Decisión de adecuación para la transferencia de datos personales entre UK y la UE
La transferencia de datos a Estados fuera de la Unión Europea tienen una gran complejidad desde el punto de vista operativo y documental. Con la salida de Reino Unido (UK) de la Unión, vivimos momentos de incertidumbre sobre la forma en que se legitimaría dichas transferencias. Este artículo pretende acercar al lector al proceso, contenido y futuro de la “Decisión de adecuación” que nos permitirá, por ahora, seguir manteniendo el flujo de datos entre la UE y UK.
Antecedentes
El 1 de enero de 2021 acabaron los derechos y las obligaciones que UK tenía como miembro de la Unión. Desde un punto de vista de la protección de datos personales, ello implicaría en un principio que las transferencias de datos a Reino Unido pasasen a ser consideradas transferencias internacionales. Esto dificultaría el flujo de datos personales entre UK y la UE, ya que estas transferencias solo se pueden realizar cuando se sustentan en uno de los instrumentos previstos en los artículos 45 a 49 del Reglamento.
Para evitar esto, el 24 de diciembre de 2020, sobre la bocina, el Reino Unido y la Unión Europea acordaron establecer un régimen transitorio de 6 meses (hasta el 30 de junio de 2021) en el que las transferencias entre los Estados de la Unión y el Reino Unido no serían consideradas transferencias internacionales.
Hitos de la Decisión de adecuación
El 19 de febrero de este año la Comisión Europea publicó el borrador de su decisión de adecuación. Tras esta debería de publicar su opinión el Comité Europeo de Protección de Datos (EDPB por sus siglas en inglés) y, posteriormente, los Estados miembros de la Unión Europea podrán dar su opinión en virtud del llamado proceso de comitología.
El 13 de abril publicó su opinión el EDPB y, tras recabar la opinión de los Estados miembros, la Comisión publicó la decisión de adecuación definitiva, otra vez sobre la bocina, el 28 de junio de 2021, dos días antes de que el plazo expirase.
Temas relevantes para la toma de la Decisión de adecuación
La Comisión entendió (y entiende aún) que el Reino Unido ofrece una protección esencialmente equivalente a la normativa europea, por lo que permite que los datos personales viajen libremente entre la Unión Europea y el Reino Unido.
Para llegar a esta conclusión, la Comisión evaluó diferentes aspectos de la normativa británica, como son el (1) Marco constitucional, (2) La legislación sobre protección de datos personales, con sus salvaguardias, derechos y obligaciones, y en particular, el acceso y uso de datos personales por las autoridades públicas.
Un factor que se ha tenido en cuenta es que la mayor parte de su normativa sigue siendo la misma que cuando pertenecía a la Unión. Asimismo, la Comisión ha valorado que el Reino Unido está sujeto al Tribunal Europeo de los Derechos Humanos y que debe cumplir tanto el Convenio Europeo de Derechos Humanos como el Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.
Por su parte, en Reino Unido los servicios de inteligencia sólo pueden exigir el acceso a datos personales de los ciudadanos cuando han obtenido la autorización de un órgano judicial independiente y, en caso de que un ciudadano considere que ha sido sometido a medidas de vigilancias ilegales, puede interponer una acción ante el llamado Investigatory Powers Tribunal. Esto no menoscaba las garantías previstas en el Reglamento de Protección de Datos.
No obstante, la Comisión ha entendido que existe un ámbito en el cual los derechos de los ciudadanos no gozan de garantías equivalentes y, por lo tanto, ha quedado excluido de la decisión de adecuación. Este ámbito es el de control de la inmigración. Las autoridades, cuando traten datos con esta finalidad, pueden ampararse en una excepción que les permite sobrepasar derechos de los interesados. Por lo tanto, el tratamiento o la transferencia (de datos personales) que se pueda enmarcar en este ámbito, no podrá basarse en la decisión de adecuación y se deberán adoptar medidas complementarias.
Finalmente
Esta decisión que ha tomado la Comisión no es indefinida en el tiempo, ni en cuanto al ámbito considerado equivalente ni al que ha considerado inferior. Tiene un plazo de expiración de 4 años (sunset clause). Esta es la primera decisión de adecuación en la que se ha previsto esta cláusula temporal. Una vez hayan transcurridos estos 4 años, la Comisión habrá de decidir si renueva la decisión o si no lo hace.
Esto se debió a que existían sospechas por parte del Reino Unido para modificar la legislación en materia de protección de datos personales (sospechas que se han visto confirmadas posteriormente con las propuestas que publicó el 10 de septiembre el Ministerio de Tecnología, Cultura, Medios de Comunicación y Deportes).
La Unión Europea se compromete a monitorizar las novedades legislativas y jurisprudenciales británicas con el fin de verificar que el nivel de protección de Reino Unido no disminuye y sigue siendo equivalente al de la Unión Europea. Veremos si finalmente Reino Unido decide innovar manteniendo el nivel de protección de la normativa europea o reduciéndolo.
Equipo ITSM4 Privacidad:
Team Leader itsm4Privacidad
Comité de Estándares de itSMF España