Se adoptan dos decisiones

Se adoptan dos decisiones de adecuación para las transferencias de datos entre Reino Unido y la Unión Europea

La Comisión Europea ha adoptado dos decisiones de adecuación en relación a las transferencias internacionales a Reino Unido.

 

La Comisión Europea ha aprobado dos decisiones de adecuación para Reino Unido. Desde que tuvo lugar el Brexit, se han generado ciertos interrogantes sobre la adecuación de Reino Unido, y, en particular, el nivel de protección que reciben las transferencias de datos entre la UE y Reino Unido. Con la adopción de estas dos decisiones de adecuación- una bajo el RGPD y la otra bajo la Directiva de protección de datos en el ámbito penal, las transferencias de datos entre la UE y Reino Unido pueden ahora realizarse de manera libre sin la necesidad de adoptar garantías adicionales, pues se considera que se otorga un nivel de protección de datos equivalente al de la UE. 

 

Las decisiones de adecuación se han adoptado después de un minucioso proceso de evaluación, durante el cual las transferencias se han realizado conforme al Acuerdo de Comercio y Cooperación.  

 

Las normativa de protección de datos de Reino Unido y las prácticas vinculadas a la misma han sido evaluadas con detenimiento desde que se publicaron en febrero los dos borradores de adecuación. En abril, el CEPD emitió su opinión sobre los mismos y después estos se sometieron a un procedimiento de voto de los Estados Miembro de la UE. Durante este período, las transferencias de datos entre la UE y Reino Unido se han podido realizar con base en el Acuerdo de Comercio y Cooperación, con fecha límite el 30 de junio de 2021. Sin el acuerdo en vigor, la ausencia de una decisión de adecuación hubiese implicado que cualquier transferencia de datos a Reino Unido estuviese sujeta a las garantías adicionales del RGPD y la Directiva de protección de datos en el ámbito penal.  

 

La normativa de protección de Reino Unido es muy similar a las leyes bajo las cuales operaba como Estado Miembro de la UE. 

 

Reino Unido, como antiguo Estado Miembro de la UE, cuenta con un sistema de protección de datos muy similar al que estaba en vigor cuando formaba parte de la Unión Europea. Los principios, derechos y obligaciones del RGPD y la Directiva de protección de datos en el ámbito penal se han incorporado de manera plena en el derecho interno de Reino Unido, lo cual ha hecho posible la adopción de las decisiones de adecuación mediante un proceso sencillo. Reino Unido ha demostrado ofrecer fuertes garantías en relación al acceso a los datos personales por parte de las autoridades públicas y, en principio, la recogida de datos por parte de agencias de inteligencia queda sujeto a la autorización previa de un órgano judicial independiente. 

 

Las decisiones de adecuación incluyen una cláusula de extinción que las limita a un período máximo de cuatro años. 

 

Las dos decisiones de adecuación incluyen sin embargo una cláusula de extinción, por la cual expirarán automáticamente en cuatro años, después de los cuales podrán ser renovadas en función de si Reino Unido continúa ofreciendo un nivel equivalente de protección de datos y sujeto a la consecución de todo el proceso de adopción de nuevo. La Comisión Europea seguirá vigilando la situación legal de Reino Unido y se reserva el derecho a intervenir en cualquier momento si existe alguna desviación sobre el actual nivel de protección de datos. Se trata de la primera vez que se incorpora una provisión que limita la duración de la validez de las decisiones de adecuación. 

 

La adecuación del RGPD relativa a los controles de inmigración ha sido excluida de la decisión, a fin de reconsiderarse a espera de las sentencias de los Tribunales de Apelación de Inglaterra y Gales. 

 

Debido a una sentencia reciente del Tribunal de Apelación de Inglaterra y Gales, las transferencias de datos con fines de controles de inmigración en Reino Unido han sido excluidas del ámbito de la decisión de adecuación del RGPD. La sentencia afecta a la validez e interpretación de ciertos derechos de protección de datos vinculados con la inmigración y control, de manera que la Comisión reevaluará la necesidad de esta exclusión una vez que este aspecto quede claro bajo la normativa de la Unión Europea. 

