En materia de protección de datos, resulta necesario valorar las consecuencias jurídicas derivadas del Brexit en Reino Unido. 

Con motivo de la ruptura y salida de Reino Unido de la Unión Europea, resultaría aplicable el artículo 50 del Tratado de Lisboa. En este caso, Reino Unido no será considerado país europeo, operando desde este momento las consecuencias a la hora de determinar el tratamiento de datos de empresas españolas en Reino Unido y su posible consideración de transferencia internacional de datos. Esta cuestión debe primar en el proceso de adaptación de las entidades españolas, en materia de protección de datos, para no incurrir en incumplimientos derivados del proceso de ruptura de Reino Unido con la Unión Europea. 

En este sentido, debemos mencionar que Reino Unido en la actualidad cuenta con normativa nacional adaptada a la Directiva 95/46/CE de la Unión Europea. Por otro lado, el Reglamento Europeo de Protección de datos, resultó de aplicación el pasado 25 de mayo de 2018, siendo efectiva la salida de Reino Unido el 31 de enero de 2020.

Al respecto de este escenario, debemos aplicar lo dispuesto en el art. 3.2 del RGPD, el cual establece que: 

“El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión”.

Tal y como deviene del precepto reseñado con anterioridad, Reino Unido deberá adaptarse a lo establecido en el RGPD en el tratamiento de datos de ciudadanos de la Unión Europea en el supuesto que desarrollen actividades de comercialización con países miembros o se dediquen al estudio de ciudadanos de la Unión Europea mediante elaboración de perfiles o análisis de preferencias. 

Por otro lado, deberá valorarse la necesidad de designación de representantes, por parte de responsables o encargados de la Unión Europea. 

En cuanto al concepto de las transferencias internacionales de datos, el Reino Unido no tendría que estar a la altura de los estándares fijados por la Unión Europea en materia de protección de datos, pero podría considerarse por parte de la Unión Europea, que no cumple o garantizar un nivel adecuado de seguridad en el tratamiento de datos.  

Por tanto, resulta claro que el Brexit tendrá como consecuencia la necesidad  de un nuevo marco legal entre Reino Unido y la Unión Europea, no resultando aplicable la libre circulación de datos garantizada en la Unión Europea. 

En el caso de empresas españolas que cuenten con filiales o efectúen tratamientos de datos en Reino Unido, las soluciones adoptadas por éste último, podría ser las siguientes: optar por seguir siendo miembro del Espacio Económico Europeo, para garantizar el nivel protección en seguridad; solicitar a la Unión Europea el reconocimiento de un nivel de protección adecuado para efectuar las transferencias internacionales datos, suscripción de acuerdos bilaterales entre los países miembros de la Unión Europea y Reino Unido; desarrollo de normas corporativas vinculantes para la legitimación de las transferencias internacionales de datos.  

Por todo lo anterior, el escenario en materia de protección de datos como consecuencia del Brexit resultará poco determinante, quedando a la espera de normas y jurisprudencia que otorgue claridad ante esta situación.

 

 

Publicado el 9 de Febrero de 2021
Por María González
Responsable del Departamento Jurídico