Si finalmente no llega a alcanzarse un acuerdo entre la Unión europea y Reino Unido, el día 30 de marzo este se convertirá en un tercer país no incluido en la UE.

En ese caso, las transferencias internacionales de datos deben fundamentarse en:

  • Cláusulas de protección de datos tipo o ad hoc.
  • Normas Corporativas Vinculantes
  • Códigos de conducta y mecanismos de certificación

Por ello, el Comité europeo de Protección de Datos (CEPD) ha elaborado un documento para informar a empresas y organizaciones sobre cómo deben realizar las transferencias de datos a Reino Unido en caso de producirse un Brexit sin acuerdo.

Medidas a adoptar por las empresas

Las entidades que vayan a transferir datos a Reino Unido deben seguir unos pasos:

  1. Identificar qué actividades de tratamiento implicarán esa transferencia de datos
  2. Determinar el instrumento de transferencia de datos adecuado para su situación
  3. Aplicar el instrumento de transferencia de datos elegido para que esté listo para el día 30 de marzo de 2019
  4. Indicar en su documentación interna que se efectuarán transferencias al Reino Unido
  5. Actualizar su aviso de privacidad para informar a los particulares

Posibles instrumentos de transferencia

Mientras no exista una decisión de adecuación de la normativa inglesa de Protección de datos a la europea, existirán una serie de instrumentos en los que podrán justificarse las transferencias de datos a ese país.

Cláusulas de protección de datos tipo o ad hoc

Es posible acordar entre la empresa que va a realizar la transferencia y quien la va a recibir el uso de Cláusulas tipo aprobadas por la Comisión europea.

Con esos contratos se ofrecen las necesarias garantías de protección de datos que se exigen para realizar transferencias de datos a terceros países.

Esas Cláusulas tipo de protección de datos no pueden modificarse pero sí pueden añadirse cláusulas adicionales, siempre que no contradigan a aquellas.

Con carácter previo a la realización de la transferencia, la autoridad nacional de Protección de Datos (la AEPD, en nuestro caso) debe autorizar las cláusulas adicionales que se hayan incorporado.

Normas corporativas vinculantes

Estas normas corporativas vinculantes son políticas de protección de datos a las que se adhiere un grupo de empresas para garantizar una adecuada protección de datos en las transferencias realizadas entre empresas del grupo.

Si esas normas son anteriores al RGPD, deben adaptarse a éste. Y, si no se encuentran en vigor, debe aprobarlas la autoridad nacional de Protección de Datos.

Códigos de conducta y mecanismos de certificación

Los códigos de conducta o los mecanismos de certificación pueden ofrecer garantías adecuadas para las transferencias de datos personales si incluyen compromisos vinculantes y aplicables por parte de la organización en el país tercero en beneficio de los particulares.

Estas herramientas son nuevas en virtud del RGPD y el Comité europeo de Protección de Datos está elaborando guías para ofrecer más información acerca de las condiciones armonizadas y el procedimiento necesario para utilizar estas herramientas.

Excepciones

Existen excepciones a la necesidad de garantizar una adecuada protección de datos para realizar transferencias internacionales. Pero normalmente se refieren a tratamientos ocasionales y no repetitivos.

Dentro de esas excepciones cabe destacar:

  • El interesado ha dado explícitamente su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos de dichas transferencias
  • La transferencia es necesaria:
    • para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
    • por razones importantes de interés público
    • en virtud de intereses legítimos imperiosos de la organización.

Instrumentos para organismos públicos

Las autoridades públicas pueden considerar el uso de los mecanismos que el RGPD considera más apropiados a su situación.

Por un lado, pueden usar un instrumento jurídicamente vinculante, como un acuerdo internacional bilateral o multilateral o un acuerdo administrativo. Es necesario que el acuerdo sea vinculante y exigible para las partes firmantes.

Por otro lado, es posible utilizar acuerdos administrativos, como los Memorandos de entendimiento, que aunque legalmente no son vinculantes deben determinar derechos reales y exigibles para los afectados. Estos acuerdos administrativos deben ser aprobados por la autoridad de control nacional competente.

Igualmente, las excepciones mencionadas también están disponibles para transferencias realizadas por autoridades públicas, sujetas a la aplicación de las condiciones pertinentes.

Las autoridades públicas que ejercen funciones de aplicación de derecho penal disponen de herramientas de transferencia adicionales.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.