Brexit y tratamiento de datos, implicaciones del nuevo escenario
Brexit y tratamiento de datos están planteando un problema complejo entre la Unión Europea y el Reino Unido. Desde el 1 de enero de 2021, Gran Bretaña dejó de ser formalmente un estado miembro del bloque europeo. Por lo que ya no aplica el Reglamento General de Protección de Datos vigente en la comunidad europea desde el 25 de mayo de 2018. Mientras que hace valer su propia legislación, el UK-GDPR (General Data Protection Regulation).
En consecuencia, muchas dudas surgen sobre el presente y futuro de la gestión de datos entre empresas e instituciones de uno a otro lado. Asunto delicado donde lo haya y que trataremos de dilucidar en este post en base a la información disponible.
Brexit y tratamiento de datos: posición del Comité Europeo de Protección de Datos
El 15 de diciembre de 2020, el Comité Europeo de Protección de Datos (EDPB) emitió un comunicado sobre las consecuencias inmediatas de la retirada del Reino Unido. En el mismo, indicó que Gran Bretaña aplicaría su propia legislación en materia de tratamiento y seguridad de datos y dejaría de acogerse al RGPD. En adelante, la EDPB considera cualquier intercambio de datos personales entre entes de la UE y Gran Bretaña como transmisión de datos a terceros países. De modo que tales operaciones estarán sujetas a lo dispuesto en el capítulo V del RGPD.
Por ejemplo, la transmisión de datos de una empresa con sede en España a su filial en Inglaterra, requerirá de garantías apropiadas (Art. 45). Del mismo modo, precisará de los derechos de datos exigibles y recursos legales efectivos para los sujetos de datos, de acuerdo con el artículo 46 (RGPD). Aun cuando existen excepciones a esta norma, contempladas en el artículo 49, éstas han de interpretarse estrictamente y vincularlas a casos especiales u ocasionales.
Por último, el EDPB plantea en su comunicado dos asuntos de particular interés en la controversia Brexit y tratamiento de datos. En primer lugar: ¿qué ocurrirá con la monitorización del cumplimiento de la normativa aplicada al procesamiento transfronterizo frecuente? Y en consecuencia, ¿cómo se tramitarán las reclamaciones relacionadas con estas operaciones?
Al respecto, el organismo recuerda que el RGPD contempla para tales cuestiones el mecanismo de ventanilla única (One-Stop-Shop-OSS) que establece una autoridad de supervisión (SA). Entonces, el SA del procesador o controlador principal o del establecimiento de origen en la UE, será competente en estas materias, de acuerdo al Reglamento.
Estándares compartidos e interlocución unificada como soluciones
Como el mecanismo de ventanilla única ya no aplica en UK, la Oficina del Comisionado de Información del Reino Unido no formará parte de éste. Sin embargo, el EDPB estuvo en contacto con dicha autoridad británica durante los últimos meses para lograr una transición armónica. Con este propósito, se garantiza que las autoridades de la UE seguirán estándares compartidos y eficientes en la gestión del intercambio de datos transfronterizo. Lo mismo aplicará al trámite de reclamaciones para minimizar retrasos e inconvenientes a los afectados.
Además, el buró europeo puntualiza que los controladores y procesadores individuales pueden beneficiarse de la interlocución unificada habilitada por el mecanismo de ventanilla única. Estos últimos podrán crear un nuevo establecimiento principal en la UE para la gestión transfronteriza de datos de acuerdo al artículo 4 (16) del RGPD. De tal manera, será más sencillo superar las dificultades de la coyuntura Brexit y tratamiento de datos.
Incluso, el EDPB hace énfasis en un requisito para los controladores y procesadores no establecidos en la CE pero cuyas gestiones están sujetas al RGPD. En tal caso, definido en el artículo 3 (2) del instrumento legal, estos entes están obligados a designar un representante en la UE (Art. 27). Este delegado puede ser asesorado por las autoridades supervisoras y los stakeholders en todos los asuntos relacionados con las gestiones de datos.
¿Con qué instrumentos cuenta UK?
En previsión de la coyuntura Brexit y tratamiento de datos, el 31 de enero de 2020 entró en vigor el UK-GDPR. Por sus siglas en inglés: Reglamento General de Protección de Datos del Reino Unido, que en el fondo es muy similar a su equivalente europeo.
Ciertamente la diferencia radica en la inclusión de disposiciones relacionadas con áreas de legislación nacional no contempladas en el RGPD europeo. En resumen, agrega aspectos relacionados con la seguridad nacional, la inmigración y los servicios de inteligencia, entre otros.
Junto con el UK-GDPR, entró en vigor una versión modificada de la Ley de Protección de Datos de 2018 que complementará al Reglamento. En la misma están incluidas las competencias de los servicios de inteligencia del Reino Unido en la materia que nos ocupa. A futuro, es muy probable que el gobierno británico consolide una fusión de ambos instrumentos legales en una ley integral de protección de datos.
¿Qué pasa con el data quality?
Como dijimos, las organizaciones y entes que efectúan gestiones de datos transfronterizos entre la UE y el Reino Unido deben acatar las disposiciones del UE-RGPD. No sólo en relación a la tramitación de la información y la monitorización del cumplimiento de la normativa consecuente al Brexit y tratamiento de datos.
También implica observar los principios básicos del tratamiento de datos especificados en el artículo 5 del instrumento legal. En particular, lo expresado en el apartado 1 (d), esto es que: los datos personales deben ser “exactos y, si fuera necesario, actualizados”. Asimismo, en el apartado citado, se insta a los entes a adoptar todas las medidas razonables para suprimir o rectificar sin tardanza los datos inexactos.
Para este propósito, es imprescindible contar con una solución especializada como MyDataQ, desarrollada por DEYDE, que detecta registros incorrectos y normaliza nombres, direcciones, emails, etc. Del mismo modo, MyDataQ es capaz de identificar registros duplicados para poder unificar los perfiles de clientes captados y potenciales. Todas estas funciones facilitan a las empresas e instituciones el cumplimiento de las condiciones de los datos planteadas en el referido artículo del RGPD.
En DEYDE estamos a tu disposición para asesorarte y determinar las necesidades de tu empresa en materia de calidad de datos. De tal forma que podamos aplicar las soluciones tecnológicas más adecuadas de nuestro portfolio.