Decisión de Adecuación del Reino Unido
Publicado de AmyPc en Publicaciones de la UE · Sabado 10 Jul 2021
DECISIÓN DEL PARLAMENTO EUROPEO DE ADECUACIÓN DEL REINO UNIDO
El Parlamento Europeo, ha reconocido el pasado 28 de junio la protección adecuada de los datos personales por parte del Reino Unido (enlace), sumándose así a los países y territorios ya existentes y que han sido declarados destinatarios de nivel adecuado por la Comisión Europea para la realización de transferencias de datos internacionales.
En sus conclusiones, pide a la Comisión que garantice a las empresas de la Unión que la decisión de adecuación proporcionará una base jurídica sólida, suficiente y orientada al futuro para las transferencias de datos; subraya la importancia de garantizar que esta decisión de adecuación se considere aceptable si es revisada por el TJUE, y recalca que, por lo tanto, deben tenerse en cuenta todas las recomendaciones formuladas en el dictamen del Comité de Expertos de Protección de Datos (CEPD).
El Parlamento Europeo acoge con satisfacción el hecho de que las decisiones de adecuación solo se apliquen durante cuatro años, ya que el Reino Unido podría optar por modificar la legislación sujeta a la evaluación de adecuación de la Comisión ahora que ya no es un Estado miembro de la Unión; pide a la Comisión que, entretanto, siga supervisando el nivel de protección de datos en el Reino Unido tanto en lo que respecta a su legislación como en la práctica, y que realice una evaluación exhaustiva antes de renovar la decisión de adecuación en 2025.
Opina que, al adoptar las dos decisiones de ejecución, que no son coherentes con el Derecho de la Unión, sin haber resuelto todas las preocupaciones expresadas en la presente Resolución, la Comisión va más allá de las competencias de ejecución que le confieren el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680; se opone, por tanto, a los dos actos de ejecución porque los proyectos de decisiones de ejecución no son coherentes con el Derecho de la Unión.
Pide a la Comisión que modifique los dos proyectos de decisiones de ejecución con el fin de que sean plenamente coherentes con el Derecho y la jurisprudencia de la Unión.
Pide a las autoridades nacionales de protección de datos que suspendan la transferencia de datos personales a los que puedan acceder indiscriminadamente las autoridades de inteligencia británicas, en caso de que la Comisión adopte sus decisiones de adecuación en relación con el Reino Unido antes de que este país resuelva los problemas anteriormente mencionados.
Pide a la Comisión y a las autoridades competentes del Reino Unido que fijen un plan de acción para abordar cuanto antes las deficiencias detectadas en los dictámenes del CEPD y otras cuestiones pendientes en materia de protección de datos en el Reino Unido, que debe ser una condición previa para la decisión final sobre la adecuación.
Pide a la Comisión que siga supervisando de cerca el nivel de protección de datos, así como la legislación y las prácticas en materia de vigilancia masiva en el Reino Unido; señala que existen otras posibilidades jurídicas para la transferencia de datos personales al Reino Unido, contempladas en el capítulo V del RGPD; recuerda que, en consonancia con las directrices del CEPD, las transferencias amparadas en las excepciones para situaciones específicas previstas en el artículo 49 del RGPD han de tener carácter excepcional.
Lamenta que la Comisión haya ignorado los llamamientos del Parlamento a suspender el Escudo de la privacidad hasta que las autoridades estadounidenses cumplan sus condiciones y haya preferido siempre «supervisar la situación» sin ningún resultado concreto en cuanto a protección de datos para las personas y seguridad jurídica para las empresas; insta a la Comisión a que aprenda de los errores del pasado, cuando desoyó los llamamientos del Parlamento y de expertos relativos a la conclusión y supervisión de anteriores decisiones de adecuación, y a que no deje al TJUE la correcta aplicación de la legislación de la Unión en materia de protección de datos a partir de reclamaciones de particulares.
Pide a la Comisión que supervise de cerca la legislación y las prácticas en materia de protección de datos en el Reino Unido e informe de inmediato y consulte al Parlamento acerca de cualquier modificación futura del régimen de protección de datos del Reino Unido, y que otorgue al Parlamento un papel de control en el nuevo marco institucional, también de organismos pertinentes como el Comité Especializado en Cooperación Policial y Judicial.
¿Cómo afecta esta decisión a las empresas que estaban transfiriendo datos al Reino Unido?
Las transferencias internacionales de datos (TDI) suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países que se encuentran fuera del Espacio Económico Europeo, es decir, los países de la Unión Europea más Liechtenstein, Islandia y Noruega).
Los responsables y los encargados del tratamiento pueden realizar transferencias internacionales de datos sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y se den alguno de los siguientes supuestos:
1. Exista una decisión de adecuación de la Comisión UE (art. 45 RGPD).
2. Garantías adecuadas (art. 46 RGPD).
3. Excepciones para situaciones específicas (art. 49 RGPD):
3.1. Por interés del interesado.
3.2. Por interés legítimo e imperioso del Responsable o del Encargado del tratamiento.
3.3. Por motivos importantes y legítimos de interés público.
Puede que su entidad está realizando transferencias de datos internacionales y no esté realizando un correcto tratamiento. Si tiene dudas al respecto, contacte con nosotros.