Pero la realidad es que desde julio de 2023 ya una gran mayoría de webs usuarias de Google Analytics han tenido que dar el salto a su versión 4 si quieren seguir obteniendo datos. 

El cambio no ha sido repentino ya que Google lleva varios años ofreciendo la doble opción para hacer la transición más sencilla. 

1.- ¿Pero qué es Google Analytics 4?

Google lo ha bautizado como la nueva generación de Analytics para recoger datos basados en eventos tanto de apps como webs. En ese sentido, GA4 incluye un nuevo tipo de propiedad que permite comprender mejor el recorrido del cliente, recoger datos según eventos y no sesiones, posibilita medir sin usar cookies, incluye modelos de comportamiento o modelización de conversiones y se integra más con redes sociales para impulsar acciones en webs y apps.  

El nuevo tipo de propiedad propuesto por GA4 es tan distinto que pasar de un Analytics clásico a GA4 puede requerir cierto proceso de migración, ya sea uno cliente final o anunciante. 

Las diferencias entre GA4 y UA (que nació en 2012) son principalmente:

• GA4 mide con mucha más facilidad apps o webs en conjunto o por separado. UA necesitaba el extra de Firebase para las apps.
• UA estaba más sujeto a las cookies y su aceptación. GA4 recurre al aprendizaje automático para inferir los datos no compartidos por los usuarios, supuestamente cumpliendo con el RGPD.
• GA4 no recurre tanto al ID del dispositivo para medir lo que hace el usuario, que muchas veces usa múltiples dispositivos para ver lo mismo y por tanto generaba duplicados con UA.
• GA4 cambia el sistema de informes respecto a UA con el objetivo de conseguir métricas más personalizadas y generales. 
• GA4 abandona el sistema de sesiones por uno basado en eventos, y además cuenta con métricas específicas de comercio electrónico.

La realidad es que Google Analytics ha llegado a este cambio bajo una situación legal compleja dadas las numerosas resoluciones de agencias de protección de datos europeas contra sus prácticas en privacidad, especialmente debido a la anulación del Escudo de Privacidad en julio de 2020 y la casi imposibilidad legal de transferir datos personales fuera del Espacio Económico Europeo.

2.- ¿Qué problemas legales ha encontrado Google Analytics desde entonces?

Veamos brevemente algunas de las resoluciones que se han pronunciado sobre ello en los últimos años, especialmente del 2022 en adelante.

El primerísimo en abrir el melón fue la agencia de protección de datos federal de Alemania y la de Berlín en noviembre de 2019. Según las mismas, usar Google Analytics (en aquel momento UA) requería consentimiento según los criterios del caso Planet49 ya que Google usaba la monitorización para sus propias finalidades. Además, eran indiferentes los distintos servicios que pudieran ser activados al usar GA.

Post Schrems II, el 11 de enero de 2022 el primero que se pronunció fue el Comité Europeo de Protección de Datos sancionando al Parlamento Europeo por el uso de Google Analytics (y Stripe) en su web de tests COVID. Los argumentos fueron que la web estaba transfiriendo datos a los EE.UU. sin garantizar un nivel adecuado de protección de los mismos. Además, “El Parlamento no proporcionó ninguna documentación, pruebas u otra información sobre las medidas contractuales, técnicas u organizativas establecidas para garantizar una nivel de protección equivalente a los datos personales transferidos a los EE.UU. en el contexto del uso de cookies en el sitio web.”

La primera agencia en disparar con bala fue la agencia de protección de datos de Austria el 13 de enero de 2022 al resolver que el uso de Google Analytics vulneraba Schrems II ya que las medidas técnicas y organizativas adoptadas por Google (protecciones alrededor de los data centers, cifrado de base o análisis de solicitudes) eran completamente inútiles a efectos de la vigilancia realizada por EEUU de acuerdo a FISA 702 y la EO 12333.

