Conforme informa el Comité Europeo de Protección de Datos (EDPB) en esta nota informativa y en base al Acuerdo firmado por la UE y el Reino Unido el pasado 30 de diciembre de 2020, durante un período específico y a condición de que se mantenga el actual régimen de protección de datos en el Reino Unido y por un período máximo de seis meses (es decir, hasta el 30 de junio de 2021 a más tardar), todas las transferencias de datos personales hacia el territorio del Reino Unido no se considerarán transferencias a un tercer país sujeto a las disposiciones del Capítulo V del GDPR.
Esto significa que las organizaciones sujetas al GDPR podrán continuar transfiriendo datos al Reino Unido sin la necesidad de legitimar dicha transferencia con alguno de los instrumentos habilitantes del artículo 46 del GDPR o basarla en alguna de las excepciones del artículo 49 del GDPR.
Si llegado el 30 de junio de 2021 no se adopta una decisión de adecuación aplicable al Reino Unido según el artículo 45 del GDPR, todas las transferencias de datos personales a territorio del Reino Unido constituirán una transferencia de datos personales a un tercer país y, por lo tanto, estarán sujetas a las disposiciones del Capítulo V del GDPR. Por lo tanto, dichas transferencias requerirán:
- Habilitación basada en alguno de los instrumentos del artículo 46 GDPR (por ejemplo, cláusulas contractuales tipo de protección de datos, normas corporativas vinculantes, códigos de conducta…); pudiendo ser necesarias medidas complementarias conforme a las Recomendaciones 01/2020 del EDPB.
- Sujeto a condiciones específicas, en base a una de las excepciones de las contempladas en el artículo 49 del GDPR, con carácter excepcional y estas excepciones deben interpretarse de manera restrictiva y se refieren a las actividades de tratamiento de datos que son ocasionales y no repetitivas.
Los responsables y/o encargados del tratamiento también deberán cumplir con otras obligaciones derivadas del GDPR, en particular sobre la necesidad de actualizar los registros de actividades de tratamiento y avisos de privacidad para informar sobre las transferencias al Reino Unido.
Para las transferencias de datos del Reino Unido al EEE, el EDPB sugiere consultar periódicamente al Reino Unido. La web del gobierno y la web de la ICO para obtener orientación actualizada.
Puede descargar la nota del EDPB en castellano e inglés aquí.