Borrador de decisión de adecuación para transferencias de datos personales a Reino Unido: un nuevo paradigma
El pasado 19 de febrero de 2021 la Comisión Europea puso en marcha el procedimiento para la adopción de las decisiones de adecuación en materia de transferencias internacionales de datos personales al Reino Unido al amparo del Reglamento General de Protección de Datos y de la Directiva Sobre Protección de Datos en el Ámbito Penal, con la publicación de los respectivos borradores de estas decisiones.
El proyecto de adecuación es consecuencia directa de una evaluación por parte de la Comisión Europea de la legislación y de las prácticas en materia de protección de datos y del acceso a datos personales por parte de las autoridades públicas del Reino Unido. Es importante mencionar que para su aprobación se requerirá la opinión del Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) y el visto bueno de un comité formado por representantes de los Estados miembros. En el supuesto de resultar aprobada, la decisión tendrá un periodo de duración de cuatro años.
La publicación de los borradores y el inicio del procedimiento de adecuación marca un avance importante en lo que respecta a transferencias internacionales de datos y contribuye a reforzar las relaciones entre los Estados miembros y el Reino Unido en materia comercial y de lucha contra la delincuencia, lo que impactará de manera favorable en la economía de los Estados implicados.
La Comisión ha llegado a la conclusión de que el Reino Unido dispone de un nivel de protección equivalente al que se garantiza en los Estados miembros de la Unión Europea gracias al cumplimiento del Reglamento General de Protección de Datos y de la Directiva sobre Protección de Datos en el Ámbito Penal.
Como se ha mencionado previamente, el objetivo es lograr que la Unión Europea y el Reino Unido fortalezcan sus relaciones comerciales, así como sus lazos de cooperación en la lucha contra la delincuencia, para lo que el Reino Unido debe garantizar en todo momento que cumple con los estándares de privacidad exigidos a la “familia de privacidad europea”.
Uno de los principales problemas que surgen a la luz de esta decisión es el referente a las transferencias de datos personales con fines policiales y judiciales y el nivel de protección garantizado para tales fines con respecto a terceros países. Si bien existen mecanismos que regulan las transferencias de este tipo de datos entre las autoridades policiales de los Estados miembros y las autoridades del Reino Unido, no quedan muy claras las medidas que debe adoptar el Reino Unido con respecto a las transferencias de los mismos a terceros países.
En el proyecto de adecuación se establece que las transferencias de este tipo de datos a terceros países por parte del Reino Unido deben cumplir con lo establecido en la DPA 2018 respecto a transferencias internacionales y en el procedimiento interno estatal que asegure que las medidas adoptadas por terceros países cumplen con un nivel de seguridad óptimo y, que por lo tanto, son países “seguros”.
En consecuencia, se dota de una gran libertad al Reino Unido para determinar qué terceros países cumplen con los requisitos de nivel de seguridad óptimos a su juicio para las transferencias de esta categoría especial de datos, basando dicho tratamiento en el ejercicio de su potestad como Estado independiente a la Unión Europea.
Al respecto, el Supervisor Europeo de Protección de Datos en la Opinión 3/2021 elogió, por una parte, a la Comisión por las salvaguardas adoptadas en lo que respecta a la transferencia de datos para la cooperación policial y judicial en materia penal y, por otra, lamentó el hecho que no se hubiera establecido una mayor protección con respecto a las transferencias posteriores de dichos datos.
Por lo tanto, resulta necesario establecer hasta qué punto el Reino Unido se encuentra legitimado para determinar los países que considera que cumplen con los parámetros de seguridad óptimos exigidos por ley y, por otra parte, delimitar si deben adecuarse o no a los tratados que, en su caso, firme la Unión Europea con Estado Unidos u otros países en materia de transferencia de datos internacionales, para así seguir siendo considerado como un país “seguro” en la circulación de datos.
Martha Ramos, Legal Team, Legal Army