláusulas comerciales acordadas entre las partes, siempre que no contradigan lo expuesto en ese acuerdo.

Adenda a las cláusulas contractuales tipo

Por otro lado, ha preparado una adenda a las cláusulas contractuales tipo de la Comisión para que las empresas puedan utilizarla en las transferencias de datos desde Reino Unido.

En este sentido, según se indica en las disposiciones transitorias publicadas por el Information Commissioner’s Office, las transferencias internacionales basadas en las cláusulas contractuales tipo de la Comisión Europea dejarán de proporcionar las garantías adecuadas a efectos del artículo 46 del RGPD a partir del 21-2-2024.

Anuncio de nuevos mecanismos

Los dos documentos anteriores forman parte de un paquete más amplio de la autoridad del  Reino Unido para ayudar en las transferencias internacionales de datos.

En este sentido, ha anunciado que próximamente publicará herramientas adicionales para dar apoyo y orientación a las entidades, entre ellas:

• las directrices sobre los dos documentos citados, y
• unas directrices para el análisis de riesgos de las transferencias internacionales de datos.