El BREXIT ya está aquí

El Brexit y la protección de datos vuelven a ser noticias. Hace ya poco más de 4 años que el Reino Unido decidió abandonar la Unión Europea, a través de un sonado y hasta sorprendente referendum. En ese momento, la palabra BREXIT empezó a ser habitual en las conversaciones de todo tipo, incluyendo las relacionadas con la protección de datos.

A pocas semanas del adios definitivo, quedan algunos asuntos importantes que tratar, especialmente en lo que se refiere a las condiciones para el envío y recepción de datos personales para y desde el Reino Unido.

El objetivo de este breve post es aclarar algunas obligaciones que afectan a las empresas españolas que cumplan estos dos requisitos:

  1. por un lado, ofrecen bienes o servicios a personas físicas en el Reino Unido; o monitorean su comportamiento (por ejemplo, a través de publicidad comportamental o behavioural advirtising), y
  2. por el otro, no tienen oficinas de representación, filiales o cualquier otro establecimiento en el Reino Unido.

Si tu empresa cumple estos dos criterios el Informacion Commissioner’s Officer (ICO) tiene algo que decirte.

Qué dice el ICO

A parte del cumplimiento de la legislación en materia de protección de datos (básicamente, el Reglamento Europeo 2016/679 – GDPR o RGPD), es necesario también cumplir con la legislación del Reino Unido, es decir el Data Protection Act 2018.

Hasta aquí, todo normal: las dos normas mencionadas comparten una visión de la privacidad muy parecida, enfocada en la protección de los datos personales a través de una correcta gestión del riesgo, asegurando un flujo seguro de información en el mercado nacional y europeo.

Pero hay más.

BREXIT Panic?

BREXIT? Protección de Datos? Representación obligatoria? You’d better call a Privacy Pro (IMAGE courtesy of the IAPP)

Representación obligatoria

El ICO establece la obligación de nombrar a un representante en territorio del Reino Unido, para las empresas que cumplan con los dos requisitos mencionados (texto completo, en inglés, aquí).

Además, la representación debe:

  • revestir la forma escrita (un contrato de representación o mandato debería ser suficiente);
  • especificar claramente que el mandatario actúa como representante de la empresa extranjera en todo lo concerniente a la protección de datos (p.e., contestando a los derechos de acceso, rectificación, oposición, portabilidad, cancelación, etc.);
  • asegurar que el representante (persona física o jurídica) tenga las capacidades técnicas, legales y administrativas para llevar a cabo las tareas encargadas;
  • tener la debida publicidad en las poco leídas «Políticas de Privacidad«.

Dudas sobre Protección de Datos, BREXIT y necesidades de representación en el Reino Unido?

Envíanos un email con tu caso y te ayudamos.