La agencia de protección de datos de Francia se pronunció en el mismo sentido en febrero de 2022. Los principales argumentos fueron que Google Analytics generaba riesgos importantes a los usuarios franceses en cuanto al posible acceso de sus datos por parte de los servicios de inteligencia de EEUU. Google había adoptado medidas para evitarlo pero eran insuficientes y por tanto consideraba el uso de GA ilegal.

En julio de 2022 fue el turno de la agencia de protección de datos de Italia, sancionando también el uso de Google Analytics. Los motivos fueron que Google Analytics usaba cookies para recopilar datos personales, como la IP, que transfería a EEUU. En relación a la IP, mencionó que el hecho de anonimizarla (en principio) no bastaba ya que Google podía enriquecer esos datos con otra información que permitían la identificación. 

En septiembre de 2022 sería la agencia de protección de datos de Dinamarca. Los motivos para considerar su uso ilegal eran que las medidas de Google no ofrecían suficiente protección para la transferencia realizada a EEUU. En todo caso, la agencia danesa indicó que una medida de seudoanonimización como un proxy inverso podía ser una medida técnica suplementaria adecuada. 

La opinión de la autoridad danesa era también interesante ya que descartaba que el uso de Google Analytics 3 o 4 cambiara algo respecto al incumplimiento (profundizaremos más adelante). Algo con lo que posteriormente coincidió la agencia noruega.

En diciembre de 2022 la Agencia Española de Protección de Datos (AEPD) se convertía en la nota discordante y rechazaba que el uso de Google Analytics fuera ilegal. Los principales motivos eran que se había constatado que la RAE (en este caso el reclamado), una vez que se había publicado la sentencia de Schrems II dejó de usar Google Analytics. Además, la AEPD consideró que la RAE nunca utilizó información con la finalidad de identificar a los usuarios. Por tanto, archivó el expediente.

En julio de 2023 llegaría la primera sanción económica (de 1 millón de euros) por parte de la agencia de protección de datos de Suecia. Los sancionados fueron Tele2 (operador telefónico) y CDON (una tienda online). Las razones fueron que se recopilaban datos personales, se transferían a EEUU, se aplicaban medidas suplementarias insuficientes (como las Cláusulas Contractuales Estándar) y además se usaba GA desde hacía tiempo a pesar de conocerse sobre su problemática legal desde 2020. 

También en julio de 2023 llegaría la sanción de la agencia de protección de datos de Noruega, declarando su uso ilegal. Los principales motivos eran, en buena parte siguiendo la estela de la agencia danesa, que Google Analytics seguía captando datos personales y los transmitía a EEUU con medidas técnicas y organizativas insuficientes. Por tanto, el uso de GA era ilegal.

En todo caso, las agencias sueca y noruega coincidían en que la aprobación del nuevo marco de privacidad entre EEUU y Europa, el pasado 10 de julio, convertía a Google nuevamente en un proveedor adecuado.

Sea como sea, se sabe que la posibilidad de Schrems III es muy factible ya que el nuevo protcolo también será llevado al Tribunal de Justicia de la UE. Por tanto, veremos por allá 2025 – 2026 si esta historia se repite o no por tercera vez.

Hecho este breve repaso, veamos las particularidades legales de Google Analytics 4, qué ventajas presenta a priori en materia de privacidad y si son o no suficientes frente alguno de los retos de futuro.

3.- Particularidades legales de Google Analytics 4

Por allá marzo de 2022, cuando GA4 fue anunciando, decía Google que el mismo estaba diseñado con la privacidad como elemento básico, tanto para usuarios y clientes.

Ciertamente GA4 tiene nuevas características que ponen el foco en la privacidad. Por ejemplo:

