La opción tomada por los ciudadanos británicos en el
referéndum del pasado 23 de junio de 2016 tiene múltiples consecuencias, muchas
de ellas jurídicas. Algunas han sido ya abordadas, pero se ha relegado a un
segundo plano lo que el denominado Brexit puede significar para un derecho de
los ciudadanos europeos como es la privacidad y la protección de datos.
referéndum del pasado 23 de junio de 2016 tiene múltiples consecuencias, muchas
de ellas jurídicas. Algunas han sido ya abordadas, pero se ha relegado a un
segundo plano lo que el denominado Brexit puede significar para un derecho de
los ciudadanos europeos como es la privacidad y la protección de datos.
El marco regulatorio de protección de datos en la
Unión Europea confería una total libertad de circulación a los datos dentro de
las fronteras de los 28 países miembros. Así, la salida del Reino Unido de la
Unión, y por tanto, de ese entorno legislativo, va a provocar que se considere
a los radicados en las islas como establecidos en un tercer país, lidiando con
controversias como las actualmente existentes con Estados Unidos. En resumidas
cuentas, enviar datos de cualquier país de la Unión a Reino Unido constituirá
una transferencia internacional de datos, con los efectos legales que ello
conlleva.
Unión Europea confería una total libertad de circulación a los datos dentro de
las fronteras de los 28 países miembros. Así, la salida del Reino Unido de la
Unión, y por tanto, de ese entorno legislativo, va a provocar que se considere
a los radicados en las islas como establecidos en un tercer país, lidiando con
controversias como las actualmente existentes con Estados Unidos. En resumidas
cuentas, enviar datos de cualquier país de la Unión a Reino Unido constituirá
una transferencia internacional de datos, con los efectos legales que ello
conlleva.
Es evidente que, dada la importancia que tiene el
tratamiento masivo de datos para una empresa de cualquier tipo de industria,
Reino Unido no va a mantenerse distante respecto de sus antiguos compañeros,
pues no interactuar en este campo con la Unión le dejaría en fuera de juego en
un campo de vital importancia para la economía.
tratamiento masivo de datos para una empresa de cualquier tipo de industria,
Reino Unido no va a mantenerse distante respecto de sus antiguos compañeros,
pues no interactuar en este campo con la Unión le dejaría en fuera de juego en
un campo de vital importancia para la economía.
Ante esta situación se abre una clara incertidumbre,
que habrá de ser resuelta por el gobierno británico en los próximos meses, en
torno a la decisión que se adoptará en materia de protección de datos desde el
Estado insular.
que habrá de ser resuelta por el gobierno británico en los próximos meses, en
torno a la decisión que se adoptará en materia de protección de datos desde el
Estado insular.
Antes de nada, hay que comprender la situación
legislativa del Reino Unido en esta materia. En la actualidad, la norma
aplicable a la protección de datos a nivel nacional es la UK Data Protection Act de 1998, producto de la transposición de la directiva europea de protección
de datos de 1995, por lo que implanta los conceptos y principios fundamentales
que se utilizan en las normativas europeas de protección de datos en toda
Europa. También es relevante la UK Electronic Communications Act, que regula
cuestiones de firma electrónica provenientes de la directiva de 1999,
transacciones y comunicaciones electrónicas, apoyada en los textos que
transpusieron la directiva de comercio electrónico del año 2000. Como puede
verse, el marco legislativo actual no dista mucho del que existe en los otros
27 países gracias a la transposición de varias directivas.
legislativa del Reino Unido en esta materia. En la actualidad, la norma
aplicable a la protección de datos a nivel nacional es la UK Data Protection Act de 1998, producto de la transposición de la directiva europea de protección
de datos de 1995, por lo que implanta los conceptos y principios fundamentales
que se utilizan en las normativas europeas de protección de datos en toda
Europa. También es relevante la UK Electronic Communications Act, que regula
cuestiones de firma electrónica provenientes de la directiva de 1999,
transacciones y comunicaciones electrónicas, apoyada en los textos que
transpusieron la directiva de comercio electrónico del año 2000. Como puede
verse, el marco legislativo actual no dista mucho del que existe en los otros
27 países gracias a la transposición de varias directivas.
