El 31 de octubre de 2019 finaliza el plazo para que el Reino Unido adopte las medidas necesarias para formalizar su salida de la Unión Europea (UE). A partir de que se produzca la salida, el Reino Unido se convertirá en un Estado tercero y las transferencias de datos a Reino Unido tendrán la consideración de transferencias internacionales.
En un escenario sin acuerdo, calificado como el “Brexit duro”, la transferencia de datos personales a Reino Unido sólo podría realizarse con base en alguno de los instrumentos contemplados en el Reglamento General de Protección de Datos (RGPD): suscripción de las cláusulas tipo de protección de datos adoptadas por la Comisión Europea; adopción de normas corporativas vinculantes en el caso de grupos de empresas; o, en defecto de lo anterior, aplicación de alguna de las excepciones previstas en el artículo 49 RGPD (esencialmente, el consentimiento del interesado o la ejecución de un contrato).
Junto a lo anterior, hay que tener en cuenta que, en el caso de una salida de la UE sin acuerdo, las empresas cuyo único establecimiento en la UE esté en el Reino Unido, dejarían de tener un establecimiento ubicado en la UE desde el punto de vista de protección de datos. En ese caso, las empresas que continúen tratando datos de interesados que residan en la UE deberán designar un representante de la compañía en la Unión, cuya función principal sería la de atender las consultas que puedan plantear las autoridades de control y los interesados acerca del tratamiento que llevan a cabo.
A la vista de la incertidumbre sobre la materialización de un Brexit duro, conviene identificar qué actividades de tratamiento implican la transferencia de datos personales al Reino Unido, con el fin de determinar los instrumentos adecuados para realizar transferencias internacionales y estar preparados para el momento en que tales transferencias deban cumplir con las garantías previstas en el GDPR, así como valorar la necesidad de designar un representante en la UE.
