Las empresas del Reino Unido podrán seguir intercambiando datos con Europa tras la tan esperada decisión de que el régimen de protección de datos del Reino Unido es compatible con las normas de protección de datos de Europa.
Después de un año de conversaciones entre el Reino Unido y la Unión Europea (UE), la Comisión Europea (CE) otorgó el estatus de adecuación al Reglamento General de Protección de Datos (DDPR) y la Directiva de Aplicación de la Ley.
John Foster, director general de política del grupo de empleadores CBI, describió el acuerdo como un gran avance. “El libre flujo de datos es la base de la economía moderna y es esencial para las empresas de todos los sectores, desde la automoción hasta la logística, y desempeña un papel importante en el comercio diario de bienes y servicios”, dijo.
La decisión viene con una cláusula de expiración de cuatro años y “salvaguardas sólidas” que permiten a la UE revocar la adecuación si las leyes de protección de datos del Reino Unido divergen significativamente de las de la UE en el futuro.
Los ministros conservadores y los diputados han propuesto diluir el régimen de protección de datos del Reino Unido como parte de un movimiento para reducir la burocracia e impulsar la posición competitiva del Reino Unido después del Brexit.
“Estamos hablando de un derecho fundamental de los ciudadanos de la UE que tenemos el deber de proteger”, dijo Věra Jourová, vicepresidenta de valores y transparencia de la CE. “Es por eso que tenemos salvaguardas importantes, y si algo cambia en el lado del Reino Unido, interveniremos”.
Věra Jourová, Comisión Europea
Los eurodiputados han presionado a la Comisión Europea para que adopte una línea más dura sobre las exenciones en la regulación de protección de datos del Reino Unido para la seguridad nacional y la inmigración.
Un área de preocupación fue que la ley del Reino Unido permite a las agencias gubernamentales acceder y retener datos masivos sobre personas que no están bajo sospecha, una práctica que, según dijeron, era incompatible con GDPR.
También habían argumentado que el intercambio de datos entre GCHQ y la Agencia de Seguridad Nacional de Estados Unidos “no protegería a los ciudadanos o residentes de la UE”.
Pero la Comisión Europea dijo el 28 de junio de 2021 que el Reino Unido tenía fuertes salvaguardias para proteger la privacidad de los datos de los ciudadanos del uso por parte de los servicios de inteligencia.
Estos incluyen, en principio, la autorización previa de un órgano judicial independiente, el derecho a apelar contra la vigilancia ilegal ante el Tribunal de Competencia de Investigación y el Tribunal Europeo de Derechos Humanos.
La Comisión Europea también ha excluido las transferencias de datos para el control de inmigración del Reino Unido de la decisión de adecuación del RGPD luego de una sentencia del Tribunal de Apelación que declaró ilegal la política del Reino Unido.
La exención de inmigración permitió que el Ministerio del Interior y otras organizaciones o empresas denegar el acceso a los datos personales de las personas si pudiera “perjudicar el mantenimiento de un control de inmigración efectivo”.
La CE dijo que volvería a evaluar la necesidad de la exclusión una vez que la situación haya sido remediada bajo la ley del Reino Unido.
Altos estándares de protección de datos
Jourová dijo que la Comisión Europea ha “escuchado con mucha atención” las preocupaciones expresadas por el Parlamento Europeo, los Estados miembros y la Junta Europea de Protección de Datos sobre la “posibilidad de divergencias futuras de nuestros estándares en el marco de privacidad de la UE”.
Tras la decisión de la UE, el Departamento de Digital, Cultura, Medios y Deporte del Reino Unido dijo que el gobierno planeaba promover el libre flujo de datos personales a través de acuerdos comerciales y acuerdos de adecuación de datos con otros países.
El secretario de Estado de Digital, Oliver Dowden, dijo: “Después de más de un año de conversaciones constructivas, es correcto que la Unión Europea haya reconocido formalmente los altos estándares de protección de datos del Reino Unido. Ahora nos centraremos en liberar el poder de los datos para impulsar la innovación e impulsar la economía mientras nos aseguramos de proteger la seguridad y la privacidad de las personas “.