• Anonimización de la IP: en UA las IPs se recopilaban por defecto a menos que el usuario del servicio cambiara la opción. En GA4 la anonimización de la IP va activada por defecto y en principio no es ajustable por el usuario.
• Conservación de los datos: al margen de alguna excepción técnica para grandes tratamientos, GA4 solo permite almacenar los datos 2 o 14 meses. Por su lado, UA daba más flexibilidad en ese sentido.
• Modo consentimiento en etiquetas: por allá 2020 Google introdujo el modo consentimiento para modificar las etiquetas de traqueo o tags en función de los permisos que daban o no los usuarios. En GA4 esa opción está todavía más presente en cualquier tag que se configure, posibilitando que el usuario rechace indicar su navegador o el sistema operativo, entre otros datos.
• Localización de los datos: GA4 sigue sin permitir elegir el servidor en el que se tratan y localizan los datos, que en su mayoría acaban en EEUU (de ahí la catarata de decisiones de la agencias). Así que aquí el avance es inexistente y se deben seguir aplicando medidas extra, si no interesa o es un problema.
• Eliminación de datos: con GA4 es más sencillo diferenciar datos por usuario y eliminarlos si hiciera falta o se hubiera ejercicio el derecho de supresión. En UA solo era posible la eliminación en una franja de tiempo concreta.
• Evitar información obviamente personal: GA4 está más pensado para evitar que se use Google Analytics para recopilar información identificable tipo emails, teléfonos, domicilios y demás en el ID del usuario.
• Integración con otros servicios: GA4 simplifica limitar que se comparta la información recopilada con otros servicios como Google Ads o desactivar la personalización de anuncios.

Entonces, ¿utiliza Google Analytics 4 cookies? Sí, las que Google denomina propias para distinguir entre usuarios únicos y sesiones únicas por usuario individual. Lo que no requiere ahora la clásica cookie ga_ es establecer cookies para transmitir datos a y desde Google. La librería de JaveScript gtag.js es la que hace innecesario eso.

Ahora bien, ¿es suficiente Google Analytics 4 para salvar los problemas comentados por las agencias de protección de datos? Después de todo, ahora anonimiza la IP por defecto, ¿verdad?

En realidad lo que permite que la transferencia de datos haya dejado de ser un problema (hasta un potencial Schrems III) es el nuevo protocolo entre EEUU y Europa para transferencias internacionales. Como indicó la agencia de Dinamarca en su resolución, si bien UA y GA4 funcionan de forma diferente, tiene una base común, principalmente la creación de un ID único de usuario que se alimenta de otra información recopilada.

Incluso si se usa GA4 es su versión más privada, ese ID único se seguirá asignando y alimentando de información personal como la ubicación aproximada, hora de visita o interacciones en web. Eso incluso aunque GA4 no capta la IP sino que usa la ubicación aproximada del usuario para asignar un centro de datos (luego descarta la IP y envía la versión “anonimizada” a EEUU).

Es decir, todo indicaría que con GA4 no hay conexión directa entre el centro de datos de Google y la IP del usuario.

Pero para ese proceso, dice la agencia danesa, Google ha implementado firewalls en sus centros de datos como medida de seguridad para controlar el tráfico entrante. Y ahí sí puede recoger la IP al completo. Por tanto, incluso si no la hubiera recogido vía Google Analytics, podría haberla captado mediante ese otro tratamiento que cruzado luego con los datos de GA acabara desvelando la IP del usuario de GA4.

Y si hay IP, policía o servicios de inteligencia de EEUU podrían potencialmente descubrir quién hay detrás de la IP.

Es una opción algo rebuscada, pero no deja de ser cierta.

Por tanto, si no tuviéramos nuevo protocolo de privacidad entre EEUU y Europa, GA4 tampoco sería suficiente a nivel de transferencias internacionales.  Lo que es interesante a efectos de un potencial Schrems III en 2-3 años.

En resumen: Google Analytics 4 es el presente y en especial el futuro de Google a nivel de medición estadística en webs y apps. Es bastante más pro-privacidad que su predecesor, hasta el punto de permitir medir sin instalar cookies de terceros tipo DoubleClick. Pero eso no implica que no cargue cookies y además sigue instalando otros trackers, el ID único de usuario, que no deja de ser un identificador sujeto al RGPD.

Google Analytics ha tenido múltiples reveses de las agencias de protección de datos europeas por la ilegalidad de las transferencias internacionales cuando cayó Privacy Shield, hasta que en julio de 2023 llegó la nueva decisión de adecuación entre Europa – EEUU. Pero es ese protocolo el que vuelve a simplificar las transferencias internacionales, no GA4, que incluso en su configuración más privada no sería suficiente sin protocolo.