 

¿Realizas transferencias internacionales de datos? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy, el RGPD y la LSSI? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de la ética de la IA, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.

 

Regulación del marketing telefónico tras el Brexit

La salida de Reino Unido de Europa entre otros factores ha promovido un cambio en las prácticas de marketing de muchas empresas británicas, que pretenden ahora orientarse hacia el marketing telefónico. En este blog repasamos los requisitos que deben cumplirse para hacerlo en cumplimiento con la normativa ePrivacy. 

Las empresas británicas ya no están amparadas por el principio de la aplicación de la norma del país de origen recogido en el ePrivacy cuando realicen marketing a otros países europeos, con lo que muchas de ellas están buscando alternativas que no impacten en sus prácticas comerciales. ¿Son realmente las normas sobre marketing telefónico menos estrictas que aquellas que regulan los correos electrónicos? 

¿Dice la Directiva ePrivacy sobre las comunicaciones no solicitadas?

Conforme a la Directiva ePrivacy “Los Estados miembros tomarán las medidas adecuadas para garantizar, que, sin cargo alguno, no se permitan las comunicaciones no solicitadas con fines de venta directa […], bien sin el consentimiento del abonado, bien respecto de los abonados que no deseen recibir dichas comunicaciones. La elección entre estas dos posibilidades será determinada por la legislación nacional.”

Así por tanto, es la normativa nacional que transpone la Directiva ePrivacy en cada Estado Miembro la que establece las normas que deben aplicarse en cada país.  

El principio de la aplicación de la norma del país de origen permite basar la comunicación en las normas menos estrictas del propio país, siempre y cuando éste forme parte del Mercado Único Europeo. Sin embargo, tras el Brexit esto ya no se aplica a las empresas de Reino Unido, con lo que tendrán que basarse en la normativa del país de destino cuando realicen marketing directo en países de la UE.  

Llamadas automáticas

Las llamadas automáticas están sujetas a requisitos más estrictos. Acorde a la Directiva ePrivacy, el uso de llamadas automáticas sin intervención humana, en lo que se incluyen los fax, con finalidad de marketing directo están sólo permitidas en relación a aquellos sujetos que han otorgado su consentimiento previo. 

El consentimiento general para marketing o incluso el consentimiento para llamadas no automáticas no sería suficiente, pues se precisa que sea explícito. 

Marketing telefónico desde Reino Unido

En países de la UE

Las empresas de Reino Unido que quieran publicitar sus productos y servicios a otras empresas o sujetos en países de la UE mediante llamadas telefónicas, deberán comprobar la normativa nacional, en concreto: 

  1. Si se requiere consentimiento;
  2. Si no se requiere consentimiento, si el número de teléfono está listado en los ficheros nacionales de exclusión publicitaria, o si el sujetos ha otorgado su consentimiento explícito para recibir llamadas de dicha empresa en particular. 

La mayoría de países de la UE han optado por ficheros de exclusión publicitaria en lugar del requisito de consentimiento, si bien se deberá comprobar caso por caso. 

En Reino Unido 

Las empresas de Reino Unido que quieran efectuar llamadas de marketing a otras empresas o sujetos en Reino Unido deberán seguir los siguientes pasos: 

  1. Comprobar si el número está incluido en los registros TPS o CTPS.
  2. Comprobar si el sujeto se ha opuesto a recibir llamadas de ellos. 

En resumen, se podrán realizar llamadas de marketing de manera libre a no ser que la persona se haya opuesto a las mismas o esté registrada en el TPS o CTPS. No se debería efectuar ninguna llamada de marketing a no ser que la persona haya consentido de manera específica a las llamadas de dicha empresa. El marketing telefónico está prohibido cuando se trate de servicios de gestión de reclamaciones, salvo si la persona ha otorgado su consentimiento específico a las mismas. 

