Tras una consulta pública, el Reino Unido ha dado a conocer los detalles de su proyecto de ley de reforma de datos, que modificará el marco de privacidad en la versión británica del RGPD post-Brexit. Obtén más información sobre este proyecto de ley aquí.
La Comisión ha permitido el flujo de datos de la UE al Reino Unido, pero estará sujeto a una revisión dentro de cuatro años.
Una vez que el Comité Europeo de Protección de Datos (CEPD) adoptó un dictamen sobre el proyecto de la Comisión en relación con las decisiones de adecuación del Reino Unido y los representantes de los estados miembros dieron su aprobación, ambas decisiones entraron en vigor el 28 de junio de 2021.
La decisión bajo el Reglamento General de Protección de Datos (RGPD) y la decisión bajo la Directiva de Aplicación de la Ley permiten transferencias de datos de la UE al Reino Unido, ya que este último ofrece actualmente un nivel de protección de datos personales esencialmente equivalente al garantizado por la legislación de la UE.
Sin embargo, de manera excepcional, ambas decisiones también estaban sujetas a una cláusula de extinción, lo que significa que se deberán renovar dentro de cuatro años.
Por ejemplo, el CEPD subrayó algunas posibles divergencias que se debían evaluar más a fondo antes de que se tomaran las decisiones finales:
=> Próximos pasos: supervisar cualquier divergencia futura entre las leyes de la UE y del Reino Unido, lo que podría convertirse en un desafío para las próximas decisiones, que se darán a conocer en cuatro años
Lee el texto completo aquí (en inglés).
El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2018, fortaleciendo la protección de datos para todas las personas cuya información personal cae dentro de su alcance e imponiendo nuevas obligaciones a las empresas que tratan datos personales. Obtén más información sobre el RGPD y cuándo se aplica aquí.
Con todos los cambios que se esperan tras la salida del Reino Unido de la Unión Europea, es posible que te preguntes qué consecuencias conlleva el Brexit desde la perspectiva del RGPD para las empresas con sede en el Reino Unido y la UE. A continuación, respondemos a esta y otras preguntas.
Hasta que se apruebe una nueva ley de protección de datos, el RGPD (una ley vigente en el Reino Unido hasta la entrada en vigor del Brexit el 31 de diciembre de 2020) aún se aplica en su mayor parte en el Reino Unido como “RGPD UK“.
Transferencia de datos personales a la UE y otros territorios
Según el actual RGPD UK, las transferencias de datos personales desde el Reino Unido a otros países siguen los mismos principios que el RGPD. En particular:
💡 Los usuarios del Reino Unido pueden seguir utilizando iubenda como encargado del tratamiento que transfiere datos personales a la UE.
Representante de protección de datos
El RGPD (art. 27) exige que las entidades que tratan datos personales de personas físicas en la UE designen a un representante en la UE. Durante el período de transición, este requisito aún no se aplica a las entidades del Reino Unido.
Sin embargo, una vez que termine el período de transición, las empresas del Reino Unido que traten datos de personas físicas en la UE probablemente tendrán que nombrar a un representante en la UE.
Transferencia de datos personales al Reino Unido
El acuerdo del Brexit firmado por la UE y el Reino Unido en diciembre de 2020 incluye un período de transición de 4 meses. La fecha límite fue programada para el 30 de abril de 2021, pero podría extenderse otros 2 meses. Durante este período, el Reino Unido no se considerará un “tercer país de la UE“.
→ Hasta entonces, nada cambia para las empresas de la UE/EEE que transfieren datos personales al Reino Unido.
Una vez finalizado el período de transición (por lo tanto, no antes del 30 de abril de 2021), las transferencias de datos personales al Reino Unido deben realizarse de acuerdo con los principios generales del RGPD, es decir:
Representante de protección de datos
A partir de ahora, el “RGPD UK” requiere que las entidades que tratan datos personales de personas físicas en el Reino Unido designen a un representante en el Reino Unido. Durante el período de transición, este requisito aún no se aplica a las entidades con sede en la UE o el EEE.
Sin embargo, una vez finalizado el período de transición, las empresas de la UE/EEE que traten datos personales en el Reino Unido probablemente necesitarán designar a un representante en el Reino Unido.
En el sitio web de la ICO puedes conocer todos los cambios que las empresas con sede en el Reino Unido tendrán que afrontar una vez que haya expirado el período de transición.