Las empresas británicas y las organizaciones del sector público afrontarán enormes costes adicionales si el Reino Unido pierde su capacidad de transferir datos sin problemas a la Unión Europea (UE), advierte un comité multipartidista de la Cámara de los Lores.
En junio de 2021, la Comisión Europea concedió la “adecuación de los datos” al Reino Unido tras su salida de la Unión Europea (UE), lo que permitió que continuara el libre flujo de datos personales hacia y desde el bloque, pero advirtió que la decisión aún podría ser revocada. si las futuras leyes de protección de datos difieren significativamente de las de Europa.
Al salir de la UE, el Reino Unido se convirtió en un “tercer país” según las normas del bloque, lo que significa que la Comisión Europea (CE) tendrá que evaluar periódicamente si proporciona un nivel esencialmente equivalente de protección de datos para los datos de los ciudadanos de la UE.
La CE tendrá que tomar dos determinaciones de idoneidad por separado según el Reglamento general de protección de datos (GDPR) y la Directiva de aplicación de la ley (LED) de la UE, que se transpusieron a la legislación del Reino Unido a través de la actual Ley de protección de datos de 2018, a finales de junio de 2025. .
Ahora, tras una investigación de siete meses sobre la idoneidad de los datos de la UE por parte del Reino Unido, el Comité de Asuntos Europeos (EAC) ha escrito al secretario digital Peter Kyle instando al gobierno a entablar conversaciones tempranas con la CE para garantizar que el Reino Unido maximice sus perspectivas de lograr una acuerdo de adecuación de datos en el primer semestre de 2025.
También enfatizó que perder el estatus de adecuación podría causar problemas importantes en una variedad de áreas. Esto incluye levantar nuevas barreras al comercio internacional y la cooperación económica, imponer importantes costos adicionales y cargas administrativas a las organizaciones que comparten datos entre el Reino Unido y la UE (particularmente en el contexto de la vigilancia y la atención médica) y el riesgo de alterar el Acuerdo del Viernes Santo. .
La EAC también señaló los altos costos financieros de perder la adecuación y agregó que si bien “el cumplimiento del RGPD puede ser costoso en sí mismo, la pérdida de la adecuación de los datos también conduciría a sanciones financieras significativas para muchas organizaciones”.
Por ejemplo, la Confederación del NHS y Understanding Patient Data estimaron en una presentación conjunta a la EAC que perder la idoneidad podría costarle al NHS solo decenas de millones de libras, mientras que otras estimaciones señalaron que no garantizar el estado de adecuación impondría costos de cumplimiento adicionales a las empresas de Reino Unido. Entre 1 y 1.600 millones de libras esterlinas.
Añadió que, por lo tanto, la adecuación era valiosa porque reduciría las cargas administrativas y los costos de cumplimiento, aumentaría la seguridad jurídica y haría del Reino Unido un lugar más atractivo para invertir y hacer negocios.
“El Reino Unido se enfrenta a un posible borde del precipicio en junio de 2025, a menos que se llegue a un acuerdo con la UE sobre el libre flujo continuo de datos. El intercambio seguro y eficaz de datos sustenta nuestros vínculos comerciales y económicos con la UE y la cooperación entre nuestros organismos encargados de hacer cumplir la ley”, afirmó el presidente del comité, Lord Ricketts.
“La pérdida de idoneidad de los datos crearía nuevas barreras y sería completamente contraria a las ambiciones del gobierno de hacer crecer la economía y restablecer las relaciones con la UE. Recomendamos que llegar a un acuerdo oportuno sobre la adecuación de los datos sea parte integral del reinicio y la principal prioridad del gobierno en materia de protección de datos”.
Para limitar la incertidumbre sobre su futuro estado de adecuación, la EAC recomendó que el gobierno “se comprometa tempranamente con la Comisión Europea y otras partes interesadas de la UE con miras a garantizar que el proceso de renovación de la adecuación vaya por un camino positivo y brinde tranquilidad lo antes posible. sobre la conservación del estado de adecuación”.
Añadió que el gobierno también debería explorar las perspectivas de garantizar futuras decisiones de renovación de adecuación de la Comisión Europea que no expiren después de un período determinado, y que debería dialogar con la UE a tiempo para explicar y brindar garantías sobre cualquiera de sus planes previstos. reformas en materia de protección de datos.
“Desde que asumió el cargo, el secretario de Ciencia se ha reunido dos veces con el comisario de la UE Reynders para discutir la próxima revisión de la UE sobre la adecuación de los datos personales del Reino Unido y cómo garantizar la continuidad segura de los flujos de datos personales de la UE al Reino Unido”, dijo un portavoz del DSIT en respuesta a la solicitud de Computer Weekly de comentar sobre la carta de la EAC. “Nuestros funcionarios participarán en discusiones técnicas con sus homólogos de la UE cuando sea necesario para apoyar el proceso de revisión”.
