Si la teva empresa té algun proveïdor, matriu, filial, partner o col·laborador establert al Regne Unit, és molt probable que estigui transferint dades personals a aquest país. En aquest cas és summament convenient saber què es pot fer, si finalment arriba el Brexit, per poder continuar transferint aquesta informació i beneficiant-se d'aquestes relacions sense incomplir la normativa sobre protecció de dades ni exposar-se a dures sancions.
I és que, un cop s'hagi consumat la desvinculació del Regne Unit, les comunicacions de dades personals a aquest país seran considerades com Transferències Internacionals de Dades (TID), en passar a ser un país tercer de la UE i de l'EEE.
El Reglament General de Protecció de Dades (GDPR) és la normativa més estricta en matèria de privadesa a nivell mundial. D'això se'n deriva que, en cas que les dades s'enviïn a un país fora de l'Espai Econòmic Europeu (EEE), el nivell de seguretat i garanties disminueixen. Així, la regla general és que no es permeten aquests fluxos de dades llevat que es compleixi algun dels supòsits següents:
- Que el país de destinació de les dades tingui una Decisió d'Adequació: la Comissió Europea, després d'estudiar la normativa de privadesa del país, considera que revesteix les garanties suficients per estar d'acord amb el nivell europeu, com ha estat el recent cas del Japó el 24 de gener passat. No obstant això, encara que el Regne Unit ha adaptat la seva legislació nacional al Reglament europeu de Protecció de Dades (l'RGPD), el Comitè Europeu de Protecció de Dades o CEPD (l'antic Grup de Treball de l'Article 29) ja apunta que, a dia d'avui, no compta amb aquesta decisió d'adequació i la veritat és que la seva tramitació pot portar un temps preciós durant el qual no es pot portar un temps preciós.
- Que s'hagin adoptat garanties adequades: fins i tot sense comptar el país de destinació amb una decisió d'adequació, es pot habilitar la transferència de dades si es compta amb alguna de les garanties que l'avalen, de les quals les més importants són:
- Clàusules tipus: previsions contractuals que obliguen el receptor de les dades a adoptar mesures i garanties que permeten un nivell de protecció equiparable a l'europeu.
- Normes corporatives vinculants: més conegudes per les sigles en anglès, les BCR (Regles corporatives vinculants), consisteixen en un conjunt de normes polítiques o codis de conducta jurídicament vinculants que un grup d'empreses dissenya i implanta, amb la finalitat d'oferir les garanties suficients perquè les transferències de dades Intra grup resultin segures. És un mecanisme exclusiu per als grups empresarials, i s'han de presentar a l'Autoritat de Control pertinent per a la revisió i, si escau, l'acceptació.
- Codis de conducta i mecanismes de certificació: aquests mecanismes són una novetat introduïda pel RGPD. Els codis de conducta consisteixen en normes sectorials d'autoregulació, el plantejament és similar al de les BCR però en lloc d'un grup industrial, aplicat a un sector empresarial. D'altra banda, el RGPD estableix la possibilitat de la creació de mecanismes de certificació en matèria de protecció de dades (com ara segells o marques) per tal de demostrar el compliment de la normativa aplicable. Actualment el CEPD està treballant en una sèrie de directrius per harmonitzar aquestes condicions.
- Que resulti aplicable alguna de les excepcions taxades: el RGPD deixa una mica de marge, establint que, tot i que la TID estigui dirigida a una destinació que no es consideri segura, ni tampoc s'hagi blindat la comunicació amb garanties adequades, es podrà dur a terme en cas que es pugui emparar en algunes de les situacions excepcionals que preveu. El CEPD ja adverteix que, en tractar-se d'excepcions, han de ser interpretades d'una manera estricta, i s'han d'acudir només de manera ocasional i no com a regla general.
D'aquesta sort, encara que el Regne Unit no aconseguís assolir un acord abans de marxar definitivament, o si aquest acord no preveu previsions en matèria de protecció de dades, no comportaria necessàriament l'aïllament de fluxos de dades personals de la UE, si bé la seva fluïdesa dependrà de la decisió que mereixi a la Unió Europea, i de l'anticipació o ràpida resposta per part de les empreses de la resta d'Europa que tinguin relació amb el Regne Unit.
Actualització gener 2020:
El passat 31 de desembre de 2020, es va assolir el “Acord de Comerç i Cooperació entre la Unió Europea i la Comunitat Europea de l'Energia Atòmica, d'una banda, i el Regne Unit de Gran Bretanya i Irlanda del Nord, de l'altra".
Aquest acord té un caràcter exhaustiu i, entre molts altres aspectes, tracta la regulació dels fluxos de dades entre la Unió Europea i el Regne Unit. Així, a l'article FINPROV.10a d'aquest Acord s'estableix que la transmissió de dades personals de la UE al Regne Unit no es considerarà Transferència Internacional de Dades mentre no transcorrin quatre mesos (més dos de pròrroga) des de la data de l'Acord.
Les parts a l'Acord preveuen que abans d'aquest termini s'hauran realitzat totes les accions necessàries perquè el Regne Unit compti amb una Decisió d'Adequació que empari els fluxos de dades personals internacionals de la UE a aquell.
Autores: Fernando Díaz y Ruth Benito
