Reglamento general de protección de datos de la UE y el Reino Unido: un resumen

A finales de 2020, el período de transición entre la Unión Europea y el Reino Unido llegó a su fin. Este acontecimiento tuvo consecuencias relevantes en torno al marco jurídico de protección de datos que ahora es válido en el Reino Unido. Además, la UE y el Reino Unido suscribieron un acuerdo comercial (el Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido) que establece normas de legislación en materia de protección de datos, que tanto la UE como el Reino Unido se comprometieron a respetar. 

Así pues, los cambios políticos provocados por el Brexit han afectado a todo el sistema. En este sentido, los siguientes apartados pretenden resumir las principales implicaciones que estos cambios han supuesto para el panorama de la protección de datos. Esto también es especialmente relevante para aquellas empresas con una sucursal en el Reino Unido. 

Escenario legal

El Reglamento General de Protección de Datos de la UE ha sido la legislación que ha regido la ley de protección de datos en el territorio durante los últimos dos años y medio. Cuando entró en vigor, el GDPR logró construir un marco jurídico armonizado que regulaba las formas de recopilar, almacenar, compartir y utilizar los datos personales. Desde el 1 de enero de 2022, el GDPR tradicional dejó de tener efecto directo en el Reino Unido. Sin embargo, dado el acuerdo comercial, el Reino Unido se ha comprometido a mantener un régimen de protección de datos equivalente. Por esta razón, una versión británica del GDPR ha entrado en vigor a partir del 1 de enero de 2022. El llamado "UK-GDPR" refleja en su mayor parte el GDPR de la UE ya existente y se aplicará como una ley independiente. 

Doble exposición normativa

En la actualidad, existen dos GDPR válidos: el GDPR de la UE y el GDPR del Reino Unido. Esto tiene una enorme consecuencia: la posible doble exposición normativa para aquellas empresas que procesan datos tanto en la UE como en el Reino Unido. En concreto, la organización que realice actividades de tratamiento tanto en la UE como en el Reino Unido, o que se dirija a clientes o supervise a personas en la UE desde el Reino Unido y viceversa, estará sujeta a responsabilidades normativas en virtud de cualquiera de las dos versiones. En consecuencia, es posible que esas empresas experimenten una norma de cumplimiento más estricta. Por ejemplo;

  • El nombramiento de un responsable de la protección de datos por separado para el Reino Unido y la UE;
  • La designación de una autoridad de control principal en la UE y el registro en la ICO (Information Commissioner's Office) para las actividades de procesamiento de datos que tienen lugar en el Reino Unido;
  • El nombramiento de un representante en la UE y en el Reino Unido;
  • La gestión de un posible riesgo de doble exposición a sanciones por la misma infracción.

Transferencia de datos entre la UE y el Reino Unido

El GDPR del Reino Unido establece restricciones a la transferencia de datos personales a menos que el país receptor se beneficie de una decisión de adecuación. Según el Reglamento de salida de la UE, esta decisión de adecuación abarca a todos los Estados miembros del Espacio Económico Europeo (EEE). Por lo tanto, el tratamiento de datos que implique la transferencia de personal entre el Reino Unido y los Estados miembros del EEE continuará.

Acuerdos de protección de datos 

Es fundamental que los contratos reflejen los cambios mencionados. En concreto, los contratos deberán actualizarse de acuerdo con la nueva legislación británica sobre el GDPR. Además, las organizaciones del Reino Unido que realicen transferencias de datos en el Reino Unido deben hacer referencia al GDPR del Reino Unido, a la Ley de Protección de Datos de 2018 y al Reglamento de Privacidad y Comunicaciones Electrónicas de 2003. Además, el GDPR de la UE puede seguir aplicándose a las organizaciones con sede en el Reino Unido si realizan operaciones de procesamiento de datos dentro de la UE. En estas circunstancias, es previsible que los regímenes de protección de datos de la UE y del Reino Unido se apliquen al mismo contrato.

 

 

Responsable del tratamiento con sede en el Reino Unido

Responsable del tratamiento con sede en la UE

Datos personales tratados en el Reino Unido

GDPR del Reino Unido y DPA 2018

GDPR de la UE y GDPR del Reino Unido

Datos personales tratados en la UE

GDPR del Reino Unido, DPA 2018, GDPR del Reino Unido

 

 

En las circunstancias anteriores, es fundamental que las organizaciones con sede en la UE y en el Reino Unido evalúen su cumplimiento con el requisito del GDPR del Reino Unido. En este sentido, la adaptación de la documentación es crucial para organizar la transferencia de datos con la UE.

Salvo Fasciana, profesor de la Universidad de Newcastle

Giambrone & Partners es un bufete de abogados internacional con oficinas en Barcelona, Munich, Londres, Milán, Roma, Gran Canaria, Tunez,  Palermo, Porto, Napoli y Sassari.  Para cualquier información o asesoramiento sobre su caso particular, póngase en contacto con nosotros en los siguientes números de teléfono:

Oficina de Barcelona: +34 932 201 627

Oficina de Madrid+34 932 201 627  

Oficina de Milano: +39 02 9475 4184

Oficina de Roma: +39 06326498

Oficina de Palermo: +39091743 4778

Oficina de Sassari: +39 0799220012

O bien en el correo electrónico: info@giambronelaw.com