Según los datos de GP Bullhound asesoría de tecnología e inversión, Londres alberga el mayor número de gigantes tecnológicos en Europa convirtiéndose en el principal centro tecnológico europeo. La cuestión es si puede conservar esa ventaja con un Brexit sin acuerdo.
Cada vez más compañías de tecnología están considerando irse o establecer operaciones fuera del Reino Unido como resultado del Brexit y más si es producto de un resultado sin acuerdo.
Y las señales iniciales no son portadoras de buenas noticias.
Cualquier empresa que venda productos, servicios u otras ofertas de TI deberá de ser ajustado al cambiar las bases de acuerdo del Reino Unido con la comunidad Europea.
Para las empresas con sede en el Reino Unido que operan con datos personales en la UE, un Brexit sin acuerdo plantea ciertas cuestiones legales que hoy están amparadas con la RGPD que es la ley de la UE que regula el uso de datos personales en el Espacio Económico Europeo.
Ver Claves del nuevo Reglamento General de Protección de Datos
Este Reglamento general, dejará de formar parte de la legislación legal del Reino Unido y hasta que no pronuncien lo contrario, deberán regirse por el ICO, Ley de protección de datos del país. Puedes encontrar la guía completa del ICO aquí
Así que, las empresas que utilizan un servicio de TI en la nube que almacena y / o procesa sus datos (incluidos los datos personales) en cualquier lugar fuera del Reino Unido (incluido en el EEE) deberán de hacerse dos tipos de consideraciones:
- Si está realizando una transferencia restringida de esos datos desde el Reino Unido
- Si está recibiendo datos personales de fuera del Reino Unido (incluido el EEE) en el Reino Unido.
¿Qué es una transferencia restringida?
Está realizando una transferencia restringida desde el Reino Unido si:
- La versión del Reino Unido del RGPD se aplica al procesamiento de los datos personales que está transfiriendo;
- El RGPD del Reino Unido no se aplica al importador de los datos, generalmente porque están ubicados en un país fuera del Reino Unido (que puede estar en la UE, el EEE o en cualquier otro lugar); y
- Si el remitente de los datos personales y el destinatario de los datos son organizaciones separadas (incluso si ambas son empresas dentro del mismo grupo).
Ejemplo:
Si la sede de una empresa que se encuentra en el Reino Unido transfiere información de los clientes a las oficinas centrales de su organización sita en un país de la EU. Una vez que el Reino Unido salga de la UE, esta será una transferencia restringida bajo el RGPD del Reino Unido.
Ver Cloud Computing afectado por el Brexit
En el caso de ser un proveedor de servicios que proporciona servicios de telefonía, internet o proveedor de red se seguirá aplicando el Reglamento de Privacidad y Comunicaciones electrónicas, PECR
Por otro lado, el Comité Europeo de Protección de Datos ya ha aprobado unas orientaciones para las empresas, tanto públicas como privadas, que realicen transferencias de datos a Reino Unido en el caso de que llegue un Brexit sin acuerdo.
Para poder realizar esas transferencias debe existir alguna de las siguientes bases de legitimación:
- Normas corporativas vinculantes
- Cláusulas de protección de datos ad hoc
- Mecanismos de certificación
- Códigos de conducta
- Instrumentos de transferencia específicos a disposición de las autoridades públicas
5 medidas que deben adoptar las organizaciones para prepararse para un Brexit sin acuerdo
Identificar qué actividades de tratamiento implicarán la transferencia de datos personales al Reino Unido
Determinar el instrumento de transferencia de datos adecuado para su situación
Aplicar el instrumento de transferencia de datos elegido para que esté listo para el día 30 de marzo de 2019
Indicar en su documentación interna que se efectuarán transferencias al Reino Unido
Actualizar su aviso de privacidad en consecuencia para informar a los particulares
Fuente: AEPD: Recomendaciones en caso de Brexit sin acuerdo
