Elena Atienza Macías
Mientras que los estados miembros de la UE y el Espacio Económico Europeo gozan de una transferencia de datos sin restricciones, la situación se torna compleja con el Reino Unido.
El big data es trending topic en todas las revistas de temática científica y tecnológica, así como en blogs y redes sociales. Incluso ya ha dado el salto a las publicaciones económicas, empresariales y de contenido jurídico. De esta forma, cuando hablamos de big data o datos a gran escala, nos referimos a la gestión y análisis de enormes volúmenes de datos, de dimensiones colosales, que no pueden ser tratados de manera convencional, en tanto en cuanto sobrepasa la capacidad de procesamiento de las herramientas de bases de datos habituales. Supone el análisis a alta velocidad de un gran volumen y una gran variedad de datos, mediante formas innovadoras y tecnologías de procesamiento.
Estas tres características señaladas (las tres ‘v’) son definitorias del big data en su concepto original, aunque posteriormente se han añadido más ‘uves’ que se refieren a conceptos como valor o visibilidad y puntualizaciones de distinto calado.
El tsunami normativo en la protección de datos
Dentro de la amalgama normativa concerniente a la protección de datos que existe en el mundo, el Reglamento General de Protección de Datos de la Unión Europea es uno de los más completos y ha cristalizado en normativa mundial para la mayoría de los países. Muchos llegaron a calificarlo de tsunami normativo debido a que “arrasaría” con toda la regulación sobre protección de datos anterior. Y es que el citado reglamento va mucho más allá de la mera legislación nacional, ya que posee implicaciones en otros países, en los que las normas reguladoras detalladas y específicas subyacentes pueden imponerse a las empresas con sede fuera de la Unión Europea o del Espacio Económico Europeo que participan en la transferencia de datos.
La razón de ser de esta nueva normativa respondía a lo siguiente: por una parte, adaptar las leyes a una nueva realidad tecnológica –prácticamente inexistente en 1995, fecha de la Directiva Europea que venía a derogar y sustituir– donde Internet, el comercio electrónico, los servicios bancarios en línea, las redes sociales, el big data y el cloud computing se han convertido en protagonistas en los ámbitos social, económico y político de la Unión Europea.
También pretende unificar la normativa de los Estados miembros, actualmente disgregada en veintiocho normas sectoriales (o nacionales) diferentes. Además, mejorar y reforzar la protección de datos en Europa, incluyendo el concepto de privacy by design, que vendrá a establecer que las empresas deberán tener en cuenta la protección de datos en cada decisión empresarial que se adopte. Esto obligará, en la práctica, a contar con el asesoramiento de abogados expertos en protección de datos así como endurecer las sanciones, para que infringir la ley no sea rentable. En estos y otros muchos aspectos profundiza el Máster en Protección de Datos de UNIR.
La complejidad que trae el divorcio británico
Así las cosas, mientras que los estados miembros de la Unión Europea y del Espacio Económico Europeo gozan de una transferencia de datos sin restricciones, la situación se torna compleja cuando un miembro de la UE decide abandonarla: tal es el caso del controvertido y debatido Brexit que protagonizó Reino Unido, al abandonar la Unión Europea el 31 de enero de 2020.
Sobre la base del acuerdo de retirada que ha sido ratificado tanto por la Unión Europea como por Reino Unido, el 31 de diciembre de 2020 finalizó un periodo transitorio durante el cual la legislación de la UE siguió aplicándose en el país británico. A partir del 1 de enero de 2021, las transferencias de datos personales a Reino Unido se rigen por el Acuerdo de Comercio y Cooperación (Trade and Cooperation Agreement o TCA) entre la UE y Reino Unido, acordado por legisladores de ambas partes el 24 de diciembre de 2020 y aplicable provisionalmente desde el primer día del año.
El citado acuerdo prevé un régimen provisional (la llamada “cláusula puente”, consagrada en el artículo FINPROV.10A del TCA) que garantiza la plena continuidad de las transferencias de datos entre el Espacio Económico Europeo y Reino Unido, sin necesidad de que las empresas y las autoridades públicas pongan en marcha ningún instrumento de transferencia en virtud del Reglamento General de Protección de Datos o de la Directiva de ejecución de la ley.
Esta solución es:
- Aplicable durante un período máximo de seis meses.
- Está condicionada al compromiso de Reino Unido de no modificar el régimen de protección de datos actualmente en vigor.
Cambios legislativos trascendentales
En esencia, esto significa que Reino Unido debe seguir aplicando las normas de protección de datos, basadas en la legislación de la Unión Europea, que eran aplicables durante el período de transición. El 28 de junio de 2021, la Comisión adoptó dos decisiones de adecuación para las transferencias de datos personales a Reino Unido, en virtud del Reglamento General de Protección de Datos y de la Directiva de ejecución de la ley.
Con todo, qué duda cabe que la salida de Reino Unido de la UE está implicando cambios transcendentales en materia de protección de datos. En un mundo globalizado como el nuestro con ingentes cantidades de transferencias transfronterizas de datos personales, el Brexit genera una nueva era de consecuencias en nuestras vidas y en la esfera de la privacidad. ¿Cuáles son las claves de la relación en el futuro más próximo entre la Unión Europea y Reino Unido? La realidad, como todo lo que tiene que ver con el Brexit, resulta borrosa. Sin duda, los operadores jurídicos han de estar muy atentos a futuras novedades que afectarán a numerosos sectores.