Las llamadas en relación a los esquemas de pensiones están sujetas a  normas especiales. 

Marketing telefónico desde España

En países de la UE

España es un Estado Miembro, con lo que puede basarse en el principio de la aplicación de la normativa del país de origen. Así por tanto, los pasos a continuación detallados para el marketing telefónico en España se aplicarán también para el marketing telefónico en otros países de la UE.

En España

Antes de proceder con una llamada de marketing telefónico en España, se deberán comprobar los siguientes aspectos: 

  1. Comprobar si el número está incluido en un fichero de exclusión publicitaria como la Lista Robinson.
  2. Comprobar si el sujeto se ha opuesto a recibir llamadas de la empresa. 

Requisitos adicionales

Una vez que se ha determinado que la llamada puede realizarse en cumplimiento con la normative relevante, se deben aplicar una serie de requisitos adicionales: 

  • Informar sobre quién llama;
  • Permitir que se muestre el número (o un número alternativo de contacto) en la pantalla de la persona que recibe la llamada; 
  • Explicar dónde está disponible la política de privacidad del responsable y
  • Ofrecer una dirección de contacto o número gratuito si lo solicitan.

Actualización de la normativa ePrivacy de la UE

Como informamos en uno de nuestros últimos blogs, a principios de este mes los Estados Miembro negociaron un mandato para la revisión de la normativa ePrivacy, que sustituiría la actual Directiva ePrivacy y comenzaría a aplicarse dos años después de su publicación en el Diario Oficial de la UE. El Reglamento ePrivacy podría introducir nuevas normas sobre marketing telefónico, como la obligación de presentar la identificación de la línea que llama o utilizar un Código o prefijo específico que indique que la llamada se trata de una llamada de marketing.  

 

¿Realizas marketing telefónico? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy y el resto de la normativa aplicable? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impactoevaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de DatosInfórmate aquí.

vinculantes tras el Brexit

Cambios en las normas corporativas vinculantes tras el Brexit: orientaciones del Comité Europeo de Protección de Datos.

El Comité Europeo de Protección de Datos (CEPD) ha publicado unas orientaciones sobre las normas corporativas vinculantes (BCRs) para empresas y grupos de empresas que tienen a la ICO como autoridad de control principal.  

 

El CEPD ha publicado unas orientaciones sobre las normas corporativas vinculantes (BCRs) para empresas y grupos de empresas que tienen a la ICO como autoridad de control principal. A medida que se realizan cambios para implementar de manera oficial el Brexit, las empresas también están experimentando muchas modificaciones estructurales y procedimentales y algunas tienen como origen la última sentencia del TJUE en el caso Schrems II. El el CEPD ha realizado un análisis de las consecuencias que ha conducido a la publicación de unas orientaciones en las que señala los cambios necesarios en las normas corporativas vinculantes tras el Brexit, que incluye una tabla sobre el criterio para un cambio de autoridad de control en relación a las BCRs, el cómo y el por qué, y la legislación para cada criterio. 

 

Cambios procedimentales para BCRs autorizadas.

 

La empresas que realicen transferencias internacionales mediante BCRs aprobadas y que estén sujetas a la ICO necesitarán una nueva autoridad de control principal dentro del Espacio Económico Europeo. Este cambio deberá implementarse antes de que finalice el período de transición del Brexit. Para BCRs ya aprobadas bajo el RGPD, la nueva autoridad de control principal tendrá que emitir una nueva decisión de aprobación, tras recibir la opinión del CEPD.  

Sin embargo, esta decisión de aprobación no será necesaria para aquellas BCRs donde la ICO actuó como la autoridad de control bajo la Directiva 95/46/EC. 

 

Cambios de contenido para BCRs autorizadas.

 

Antes del fin del período de transición del Brexit, las compañías que ostenten BCRs aprobadas con la ICO como la autoridad de control principal tendrán que modificar dichas BCRs y referenciar el orden normativo del Espacio Económico Europeo. Sin estos cambios (o la nueva decision de aprobación, según corresponda), estas empresas o grupos de empresas no podrán utilizar las BCRs para transferencias fuera del Espacio Económico Europeo tras el período de transición. 

