Abogados Europa

Consideraciones previas

Como es sabido, tras el referéndum llevado a cabo en el Reino Unido, en el mes de marzo de 2017 este país comunicó al Consejo Europeo su intención de abandonar la Unión Europea, iniciándose así el fenómeno conocido como «Brexit».

Por este motivo, tanto la Unión Europea como el Reino Unido se encuentran desde entonces, por aplicación del artículo 50 del Tratado de la Unión Europea, en vías de alcanzar un acuerdo de retirada que preserve los derechos de los ciudadanos británicos y los ciudadanos comunitarios de los veintisiete países que conformarán la Unión Europea tras la salida del Reino Unido.

En este contexto, el pasado 11 de abril del año en curso el Consejo Europeo adoptó la Decisión (UE) núm. 2019/584, tomada de acuerdo con el Reino Unido, a propósito de la salida de este Estado de la Unión Europea. Por medio de dicha Decisión se resuelve, tras la solicitud presentada por el Reino Unido, una segunda prórroga del plazo previsto en el artículo 50.3 del Tratado de la Unión Europea hasta el 31 de octubre de 2019, al objeto de llevar a término el Acuerdo de Retirada.

Así las cosas, nos encontramos ante un sinfín de cuestiones sobre las que debe versar el mencionado Acuerdo de Retirada y sobre las cuales el Estado británico aún no ha llegado a un consenso parlamentario para su aprobación interna.

La cuestión clave de análisis a este respecto radica en la deriva que está tomando el intento de Acuerdo de Retirada.

Resulta evidente que lo preferible para todos los sujetos implicados (incluido los ciudadanos y los poderes económicos, claro está) es una retirada del Reino Unido de la Unión Europea con acuerdo. Sin embargo, las dos prórrogas que se han producido como consecuencia de la incapacidad de aprobar el borrador de acuerdo suscitan una preocupación palpable.

Por este motivo, es necesario plantear ad futurum una situación adversa de «Brexit» sin acuerdo para hacer frente de la mejor forma posible las implicaciones políticas, sociales y económicas que este fenómeno pueda producir, en el peor de los casos, en el Espacio Europeo.

Como consecuencia de lo anterior, las instituciones de la Unión Europea han previsto un Plan de contingencia para abordar el impacto de una retirada sin acuerdo del Reino Unido al respecto de, entre otras materias, la Protección de Datos.

 

Incidencia del «Brexit» en el ámbito de la Protección de Datos de carácter personal

Uno de los ámbitos clave que inciden directamente sobre ciudadanos y empresas tanto del Reino Unido como del conjunto de la Unión Europea, es el relativo a la Protección de Datos de carácter personal.

En primer lugar, se debe tener en cuenta que la Unión Europea y los veintisiete Estados Miembros distintos al Reino Unido deberán hacer uso del conjunto de normas que rigen la transferencia de datos personales a terceros países, en la medida en que, en el momento en que el Reino Unido se retire efectivamente de la Unión, actuará como un Estado más de la Comunidad Internacional. En este sentido, la Comisión Europea puso de manifiesto, en su Comunicación de fecha 13 de noviembre de 2018, que consideraba suficientes las herramientas jurídicas existentes para afrontar las necesidades inmediatas de transferencia de datos al Reino Unido en caso de una retirada sin acuerdo.

En particular, se deberá atender a los instrumentos normativos previstos en los artículos 44 y siguientes del Reglamento General de Protección de Datos que, conjugados con el pragmático desarrollo realizado por la Comisión Europea y demás autoridades competentes, suponen medidas muy efectivas para llevar a cabo una transferencia internacional de datos segura. Tales instrumentos se concretan en:

  • Cláusulas contractuales normalizadas: la Comisión Europea ha aprobado tres series de cláusulas contractuales normalizadas que las empresas pueden utilizar directamente para sus transferencias a terceros países.

  • Normas empresariales vinculantes: normas jurídicamente vinculantes de protección de datos, aprobadas por la autoridad competente en materia de protección de datos, que se aplican dentro de un grupo empresarial.

  • Códigos de conducta y mecanismos de certificación: estos instrumentos pueden ofrecer garantías adecuadas para las transferencias de datos personales si contienen compromisos vinculantes y exigibles por parte de la organización en el tercer país, incluido los derechos de las personas.

