El pasado 24 de diciembre de 2020 se cerró el Acuerdo Comercial y de Cooperación entre UK y la UE, que regula sus relaciones a partir del 1 de enero de 2021.
En materia de protección de datos, el Acuerdo supone que no se considerará a UK como un tercer país desde el inicio de 2021, evitando de esta manera, la consideración de los flujos de datos desde la UE hacía UK como ‘transferencia internacional de datos’ algo que obligaría realizar dichas transferencias bajo los mecanismos específicos establecidos en el Capítulo V del RGPD y del Título VI de la LOPDGDD 3/2018. Conforme al acuerdo establecido, se garantiza la libre circulación de los datos entre el UK y la UE, por lo menos, hasta el fin de junio de 2021 (se incluye un período transitorio de validez que durará inicialmente 4 meses a partir del 01/01/2021, si bien podrá prorrogarse otros 2 meses salvo oposición de cualquiera de las partes). Durante este período transitorio la transmisión de datos personales desde la UE a UK no será considerada una transferencia internacional de datos, siempre que el Reino Unido no modifique de forma sustancial su actual marco normativo de protección de datos (Data Protection Act de 2018), sin el acuerdo de la UE.
Al finalizar este periodo transitorio, UK y UE deberían haber llegado en un acuerdo definitivo sobre circulación de los datos en base de ‘adequacy agreement’, es decir, UE pasaría a considerar a UK como un país con un nivel adecuado en materia de protección de datos de carácter personal, igual que ha hecho con países como Suiza, Argentina, Japón, etc.
La retirada del Reino Unido de la UE conlleva que el RGPD deja de ser norma aplicable en el Reino Unido. No obstante, de conformidad con el art. 3.2 del RGPD, un operador británico deberá cumplir el RGPD si realiza tratamientos de datos con motivo de la oferta de bienes o servicios a interesados que se encuentren en la UE o derivados del control de su comportamiento. Esto implica que deberán nombrar por escrito un representante en la UE, salvo que únicamente realicen tratamientos ocasionales que no incluyan el manejo a gran escala de categorías especiales de datos o datos relativos a condenas e infracciones penales, y sea improbable que entrañen un alto riesgo para los derechos de los interesados.
En correspondencia, el ICO ha anunciado que los operadores del Espacio Económico Europeo no establecidos en el Reino Unido, pero que dirijan su oferta de bienes o servicios a interesados que se encuentren en dicho territorio o controlen su comportamiento, también deberán designar por escrito un representante en el Reino Unido, salvo en los mismos supuestos mencionados en el apartado anterior.
Para más información sobre el proceso de Brexit y las consecuencias que tendrá, entre otros, en materia de protección de datos de carácter personal, el gobierno del Reino Unido ha habilitado una página web en la cual va suministrando información útil sobre el proceso. Asimismo, recientemente, ha incorporado en la misma web un ‘Brexit checker’, es decir, un tipo ‘FAQs’ mediante el cual cada interesado obtiene información sobre como quedará su situación tanto a nivel personal/doméstico como profesional.
