La Comisión Europea tiene el poder de determinar, sobre la base del artículo 45 del Reglamento General de Protección de Datos (GDPR), si un país fuera de la UE ofrece un nivel adecuado de protección de datos. De esta forma, la Comisión Europea ha reconocido hasta ahora Andorra, Argentina, Canadá (organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay como protección adecuada.
El 28 de junio de 2021, la Comisión ha adoptado dos decisiones de adecuación para las transferencias de datos personales en el Reino Unido, de conformidad con lo GDPR y la Directiva sobre protección de datos en el ámbito penal (LED), respectivamente.
Los datos personales ahora pueden circular libremente desde la Unión Europea en el Reino Unido, donde se benefician de un nivel de protección esencialmente equivalente al garantizado por la legislación de la UE. Las decisiones de adecuación también facilitan la correcta implementación del Acuerdo de Cooperación y Comercio UE-Reino Unido, que prevé el intercambio de información personal, por ejemplo para la cooperación en materia judicial.
Elementos clave de las decisiones de adecuación
- El sistema de protección de datos del Reino Unido continúa basándose en las mismas normas que eran aplicables cuando el Reino Unido era un estado miembro de la UE. El Reino Unido ha incorporado plenamente los principios, los derechos y obligaciones del GDPR y de la Directiva sobre protección de datos en el ámbito penal a su sistema jurídico posterior al Brexit.
- En cuanto al entrada a los datos personales por parte de las autoridades públicas del Reino Unido, sobre todo por motivos de seguridad nacional, el sistema británico prevé garantías sólidas. En particular, la recopilación de datos por parte de las autoridades de inteligencia está, en principio, sujeta a la autorización previa de un organismo judicial independiente. Cualquier medida debe ser necesaria y proporcional a lo que pretende alcanzar. El Reino Unido también está sometido a la jurisdicción del Tribunal Europeo de Derechos Humanos y debe respetar el Convenio Europeo de Derechos Humanos, así como en el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automático de datos personales, que es el único tratado internacional vinculante en materia de protección de datos. Estos compromisos internacionales son un elemento esencial del marco legal evaluado en las dos decisiones de adecuación.
- Por primera vez, las decisiones de adecuación incluyen la llamada «cláusula de caducidad», que limita estrictamente su duración. Esto significa que las decisiones caducarán automáticamente cuatro años después de su entrada en vigor. Después de este periodo, los resultados de la adecuación podrían renovarse, sin embargo, sólo si el Reino Unido continúa garantizando un nivel adecuado de protección de datos.
- Las transferencias a efectos de control de inmigración del Reino Unido se excluyen del alcance de la decisión de adecuación adoptada en virtud del GDPR para reflejar una sentencia reciente del tribunal de apelación de Inglaterra y Gales sobre la validez e interpretación de determinadas restricciones de los derechos de protección de datos en este ámbito. La Comisión volverá a valorar la necesidad de esta exclusión una vez se haya subsanado la situación de acuerdo a la legislación del Reino Unido.
Para más información:
Para cualquier duda o explicación adicional puede dirigirse al DPD de Salud: dpd@ticsalutsocial.cat
https://ticsalutsocial.cat/oficina-dpd/
Tel .: 93553 26 42 (9:00 a 14:00 h.)