Fa ja més de cinc anys que el Regne Unit va decidir abandonar la Unió Europea.
Això va deixar moltes carpetes no tancades sobre la taula incloent la de protecció de dades i la ciberseguretat.
En la seva pressa per sortir, se n’han anat fins i tot de Schengen que és el gran supermercat europeu de dades policials i de seguretat, és impressionant.
Però és que a més queden alguns assumptes importants a tractar, especialment en el que refereix a les condicions per a l’enviament i recepció de dades personals per a i des del Regne Unit, aquesta situació obliga molt especialment a les empreses espanyoles i europees que compleixin aquests dos requisits:
Primer, el fet d’oferir béns o serveis a persones físiques o jurídiques del Regne Unit i/o monitorar el comportament dels mateixos o extreure metadades de les seves comunicacions, i també el no tenir oficines de representació o filials o qualsevol altre establiment al Regne Unit, amb seu física i personal capacitat allà.
No hi hauria ara d’entrada problema. Les dues normatives esmentades comparteixen una visió de la privacitat molt semblant, però l’ICO (l’agència de protecció de dades del Regne Unit) i aquí la novetat, estableix l’obligació d’anomenar un representant al Regne Unit per a les empreses que compleixin amb els dos requisits abans esmentats.
Aquesta representació haurà, a més, de complir amb una sèrie de requisits com són: ser establert per un contracte per escrit, que s’indiqui que el representant actua com a mandatari de l’empresa estrangera en tot el concernent a la Protecció de dades, que s’asseguri que el representant sigui persona física o jurídica tingui les capacitats legals, tècniques i administratives per a dur a terme les tasques encarregades, és a dir, s’obliga a l’existència d’un DPD anglès.
I tot això ha de quedar ressenyat en les polítiques de privacitat on s’hagin de publicar.
Les futures relacions entre la UE i el Regne Unit també en matèria de protecció de dades hauran d’establir-se en els acords que comencen a negociar-se a partir de l’entrada en vigor de l’acord de retirada, és a dir l’1 de gener del 2021.
En l’àmbit de la protecció de dades, l’opció que en principi resultaria més previsible és que la Comissió Europea pogués adoptar a una decisió d’adequació, en la qual, el Regne Unit queda reconegut, oferint un nivell de protecció essencialment equivalent al que proporciona el marc normatiu de la Unió, això sí, sempre que això no sigui un subterfugi perquè les dades personals arribin a E.E.U.U., vulnerant la sentència del Tribunal de Justícia de 16 de juliol del 2020.
En el cas en el que finalment es produeixi la declaració d’adequació mitjançant una decisió de la Comissió l’enviament de dades al Regne Unit podria realitzar-se sense cap mena de requisit formal d’una manera similar en la pràctica com es faria amb les comunicacions de dades entre els Estats membres.
Però, i la ciberseguretat?
En 2018 el Regne Unit va fer pública una proposta dirigida a aquells proveïdors de serveis digitals PSD, que fossin no britànics amb la finalitat de que tals entitats establertes dins i fora del Regne Unit una vegada consumada la sortida de la Unió Europea coneguessin les implicacions de tal sortida en matèria de ciberseguretat.
L’actual norma britànica coincident en el seu àmbit d’aplicació amb la directiva NIS europea, anava dirigida a dos grups d’entitats, als operadors de serveis essencials com les organitzacions que operen en els sectors de l’energia, el transport, la salut, l’aigua i les tecnologies digitals, i també als proveïdors de serveis digitals com els mercats en línia, els motors de cerca i els serveis de computació en el núvol.
Com és sabut la Directiva NIS exigeix que els PSDs no establerts se n’anessin de la UE, però queper oferir els seus serveis a la UE han de designar a un representant en un estat membre a la UE, en el qual el proveïdor efectivament ofereixi els seus serveis. Això ho trobaríem en l’article 18.2.
Així doncs una vegada designat un representant a la UE el PSD haurà de complir amb la legislació nacional que transposa la Directiva NIS en l’estat membre de la UE que ell hagi triat i sigui on estigui establert aquest representant.
Aquest, el representant, haurà d’actuar en nom del PSD i ser el punt de contacte amb les autoritats pertinents al país on ofereixi els seus serveis.
De moment el Regne Unit de la Gran Bretanya ha exigit que el tracte sigui equivalent, és a dir, ha manifestat la seva intenció d’exigir que els proveïdors quan ofereixin serveis al Regne Unit designin a un representant allà, pot ser-ho qualsevol persona física o jurídica establerta al Regne Unit, els representants han de posar-se a la disposició dels departaments d’informació ICO, com a responsables de regular els PSD i GCHQ com a responsables de garantir el compliment del reglament NIS del 2018.
El representant es designarà sense perjudici de qualsevol acció legal que pugui iniciar-se contra el PSD que ho hagi nomenat, i haurà de designar-se en aquesta persona en els tres mesos següents de l’entrada en vigor de l’esmena futura al reglament NIS de 2018, o si no dins dels tres primers mesos en què l’organització de la qual es tracti es converteixi en un PSD amb àmbit d’aplicació al Regne Unit.
Per cert, recordi’s d’activar el Roaming per a Anglaterra, ara són trucades internacionals… estan fora d’Europa.