El Comité Europeo de protección de datos se pronuncia sobre la posible decisión de adecuación para el Reino Unido

El Comité Europeo de Protección de datos (CEPD) publicó el pasado 13 de abril sendos dictámenes sobre los dos borradores de decisiones de adecuación para transferencias internacionales de datos personales al Reino Unido que la Comisión Europea publicó el pasado mes de febrero. Se trata de dos proyectos de decisión, uno referido al RGPD y otro a la Directiva (UE) 2016/680, sobre investigación y persecución de delitos. Si se confirman las decisiones de adecuación será posible continuar con las transferencias de datos entre la UE y el Reino Unido sin necesidad de acudir a garantías adicionales.

El CEPD recuerda que –en particular bajo el Reglamento General de Protección de Datos–, para apreciar la existencia de un nivel de protección adecuado, el artículo 45 y la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) exigen que la legislación del tercer país se ajuste a la esencia de los principios fundamentales consagrados en el RGPD.

Tras analizar la legislación y la práctica de Reino Unido, el CEPD identifica muchos aspectos que son esencialmente equivalentes, habida cuenta de su anterior estatus como Estado miembro de la UE.

Ahora bien, son varios los retos que se plantean. En primer lugar, el seguimiento de la evolución del ordenamiento jurídico británico en materia de protección de datos en su conjunto. Recientemente, el Gobierno británico ha manifestado su intención de desarrollar políticas que podrían entrañar divergencias respecto del marco europeo, con el consiguiente riesgo para el mantenimiento de un nivel de protección adecuado a los efectos de las transferencias de datos personales.

En segundo lugar, el CEPD solicita a la Comisión Europea que incluya en la decisión de adecuación más información sobre la exención en materia de inmigración, en particular en relación con la necesidad y proporcionalidad de una exención tan amplia en la legislación del Reino Unido.

El Comité también apunta el riesgo de que los acuerdos entre el Reino Unido y terceros países en relación con las transferencias datos puedan menoscabar el nivel de protección.

En cuarto lugar, en lo que respecta al acceso de las autoridades públicas a los datos transferidos al Reino Unido –materia que fue clave para declarar inválido el Escudo de Privacidad (Privacy Shield) en la sentencia Schrems II–, el CEPD señala la necesidad de profundizar en la clarificación de los supuestos que permiten el acceso o utilización de datos personales sin la aprobación del Investigatory Powers Commissioner o de los Judicial Commissioners.

A su vez, el dictamen insta a la Comisión Europea a que siga evaluando y demostrando que el ordenamiento del Reino Unido ofrece las salvaguardias adecuadas, ya sea a través de una supervisión a posteriori efectiva o mediante el pleno ejercicio de derechos de los particulares, p. ej. el recurso ante los tribunales.

En este contexto, el CEPD invita a la Comisión Europea a supervisar de cerca dichos retos, cumpliendo con su función de control y tomando las medidas necesarias, en caso de que el nivel de protección de los datos personales transferidos se vea comprometido, incorporando salvaguardias específicas, modificando o, incluso suspendiendo la decisión de adecuación cuando sea necesario. Cabe destacar que la decisión de adecuación que prepara la Comisión sería la primera que incluye una cláusula de caducidad (sunset clause).

Desde luego, los retos aquí planteados seguirán siendo objeto de estudio por parte de las instituciones europeas durante los próximos años. Desde este blog continuaremos expectantes a los acontecimientos relevantes del Reino Unido que puedan tener un impacto en la equivalencia esencial del nivel de protección de los datos personales.

Autores: Josu Andoni Eguiluz y Miquel Peguera