Nueva normativa de Reino Unido en materia de protección de datos

Nueva normativa inglesa en protección de datos tras el brexit

Nueva normativa de Reino Unido en materia de protección de datos

Nueva normativa de Reino Unido en materia de protección de datos

¿Cómo afectará el Brexit al RGPD?

A partir del 30 de marzo de 2019, Reino Unido pasará a ser considerado un “tercer país” para muchas cuestiones y, en particular, en materia de protección de datos y transferencias internacionales.

A salvo quedarían, no obstante, los posibles acuerdos transitorios que pudieran llegar a regularse en el acuerdo de retirada. Así, lo ha comunicado la Dirección General de Justicia y Consumidores de la Unión Europea el pasado 9 de enero de 2018.

Salvo que el acuerdo de retirada establezca lo contrario, la legislación comunitaria dejará de ser de aplicación en Reino Unido a partir del día 30 de marzo de 2019. Una vez llegada esta fecha, Reino Unido se convertirá, a todos los efectos, en un “tercer país”.

Mayores restricciones

Lo anterior supone que las transferencias de datos personales desde la Unión Europa al Reino Unido pasarán a estar sometidas a mayores restricciones, lo que afectará tanto a prestadores de servicios, así como a compañías que transfieran datos personales de clientes o trabajadores a sus sociedades matrices o filiales localizadas en el Reino Unido.

Así las cosas, salvo pacto específico en el acuerdo de retirada, a partir de la fecha de retirada, serán de aplicación las normas en materia de transferencias de datos personales a terceros países. En estos casos, el Reglamento General de Protección de Datos 2016/679 (“RGPD”) establece que los responsables del tratamiento podrán llevar a cabo transferencias internacionales:

  • Cuando se disponga de una decisión de adecuación de la Comisión Europea.
  • Cuando el responsable ofrezca garantías adecuadas sobre la protección que recibirán los datos y los interesados cuenten con derechos exigibles y acciones legales efectivas (i.e.: normas corporativas vinculantes, cláusulas tipo adoptadas por la Comisión o por una autoridad de control, o cláusulas contractuales autorizadas por una autoridad de control); o
  • Cuando se cumplan alguna de las excepciones previstas para situaciones específicas que permiten transferir datos sin garantías adecuadas (i.e. consentimiento, necesidad de la transferencia para la ejecución de un contrato, razones de interés público, etc.).

¿Hay algún problema con que Reino Unido sea en un futuro próximo un ” tercer país”?

A pesar de que Reino Unido será en un futuro próximo un país externo respecto a la Unión Europea, su normativa de protección de datos estará en consonancia con la del resto del continente.

Tras la aprobación de brexit, Reino Unido remodelará sus leyes en materia de protección de datos, aunque lo hará con una nueva ley propia en lugar del RGPD.

La British Data Protection Act 1998 iba a ser sustituída por el RGPD, pero con la aprobación del brexit todo quedó en entredicho y según parece, finalmente Reino Unido mantendrá el calendario que tenía planificado para remodelar sus leyes en materia de protección de datos, aunque lo harán con una nueva ley propia en lugar del RGPD.

¿Va a existir mucha diferencia entre el RGPD y la nueva normativa que proponen los ingleses?

Los planes que tiene el Gobierno británico parece ser  que recogen muchos de los puntos fundamentales del Reglamento General de Protección de Datos (RGPD).

¿Cuál es el objetivo de la nueva ley que propone el gobierno británico?

El objetivo de la nueva ley es que los datos puedan seguir fluyendo libremente a través de las fronteras una vez que se confirme el brexit.

 ¿Qué planes podríamos destacar en la nueva normativa británica?

  • La ampliación de la definición de “dato personal”, reflejando el crecimiento de la tecnología en los últimos 20 años para incluir direcciones IP, cookies de Internet y ADN de las personas.
  • Refuerzo de los derechos de los individuos sobre sus datos personales.

En este caso, cabe destacar la introducción de su propia versión del Derecho al Olvido ya vigente en la Unión Europea.  En la versión británica incluso los ciudadanos puedan solicitar el borrado total y permanente de todos los datos acumulados por empresas digitales recogidos durante el periodo en el que eran menores de edad.

