Ja fa més de 5 anys que el Regne Unit va decidir abandonar la Unió Europea. Això va deixar moltes carpetes sobre la taula, incloent les relacionades amb la protecció de dades. No obstant això, han quedat alguns assumptes importants que tractar, especialment pel que fa a les condicions per a l’enviament i recepció de dades personals per i des del Regne Unit.
Aquestes situació obliga molt especialment a les empreses espanyoles i europees a que compleixin aquests dos requisits:
- El oferir béns o serveis a persones físiques al Regne Unit; monitoritzar el comportament dels mateixos, o extreure metadades no personals de les seves comunicacions
- I no tenir oficines de representació, filials o qualsevol altre establiment al Regne Unit amb seu física i personal capacitat.
D’entrada, a part de l’acompliment de la legislació en matèria de protecció de dades (bàsicament, el Reglament Europeu 2016/679 – GDPR o RGPD), cal també complir amb la legislació del Regne Unit, és a dir el Data Protection Act 2018, que seria l’adaptació anglesa a l’RGPD. No hi hauria, d’entrada problemes. Les dues normes esmentades comparteixen una visió de la privacitat molt semblant, enfocada a la protecció de les dades personals a través d’una correcta gestió de el risc, assegurant un flux segur d’informació al mercat nacional i europeu.
Però l’ICO (l’agència de protecció de dades de Regne Unit), i vet aquí la novetat, estableix l’obligació de nomenar un representant en territori del Regne Unit, per a les empreses que compleixin amb els dos requisits abans esmentats (text complet, en anglès, AQUÍ).
Aquesta representació ha de, a més de complir amb una sèrie de requisits com:
- Ser establerta per un contracte per escrit;
- Que s’indiqui que el representant actua com a mandatari de l’empresa estrangera en tot el concernent a la protecció de dades;
- Que s’asseguri que el representant (persona física o jurídica) tingui les capacitats tècniques, legals i administratives per dur a terme les tasques encomanades; és a dir, s’obliga a l’existència d’un DPD anglès.
- I tot ha de quedar ressenyat en les “Polítiques de Privadesa”.
Les futures relacions entre la Unió Europea i el Regne Unit, també en matèria de protecció de dades, s’han d’establir en els a assenyats que comencen a negociar-se a partir de l’entrada en vigor de l’Acord de Retirada, és a dir l’1 de gener de 2021 .
En l’àmbit de la protecció de dades, l’opció que, en principi, resulta més previsible és que la Comissió Europea pogués adoptar una “decisió d’adequació“ en la qual es reconegui que el Regne Unit ofereix un nivell de protecció essencialment equivalent a què proporciona el marc normatiu de la Unió, sempre que això no sigui un subterfugi perquè les dades personals arribin a USA vulnerant la Sentència de Tribunal de Justícia de la Unió Europea de 16 de juliol de 2020.
El mateix Acord de Retirada es refereix expressament al fet que “la Comissió Europea iniciarà el més aviat possible, després de la retirada del Regne Unit, les avaluacions respecte d’aquest país, amb ànim d’adoptar les decisions corresponents a molt tard a finals de 2020, si es compleixen les condicions aplicables”. Anem tard, de nou.
Per poder adoptar aquestes decisions, la Comissió haurà d’avaluar l’ordenament jurídic i la pràctica en matèria de protecció de dades de UK, podent negociar amb els anglesos, la introducció de canvis normatius o, si no, l’aplicació pràctica de les normes que permetin assegurar l’existència d’aquest nivell adequat de protecció. Les decisions s’han de revisar regularment, per tal de comprovar que se segueixen donant les condicions que van permetre la seva adopció.
En el cas que finalment es produeixi la declaració d’adequació mitjançant una decisió de la Comissió, l’enviament de dades a el Regne Unit podria realitzar-se sense cap tipus de requisit formal, d’una manera similar a la pràctica a com es faria per a comunicacions de dades entre els Estats Membre.
Però ara, no.
Article de Josep Jover publicar a Diario 16