A primera vista, la reacción previsible es que se
considere al Reino Unido un país con un nivel de protección seguro en
protección de datos, no habiendo demasiados problemas para mantener la situación
actual, puesto que su normativa está actualmente adaptada a la Europea, siendo
muy próxima a la de los otros 27. Claro que esto depende de varios factores: en
primer lugar, el gobierno británico cambia, por lo que no conocemos las
intenciones de próximos ocupantes del número 10 de Downing Street, así que es
factible pensar en un cambio de política legislativa en cuanto a la protección
de datos, rompiendo así de manera más drástica los lazos les unían con la
Unión. Otra variable a considerar es que la declaración como país con nivel de
protección suficiente depende de la aprobación de la Comisión Europea, teniendo
que llevarse a cabo por un procedimiento regulado, habiendo de estudiarse
numerosos elementos como el funcionamiento de una autoridad de control, la
jurisprudencia acerca del tema, los compromisos internacionales del país;
además de que ha de revisarse el acuerdo cada cuatro años.
considere al Reino Unido un país con un nivel de protección seguro en
protección de datos, no habiendo demasiados problemas para mantener la situación
actual, puesto que su normativa está actualmente adaptada a la Europea, siendo
muy próxima a la de los otros 27. Claro que esto depende de varios factores: en
primer lugar, el gobierno británico cambia, por lo que no conocemos las
intenciones de próximos ocupantes del número 10 de Downing Street, así que es
factible pensar en un cambio de política legislativa en cuanto a la protección
de datos, rompiendo así de manera más drástica los lazos les unían con la
Unión. Otra variable a considerar es que la declaración como país con nivel de
protección suficiente depende de la aprobación de la Comisión Europea, teniendo
que llevarse a cabo por un procedimiento regulado, habiendo de estudiarse
numerosos elementos como el funcionamiento de una autoridad de control, la
jurisprudencia acerca del tema, los compromisos internacionales del país;
además de que ha de revisarse el acuerdo cada cuatro años.
Suponiendo que la segunda opción, más realista y
conservadora, sea la que se dé de manera efectiva, la coyuntura no estaría
exenta de problemas. La necesidad de la declaración de la Comisión a la que se
hacía referencia puede provocar que, en el intervalo de tiempo que exista entre
la salida efectiva de la Unión y la aprobación del acuerdo, Reino Unido sea un
tercer país y los movimientos al mismo sean transferencias internacionales de
datos. Aquí se abriría un intervalo de tiempo indeterminado en el que las
empresas de ambas partes tendrían que regularizar sus operaciones para cumplir
con una normativa de transición con fecha de caducidad indeterminada. En
resumen, demasiados cambios y obligaciones para un espacio de tiempo
relativamente corto. A esto hay que sumarle que la normativa y las prácticas
del Estado británico en materia de protección de datos serán vigiladas de forma
detallada por los reguladores de la Unión, sometiéndose a un escrutinio
minucioso.
conservadora, sea la que se dé de manera efectiva, la coyuntura no estaría
exenta de problemas. La necesidad de la declaración de la Comisión a la que se
hacía referencia puede provocar que, en el intervalo de tiempo que exista entre
la salida efectiva de la Unión y la aprobación del acuerdo, Reino Unido sea un
tercer país y los movimientos al mismo sean transferencias internacionales de
datos. Aquí se abriría un intervalo de tiempo indeterminado en el que las
empresas de ambas partes tendrían que regularizar sus operaciones para cumplir
con una normativa de transición con fecha de caducidad indeterminada. En
resumen, demasiados cambios y obligaciones para un espacio de tiempo
relativamente corto. A esto hay que sumarle que la normativa y las prácticas
del Estado británico en materia de protección de datos serán vigiladas de forma
detallada por los reguladores de la Unión, sometiéndose a un escrutinio
minucioso.
No cabe olvidar que esta pugna tiene dos bandos, así
que la reacción de la Unión Europea ha de ser valorada. Puesto que, si se
produce la salida efectiva, será la Comisión la que deberá valorar un acuerdo
que declare a Reino Unido como una especie de “puerto seguro”, la institución
europea puede exigir unos estándares tremendamente exigentes con su
excompañero. Así, el lado europeo tiene la capacidad de someter la normativa
británica a un análisis pormenorizado que les degrade en la negociación,
teniendo que aceptar un férreo control desde Bruselas con tal de no terminar en
un limbo normativo.
que la reacción de la Unión Europea ha de ser valorada. Puesto que, si se
produce la salida efectiva, será la Comisión la que deberá valorar un acuerdo
que declare a Reino Unido como una especie de “puerto seguro”, la institución
europea puede exigir unos estándares tremendamente exigentes con su
excompañero. Así, el lado europeo tiene la capacidad de someter la normativa
británica a un análisis pormenorizado que les degrade en la negociación,
teniendo que aceptar un férreo control desde Bruselas con tal de no terminar en
un limbo normativo.
