Protección de Datos y CIberseguridad post Brexit

Hace ya más de cinco años que el Reino Unido decidió abandonar la Unión Europea.

Esto dejó muchas carpetas no cerradas sobre la mesa incluyendo la de protección de datos y la ciberseguridad.

En su prisa por salir, es que se han ido hasta de Schengen que es el gran supermercado europeo de datos policiales y de seguridad, es impresionante.

Pero es que además quedan algunos asuntos importantes que tratar, especialmente en lo que refiere a las condiciones para el envío y recepción de datos personales para y desde el Reino Unido, esta situación obliga muy especialmente a las empresas españolas y europeas que cumplan estos dos requisitos:

  • Primero, el ofrecer bienes o servicios a personas físicas o jurídicas del Reino Unido y/o monitorizar el comportamiento de los mismos o extraer metadatos de sus comunicaciones,
  • y también el no tener oficinas de representación o filiales o cualquier otro establecimiento en el Reino Unido, con sede física y personal allí capacitado.

Será para ellas necesario cumplir con el RGPD, pero también cumplir con la legislación del Reino Unido, es decir, el Data Protection Act del 2018, la adaptación inglesa a la normativa del RGPD mientras esta no cambie.

No habría ahora de entrada problema. Las dos normativas mencionadas comparten una visión de la privacidad muy parecida, pero el ICO (la agencia de protección de datos del Reino Unido) y aquí la novedad, establece la obligación de nombrar a un representante en el Reino Unido para las empresas que cumplan con los dos requisitos antes mencionados.

Esta representación deberá, además, cumplir con una serie de requisitos como son: ser establecido por un contrato por escrito, que se indique que el representante actúa como mandatario de la empresa extranjera en todo lo concerniente a la Protección de datos.

Que se asegure que el representante sea persona física o jurídica tenga las capacidades legales, técnicas y administrativas para llevar a cabo las tareas encargadas, es decir, se obliga a la existencia de un DPD inglés.

Y todo esto a de quedar reseñado en las políticas de privacidad donde se tengan que publicar.

Las futuras relaciones entre la UE y el Reino Unido también en materia de protección de datos deberán establecerse en los acuerdos que comienzan a negociarse a partir de la entrada en vigor del acuerdo de retirada, es decir el 1 de enero del 2021.

En el ámbito de la protección de datos, la opción de que en principio resultaría más previsible es que la comisión europea pudiera adoptar a una decisión de adecuación, en la que, el Reino Unido queda reconocido, ofreciendo un nivel protección esencialmente equivalente al que proporciona el marco normativo de la Unión, eso sí, siempre y cuando ello no sea un subterfugio para que los datos personales lleguen a E.E.U.U., vulnerando la sentencia del Tribunal de Justicia de 16 de julio del 2020.

En el caso en el que finalmente se produzca la declaración de adecuación mediante una decisión de la Comisión el envío de datos al Reino Unido podría realizarse sin ningún tipo de requisito formal de un modo similar a en la práctica como se haría con las comunicaciones de datos entre los Estados miembros.

Pero, ¿y la ciberseguridad?.

En 2018 el Reino Unido hizo pública una propuesta dirigida a aquellos proveedores de servicios digitales PSD, que fueran no británicos al objeto de que tales entidades establecidas dentro y fuera del Reino Unido una vez consumada la salida de la Unión Europea conocieran las implicaciones de tal salida en materia de ciberseguridad.
La actual norma británica coincidente en su ámbito de aplicación con la directiva NIS europea, iba dirigida a dos grupos de entidades, a los operadores de servicios esenciales como las organizaciones que operan en los sectores de la energía, el transporte, la salud, el agua y las tecnologías digitales, y también a los proveedores de servicios digitales como los mercados online, los motores de búsqueda y los servicios de computación en la nube.

Como es sabido la Directiva NIS exige que los PSDs no establecidos fueran de la UE, pero que ofrezcan sus servicios en la UE deben designar a un representante en estado miembro en la UE, en el que el proveedor efectivamente ofrezca sus servicios. Esto lo encontraríamos en el artículo 18.2.

Así pues una vez designado un representante en la UE el PSD deberá cumplir con la legislación nacional que traspone la Directiva NIS en el estado miembro de la UE que él haya elegido y sea donde esté establecido dicho representante.

Este, el representante, deberá actuar en nombre del PSD y ser el punto de contacto con las autoridades pertinentes en el país donde ofrezca sus servicios.

De momento el Reino Unido de la Gran Bretaña ha exigido que el trato sea equivalente, es decir, ha manifestado su intención de exigir que los proveedores cuando ofrezcan servicios en el Reino Unido designen a un representante allí, puede serlo cualquier persona física o jurídica establecida en el Reino Unido, los representantes deben ponerse a disposición de los departamentos de información ICO, como responsables de regular los PSD y GCHQ como responsables de garantizar el cumplimiento del reglamento NIS del 2018.

El representante se designará sin perjuicio de cualquier acción legal que pueda iniciarse contra el PSD que lo haya nombrado, y deberá designarse en esa persona en los tres meses siguientes de la entrada en vigor de la enmienda futura al reglamento NIS de 2018, o si no dentro de los tres primero meses en que la organización de la que se trate se convierta en un PSD con ámbito de aplicación en el Reino Unido.

Por cierto, acuérdese de activar el Roaming para Inglaterra ahora son llamadas internacionales… están fuera de Europa.