Publicado en Confilegal. Publicado el 27 de junio de 2016.
El resultado del referéndum llevado a cabo hace unos días en Reino Unido sobre su permanencia en la Unión Europea abre un sinfín de interrogantes, a los que se irá dando respuesta a lo largo de los próximos meses. Meses en los que iremos conociendo cómo se gestiona su salida de la Unión Europea y el largo proceso que queda por delante y que afectará a cuestiones económicas, políticas y sociales.
En este punto el tratamiento de datos personales no queda ajeno a la nueva realidad europea, y es que la salida de la Unión Europea de Reino Unido tiene importante implicaciones, tanto desde el punto de vista de la cooperación internacional, como sus implicaciones para las propias empresas, en su condición de responsables de ficheros o de encargados de tratamiento.
Y es que no debemos olvidar que son muchas las empresas europeas con sede en Reino Unido, como parte de una estructura empresarial o mediante el establecimiento de su matriz en tierras inglesas.
Actualmente los tratamientos de datos, en sus diferentes vertientes, se encontraban acogidos al principio de libre circulación de los datos entre los Estados miembro (ex artículo 1 de la Directiva 95/46/CE). Ahora bien, la salida de Reino Unido de la Unión Europea, conlleva una nueva realidad para estos tratamientos de datos, que tendrían la consideración de transferencias internacionales de datos.
Así, en un momento en el que las propias transferencias internacionales de datos y los sistemas de regularización se han visto sometidos a examen, primeramente en relación con el extinto “Safe Harbor”, y en las últimas semanas sobre la validez de las cláusulas contractuales tipo y los sistemas de regularización, este asunto no es una cuestión baladí.
Tras más de cuatro años de negociaciones entre los propios Estados e Instituciones europeas, en 2016 veía la luz la aprobación del Reglamento General de Protección de Datos, una norma de aplicación directa, que regulará los tratamientos de datos dentro de Unión Europea, y que implicará la modificación de las normas nacionales de protección de datos, poniendo de manifiesto que los mecanismos de regularización de transferencias internacionales de datos deben ser revisados con cierta regularidad.
Así las cosas, en la actualidad, nuestra normativa reconoce a determinados países un nivel adecuado de protección para los tratamientos de datos personales. Un listado de países concreto, reconocido por sendas Decisiones Europeas, conforme al Convenio 108. En este punto no debe olvidarse que las normas homologadas que suponían un reconocimiento del nivel de protección, se habían examinado a los ojos de la Directiva Europea y que habrá que esperar para conocer de qué manera afectará a estas Decisiones el Reglamento General.
De otra parte, las empresas podían optar por la firma de cláusulas contractuales tipo (sistema que está siendo examinado en la actualidad), la elaboración de Binding Corporate Rules («BCR»), contar con el consentimiento inequívoco y directo de las propias personas cuyos datos van a ser transferidos, o el acogimiento a alguna de las excepciones legalmente reconocidas.
En todo caso, si bien parece que la solución más lógica pasa por el reconocimiento de un nivel adecuado de protección por parte de la Unión Europea durante el proceso de negociación de la salida de Reino Unido, apostando, por ejemplo, por un sistema similar al que actualmente tiene Suiza (Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000), no debe olvidarse que la actual Data Protection Act de 1998 cubriría los requerimientos de la Directiva 95/46/CE, pero que podría necesitar de determinados ajustes para cumplir con los requerimientos para terceros países del Reglamento General de Protección de Datos. Cuestiones que podrían afectar a las empresas en Reino Unido en sus tratamientos de datos a terceros países, Estados Unidos, o aquellos otros que se encontraban acogidos al reconocimiento europeo como Canadá, Argentina o Uruguay, entre otros.
Igualmente habrá que esperar, para conocer como es planteado desde el propio Reino Unido, el tratamiento de datos personales fuera de sus fronteras. Cuestiones en ambos casos que, como ya adelantábamos, afectarán a las propias empresas y sus prestadores de servicios.
Así, el debate sobre las transferencias internacionales de datos en Europa que se iniciará a finales del año pasado, sigue plenamente vigente y avanzando con los nuevos acontecimientos internacionales.