  • Los individuos tendrán más control sobre su huella digital, sus datos personales, cómo los utilizan y transmiten las empresas.

Con esta nueva ley, ¿se asegura el flujo de datos entre el continente europeo y el futuro “tercer país”?

A pesar de que esta nueva ley está encaminada a asegurar que el flujo de datos entre la UE y el Reino Unido pueda continuar una vez consumada la separación, podría ser necesario un acuerdo transitorio para evitar cualquier interrupción.

¿Cuándo se anunció la nueva ley de protección de datos?

El Gobierno Británico presentó al Parlamento la propuesta de nueva Ley de protección de datos (Data protection Bill) a comienzos de septiembre.

La norma, que fue anunciada el pasado 7 de agosto por el ministro de lo Digital, Cultura, Media y Deportes Matt Hancock, adaptará al Reino Unido el contenido del Reglamento General de Protección de Datos, a fin de garantizar que el país se regirá en esta materia por los mismos principios que la Unión Europea, una vez se produzca el anunciado Brexit en marzo de 2019.

¿ Sobre qué pilares se articula la nueva ley?

El objetivo de la nueva norma es hacer que Reino Unido sea el lugar más seguro para los negocios online.

Los ejes principales para que eso sea así, son tres:

  • Mantener la confianza de los ciudadanos en que sus datos personales están seguros y son utilizados de manera legal, responsable y ética, pudiéndose conocer qué datos se están tratando y porqué, así como aplicándose sanciones estrictas para su uso o tratamiento indebido.
  • Asegurar el futuro de la transferencia internacional de datos, al permitir que el Reino Unido maximice las futuras relaciones de datos con la UE y con otros países.
  • Reforzar la seguridad frente a una delincuencia orientada cada vez con mayor frecuencia a la sustracción y tráfico ilícito de datos personales.
  • Los individuos tendrán mayor control sobre su huella digital, sus datos personales, cómo los utilizan y transmiten las empresas.

 Fortalecimiento de derechos ya existentes

Lo que  quiere garantizar Reino Unido con esta norma es una mayor protección de los datos, con una  mejor combinación de nuevos derechos y del fortalecimiento de otros ya existentes:

  • Consentimiento: se fortalecen las reglas en torno a esta figura, que deberá ser “inequívoco” y fácil de retirar.
    • El consentimiento también debe ser “explícito” al procesar datos personales confidenciales.
    • Se elimina las opciones de prestación de consentimiento por defecto o mediante casillas preseleccionadas.
    • Se requiere el consentimiento de los padres o tutores de los menores de 13 años para el tratamiento de sus datos.
  • Acceso a los datos: se facilitará el procedimiento de acceso a los datos tratados por una organización o empresa, sin cargo alguno.
  • Portabilidad de datos: se facilitará a los interesados el movimiento de sus datos entre distintos proveedores de servicios (incluyendo archivos, correo electrónico, fotografías personales u otros datos personales).
  • Derecho al olvido: las personas podrán solicitar en determinadas circunstancias el borrado de sus datos personales.
  • Perfilado: los interesados tendrán mayor capacidad de decisión sobre las decisiones que se tomen sobre ellos por medio de procedimientos automatizados. En estos casos, las personas pueden solicitar que el procesamiento sea revisado por una persona en lugar de por una máquina.

Por lo que se refiere a las empresas y a las organizaciones, la reforma prevé un refuerzo de los requisitos establecidos en la actual Ley de Protección de Datos de 1998 (Data Protection Act 1998), para reflejar la naturaleza y el alcance cambiantes de la economía digital y para ayudar a las organizaciones a proteger los datos personales, su reputación y su negocio.

 Conclusión

Las empresas del Reino Unido deben seguir preparándose para la entrada en vigor del RGPD, ya sea para cumplir con sus obligaciones en el periodo que vaya desde el 25 de mayo de 2016 y hasta la salida efectiva de Reino Unido de la UE, o para cumplir con sus obligaciones tras la salida de la UE si el RGPD les sigue siendo de aplicación.

Comparte este artículo

Deja un comentario