 

Cambios procedimentales para nuevas solicitudes de BCRs ante la ICO. 

 

El CEPD insta a cualquier empresa o grupo de empresas que cuenten con BCRs en fase de revisión con la ICO a identificar una nueva autoridad principal según las orientaciones WP263 rev.01 antes del final del período de transición del Brexit. Habrán de contactar con la nueva autoridad de control y proporcionar toda la información necesaria para solicitar que sea su nueva autoridad de control principal en lo que concierne a las BCRs. Ésta entonces iniciará el procedimiento conforme a la opinión emitida por el CEPD.  

 

Las empresas o grupos de empresas pueden transferir su solicitud a la nueva autoridad de control tras la aprobación de la ICO, en cuyo caso la nueva autoridad de control deberá aprobar la nueva aplicación antes del final del período de transición, conforme al artículo 47.1 RGPD. 

 

Cambios de contenido para nuevas solicitudes de BCRs ante la ICO.

 

Las empresas o grupos de empresas con BCRs en proceso de aprobación por la ICO deberán asegurarse de que sus BCRs refieren el orden normativo del Espacio Económico Europeo con información sobre los cambios previstos, antes del final del período de transición. 

Cambios generales para nuevas solicitudes de BCRs.

 

Cualquier autoridad de control en el Espacio Económico Europeo a la que se le solicite actuar como nueva autoridad de control para las BCRs deberá considerar si es ella la apropiada, caso por caso, conforme al criterio recogido en WP263 y en colaboración con otras autoridades de control que puedan ser de relevancia. El CEPD ha preparado una lista de elementos para BCRs de responsables y encargados de tratamiento que vayan a cambiar sus BCRs con motivo del Brexit. 

 

¿Tienes a la ICO como autoridad de control principal o transfieres datos a Reino Unido? En ese caso puede que necesites realizar algunos cambios importantes antes del final del período de transición del Brexit. Nuestras Evaluaciones de Impacto, adaptaciones al RGPD y la Data Protection Act 2018 así como nuestros servicios de Delegado de Protección de Datos pueden ayudarte. Contacta con nosotros. 

Comisión Europea sobre la transición:

La Comisión Europea lanza un comunicado sobre la transición entre Reino Unido y la Unión Europea

La Comisión Europea ha lanzado un comunicado donde detalla las implicaciones de la transición entre Reino Unido y la Unión Europea.  

Con motivo del final del período de transición entre Reino Unido y la Unión Europea en la salida del primero, prevista para finales de este año, la Comisión Europea ha lanzado un comunicado donde evalúa la situación actual de Reino Unido para su separación. El acuerdo de salida se firmó el 1 de febrero de 2020 y en él se estableció que las leyes de la UE se continuarían aplicando a Reino Unido hasta el 31 de diciembre de 2020. De esta forma, por ahora Reino Unido sigue siendo parte de los programas de la UE y el Mercado Único Europeo y continúa respetando las políticas de la UE y cualquier acuerdo internacional que incluya a la misma.  Esta situación tomará un giro a partir del 1 de enero de 2021, cuando el período de transición llegue a su fin y el acuerdo de salida se haga efectivo. Así por tanto, el período de transición funciona como un período de continuidad para asegurar que Reino Unido está preparada para implementar todas las medidas y acuerdos que sean necesarios a fin de facilitar la negociación de la nueva relación entre Reino Unido y la UE a partir del 1 de enero de 2021. 

Las negociaciones cobran impulso este verano porque la UE y Reino Unido pretenden alcanzar un acuerdo sobre la futura relación entre ambos antes de que llegue la fecha de implementación, prevista para el 1 de enero de 2021. 

