Tras la salida del Reino Unido de la UE, muchas organizaciones se han preguntado qué impacto tendrá el Brexit en el RGPD y qué medidas deben tomarse para cumplir con las nuevas leyes y reglamentos.
Cuando el 25 de mayo de 2018 entró en vigor el RGPD, supuso la mayor modificación de la legislación sobre privacidad de datos en 20 años. La legislación se diseñó para estandarizar las normas de protección de datos en toda la Unión Europea y reconocer los derechos de las personas en relación con el uso de sus datos personales.
Las organizaciones han dedicado mucho tiempo y esfuerzo en los dos últimos años a mejorar los procesos de protección de datos y a aplicar nuevas medidas para cumplir la histórica legislación.
Este compromiso con la protección de datos no ha sido en vano, ya que muchas de las medidas adoptadas seguirán siendo pertinentes y no cambiarán el modo en que las empresas con sede en el Reino Unido tratan los datos de los sujetos en este país.
Sin embargo, ahora que el Reino Unido ha abandonado formalmente la UE, las organizaciones tendrán que evaluar qué cambios hay que hacer para garantizar el cumplimiento de la legislación pertinente en materia de protección de datos.
Para responder a cualquier pregunta que pueda tener, hemos elaborado una breve guía que resume lo que los cambios pueden significar para su empresa.
Brexit y GDPR - Todo lo que necesita saber
¿Seguirá aplicándose el GDPR en el Reino Unido?
El1 de enero de 2021, el GDPR de la UE dejó de aplicarse en el Reino Unido, ya que se trata de un reglamento de la UE. Sin embargo, si su empresa opera en el Reino Unido, deberá seguir cumpliendo la ley de protección de datos británica. El gobierno del Reino Unido ha incorporado el GDPR a la legislación británica como GDPR del Reino Unido.
En la práctica, esto significa que ha cambiado muy poco. Se han introducido algunas modificaciones para reflejar la situación del Reino Unido fuera de la UE, pero esencialmente los principios, derechos y obligaciones básicos de protección de datos del RGPD siguen siendo los mismos y se han consagrado en el RGPD del Reino Unido.
¿Seguirá aplicándose el RGPD si su empresa opera en el Espacio Económico Europeo (EEE)?
Sí, si su empresa opera en Europa, ofrece bienes o servicios a personas en Europa o supervisa el comportamiento de personas en Europa, el RGPD de la UE seguirá siendo aplicable. Si su organización realiza actividades de tratamiento tanto en la UE como en el Reino Unido, tendrá que cumplir tanto el RGPD del Reino Unido como el de la UE.
¿Cómo afecta el Brexit a las transferencias internacionales de datos?
Como parte del nuevo acuerdo comercial, la UE ha acordado retrasar las restricciones de transferencia durante un periodo limitado de hasta cuatro meses, que puede ampliarse a seis. Este mecanismo puente permitirá que los datos personales fluyan libremente desde el Espacio Económico Europeo (EEE) al Reino Unido hasta que se alcance una decisión de adecuación.
Dado que el Reino Unido ha abandonado la UE, está clasificado como "tercer país" para Europa según el GDPR. Los terceros países son estados que quedan fuera de la zona del RGPD de la UE. Las transferencias de datos desde la UE a terceros países están sujetas a restricciones a menos que la Comisión Europea conceda un estatus llamado "adecuación".
La Comisión Europea concede la adecuación a los países si se considera que tienen un nivel adecuado de protección de datos. Otros países a los que la UE ha concedido el estatus de adecuación son Argentina, Nueva Zelanda, Israel y Japón. Si el Reino Unido obtiene la adecuación, la libre circulación de datos personales continuará sin nuevas restricciones.
¿Será la UE adecuada para las transferencias de datos desde el Reino Unido?
Sí. El gobierno británico ha confirmado que reconocerá transitoriamente a la UE como adecuada para permitir los flujos de datos desde el Reino Unido sin ningún mecanismo de transferencia adicional.
¿Necesita su empresa un representante europeo?
Si su empresa ofrece bienes o servicios a personas en el EEE o supervisa el comportamiento de personas en el EEE, es posible que tenga que nombrar a un representante de la UE. Del mismo modo, si su empresa no tiene sede en el Reino Unido pero procesa los datos personales de ciudadanos británicos, es posible que tenga que nombrar a un representante del Reino Unido en virtud del RGPD del Reino Unido.
¿Cuál será el papel del ICO?