Esta declaración de país con un nivel de protección
suficiente sería necesaria solamente si Reino Unido, al abandonar la Unión
Europea, no decide entrar en el Espacio Económico Europeo. Este es el modelo
que sigue Suiza, que no es parte del EEE. El país helvético tiene un acuerdo
desde el año 2000 por el que se establece que, al igual que otros territorios
como la Isla de Man, Uruguay o Nueva Zelanda, se asegura un nivel adecuado para
el tratamiento de datos personales en ese Estado. En el caso de que los británicos
opten por adherirse al EEE, la legislación europea en materia de protección de
datos se les aplicaría, así que no habría una transferencia internacional de
datos al enviar datos a las islas.
suficiente sería necesaria solamente si Reino Unido, al abandonar la Unión
Europea, no decide entrar en el Espacio Económico Europeo. Este es el modelo
que sigue Suiza, que no es parte del EEE. El país helvético tiene un acuerdo
desde el año 2000 por el que se establece que, al igual que otros territorios
como la Isla de Man, Uruguay o Nueva Zelanda, se asegura un nivel adecuado para
el tratamiento de datos personales en ese Estado. En el caso de que los británicos
opten por adherirse al EEE, la legislación europea en materia de protección de
datos se les aplicaría, así que no habría una transferencia internacional de
datos al enviar datos a las islas.
Viendo que la opción digamos, tranquila,
conservadora o cercana a la Unión, entraña muchos más problemas de los que
parece, hay que tener en mente que no puede descartarse un movimiento mucho más
drástico por parte del gobierno entrante, reformando la legislación existente
en protección de datos para alejarse de la europea, de la cual manifestaron sus
discrepancias durante el proceso de aprobación, adoptando así una posición más
acorde con los principios menos proteccionistas del mundo anglosajón. Puesto
que se asemeja contraproducente que se aíslen de tal forma, esta opción parece
menos probable, aunque siempre puede razonarse que si la Unión ha llegado a
alcanzar un acuerdo con Estados Unidos, podría alcanzarse con Gran Bretaña en
tal caso.
conservadora o cercana a la Unión, entraña muchos más problemas de los que
parece, hay que tener en mente que no puede descartarse un movimiento mucho más
drástico por parte del gobierno entrante, reformando la legislación existente
en protección de datos para alejarse de la europea, de la cual manifestaron sus
discrepancias durante el proceso de aprobación, adoptando así una posición más
acorde con los principios menos proteccionistas del mundo anglosajón. Puesto
que se asemeja contraproducente que se aíslen de tal forma, esta opción parece
menos probable, aunque siempre puede razonarse que si la Unión ha llegado a
alcanzar un acuerdo con Estados Unidos, podría alcanzarse con Gran Bretaña en
tal caso.
A este respecto, el Information Commissioner’s
Office, a través de Christopher Graham, ha manifestado que “es crucial tanto
para empresas y organizaciones como para consumidores y ciudadanos que haya
consistencia internacional en torno a las leyes y derechos de protección de
datos”, así como que “hablaremos con el gobierno para presentar nuestra visión
de que es necesaria una reforma en la legislación británica”. Por tanto, desde
instituciones del país relevantes en el tema abogan, parece por mantener una
unidad en la normativa entre Europa y el Reino Unido.
Office, a través de Christopher Graham, ha manifestado que “es crucial tanto
para empresas y organizaciones como para consumidores y ciudadanos que haya
consistencia internacional en torno a las leyes y derechos de protección de
datos”, así como que “hablaremos con el gobierno para presentar nuestra visión
de que es necesaria una reforma en la legislación británica”. Por tanto, desde
instituciones del país relevantes en el tema abogan, parece por mantener una
unidad en la normativa entre Europa y el Reino Unido.