Mientras que las negociaciones han evolucionado lento durante la primera parte de este año, desde junio han tomado impulso, pues el Gobierno de Reino Unido ha tomado la decisión de no alargar el período de transición. El objetivo es alcanzar un ambicioso acuerdo en la relación entre ambas partes que cubra todas las áreas acordadas por Reino Unido en la Declaración Política para finales de 2020. El acuerdo resultante daría lugar a una situación muy diferente a la actual participación de Reino Unido en el Mercado Único Europeo y en el área de IVA e impuestos especiales.  Se espera también que se pongan barreras al comercio de bienes y servicios y a la movilidad e intercambios transfronterizos. Todo esto, en el contexto de presión bajo el que se encuentran todos los negocios debido a la pandemia del COVID-19, probablemente causará algunas disrupciones en enero de 2021.   

Se aconseja a los negocios que revisen sus planes de reacción previstos para el escenario de Brexit sin acuerdo. Mientras que las negociaciones todavía están en curso, dichos planes podrían ser todavía muy importantes para los cambios al final del período de transición. 

La Comisión Europea ha publicado información sobre los efectos que dichos cambios podrían tener en varias industrias, e implora a las empresas la implementación de las acciones que aseguren su preparación para el nuevo escenario. 

La Comisión Europea ha comunicado un resumen de los cambios que se esperan  tanto si hay como si no hay un acuerdo de colaboración futura entre Reino Unido y la UE. El 1 de enero de 2021 finalizará el período de transición que actualmente permite la participación de Reino Unido en el Mercado Único Europeo y la Unión Aduanera, lo que implicará el fin del libre movimiento de personas, bienes y servicios entre ambos territorios. Como resultado habrá muchos cambios automáticos. 

Desde marzo de 2020 la Unión Europea ha estado publicando artículos sobre la preparación específica para varias industrias. Hasta la fecha hay 59 artículos que cubren un amplio rango de industrias, y esta lista será actualizada de manera regular conforme otros nuevos se vayan lanzando. La Comisión Europea hace un llamamiento a todos los consumidores nacional y europeos, empresas y asociaciones para asegurar que todos los miembros son plenamente conscientes de los cambios que se esperan. Los cambios que tendrán lugar a partir del 1 de enero de 2021 serán automáticos, de gran alcance e inevitables, de carácter tanto logístico como legal, con lo que los efectos no deberían infravalorarse. En última instancia, las empresas necesitan realizar su propia evaluación de riesgos e implementar las acciones necesarias para confirmar su propia preparación.  

¿Cuáles son las implicaciones para la protección de datos?

Como informamos en nuestro blog en enero, la ICO lanzó un comunicado sobre las implicaciones del Brexit en protección de datos, donde se ofrecía una serie de orientaciones en la materia, a saber: 

Durante el período de transición:

  • El RGPD se continúa aplicando en Reino Unido.
  • No se necesita un representante europeo.
  • Las orientaciones sobre el RGPD de la ICO siguen siendo válidas.
  • Las transferencias de datos entre Reino Unido y Europa no están restringidas. 

Después del período de transición: 

  • El RGPD será llevado a la legislación nacional británica como el ‘RGPD de Reino Unido’ y Reino Unido tendrá independencia para mantener el marco bajo revisión.
  • Podría ser necesario nombrar un representante europeo.
  • La ICO no será institución reguladora ni autoridad de protección de datos para ninguna actividad específicamente europea que recaiga bajo la versión comunitaria del RGPD.
  • La DPA 2018 continuará siendo de aplicación.
  • La ICO seguirá siendo el cuerpo independiente de supervisión de la normativa de protección de datos británica.
  • Las transferencias de datos entre Reino Unido y Europa podrían estar limitadas y se podría precisar de la implementación de medidas y salvaguardas adecuadas.

¿Tratas datos personales en Reino Unido o transfieres datos personales entre Reino Unido y Europa? Si es así, el Brexit podría afectarte. Las evaluaciones de impacto de Aphaia y los servicios de subcontratación del Delegado de Protección de Datos y de adaptación al RGPD y a la Data Protection Act 2018 pueden ayudarte. Infórmate aquí.