Nuevas leyes de protección de datos del Reino Unido
La carta de la EAC señalaba que, si bien gran parte de la evidencia proporcionada a su investigación se centró en el Proyecto de Ley de Protección de Datos e Información Digital (Proyecto de Ley DPDI) del gobierno anterior, que fue eliminado de la agenda legislativa durante el período de “lavado” previo a las elecciones generales, la nueva El proyecto de ley de información digital y datos inteligentes (DISD) planificado por el gobierno cubre algunos de los mismos temas.
El DISD se presentó al Parlamento como proyecto de ley de acceso y uso de datos (DUA) el 23 de octubre de 2024. Una vez aprobado, el DUA modificará la implementación en el Reino Unido tanto del RGPD como del LED.
Si bien la decisión de adecuación de la CE se basará en el contenido exacto del proyecto de ley DISD (que no se publicó en línea hasta el 24 de octubre), buscará evaluar si el marco proporciona un nivel esencialmente equivalente de protección de datos para los datos de los ciudadanos de la UE.
Esto se produce después de que el Tribunal de Justicia de la Unión Europea (TJUE) anulara el acuerdo de intercambio de datos Escudo de privacidad UE-EE. UU. el 16 de julio de 2020 por no garantizar que los ciudadanos europeos tuvieran derechos de reparación adecuados cuando los datos pueden ser recopilados por el gobierno nacional de EE. UU. Agencia de Seguridad Nacional (NSA) y otros servicios de inteligencia estadounidenses.
El fallo –conocido coloquialmente como Schrems II en honor al abogado austriaco que llevó el caso ante el TJUE– determinó que a las personas se les debe dar una “protección esencialmente equivalente” para sus datos cuando se transfieren a los EE.UU. y otros países, a la que recibirían en el caso de EE.UU. UE bajo el GDPR y la Carta Europea de Derechos Fundamentales, que garantiza a las personas el derecho a las comunicaciones privadas y la protección de sus datos privados.
“El actual régimen GDPR del Reino Unido está lejos de ser perfecto. Pero las consecuencias de no llegar a un acuerdo con la UE son extremadamente perjudiciales”, afirmó Lord Ricketts. “Es evidente que existe margen para reformar y mejorar el RGPD como parte del nuevo proyecto de ley de información digital y datos inteligentes del gobierno. Pero esto no debe poner en peligro el estatus de adecuación del Reino Unido”.
Lord Clement-Jones –un par liberal demócrata y portavoz de la economía digital en la Cámara de los Lores– añadió que la carta de la EAC “ilustra muy claramente la fragilidad de la situación de adecuación de los datos del Reino Unido y la importancia de resistir los cambios significativos propuestos por el último gobierno al RGPD del Reino Unido”.
Los cambios sugeridos anteriormente al proyecto de ley DPDI antes de que fuera descartado incluían eliminar la necesidad de realizar evaluaciones de impacto de la protección de datos y tener un oficial de protección de datos, flexibilizar los requisitos en torno al procesamiento automatizado y otorgar al secretario de Estado el poder de nombrar directamente al comisionado de información. .
Amenazas a la adecuación
En términos de los riesgos directos para la adecuación de los datos, la EAC dijo que el Reino Unido enfrenta “dos obstáculos potenciales distintos”, uno es la decisión de renovación de la CE y la posibilidad de que se presente un caso legal contra una decisión de renovación positiva ante el TJUE.
Añadió que, si bien es probable que la propia CE quiera renovar el estatus de adecuación del Reino Unido debido a una serie de factores, incluidos los beneficios económicos que aportaría al bloque, el hecho de que el Reino Unido ya esté utilizando el RGPD como punto de partida y la propios imperativos políticos y estratégicos: era más probable que el Reino Unido perdiera su idoneidad como resultado de un desafío legal presentado ante el TJUE.
“Hubo un gran consenso entre nuestros testigos en que, de la Comisión Europea y el TJUE, este último es el mayor riesgo para la continuación del estatus de adecuación del Reino Unido. Por ejemplo, la organización tecnológica sin fines de lucro Reset calificó al TJUE como “el foro más exigente de los dos” y dijo que el tribunal “en los últimos años ha adoptado sistemáticamente una línea más absoluta que la Comisión Europea (y la mayoría de los Estados miembros). Estados) en defensa de los derechos fundamentales a la privacidad”, dijo.
“Varios testigos señalaron que, en sus dos fallos Schrems, el TJUE había anulado acuerdos previos de adecuación de la UE con un socio tan importante como Estados Unidos. (La cuestión clave en la huelga fue el riesgo de acceso desproporcionado – y la naturaleza de la supervisión del acceso – por parte de las agencias de seguridad nacional y de aplicación de la ley de EE.UU. a datos personales en poder de entidades privadas, y el riesgo de que esto incluyera datos transferidos desde la UE.)”
