Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

RGPD y Brexit: las consecuencias en la protección de datos para las empresas

Actualización

Tras una consulta pública, el Reino Unido ha dado a conocer los detalles de su proyecto de ley de reforma de datos, que modificará el marco de privacidad en la versión británica del RGPD post-Brexit. Obtén más información sobre este proyecto de ley aquí.

La Comisión ha permitido el flujo de datos de la UE al Reino Unido, pero estará sujeto a una revisión dentro de cuatro años.
Una vez que el Comité Europeo de Protección de Datos (CEPD) adoptó un dictamen sobre el proyecto de la Comisión en relación con las decisiones de adecuación del Reino Unido y los representantes de los estados miembros dieron su aprobación, ambas decisiones entraron en vigor el 28 de junio de 2021.

La decisión bajo el Reglamento General de Protección de Datos (RGPD) y la decisión bajo la Directiva de Aplicación de la Ley permiten transferencias de datos de la UE al Reino Unido, ya que este último ofrece actualmente un nivel de protección de datos personales esencialmente equivalente al garantizado por la legislación de la UE.

Sin embargo, de manera excepcional, ambas decisiones también estaban sujetas a una cláusula de extinción, lo que significa que se deberán renovar dentro de cuatro años.

Por ejemplo, el CEPD subrayó algunas posibles divergencias que se debían evaluar más a fondo antes de que se tomaran las decisiones finales:

  • La exención de inmigración y sus consecuencias sobre las restricciones a los derechos de los interesados;
  • La aplicación de restricciones a las transferencias de datos personales desde el Espacio Económico Europeo al Reino Unido, sobre la base de posibles futuras decisiones de adecuación adoptadas por el Reino Unido, acuerdos internacionales entre el Reino Unido y terceros países o derogaciones.


=> Próximos pasos: supervisar cualquier divergencia futura entre las leyes de la UE y del Reino Unido, lo que podría convertirse en un desafío para las próximas decisiones, que se darán a conocer en cuatro años

Lee el texto completo aquí (en inglés).

El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2018, fortaleciendo la protección de datos para todas las personas cuya información personal cae dentro de su alcance e imponiendo nuevas obligaciones a las empresas que tratan datos personales. Obtén más información sobre el RGPD y cuándo se aplica aquí.

Con todos los cambios que se esperan tras la salida del Reino Unido de la Unión Europea, es posible que te preguntes qué consecuencias conlleva el Brexit desde la perspectiva del RGPD para las empresas con sede en el Reino Unido y la UE. A continuación, respondemos a esta y otras preguntas.

RGPD después del Brexit, ¿cambia algo?

Hasta que se apruebe una nueva ley de protección de datos, el RGPD (una ley vigente en el Reino Unido hasta la entrada en vigor del Brexit el 31 de diciembre de 2020) aún se aplica en su mayor parte en el Reino Unido como “RGPD UK“.

¿Qué tiene que saber una empresa con sede en el Reino Unido?

Transferencia de datos personales a la UE y otros territorios
Según el actual RGPD UK, las transferencias de datos personales desde el Reino Unido a otros países siguen los mismos principios que el RGPD. En particular:

  • Si el gobierno del Reino Unido ha emitido un reglamento de adecuación para tu territorio de destino, puedes transferir los datos sin tener que cumplir requisitos adicionales. Actualmente, este es el caso de todos los estados de la UE y del EEE (Espacio Económico Europeo), de los países cubiertos por una decisión de adecuación de la UE (por ejemplo, Argentina, Suiza y Nueva Zelanda) y, bajo ciertas condiciones, de Japón y Canadá.
  • De lo contrario, una empresa con sede en el Reino Unido que desee transferir datos personales al extranjero tendrá que basarse en las mismas alternativas que ofrece el RGPD, como las cláusulas contractuales tipo (SCC) u otras “garantías adecuadas” o “excepciones”. En este sentido, la autoridad de protección de datos británica (laICO) ha manifestado que las cláusulas contractuales tipo europeas suscritas antes de que finalice el período de transición seguirán siendo válidas y que, por tanto, podrán seguir utilizándose para nuevas transferencias de datos personales. “Las versiones para el Reino Unido” de las SCC europeas publicadas por el ICO están a disposición de las empresas.

💡 Los usuarios del Reino Unido pueden seguir utilizando iubenda como encargado del tratamiento que transfiere datos personales a la UE.

Representante de protección de datos
El RGPD (art. 27) exige que las entidades que tratan datos personales de personas físicas en la UE designen a un representante en la UE. Durante el período de transición, este requisito aún no se aplica a las entidades del Reino Unido.

Sin embargo, una vez que termine el período de transición, las empresas del Reino Unido que traten datos de personas físicas en la UE probablemente tendrán que nombrar a un representante en la UE.

¿Cómo afecta el Brexit a una empresa con sede en la UE/EEE?

Transferencia de datos personales al Reino Unido

El acuerdo del Brexit firmado por la UE y el Reino Unido en diciembre de 2020 incluye un período de transición de 4 meses. La fecha límite fue programada para el 30 de abril de 2021, pero podría extenderse otros 2 meses. Durante este período, el Reino Unido no se considerará un “tercer país de la UE“.

→ Hasta entonces, nada cambia para las empresas de la UE/EEE que transfieren datos personales al Reino Unido.

Una vez finalizado el período de transición (por lo tanto, no antes del 30 de abril de 2021), las transferencias de datos personales al Reino Unido deben realizarse de acuerdo con los principios generales del RGPD, es decir:

  • si la Comisión Europea emite una decisión de adecuación para el Reino Unido, las transferencias de datos pueden tener lugar sin requisitos adicionales;
  • en caso de que no se emita una decisión de adecuación, las transferencias de datos personales de los estados de la UE/EEE al Reino Unido deberán basarse en las cláusulas contractuales tipo aprobadas por la Comisión Europea (SCC) o en otras “garantías adecuadas” o “excepciones” establecidas por el RGPD.

Representante de protección de datos

A partir de ahora, el “RGPD UK” requiere que las entidades que tratan datos personales de personas físicas en el Reino Unido designen a un representante en el Reino Unido. Durante el período de transición, este requisito aún no se aplica a las entidades con sede en la UE o el EEE.

Sin embargo, una vez finalizado el período de transición, las empresas de la UE/EEE que traten datos personales en el Reino Unido probablemente necesitarán designar a un representante en el Reino Unido.

Para saber más sobre el asunto

En el sitio web de la ICO puedes conocer todos los cambios que las empresas con sede en el Reino Unido tendrán que afrontar una vez que haya expirado el período de transición.

About us

iubenda

GDPR compliance for your site, app and organization

www.iubenda.com

Más información