Ese último detalle será interesante a 2-3 años vista ya que Max Schrems ha dicho que volverá a llevara  tribunales el nuevo protocolo y tiene argumentos interesantes para volver a ganar.

Así que veremos cuánto dura este periodo de paz analítica. :p

Mientras tanto, será cuestión de usar y aplicar GA4 lo que mejor que se pueda gracias a sus avances en materia de privacidad.

¡Hasta el próximo Schrems!

La entrada Retos y oportunidades de Google Analytics 4 en privacidad se publicó primero en Términos y Condiciones.

Esos términos y condiciones son lo que la ley llama “Condiciones generales de contratación”. Es decir, las cláusulas no negociables que se incorporan a un contrato (por ejemplo, al comprar unos zapatos o participar en un concurso online) normalmente por una de las partes (el vendedor o titular de la web o app), y que tienen como objetivo ser incorporadas en múltiples contratos (desde cientos a millones) de igual forma (sin posibilidad de negociación individual).

Esos términos y condiciones pueden aplicarse tanto a profesionales (una empresa que contrata el alojamiento de su web profesional) como a consumidores (un particular que se suscribe a Netflix). Para asegurar que esos términos y condiciones no son ilegales, la ley exige que puedan ser conocidos antes de contratar, que se redacten de forma transparente, clara, concreta y sencilla. Y en el caso de dirigirse a consumidores (alguien que usará lo adquirido para su disfrute personal, no para su actividad profesional), esos términos y condiciones no deben incluir cláusulas abusivas.

Por tanto, cuando estás creando tu app, web, tienda o evento online y simplemente copias los términos y condiciones de algo que se parece, es como intentar reutilizar un molde pensado para una receta y producto, pero en otro parecido aunque no exactamente igual.

Pero digamos que has tenido buen ojo y has encontrado un molde bastante ajustado a tu caso. Buen trabajo.

En todo caso, no hay que olvidar que a los términos y condiciones también se les llama comúnmente “la letra pequeña”. Eso se debe a que el molde tiene muchos más aristas y particularidades de las que podría parecer (legislación aplicable, tipo de producto o servicio o necesidades propias de negocio, entre otros).

Es en esa letra pequeña donde el molde puede empezar a bailar, desencajar y dar más problemas de los que aparentaba inicialmente.

Veamos 4 razones por las que la letra pequeña de ese molde en forma de términos y condiciones que has copiado puede darte más dolores de cabeza de los aparentes:

1.- Datos incorrectos

La normativa sobre condiciones generales de contratación, los términos y condiciones, obliga a identificar al titular de la web, app o tienda online, desde su nombre (ya sea particular o empresa), a su domicilio, NIF, datos del registro mercantil o correo de contacto, entre otros.

Si haces un simple copiar/pegar es posible que incluyas datos incorrectos, pero el error más típico en ese caso es olvidar algún dato que sí te correspondía incluir, por ejemplo los del registro mercantil si eres una empresa española. Como seguramente habrás copiado los términos y condiciones de una empresa extranjera y ahí no se les exige eso, tú no los incluirás y entonces tienes riesgo de ser sancionado con ello.

Los datos incorrectos o ausentes (pero exigidos por la ley) también pueden ser otros como autorizaciones, licencias administrativas, certificaciones o datos de contacto, entre otros.

Sea como sea, la no inclusión de los datos del registro mercantil en los términos y condiciones ha sido sancionado en los últimos años con multas que van de los 800 a los 1.200 euros.

2.- Normativa equivocada

Cuando copias los términos y condiciones de una web o app parecida, normalmente la empresa (o empresas, si usas términos y condiciones de varias webs) será de otro país. Por tanto esos términos y condiciones han sido elaborados teniendo en cuenta normativa de otros países. En ocasiones esas otras leyes pueden ser parecidas, si la empresa está en Europa, pero pueden ser muy diferentes si por ejemplo son de EEUU u otra región.

