El analista Forrester ha advertido a los CIO que deberán prepararse para migrar el procesamiento de datos de los ciudadanos de la Unión Europea (UE) desde los centros de datos del Reino Unido para 2021.
Como Computer Weekly informó anteriormente, cuando finalice el período de transición del Brexit, los ministros del Reino Unido tendrán el poder de forjar nuevos acuerdos de intercambio de datos que corren el riesgo de socavar la viabilidad de futuras transferencias de datos con la UE.
Una decisión de adecuación es un mecanismo legal que permite a la Comisión Europea (CE) facilitar las transferencias de datos personales entre la UE y terceros países, que cubre los flujos de datos según el artículo 45 del Reglamento general de protección de datos (GDPR) para necesidades generales y comerciales, y según Artículo 36 del DEL para necesidades policiales. Confirmaría que el marco de protección de datos del Reino Unido es equivalente al de la UE.
En su Predicciones 2021: privacidad Forrester predijo que el Reino Unido se convertirá en un «tercer país» en materia de protección de datos en 2021. El informe sugirió que, desde una perspectiva de protección de datos, esto durará hasta 2021 y tendrá implicaciones significativas para las empresas a nivel mundial.
Los autores del informe advirtieron: “Independientemente de la ubicación de sus oficinas centrales, las empresas que almacenan y / o procesan los datos de los ciudadanos europeos (clientes y / o empleados) en el Reino Unido necesitarán mover físicamente esos datos a otra geografía que proporcione protección o incluir cláusulas contractuales estándar (CSS) en sus contratos «.
Según la Oficina del Comisionado de Información (ICO), aunque el gobierno ha dicho que las transferencias de datos del Reino Unido al Espacio Económico Europeo (EEE) no estarán restringidas, desde el final del período de transición, a menos que la CE tome una decisión de adecuación. , Las reglas de transferencia de GDPR se aplicarán a cualquier dato que provenga del EEE al Reino Unido. El sitio web de ICO recomendó que las empresas consideren qué salvaguardas de GDPR pueden implementar para garantizar que los datos puedan continuar fluyendo hacia el Reino Unido.
Forrester también destacó la falta de una decisión de adecuación, que según dijo afectaría la cadena de suministro de todas las empresas que dependen de la infraestructura tecnológica en el Reino Unido cuando se trata de datos personales de ciudadanos europeos.
La firma de analistas predijo que los proveedores de la nube comenzarán a proporcionar una forma para que sus clientes realicen esta transición. Los autores del informe recomendaron que las empresas deberían centrarse en evaluar el cumplimiento de los requisitos de protección de datos del Reino Unido, incluido el RGPD del Reino Unido, y determinar cómo la falta de una decisión de adecuación afectará las transferencias de datos y el trabajo en una estrategia de transición.
Si bien la ICO es la autoridad supervisora (SA) del Reino Unido para el GDPR, en julio la Junta Europea de Protección de Datos (EDPB) declaró que ya no calificará como una SA competente según el GDPR al final del período de transición. Esto significa que las decisiones de aprobación de UK SA tomadas bajo el GDPR ya no tendrán efecto legal en el EEE.
Las empresas multinacionales utilizan normas corporativas vinculantes (BCR) para permitir la transferencia de datos personales desde el EEE a sus filiales ubicadas fuera del EEE de conformidad con el octavo principio de protección de datos y el artículo 25 de la Directiva 95/46 / CE.
El EDPB ha instado a los solicitantes actuales de BCR a identificar una nueva SA líder de BCR en el EEE mucho antes del final del período de transición del Brexit, incluido el contacto con la SA en cuestión para proporcionar toda la información necesaria sobre por qué esta SA está siendo considerada como la nuevo BCR Lead SA.
En su sitio web, la ICO dijo que si las BCR se redactan con suficiente amplitud, deberían poder adaptarse a los cambios en la estructura de la empresa y algunas variaciones en los tipos de flujo de datos. Señaló que también se pueden utilizar contratos modelo en lugar de un BCR para facilitar los flujos de datos dentro de la empresa entre el EEE y un tercer país.
Sin embargo, el ICO dijo: “Hay inconvenientes con el uso de contratos, particularmente en empresas multinacionales con estructuras complejas, porque a veces se requieren cientos de contratos para cubrir transferencias entre todos los afiliados. La tarea de asegurarse de que los contratos se mantengan actualizados para mantenerse al día con la estructura corporativa cambiante también puede ser difícil y llevar mucho tiempo «.