Sea cual sea la opción seguida, las consecuencias
son, como mínimo, complejas. La salida se basa en el artículo 50 del Tratado de
la Unión Europea, según el cual, el Estado saliente y la Unión habrán de
negociar un pacto de salida, fijando una fecha para el cese de la aplicación de
los tratados que, de no fijarse, se produciría al cumplirse los dos años de la
celebración de ese acuerdo, pudiendo prorrogarse este lapso de tiempo. Este
periodo tiene una importancia vital, puesto que el Reglamento Europeo de Protección de Datos comenzará a tener efectos el 25 de Mayo de 2018, con lo que
es más que probable que llegue a ser aplicable a Reino Unido durante un tiempo,
puesto que todavía no se ha llegado al acuerdo de salida. Así, la situación en
esta materia se tornaría esperpéntica: durante el periodo de negociación del
acuerdo de salida y durante el plazo para la misma se seguiría aplicando la ley
de 1998, proveniente de una directiva europea; hasta Mayo de 2018, momento en
el que la salida, casi con total seguridad, no será efectiva todavía, por lo
que empezará a aplicarse el reglamento europeo de protección de datos hasta la
fecha en la que se fije el fin de la aplicación de los tratados. Cabe añadir
que, una vez entre en vigor el reglamento, cualquier empresa u organización estará
obligada a cumplir con su articulado si trata datos de ciudadanos de la UE,
independientemente de dónde esté radicada la misma, así que cuando llegue el
momento en que eviten la aplicación del reglamento, gran parte de las
corporaciones británicas tendrán que sujetarse en buena parte de su actividad a
dicho texto.
son, como mínimo, complejas. La salida se basa en el artículo 50 del Tratado de
la Unión Europea, según el cual, el Estado saliente y la Unión habrán de
negociar un pacto de salida, fijando una fecha para el cese de la aplicación de
los tratados que, de no fijarse, se produciría al cumplirse los dos años de la
celebración de ese acuerdo, pudiendo prorrogarse este lapso de tiempo. Este
periodo tiene una importancia vital, puesto que el Reglamento Europeo de Protección de Datos comenzará a tener efectos el 25 de Mayo de 2018, con lo que
es más que probable que llegue a ser aplicable a Reino Unido durante un tiempo,
puesto que todavía no se ha llegado al acuerdo de salida. Así, la situación en
esta materia se tornaría esperpéntica: durante el periodo de negociación del
acuerdo de salida y durante el plazo para la misma se seguiría aplicando la ley
de 1998, proveniente de una directiva europea; hasta Mayo de 2018, momento en
el que la salida, casi con total seguridad, no será efectiva todavía, por lo
que empezará a aplicarse el reglamento europeo de protección de datos hasta la
fecha en la que se fije el fin de la aplicación de los tratados. Cabe añadir
que, una vez entre en vigor el reglamento, cualquier empresa u organización estará
obligada a cumplir con su articulado si trata datos de ciudadanos de la UE,
independientemente de dónde esté radicada la misma, así que cuando llegue el
momento en que eviten la aplicación del reglamento, gran parte de las
corporaciones británicas tendrán que sujetarse en buena parte de su actividad a
dicho texto.
Podemos prever, sin miedo a equivocarnos, que la
legislación británica seguirá acorde a la europea durante un plazo
considerable, lo cual torna la bifurcación anteriormente comentada en una
decisión a medio plazo. La aplicación del reglamento en Reino Unido será una
realidad, así que durante un periodo prudencial habrá calma en cuanto a la
protección de datos en el continente. De hecho, Reino Unido, al igual que el
resto de países de la Unión, tendrá que transponer a su derecho interno la
directiva de reciente aprobación (mayo) por el Consejo relativa a medidas para
garantizar un elevado nivel común de seguridad de las redes y de la información
en la Unión; es decir, su legislación seguirá avanzando al ritmo del resto de
la Unión, de momento.
legislación británica seguirá acorde a la europea durante un plazo
considerable, lo cual torna la bifurcación anteriormente comentada en una
decisión a medio plazo. La aplicación del reglamento en Reino Unido será una
realidad, así que durante un periodo prudencial habrá calma en cuanto a la
protección de datos en el continente. De hecho, Reino Unido, al igual que el
resto de países de la Unión, tendrá que transponer a su derecho interno la
directiva de reciente aprobación (mayo) por el Consejo relativa a medidas para
garantizar un elevado nivel común de seguridad de las redes y de la información
en la Unión; es decir, su legislación seguirá avanzando al ritmo del resto de
la Unión, de momento.
El mare magnum de dudas suscitadas por el referéndum
deja a todos los actores en una situación de desconcierto en el que no cabe más
que esperar al desarrollo de los acontecimientos para hablar a ciencia cierta.
Mientras tanto solamente se pueden hacer pronósticos y conjeturar.
Autor: Martín Bello Castro
deja a todos los actores en una situación de desconcierto en el que no cabe más
que esperar al desarrollo de los acontecimientos para hablar a ciencia cierta.
Mientras tanto solamente se pueden hacer pronósticos y conjeturar.
Autor: Martín Bello Castro
Visite nuestra página web: http://www.elzaburu.com/