Julian David, director ejecutivo del organismo comercial TechUK, dijo que los acuerdos eran vitales para el comercio entre el Reino Unido y la UE. “La decisión de adecuación de los datos también proporciona una base para que el Reino Unido y la UE trabajen juntos en rutas globales para el libre flujo de datos”, dijo.
Los partidarios conservadores están presionando al gobierno para que relaje el régimen de protección de datos del Reino Unido después del Brexit. El Grupo de Trabajo sobre Innovación, Crecimiento y Reforma Regulatoria (TIGRR), creado por Downing Street, recomienda reemplazar el Reglamento de Protección de Datos del Reino Unido 2018 por un “marco más proporcionado de derechos de datos de los ciudadanos”.
Didier Reynders, Comisión Europea
El grupo propone eliminar el artículo 22 del RGPD para permitir la toma de decisiones automática y promover el intercambio de datos sanitarios.
Escribiendo en el Tiempos financieros en febrero, Dowden indicó que el Reino Unido debería adoptar un enfoque diferente para la protección de datos en el futuro. “En este momento, demasiadas empresas y organizaciones se muestran reacias a utilizar los datos, ya sea porque no comprenden las reglas o porque tienen miedo de romperlas inadvertidamente”, escribió.
Dijo que el próximo comisionado de información tendría un mandato más amplio que la privacidad y se le pedirá que se asegure de que las personas puedan usar los datos “para lograr objetivos económicos y sociales”.
La adecuación del Reino Unido estará bajo estrecha vigilancia
El comisionado de justicia de la CE, Didier Reynders, dijo que la UE intervendrá si el Reino Unido no mantiene su compatibilidad con la ley de protección de datos de la UE. “La comisión seguirá de cerca cómo evoluciona el sistema del Reino Unido en el futuro y hemos reforzado nuestras decisiones para permitir esto y para una intervención si es necesario. La UE tiene los más altos estándares en lo que respecta a la protección de datos personales y estos no deben verse comprometidos cuando los datos personales se transfieren al extranjero “.
La Comisión Europea parece estar avanzando en una dirección en la que las decisiones de adecuación, en lugar de ser una decisión binaria, contienen excepciones y se mantienen bajo revisión continua, dijo Ben Rapp, experto en privacidad y principio de Securys. “Las empresas tendrán que prestar más atención a sus transferencias de datos incluso bajo acuerdos de adecuación”, dijo.
Dai Davis, un abogado de protección de datos, dijo que la cláusula de caducidad proporcionaría a la Comisión Europea una influencia política. “Existe una preocupación genuina de que el Reino Unido pueda apartarse del GDPR”, dijo.
Rapp dijo que esperaba que la decisión de adecuación del Reino Unido enfrentara un desafío legal antes de fin de año. Un desafío legal exitoso podría, por ejemplo, dar lugar a restricciones entre los proveedores de servicios de Internet de la UE y el Reino Unido, las empresas de telecomunicaciones y los proveedores de servicios en la nube.
Estas organizaciones pueden estar sujetas a órdenes de compartir los datos de sus clientes con inteligencia y aplicación de la ley en virtud de la Ley de poderes de investigación de 2016.
Los acuerdos de adecuación UE-Reino Unido podrían establecer una plantilla para un acuerdo revisado de intercambio de datos UE-EE. UU., Después de que la UE anulara el Escudo de privacidad en julio de 2020.
Un reemplazo del Escudo de la privacidad podría incluir exenciones para las transferencias de datos que podrían estar sujetas a las leyes de vigilancia de EE. UU., Sugirió Rapp.
Se han tomado un total de 12 decisiones de adecuación bajo el GDPR desde que entró en vigencia en mayo de 2018, que cubren Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay. La UE inició conversaciones de adecuación de datos con la República de Corea del Sur en marzo.