Desde que el Reino Unido abandonó la Unión Europea (UE), se ha hablado de reformar el régimen de protección de datos existente actualmente en el Reino Unido, heredado de la UE. GDPR (Reglamento general de protección de datos) se convirtió en un acrónimo que causó angustia entre muchos en el período previo a su implementación y ha seguido siendo visto como un “problema” por algunos. Incluso algunos no partidarios del Brexit probablemente estarían encantados de ver la parte trasera del Reino Unido.
Sin embargo, solo en los últimos 18 meses hemos visto señales de medidas de reforma tangibles. El Proyecto de Ley de Protección de Datos e Información Digital que se presentó al Parlamento en julio de este año es el resultado de una importante consulta realizada por el Departamento de Digital, Cultura, Medios y Deporte (DCMS) el año pasado. La presentación del proyecto de ley para el debate en la última semana antes del receso de verano fue una indicación de la importancia que el gobierno (como lo era en ese momento) consideraba el régimen de protección de datos del Reino Unido.
Sin embargo, desde esa introducción, la reforma de la protección de datos en el Reino Unido ha sido un poco intermitente. El proyecto de ley había sido programado para su segunda lectura el 5 de septiembre, que resultó ser el día en que Liz Truss fue elegida formalmente líder del Partido Conservador. En una declaración comercial ese mismo día, el gobierno confirmó que la segunda lectura no se llevaría a cabo según lo programado “para dar tiempo a los ministros a considerar más a fondo el proyecto de ley”.
El proyecto de ley ahora ha pasado a la etapa de comité desde la elección del liderazgo, por lo que está nuevamente en progreso, aunque el plazo para su implementación, si es que el borrador permanece en su forma actual, no está claro.
Además, hubo más incertidumbre a principios de octubre cuando Michelle Donelan, la nueva secretaria de estado digital, cultura, medios y deportes, habló sobre la protección de datos en su discurso en la conferencia del Partido Conservador, diciendo: “Reemplazaremos GDPR con nuestro propio sistema de protección de datos británico fácil de usar para las empresas y los consumidores. Las empresas ya no estarán encadenadas por una gran cantidad de trámites burocráticos innecesarios”.
Donelán también declaró que trabajaría con las empresas para “codiseñar” la legislación, lo que sugiere un enfoque más sustancial de “comenzar desde cero”, en lugar de una simple revisión del proyecto de ley presentado anteriormente.
La intención detrás del proyecto de ley, en su forma inicial y actual, ya era actualizar y simplificar el marco de protección de datos del Reino Unido para “reducir las cargas sobre las organizaciones mientras se mantienen altos estándares de protección de datos”. Uno podría preguntarse por qué Donelan y su equipo necesitan más tiempo para “revisar y reconsiderar”. La idea era que la reforma representaría “una evolución más que una revolución”. Sin embargo, si el proyecto de ley propuesto permanece en su forma actual, ese parece ser el caso.
Pero más cambios a gran escala o desviaciones significativas del RGPD corren el riesgo de poner en peligro la adecuación del Reino Unido a la UE. Existe el peligro de que la “revisión y reconsideración” a la que se refiere Donelan vaya más allá y resulte en un régimen que ya no sea “esencialmente equivalente” al de la UE.
Si ese fuera el caso, estaríamos ante más de la “revolución” que el gobierno anterior había querido evitar. Si bien eso puede satisfacer a los partidarios del Brexit, deseosos de ver cambios marcados que marquen la salida del Reino Unido de los “grilletes de la Unión”, el costo para las empresas sería impactante, en un momento en que la economía ya está en apuros.
Otra mosca en el ungüento, por así decirlo, es la evaluación de adecuación propuesta por el Reino Unido del nuevo Marco de privacidad de datos de EE. UU., un marco para enviar de forma segura datos del Reino Unido a organizaciones en los EE. UU. En la misma semana de la conferencia del Partido Conservador, el mismo día, de hecho, en que el presidente de los EE. UU. Biden firmó la infame Orden Ejecutiva, Donelan se reunió con la secretaria de comercio de los EE. la evaluación del marco de privacidad de datos de EE. UU. está al frente y en el centro de la discusión.
El gobierno debe ser igualmente consciente de cualquier gran movimiento para declarar una decisión de adecuación a favor de los EE. UU. antes de la evaluación de la UE, cuyo resultado se espera para las próximas semanas.
Si las autoridades de la UE determinan que las medidas de reforma del Reino Unido hacen que su régimen ya no sea “esencialmente equivalente”, la decisión de adecuación se desvanece, al igual que el libre flujo de datos entre el Reino Unido y la UE. ¿Por qué estamos tan preocupados por el estado de adecuación del Reino Unido y el libre flujo de datos?, puede preguntarse. Bueno, el valor para la economía se estima entre 1.000 y 1.600 millones de libras esterlinas. No es de extrañar, por tanto, que la El gobierno ha admitido que el costo para la economía de perder el estatus de adecuación superaría cualquier beneficio de la reforma.
Curiosamente, aunque la decisión de adecuación del Reino Unido no está programada para revisarse hasta 2024, circulan rumores de que los legisladores de Bruselas vendrán a Londres en noviembre para analizar las reformas de datos propuestas por el Reino Unido y su efecto en la adecuación del Reino Unido. El riesgo es real, y el gobierno del Reino Unido debería estar alerta.
Sarah Pearce es socia y directora de privacidad de datos del Reino Unido en Hunton Andrews Kurth. Tiene una amplia experiencia trabajando con grandes empresas tecnológicas y ayudándolas a gestionar los riesgos globales de privacidad y seguridad de la información y los problemas de cumplimiento.