El mes pasado, la Comisión Europa inició un procedimiento para la aprobación de dos decisiones de adecuación para transferencias de datos a Reino Unido, una de ellas bajo el RGPD y la otra bajo la Directiva de protección de datos personales en el ámbito penal.
La Comisión Europea ha publicado recientemente el borrador de dos decisiones de adecuación para las transferencias de datos a Reino Unido, una bajo el RGPD y la otra bajo la Directiva de protección de datos personales en el ámbito penal, lo que representa el primer paso para su adopción. Las siguientes fases del proceso consisten en la obtención del dictamen del CEPD y, después, la aprobación de un comité de representantes de los Estados Miembro de la UE.
Bajo el Artículo 45 (3) del RGPD y el Artículo 36 (3) de la Directiva de protección de datos personales en el ámbito penal, la Comisión Europea tiene el poder de decidir si un tercer país fuera de la UE cumple los requisitos para considerar que otorga un nivel adecuado de protección de los datos personales, y, si así lo determina, se pueden realizar transferencias de datos entre la UE y dicho país sin necesidad de aplicar garantías adicionales. Actualmente las transferencias de datos en Reino Unido están reguladas en el UK GDPR y la DPA, que contienen principios muy similares a los del RGPD y la Directiva de protección de datos personales en el ámbito penal.
La Comisión confía en que las transferencias de datos a Reino Unido gozarán de un nivel de protección adecuado bajo la normativa nacional equivalente.
La Comisión ha invertido muchos meses estudiando las leyes británicas sobre transferencias antes de redactar estas decisiones de adecuación, y ha alcanzado la conclusión de que las leyes de Reino Unido son equivalentes al RGPD y la Directiva de protección de datos personales en el ámbito penal. De esta forma, la Comisión considera que las transferencias de datos de Europa a Reino Unido gozarán de un nivel de protección adecuado bajo un marco normativo similar. Didier Reynders, Comisario europeo de Justicia, dijo en un pronunciamiento que “el derecho fundamental a la protección de datos de los ciudadanos europeos nunca debe verse comprometido cuando los datos viajan a través del Canal. Y las decisions de adecuación, una vez adoptadas, deberán garantizarlo”.
El régimen de protección de datos de Reino Unido ha estado tradicionalmente muy influido por el marco Europeo, lo que hace que el proceso de adecuación sea sencillo.
En las decisiones de adecuación normalmente se estudian marcos normativos divergentes y se trata de alcanzar un punto común. Sin embargo, en este caso Reino Unido cuenta con un régimen de protección de datos modelado históricamente conforme el europeo. Sin embargo, este proceso es necesario ahora que Reino Unido ya no se encuentra bajo la normativa de la UE. Una vez que se hayan adoptado las decisiones de adecuación, éstas estarán en vigor durante cuatro años. Después del cuarto año, será posible renovarlas una vez que se haya probado que el nivel de protección de transferencias de datos entre la UE y Reino Unido es adecuado y puede continuar siéndolo.
Las transferencias de datos personales entre Europa y Reino Unido se encuentran actualmente protegidas durante este período intermedio mediante el Acuerdo de Comercio y Cooperación entre la UE y Reino Unido.
El pasado 1 de enero de 2021 comenzó un período de transición, denominado puente, durante el cual, bajo el Acuerdo de Comercio y Cooperación, se pueden seguir realizando transferencias de datos entre la UE y Reino Unido hasta el 30 de junio de 2021, sin necesidad de garantías adicionales, aunque Reino Unido ya no se rija por el derecho de la UE. Tras llevar a cabo los primeros pasos para la adopción de estas decisiones de adecuación para las transferencias de datos a Reino Unido, la Comisión Europea se encuentra a la espera del dictamen del CEPD al respecto. Una vez que este dictamen haya sido tenido en cuenta, se sucederá el denominado procedimiento de comitología, durante el cual la Comisión solicitará la aprobación por parte de los representantes de los Estados Miembros de la UE con el objetivo de finalizar las decisiones de adecuación.
