La ICO insta a las empresas británicas a cumplir con la ley de protección de datos antes de que finalice el período de transición del Brexit, previsto para el 31 de diciembre de 2020.
El 31 de diciembre de 2020 se produce el final del período de transición y Reino Unido abandonará oficialmente Europa. En consecuencia, la ICO insta a las empresas británicas a comprobar y tomar todas las medidas necesarias para asegurar un flujo de datos legítimo entre Europa y Reino Unido. La ICO aconseja que cualquier empresa que reciba datos de Europa o de la Zona Económica Europea (que incluye Europa, Islandia, Noruega y Liechtenstein) empiece cuanto antes a tomar las medidas precisas para adaptarse a la nueva situación sin perjudicar su continuidad.
Muchas PyMEs dependen del flujo de datos para funcionar, y la ICO pretende ayudarlas durante la transición.
Las normas de protección de datos se aplican siempre que se trate de información que permita de manera directa o indirecta la identificación de clientes, empleados o cualquier otra persona natural. Los registros de recursos humanos, detalles de clientes, información de nóminas, datos de los servicios cloud, todo ello se considera datos personales y probablemente se verán afectados por la nueva situación. La ICO reconoce que la cesión y transferencia de datos personales es esencial para que la mayoría de PyMEs pueden operar con normalidad, y también apunta que, en este sentido, las pequeñas empresas podrían no contar con personal en su equipo específicamente dedicado a protección de datos o con especialistas que les ayuden con las preparaciones necesarias. En consecuencia, la ICO ha publicado una comunicación donde informa a las empresas sobre los pasos que deben tomar antes del uno de enero para asegurar que siguen cumpliendo con la normativa.
La ICO insta a las empresas británicas a mantener el cumplimiento con la ley nacional de protección de datos (DPA 2018) y el RGPD, así como a comprobar la información sobre privacidad que ofrecen.
Las empresas británicas deberán continuar cumpliendo con el RGPD y la DPA 2018. Sin embargo, en lo que respecta al intercambio de datos entre empresas en Reino Unido y la Unión Europea, a partir del 1 de enero de 2021, las empresas tendrán que asegurar que cuentan con las salvaguardas necesarias para confirmar que dichos flujos son legítimos. La ICO ha recogido algunas orientaciones y recursos en su página web y recomienda a las empresas hacer uso de ello para decidir las acciones que necesitan tomar si tratan datos personales. Además, las empresas deberían revisar su información de privacidad y cualquier otra documentación por los posibles cambios que podrían necesitar hacer antes del final del período de transición.
Para la mayoría de empresas y organizaciones, la ICO sugiere utilizar Cláusulas Contractuales Tipo (SCC) para mantener el flujo de datos con las garantías debidas.
La comunicación de la ICO sugiere que las Cláusulas Contractuales Tipo o SCCs podrían ser la mejor opción para las empresas que tratan datos personales y quieren asegurar que sus transferencias de datos cumplen con las garantías europeas requeridas. Como las empresas de Reino Unido van a tratarse de manera oficial como responsables o encargados de tratamiento de un tercer país, desde enero las SCCs podrían emplearse como salvaguarda para las transferencias entre responsables y encargados dentro de la UE e internacionalmente. Son así, según la ICO, la mejor opción que las empresas británicas pueden adoptar tras la transición.