Añadió que varios testigos dijeron que si el Reino Unido perdiera su estatus de adecuación, “esperarían que el Reino Unido y la Comisión Europea implementaran una o varias ‘soluciones alternativas’ inmediatas, para evitar el escenario del abismo y ganar tiempo para tomar medidas”. eso restablecería la adecuación”.
Las alternativas sugeridas a la adecuación de los datos incluyen el uso de acuerdos multilaterales y mecanismos legales como las Cláusulas Contractuales Estándar (SCC) o las Normas Corporativas Vinculantes (BCR). Sin embargo, Schrems II puso en duda la validez de la ruta SCC y descubrió que, aunque eran legalmente válidas, las empresas aún tenían la responsabilidad de garantizar que aquellos con quienes compartían los datos concedieran protecciones de privacidad equivalentes a las contenidas en la legislación de la UE.
Según Owen Sayers, un consultor de seguridad independiente y arquitecto empresarial con más de 25 años de experiencia en la entrega de soluciones seguras para la vigilancia policial, existe el riesgo de que la EAC haya colapsado la distinción entre la adecuación del RGPD y la LED al alinearlos demasiado estrechamente en forma y función. y la naturaleza, cuando son “estructuralmente muy diferentes” entre sí.
“Según el RGPD, puedes transferir datos simplemente si eres adecuado”, dijo. “Bajo el DEL, es muy difícil, y para algunas organizaciones específicas es prácticamente imposible, transferir datos a menos que sea adecuado.
“Estas condiciones suenan bastante similares, pero son polos opuestos: ‘puedes hacerlo si’ es de naturaleza intrínsecamente permisiva; mientras que “no puedes hacerlo a menos” es una barrera de control. Incluso si tiene la idoneidad del LED, tendrá restricciones en cuanto a a quién en su país de destino desea enviar esos datos”.
La CAO añadió que hay una serie de cuestiones que serían de “interés y posible preocupación” tanto para la CE como para el TJUE al considerar el estado de adecuación del Reino Unido.
Esto incluye posibles divergencias en los estándares de protección de datos que dificultarían que las personas ejerzan sus derechos sobre los datos; la posibilidad de que el gobierno del Reino Unido socave el cifrado de extremo a extremo; la independencia y eficacia de la Oficina del Comisionado de Información (ICO); aspectos del régimen de seguridad nacional del Reino Unido en virtud de la Ley de poderes de investigación de 2016, incluida la recopilación y retención de datos, los poderes y prácticas de vigilancia y el papel del Tribunal de poderes de investigación; y cualquier caso legal que genere motivos de preocupación sobre los estándares de protección de datos del Reino Unido.
La EAC también destacó los riesgos potenciales que plantean las transferencias posteriores de datos desde el Reino Unido a otros terceros países, incluso en el marco del Acuerdo sobre la Nube entre el Reino Unido y los Estados Unidos.
“Todo esto significa que el gobierno y los servicios públicos en general necesitan analizar detenidamente su gobernanza de los datos y el despliegue de la IA antes de sus ambiciosos planes para la adopción de tecnología en el sector público”, dijo Clement-Jones a Computer Weekly.
El problema de la nube policial
Si bien la propia EAC no evaluó los impactos sobre la adecuación de los sistemas de TI ya adquiridos y en uso, el creciente uso de servicios de nube pública con sede en EE. UU. por parte de la policía del Reino Unido y el sector de la justicia penal en general ha sido citado anteriormente por Computer Weekly como un potencial Un gran problema para la capacidad del Reino Unido de obtener la idoneidad del LED, principalmente debido al potencial de acceso remoto a esos datos y su posterior transferencia a una jurisdicción no adecuada.
Desde que Computer Weekly reveló en diciembre de 2020 que docenas de fuerzas policiales del Reino Unido estaban procesando ilegalmente los datos de más de un millón de personas en Microsoft 365, los expertos en protección de datos y los reguladores de tecnología policial han cuestionado varios aspectos de cómo la policía del Reino Unido ha implementado la infraestructura de nube pública a hiperescala. argumentando que actualmente no pueden cumplir con las estrictas reglas específicas de aplicación de la ley establecidas en la DPA.
A principios de abril de 2023, Computer Weekly reveló que el servicio Digital Evidence Sharing Capability (DESC) del gobierno escocés, contratado para su entrega con el proveedor de vídeos corporales Axon y alojado en Microsoft Azure, estaba siendo puesto a prueba por la Police Scotland a pesar de que un organismo de control policial había planteado preocupaciones sobre cómo el uso de Azure “no sería legal”.
Específicamente,…