La Comisión Europea propone un acuerdo de adecuación de datos en el Reino Unido

La Comisión Europea (CE) ha indicado su voluntad de ofrecer un acuerdo de adecuación de datos para el Reino Unido, sujeto a la aprobación formal de los estados miembros de la UE.

La comisión ha publicado dos borradores de decisiones sobre adecuación de datos, uno bajo el Reglamento General de Protección de Datos (GDPR) y otro bajo la Directiva de Aplicación de la Ley (LED), para permitir la transferencia continua de datos personales al Reino Unido, poniendo en marcha el proceso de su adopción formal

El propósito de las decisiones de adecuación de datos es determinar si un país, o sector dentro de un país, fuera de la Unión Europea (UE) tiene estándares de protección de datos esencialmente equivalentes al bloque y, por lo tanto, si los datos se pueden compartir con él.

El Reino Unido ya ha determinado, bajo sus propias reglas, que la UE ofrece un nivel adecuado de protección de datos, y los proyectos de decisiones ahora buscan evaluar si los datos aún pueden fluir en la otra dirección de la UE al Reino Unido después del Brexit.

Según las decisiones, la CE considera que las leyes de protección de datos del Reino Unido “garantizan un nivel de protección para los datos personales … que es esencialmente equivalente” tanto en el RGPD como en el LED, y que los “mecanismos de supervisión y vías de reparación” son lo suficientemente sólidos. Permitir a los interesados ​​ejercer sus derechos y sancionar las infracciones.

Ambos proyectos de decisión serán ahora examinados por la Junta Europea de Protección de Datos (EDPB) pero, debido a que la junta en sí no tiene poder para bloquear las decisiones, también necesitarán la aprobación de los estados miembros de la UE antes de que puedan ser adoptados plenamente por el CE.

Actualmente, los datos pueden fluir de la UE al Reino Unido en virtud del Acuerdo de Comercio y Cooperación firmado el 24 de diciembre de 2020, que proporciona un período de transición de seis meses para permitir el flujo continuo de datos mientras se evalúan por completo las decisiones de adecuación.

“Un flujo de datos seguros entre la UE y el Reino Unido es fundamental para mantener estrechos lazos comerciales y cooperar de forma eficaz en la lucha contra la delincuencia. Hoy iniciamos el proceso para lograrlo. Hemos comprobado minuciosamente el sistema de privacidad que se aplica en el Reino Unido después de su salida de la UE ”, dijo el comisionado de Justicia Didier Reynders.

“Ahora las autoridades europeas de protección de datos examinarán a fondo los borradores de textos. El derecho fundamental de los ciudadanos de la UE a la protección de datos nunca debe verse comprometido cuando los datos personales viajan a través del Canal. Las decisiones de adecuación, una vez adoptadas, garantizarían precisamente eso “.

Si los estados miembros están de acuerdo en que el Reino Unido es adecuado según el DEL, será la primera vez que se tome una decisión de adecuación de este tipo según la directiva, y la mayoría de las transferencias de datos de las fuerzas del orden desde la UE se rigen actualmente por acuerdos internacionales que no tienen en cuenta el estándar de equivalencia esencial que existe ahora.

Se han tomado doce decisiones de adecuación bajo el GDPR desde que entró en vigencia en mayo de 2018, siendo Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay. reconocidas como jurisdicciones adecuadas por la CE.

En julio de 2020, el Tribunal de Justicia de la UE (TJUE) anuló el acuerdo de intercambio de datos del Escudo de la privacidad UE-EE. UU. Por no garantizar que los ciudadanos europeos tuvieran derechos adecuados de reparación cuando la Agencia de Seguridad Nacional de EE. UU. Puede recopilar datos ( NSA) y otros servicios de inteligencia estadounidenses.

El fallo, conocido coloquialmente como Schrems II en honor al abogado austriaco que llevó el caso al TJUE, determinó que las personas deben recibir una “protección esencialmente equivalente” para sus datos cuando se transfieren a los EE. UU. Y otros países a la que recibirían en el UE bajo el RGPD y la Carta Europea de Derechos Fundamentales, que garantiza a las personas el derecho a las comunicaciones privadas y la protección de sus datos privados. El estado de adecuación de los datos UE-EE. UU. Aún no se ha resuelto por completo.

Aunque ambas decisiones de adecuación para el Reino Unido tienen como objetivo lograr el mismo estándar de equivalencia esencial, las reglas para la protección de datos personales difieren entre el GDPR y el LED, y este último establece reglas específicas del sector para gobernar cómo se pueden procesar los datos personales y transferidos por organizaciones de justicia penal con fines policiales.

Por tanto, la adopción formal de una decisión de adecuación no implica la adopción automática de la otra, ya que ambas deben evaluarse por separado en función de sus propios méritos.

El gobierno y el sector tecnológico del Reino Unido reaccionan a la adecuación del RGPD

El secretario de estado digital, Oliver Dowden, acogió con satisfacción la publicación de los borradores de decisiones, que afirmó reflejan el compromiso del Reino Unido con los altos estándares de protección de datos.

“Aunque el progreso de la UE en esta área ha sido más lento de lo que hubiéramos deseado, me alegro de que hayamos alcanzado este importante hito tras meses de conversaciones constructivas en las que hemos establecido nuestro sólido marco de protección de datos”, dijo.

