El acuerdo del Brexit alcanzado entre la Unión Europa y el Reino Unido pende de un hilo y en cualquier momento puede saltar por los aires. La primera ministra, Theresa May, ha anunciado hoy mismo que aplaza la votación prevista para mañana 11 de diciembre, en la que el Parlamento británico tenía que refrendar los términos del Brexit acordados con la UE.

Esta incertidumbre se traslada a todos los sectores, entre ellos el incipiente mundo de la protección de los datos. El Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) se aprobó en la UE hace algo más de seis meses y las empresas asentadas en el Reino Unido, como Estado miembro, han tenido que cumplirlo desde entonces, con la consecuente inversión para evitar las faltas previstas en la normativa europea. ¿Y en el momento en el que se haga efectivo el Brexit qué pasará?

El Reino Unido quedará excluido de las transferencias de datos personales que permite el GDPR entre los países miembros del espacio económico europeo. De hecho, tras el llamado periodo de transición que vence el 31 de diciembre de 2020, pasará a ser un “tercer país”, se impedirá que el control y el procesamiento de los datos de la UE se realicen en el Reino Unido, aunque sea entre compañías de un mismo grupo. Salvo que se acuerde una solución.

La Comisión Europea prevé aceptar a un tercer país dentro de su espacio, siempre que se demuestre que este estado tiene unos niveles de protección adecuados a la que ofrece el GDPR. La teoría dice que si el Reino Unido está cumpliendo en la actualidad con esta normativa europea debería satisfacer los criterios de la Comisión para ser considerado un país apto, siempre que adopte el GDPR en su legislación nacional. Pero, claro, esto es una incógnita más en estos momentos.

El Reino Unido tendría que solicitar a la Comisión Europea la aceptación como tercer país ‘apto’. En este punto, podrían darse tres circunstancias, según el análisis de los expertos de JDSupra:

1. Solicitud rechazada. Si se rechaza la solicitud, los datos personales de la UE no podría fluir libremente entre el Reino Unido y los estados miembros.

2. Solicitud aceptada. El Reino Unido estaría reconocido como país apto, por lo que los datos personales se podrían transferir libremente desde los estados miembros de la UE. Sin embargo, el ICO (órgano británico regulador de los datos y la información) no tendría derecho a participar en el Consejo Europeo de Protección de Datos.

3. Solicitud aceptada y mejorada. El Reino Unido no solo es reconocido como un país apto, sino que además la ICO británica tendría derecho a participar en el Consejo Europeo de Protección de Datos.