RGPD: ¿cuáles serán las consecuencias del Brexit en caso de un “no acuerdo”?

La fecha del 31 de octubre se acerca cada vez más y la posibilidad de un acuerdo entre la UE y el Reino Unido se aleja cada vez más. ¿Cuáles serán las consecuencias del Brexit sobre los flujos de datos personales (GDPR) entre la UE y el Reino Unido en caso de "sin trato" ? No te asustes, te lo contaremos todo.

 Si se confirma este Brexit sin acuerdo, los responsables del tratamiento de datos y subcontratistas de la UE tendrán que garantizar un nivel de protección suficiente y adecuado para transferir datos al Reino Unido a partir del 1^er noviembre de 2019. De hecho, el país no será considerado un país adecuado en materia de protección de datos personales hasta que la Comisión Europea lo reconozca como tal sobre la base del artículo 45 del RGPD.

 Como era de esperar, esto le afectará "sin trato" tan pronto como realice transferencias de datos al Reino Unido desde el 1^er noviembre de 2019. Para aquellos que están atrasados en el fondo, el RGPD establece un régimen específico aplicable a las transferencias fuera de la Unión Europea. De esta manera, se pueden implementar herramientas para continuar con estos flujos de datos.

Anticipar las consecuencias del Brexit en ausencia de un acuerdo sobre el RGPD

Entre las herramientas propuestas para anticipar las consecuencias del Brexit en ausencia de un acuerdo, podemos encontrar:

• Cláusulas contractuales estándar : son modelos de contratos de transferencia de datos adoptados por la Comisión Europea. Estas son herramientas que se consideran listas para usar y puedes encontrarlas directamente en El sitio web de la CNIL 
• Cláusulas contractuales específicas conocidas como "ad hoc"Se trata de contratos que permiten regular las transferencias de datos en situaciones específicas en las que las cláusulas tipo requieren modificación. Deberán ser autorizados previamente por la CNIL previo dictamen del Comité Europeo de Protección de Datos (SEPD).
• Normas corporativas vinculantes (o Normas Corporativas Vinculantes): se trata de una política de protección de datos intragrupo. Son vinculantes y deben ser respetados por las entidades firmantes, independientemente de su ubicación. Encontrará información para implementar dichas reglas en El sitio web de la CNIL.
• Códigos de conducta y mecanismos de certificación : estas herramientas deben, sin embargo, incluir el compromiso vinculante y ejecutable asumido por los destinatarios no pertenecientes a la UE de aplicar estas disposiciones. Una vez más, deberán ser autorizados por la CNIL previo asesoramiento de la CEPB. Se trata de nuevas herramientas introducidas por el RGPD y el CEPB está trabajando actualmente en directrices y recomendaciones.

Artículo a leer: RGPD bien: ¿cuál es su número desde que entró en vigor el texto? 

¿Cuáles son los pasos a seguir para garantizar el cumplimiento de su RGPD en caso de Brexit?

La CNIL ha publicado una lista de pasos a seguir para prepararse para las consecuencias del Brexit en caso de "sin trato", siguiendo las recomendaciones del Supervisor Europeo de Protección de Datos:

•  Debes identificar actividades de procesamiento que constituyen una transferencia de datos personales al Reino Unido
•  Determinar herramientas transferencias adecuadas y ponerlas en marcha antes del 1o^er noviembre de 2019
•  Actualizar el registro de procesamiento para registrar transferencias al Reino Unido
•  Informar interesados para informarles de que existe una transferencia de datos

Por lo tanto, el mantenimiento y la precisión del registro de procesamiento son esenciales para anticipar este Brexit sin acuerdo, con el fin de tener una visión clara del procesamiento de datos realizado por la empresa y poner en marcha las medidas adecuadas.

Por último, en lo que respecta a los datos enviados desde el Reino Unido a la Unión Europea, la situación se mantiene sin cambios y se permitirá la libre circulación de datos sin necesidad de garantías adicionales.