La ICO seguirá siendo el organismo de supervisión independiente que rige la legislación de protección de datos del Reino Unido. Sin embargo, ya no será una autoridad de supervisión de la UE, por lo que si usted procesa los datos de los ciudadanos de la UE, tendrá que tener un representante designado de la UE. La OIC ha declarado claramente que si usted maneja datos de ciudadanos de la UE, seguirá teniendo que cumplir con el RGPD.
¿A quién notificará en caso de violación de datos?
En caso de violación de datos, una empresa con sede en el Reino Unido se pondría en contacto con la OIC. Tras el Brexit, la OIC solo investigará los incidentes relacionados con la protección de datos que afecten a personas del Reino Unido. Si la violación afecta a varias nacionalidades, la OIC iniciará una investigación y tratará con las autoridades de control de cada uno de los territorios afectados. Si los sujetos de datos de la CEE están implicados, tendrá que ponerse en contacto directamente con las Autoridades de Supervisión de la UE correspondientes.
¿Se verán afectadas otras normas de protección de datos?
DPA
La Ley de Protección de Datos del Reino Unido de 2018(DPA 2018) seguirá aplicándose, complementando el GDPR del Reino Unido.
PECR
El Reglamento de Privacidad y Comunicaciones Electrónicas de 2003 (PECR) establece normas sobre marketing, cookies y comunicaciones electrónicas. Se trata de una normativa específica del Reino Unido derivada de una ley de la UE conocida como directiva eprivacy (hay planes en curso para sustituir la directiva eprivacy por el reglamento ePrivacy). Por tanto, el PECR seguirá vigente y no se verá afectado por la salida del Reino Unido de la UE.
NIS
La Directiva sobre la seguridad de las redes y los sistemas de información (NIS) también procede de la legislación de la UE, pero está recogida en las leyes del Reino Unido. Como tal, las normas actuales seguirán aplicándose. Sin embargo, si usted es un proveedor de servicios digitales con sede en el Reino Unido que ofrece servicios en la UE, es posible que tenga que designar un representante en uno de los Estados miembros de la UE en los que presta servicios.
eIDAS
La normativa sobre identificación electrónica, autenticación y servicios de confianza es también una ley de la UE, pero ya no se aplica en el Reino Unido. Sin embargo, el gobierno del Reino Unido ha dicho que incorporará las normas del e IDAS a la legislación británica, por lo que si usted es un proveedor de servicios fiduciarios del Reino Unido, tendrá que seguir cumpliendo estas normas. Además, si presta servicios en la UE, también tendrá que cumplir las normas eIDAS en los Estados miembros de la UE.
FOIA
LaLey de Libertad de Información de 2000 forma parte de la legislación del Reino Unido y seguirá aplicándose.
EIR
Lanormativa sobre información medioambiental está recogida en la legislación del Reino Unido, por lo que seguirá aplicándose a menos que se derogue o modifique.
¿Qué medidas deben tomar las empresas después del Brexit?
Las organizaciones tendrán que llevar a cabo una revisión detallada de la privacidad de los datos para evaluar si es necesario realizar algún cambio. Si su empresa está basada en el Reino Unido y ofrece bienes y servicios principalmente a clientes británicos, no tendrá que hacer mucho. Sin embargo, si ofrece bienes y servicios tanto a la UE como al Reino Unido, es posible que tenga que hacer cambios. Para garantizar el cumplimiento de la legislación de protección de datos pertinente, su organización debe:
- Mapee los flujos de datos para garantizar que su empresa pueda cumplir tanto con el GDPR del Reino Unido como con el GDPR de la UE.
- Actualizar los registros de tratamiento para cumplir con los requisitos del GDPR de la UE y del Reino Unido.
- Evaluar si hay una autoridad de supervisión de la UE que ahora se calificará como autoridad de supervisión principal (LSA).
- Actualizar los planes de respuesta a las violaciones de la seguridad para permitir la posible notificación a la OIC y al CEJ de la UE en caso de violación.
- Considere si su empresa necesita nombrar un representante en el Reino Unido y/o en la UE.
- Actualizar los avisos de privacidad para garantizar que detallan los flujos de datos y cubren los requisitos pertinentes de ambas legislaciones.
- Modificar los contratos y plantillas existentes para que incluyan la referencia adecuada tanto al GDPR del Reino Unido como al GDPR de la UE.
- Considere si las evaluaciones de impacto de la protección de datos y las evaluaciones de interés legítimo tendrán que actualizarse para cumplir con el GDPR del Reino Unido.
- Garantizar las salvaguardias adecuadas para los flujos de datos transfronterizos.
- Evalúe si necesita nombrar a un responsable de la protección de datos del Reino Unido y de la UE por separado.