Las organizaciones públicas y privadas de la Unión Europea y/o de los Estados Miembros deberán determinar cuáles de estos instrumentos resultan más efectivos para realizar la transferencia de datos al Reino Unido en función de la situación que se presente o que se pueda presentar, para lo cual deberán valerse de un eficaz asesoramiento al respecto.

 

Incidencia del «Brexit» en los datos alojados en redes, sistemas de información y bases de datos del Reino Unido

Otra de las cuestiones preocupantes que puede producir una retirada del Reino Unido de la Unión Europea sin acuerdo es la relativa al alojamiento de datos en redes, sistemas de información y bases de datos británicas, y las incidencias jurídicas que ello puede acarrear, siendo una de las principales el impacto que produciría sobre la cooperación judicial y policial existente en el Espacio Europeo, que se sustenta en la libre circulación de datos entre las autoridades de los Estados Miembros y la Unión Europea.

Quiere ello decir que, ante la concurrencia de un «Brexit» sin acuerdo, las autoridades de la Unión Europea y de sus Estados Miembros dejarán de tener acceso directo a las redes, sistemas de información y bases de datos del Reino Unido, debiendo aplicar, en consecuencia, los marcos jurídicos y mecanismos de cooperación alternativos que ofrece el Derecho Internacional y cada uno de los ordenamientos jurídicos internos del Estado Miembro en cuestión.

Si bien lo anterior no implica un abandono de la cooperación judicial y policial con el Reino Unido, sí que se traduce en menores garantías en comparación con las políticas, protocolos y normas existentes en el ámbito territorial de la Unión Europea y los países que la integran.

Por su parte, y como se desprende lógicamente de lo anterior, hay que tener en cuenta que, una vez se haya retirado el Reino Unido del Espacio Europeo, el acceso de las autoridades británicas a las redes, sistemas de información y bases de datos de la Unión Europea, ya no será posible.

Con todo, ante el volumen de datos existente en los sistemas informáticos, ya sea de datos de la Unión Europea en el Reino Unido o de datos recibidos del Reino Unido antes de la fecha de retirada, no existe la obligación de suprimir de los sistemas nacionales o de la Unión Europea tales datos obtenidos de forma legal por parte de organizaciones públicas y privadas, salvo en dos supuestos:

  1. Cuando el Reino Unido solicite la supresión por ostentar un dominio sobre los datos en cuestión.
  1. En el caso de datos de carácter personal, cuando se determine por la autoridad competente una limitación del tratamiento de acuerdo con la normativa aplicable (este supuesto será habitual en el contexto de un tratamiento de datos personales en el ámbito penal).

Conclusiones

Visto todo lo anterior, resulta obvio que nos encontramos ante un panorama político incierto que tendrá una repercusión normativa evidente.

Nuestro sistema jurídico interno se vertebra sobremanera en la legislación dimanante de la Unión Europea en infinidad de cuestiones, entre las que se encuentra la Protección de Datos.

En este sentido, el fenómeno del «Brexit» y, en particular, la posibilidad de que el mismo se termine produciendo sin un acuerdo entre la Unión Europea y el Reino Unido, suscita una preocupación completamente justificada entre los poderes públicos y privados de ambos sujetos de Derecho Internacional.

En lo que se refiere a la Protección de Datos y salvaguarda de los datos alojados en redes, bases de datos y sistemas de información británicos, es necesario una concienciación determinante de los veintisiete Estados Miembros distintos del Reino Unido para abordar la situación.

En particular, se hace necesario que las organizaciones tengan en cuenta y apliquen los instrumentos jurídicos existentes para la transferencia internacional de datos, en la medida en que dejará de ser aplicación la libre circulación de datos sobre un Estado que va a abandonar la Unión Europea; y, de otro lado, se deberá determinar cuáles son las medidas aplicables para la protección de los datos alojados en el Reino Unido y cuándo será obligatoria la supresión de tales datos.

Todo ello supone que las organizaciones cuenten con un asesoramiento efectivo de profesionales en la materia para la elaboración de protocolos de aplicación de las medidas necesarias al efecto.

Por último, las autoridades de los veintisiete Estados Miembros de la Unión Europea distintos del Reino Unido deberán atender a la incidencia del «Brexit» en la cooperación judicial y policial, en la medida en que no solo deberán suprimir los datos alojados en territorio británico en determinados supuestos, sino que se deberá hacer uso de instrumentos normativos diversos a los aplicables en el Espacio Europeo para llevar a cabo una cooperación con el Reino Unido.

Germán Serrano Rodríguez
Lealtadis Abogados
Departamento de Protección de Datos