La Comisión ha puesto en marcha el procedimiento para la adopción de dos decisiones de adecuación para las transferencias de datos personales al Reino Unido, una, al amparo del Reglamento general de protección de datos (RGPD) y otra para la Directiva sobre protección de datos en el ámbito penal. La publicación de los proyectos de decisión marca el inicio del procedimiento para su adopción. Esto supone la obtención de un dictamen del Comité Europeo de Protección de Datos (CEPD) y la aprobación de un comité compuesto por representantes de los Estados miembros de la UE. Una vez finalizado este procedimiento, la Comisión podrá adoptar las dos decisiones de adecuación.
En los últimos meses, la Comisión ha evaluado detenidamente la legislación y la práctica del Reino Unido en materia de protección de datos personales, incluidas las normas sobre el acceso por parte de las autoridades públicas. Ha concluido que el Reino Unido dispone de un nivel de protección esencialmente equivalente al garantizado en virtud del Reglamento general de protección de datos (RGPD) y, por primera vez, de la Directiva sobre protección de datos en el ámbito penal.
Věra Jourová, vicepresidenta responsable de Valores y Transparencia, ha declarado: «Garantizar la libre y segura circulación de datos personales es crucial para las empresas y los ciudadanos de ambos lados del Canal. El Reino Unido ha abandonado la UE, pero no la familia europea de privacidad. Al mismo tiempo, debemos asegurarnos de que nuestra decisión se adapte al paso del tiempo. Por ello tenemos la intención de incluir en nuestras decisiones de adecuación mecanismos claros y estrictos en términos tanto de supervisión como de revisión, suspensión o retirada de tales decisiones, a fin de abordar cualquier cambio problemático del sistema británico una vez que se conceda la adecuación».
Por su parte, Didier Reynders, comisario de Justicia, ha declarado: «Un flujo de datos seguros entre la UE y el Reino Unido es crucial para mantener estrechos lazos comerciales y cooperar eficazmente en la lucha contra la delincuencia. Hoy ponemos en marcha el procedimiento a tal efecto. Hemos comprobado exhaustivamente el sistema de privacidad que se aplica en el Reino Unido después de haber abandonado la UE. Ahora las autoridades europeas de protección de datos examinarán detalladamente los proyectos de textos. El derecho fundamental de los ciudadanos de la UE a la protección de datos nunca debe verse comprometido al cruzar el Canal de la Mancha. Las decisiones de adecuación, una vez adoptadas, garantizarán precisamente esto».
En comparación con otros países no pertenecientes a la UE en los que la convergencia se desarrolla a través del proceso de adecuación entre sistemas a menudo divergentes, el Derecho de la UE ha conformado el régimen de protección de datos del Reino Unido durante decenios. Al mismo tiempo, es esencial que las conclusiones sobre la adecuación sean aplicables en el futuro, dado que el Reino Unido dejará de estar sujeto a las normas de privacidad de la UE. Por lo tanto, una vez adoptados estos proyectos, las decisiones serán válidas durante un primer período de cuatro años. Transcurridos cuatro años, será posible renovar las conclusiones sobre la adecuación si el nivel de protección en el Reino Unido sigue siendo adecuado.
Hasta entonces, los flujos de datos entre el Espacio Económico Europeo y el Reino Unido continúan y siguen siendo seguros gracias a un régimen provisional condicional previsto en el Acuerdo de Comercio y Cooperación entre la UE y el Reino Unido.. Este período provisional vence el 30 de junio de 2021.
Etapas siguientes
Tras tener en cuenta los dictámenes del Comité Europeo de Protección de Datos, la Comisión Europea solicitará la luz verde de los representantes de los Estados miembros mediante el denominado procedimiento de comitología. A continuación, la Comisión podrá adoptar las decisiones definitivas de adecuación para el Reino Unido.
Contexto
El artículo 45, apartado 3, del RGPD y el artículo 36, apartado 3, de la Directiva otorgan a la Comisión la facultad de decidir, mediante un acto de ejecución, que un país no perteneciente a la UE garantiza «un nivel de protección adecuado», es decir, un nivel de protección de los datos personales esencialmente equivalente al existente en la UE. Si se considera que dicho país es «adecuado», las transferencias de datos personales al mismo pueden tener lugar sin estar sujetas a ninguna otra condición.
En el Reino Unido, el tratamiento de datos se rige por el denominado «RGPD del Reino Unido» y la Ley de Protección de Datos de 2018, que se basan en el RGPD de la UE y en la Directiva. Ofrecen garantías, derechos individuales, obligaciones para los responsables y encargados del tratamiento, normas sobre transferencias internacionales, sistemas de supervisión y vías de recurso que son similares a los que ofrece el Derecho de la UE. Los proyectos de decisión también incluyen una evaluación detallada de las condiciones y limitaciones, así como los mecanismos de supervisión y las vías de recurso aplicables en caso de acceso a los datos por parte de las autoridades públicas del Reino Unido, en particular con fines policiales y de seguridad nacional.
También cabe señalar que el Reino Unido es, y se ha comprometido a seguir siendo, parte del Convenio Europeo de Derechos Humanos y del «Convenio 108» del Consejo de Europa, el único instrumento multilateral vinculante sobre protección de datos. Esto significa que, aunque ha abandonado la UE, el Reino Unido sigue siendo miembro de la «familia de privacidad» europea. La adhesión continuada a dichos convenios internacionales reviste especial importancia para la estabilidad y la durabilidad de los resultados de adecuación propuestos.
Los proyectos de decisiones de adecuación enviados hoy al CEPD se refieren al flujo de datos de la UE al Reino Unido. Los flujos de datos en la otra dirección (del Reino Unido a la UE) están regulados por la legislación británica, que se aplica desde el 1 de enero de 2021. El Reino Unido decidió que la UE garantiza un nivel adecuado de protección y que, por lo tanto, los datos pueden circular libremente desde el Reino Unido hacia la UE.
Más información
Proyecto de Decisión: Reglamento General de Protección de Datos
Proyecto de Decisión: Directiva sobre protección de datos en el ámbito penal
Dimensión internacional de la protección de datos: Decisiones de adecuación