El 31 de enero del 2020 ha pasado a ser un día histórico para la Unión Europea y el Reino Unido. Desde las 23h, Reino Unido ha dejado de formar parte oficialmente de la Unión Europea. Sin embargo, esta fecha tiene más valor simbólico que efectivo, en tanto que Reino Unido sigue unida a la legislación europea hasta, al menos, el 1 de enero del 2021.
Durante este periodo transitorio, las dos partes tienen la oportunidad de negociar un nuevo tratado internacional que deberá marcar la nueva relación entre la UE y el Reino Unido a partir del final de este periodo transitorio. Cabe decir que existe la posibilidad de que este periodo transitorio se extienda hasta dos años, siempre y cuando se solicite antes de julio, lo que podría suponer alargar el periodo transitorio hasta 2023.
Durante el periodo transitorio, por tanto, el Reino Unido se convierte en un tercer estado al que se le aplica el derecho europeo.
¿Cómo afecta esta nueva situación al Reglamento General de Protección de Datos?
En base al artículo 71 del Acuerdo de Retirada, las transferencias de datos de la UE a Reino Unido se consideran legitimadas si estas se han hecho conforme el RGPD antes del periodo de transición, o conforme al acuerdo de retirada tras el periodo de transición. En el caso de que una transferencia se esté haciendo en base al artículo 45 del RGPD (decisión de adecuación de la Comisión Europea) también será válida siempre y cuando la decisión continúe en vigor.
Como vemos, por tanto, mientras dure este periodo de transición pueden hacerse transferencias a Reino Unido con total normalidad, como si de un Estado de la Unión Europea se tratara, sin más requisitos. Sin embargo, una vez finalizado el periodo transitorio, ya con Reino Unido como tercer estado de pleno derecho, podríamos encontrarnos con diferentes casuísticas que podrían complicar estas transferencias de datos. A pesar de todo, las últimas noticias parecen indicar que los británicos asumirán completamente la normativa de protección de datos en su derecho interno y serán considerados por parte de la UE como un estado con garantías adecuadas, lo que facilitará estas transferencias.
En cualquier caso, aún considerado que el Reino Unido sea considerado un estado seguro, y que por tanto las transferencias serán válidas, los Responsables del Tratamiento de la UE deberán abordar aspectos como:
- – Recoger en sus registros de actividades de tratamiento las transferencias al Reino Unido,
– Informar a los afectados, conforme el principio de transparencia, de la transferencia de sus datos y, en su caso, de las garantías existentes,
– Abordar la transferencia en los acuerdos de encargado del tratamiento afectados,
– Considerar los riesgos derivados del nuevo contexto y actualizar sus políticas de protección de datos de manera acorde a dichos riesgos.