“Ahora insto a la UE a que cumpla su compromiso de completar el proceso de aprobación técnica con prontitud, para que las empresas y organizaciones de ambas partes puedan aprovechar los claros beneficios”.

Los proyectos de decisiones también han sido recibidos positivamente por los organismos de la industria que representan una variedad de empresas en el sector tecnológico del Reino Unido.

“La decisión de hoy es muy bien recibida por el sector tecnológico, que ha dejado en claro la importancia de un acuerdo mutuo de adecuación de datos desde el día después del referéndum”, dijo Julian David, director ejecutivo de TechUK.

“Recibir la adecuación de los datos, junto con el Acuerdo de Comercio y Cooperación UE-Reino Unido, establecerá una base sólida para el comercio digital con la UE, incluidas cláusulas sólidas de no discriminación y disposiciones de flujos de datos positivos, que darán a las empresas la confianza para invertir”.

Stephen Kelly, presidente de Tech Nation, agregó que la transferencia internacional de datos era fundamental para la tecnología del Reino Unido, particularmente para sectores como la tecnología financiera (fintech), donde el rápido crecimiento se ha basado en desbloquear el valor de los datos.

“La economía de los datos representa alrededor del 4% del PIB nacional y se prevé que tenga un valor de 130.000 millones de dólares en 2025, lo que convierte al Reino Unido en un centro mundial de flujos de datos. La decisión de adecuación positiva entre el Reino Unido y la UE, por lo tanto, trae una gran noticia al sector tecnológico, luego de meses de espera y planificación de contingencias en el período de transición ”, dijo.

“Apoya el crecimiento continuo de las ampliaciones tecnológicas y la posición del Reino Unido como líder mundial en tecnologías basadas en datos. A medida que miramos hacia adelante para reconstruir mejor, el flujo internacional de datos será vital para impulsar la próxima ola de innovación empresarial e impulsar la transformación en nuestra sociedad “.

Posibles problemas para asegurar la adecuación del LED

A principios de febrero de 2021, el EDPB publicó su primera guía sobre DEL, escribiendo que “las decisiones de adecuación deben centrarse en la evaluación de la legislación existente del tercer país en cuestión en su conjunto, en teoría y en la práctica, a la luz de los criterios de evaluación establecido en el LED “.

Añadió: “Cualquier análisis significativo de protección adecuada debe [therefore] comprenden dos elementos básicos: el contenido de las normas aplicables y los medios para asegurar su efectiva implementación en la práctica ”.

Mientras que el EDPB estaba escribiendo en el contexto de la adecuación del LED, el proceso de análisis de las leyes de protección de datos del Reino Unido tanto en la teoría como en la práctica también se aplica a la adecuación del GDPR.

Los expertos en protección de datos advirtieron anteriormente que, si bien los compromisos de DEL del Reino Unido están en papel a través de su transposición en la Parte Tres de la Ley de Protección de Datos (DPA 18), que está corroborada por el proyecto de decisión de la CE, ciertas prácticas dentro de los servicios de inteligencia y criminales del Reino Unido. El sector de la justicia (CJS) podría socavar la capacidad del país para asegurar una decisión de adecuación positiva en virtud de la directiva.

Estas preocupaciones también se extienden a la adecuación del RGPD, pero las reglas más estrictas sobre cómo se pueden transferir los datos con fines policiales significan que son particularmente problemáticos para la adecuación de los LED.

Específicamente, citaron la estrecha relación entre el Reino Unido y los EE. UU. Como un problema debido a la falta de estándares adecuados de protección de datos de este último, así como al propio régimen de vigilancia intrusiva del Reino Unido, que ha sido consagrado en la Ley de Poderes de Investigación de 2016, también conocida. como la “Carta de los fisgones”.

El uso cada vez mayor de los servicios de nube pública con sede en EE. UU. Por parte de la policía del Reino Unido y el CJS en general también se citó como un problema potencialmente enorme para la capacidad del Reino Unido de obtener la idoneidad del LED debido al potencial de acceso remoto a esos datos y su transferencia posterior a un no. -jurisdicción adecuada.

Si bien los borradores de decisiones son documentos grandes de más de 50 páginas que requieren un análisis detallado para comprenderlos completamente, las primeras impresiones de los especialistas en aplicación de la ley expresaron su decepción de que el documento de la CE es principalmente un resumen legal y no parece considerar estos aspectos prácticos del mundo real. .

También sugirieron que, si bien se ha publicado esta recomendación de adecuación de la CE, aún es demasiado pronto para asumir que se aprobará.

“El LED no es una regulación única para toda la UE como el GDPR”, dijo Owen Sayers, un consultor de privacidad independiente con sede en el Reino Unido con un amplio conocimiento del LED. “Cada estado miembro de la UE, incluido el Reino Unido cuando éramos miembros de la UE, ha creado su propia interpretación de la directiva, y la CE publicó recientemente un estudio de las múltiples implementaciones diferentes en la UE que demuestra cuánto varían de un país a otro”.

Sayers agregó: “Cada estado miembro probablemente querrá revisar la recomendación de la CE para asegurarse de que sus hallazgos se alineen con su propia legislación. En efecto, el Reino Unido necesita 27 revisiones legales positivas de la alineación de LED para aprobarse con éxito como adecuadas, mientras que el RGPD solo necesita una.

“Incluso entonces, aún no está claro cuántos datos estarán dispuestos a compartir los estados miembros de la UE; un hallazgo de adecuación permite compartir datos pero no obliga a un miembro a hacerlo”.