La Comisión Europea ha adoptado dos decisiones de adecuación en relación a las transferencias internacionales a Reino Unido.

La Comisión Europea ha aprobado dos decisiones de adecuación para Reino Unido. Desde que tuvo lugar el Brexit, se han generado ciertos interrogantes sobre la adecuación de Reino Unido, y, en particular, el nivel de protección que reciben las transferencias de datos entre la UE y Reino Unido. Con la adopción de estas dos decisiones de adecuación- una bajo el RGPD y la otra bajo la Directiva de protección de datos en el ámbito penal, las transferencias de datos entre la UE y Reino Unido pueden ahora realizarse de manera libre sin la necesidad de adoptar garantías adicionales, pues se considera que se otorga un nivel de protección de datos equivalente al de la UE. 

Las decisiones de adecuación se han adoptado después de un minucioso proceso de evaluación, durante el cual las transferencias se han realizado conforme al Acuerdo de Comercio y Cooperación.  

Las normativa de protección de datos de Reino Unido y las prácticas vinculadas a la misma han sido evaluadas con detenimiento desde que se publicaron en febrero los dos borradores de adecuación. En abril, el CEPD emitió su opinión sobre los mismos y después estos se sometieron a un procedimiento de voto de los Estados Miembro de la UE. Durante este período, las transferencias de datos entre la UE y Reino Unido se han podido realizar con base en el Acuerdo de Comercio y Cooperación, con fecha límite el 30 de junio de 2021. Sin el acuerdo en vigor, la ausencia de una decisión de adecuación hubiese implicado que cualquier transferencia de datos a Reino Unido estuviese sujeta a las garantías adicionales del RGPD y la Directiva de protección de datos en el ámbito penal.  

La normativa de protección de Reino Unido es muy similar a las leyes bajo las cuales operaba como Estado Miembro de la UE. 

Reino Unido, como antiguo Estado Miembro de la UE, cuenta con un sistema de protección de datos muy similar al que estaba en vigor cuando formaba parte de la Unión Europea. Los principios, derechos y obligaciones del RGPD y la Directiva de protección de datos en el ámbito penal se han incorporado de manera plena en el derecho interno de Reino Unido, lo cual ha hecho posible la adopción de las decisiones de adecuación mediante un proceso sencillo. Reino Unido ha demostrado ofrecer fuertes garantías en relación al acceso a los datos personales por parte de las autoridades públicas y, en principio, la recogida de datos por parte de agencias de inteligencia queda sujeto a la autorización previa de un órgano judicial independiente. 

Las decisiones de adecuación incluyen una cláusula de extinción que las limita a un período máximo de cuatro años. 

Las dos decisiones de adecuación incluyen sin embargo una cláusula de extinción, por la cual expirarán automáticamente en cuatro años, después de los cuales podrán ser renovadas en función de si Reino Unido continúa ofreciendo un nivel equivalente de protección de datos y sujeto a la consecución de todo el proceso de adopción de nuevo. La Comisión Europea seguirá vigilando la situación legal de Reino Unido y se reserva el derecho a intervenir en cualquier momento si existe alguna desviación sobre el actual nivel de protección de datos. Se trata de la primera vez que se incorpora una provisión que limita la duración de la validez de las decisiones de adecuación. 

La adecuación del RGPD relativa a los controles de inmigración ha sido excluida de la decisión, a fin de reconsiderarse a espera de las sentencias de los Tribunales de Apelación de Inglaterra y Gales. 

Debido a una sentencia reciente del Tribunal de Apelación de Inglaterra y Gales, las transferencias de datos con fines de controles de inmigración en Reino Unido han sido excluidas del ámbito de la decisión de adecuación del RGPD. La sentencia afecta a la validez e interpretación de ciertos derechos de protección de datos vinculados con la inmigración y control, de manera que la Comisión reevaluará la necesidad de esta exclusión una vez que este aspecto quede claro bajo la normativa de la Unión Europea. 

¿Realizas transferencias internacionales de datos? ¿Has implementado todas las medidas necesarias en cumplimiento de las normas ePrivacy, el RGPD y la LSSI? Podemos ayudarte. Aphaia ofrece servicios de consultoría para la directiva ePrivacy, el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de la ética de la IA, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. Infórmate aquí.