Un error muy típico cuando se copian términos y condiciones de webs o apps de otros países es el relativo a los tribunales aplicables en caso de conflicto. Si tu negocio se dirige a consumidor final, siempre deben aplicar los tribunales del domicilio del usuario (es decir, no puedes decir que aplicarán los tribunales de Madrid sin más, ya que es una cláusula abusiva según el artículo 90.2 de la Ley General de Defensa de los Consumidores y Usuarios). Además, debes informar sobre el sistema europeo online para resolución de conflictos.

Si unos términos y condiciones han sido copiados, muchas veces no se incluye mención al sistema europeo para resolución de conflictos y es habitual incluir cláusulas que hablan de tribunales o leyes aplicables. Es decir, cláusulas abusivas cuya inclusión nos puede costar dinero.

Ese tipo de infracciones suele sancionarse en la práctica con multas que van de los 2.000 a los 4.000 euros.

3.- Ventajas desaprovechadas

Si copias los términos y condiciones de tu web o app estás dejando pasar oportunidades y ventajas que la normativa te permite usar, siempre y cuando las regules en tus términos y condiciones.

Por ejemplo, cuando un usuario decide ejercer su derecho de desistimiento y quiere devolver algo adquirido (el libro que ha comprado en tu tienda online, por ejemplo) el empresario puede obligar a que el usuario asuma los costes de la devolución, pero para ello es necesario que lo incluya en los términos y condiciones (artículo 108.1, párrafo segundo de la Ley General de Defensa de los Consumidores y Usuarios).

Por no hablar de las exclusiones de responsabilidad, políticas de cancelación, gestión de derechos de propiedad intelectual u otras cuestiones que el titular de la web, tienda o app puede aprovechar en su favor si las regula en los términos y condiciones, como pide la normativa.

Sin embargo, si los términos y condiciones usados son copia de otros, muchas de esa ventajas individuales es probable que no se contemplen y se pierdan.

4.- Datos personales

Dos de los términos y condiciones más típicos son la Política de Privacidad y la Política de Cookies, dos textos que sirven para regular los datos personales captados, para qué se usan, qué puede hacer el usuario respecto a ellos y qué hará el titular de la tienda, web o app si recibe una solicitud del usuario. La Política de Cookies es similar pero en relación a las cookies que implementa la web o app, qué recogen y cómo limitar su impacto.

Sin embargo, si uno simplemente se dedica a copiar los términos y condiciones sin ajustarlos mínimamente a su proyecto, corre el riesgo de regular equivocadamente los datos personales que capta, cómo los usa, las bases legales que aplica y otros requisitos legales. Es decir, puede incumplir con el derecho de información que tiene el usuario del producto o servicio.

Eso normalmente es sancionado por la Agencia Española de Protección de Datos (AEPD) con sanciones que van de los 1.000 a los 3.000 euros. Como muestra un botón, resolución de la AEPD del 26 de abril de 2023 por la que sanciona con 1.000 euros a una web por política de privacidad deficiente.

En conclusión, ¿puedes copiar términos y condiciones? Claro, solo faltaría.

¿Implican un riesgo legal? Sí, por las razones indicadas. Además desaprovechas oportunidades que la ley te proporciona.

¿Esos riesgos cuánto pueden costarme? Con números realistas en la mano, no las estimaciones más grandes de la normativa, el riesgo económico de copiar unos términos y condiciones (incluyendo Política de Privacidad, Política de Cookies y Condiciones de Uso y Contratación) va de 2.500 a 7.000 euros.

Mientras tanto, ¿cuánto me costarían unos términos y condiciones propios? Ni la tercera parte de esos 2.500 euros (entre 500 y 800 euros en asuntos no comunes).

Por tanto la inversión en términos y condiciones es más rentable de lo que puede parecer, ahorrándote un buen dolor de cabeza y más de un disgusto económico.

Si necesitas unos, puedes contactarnos aquí.

La entrada 4 razones por las que no copiar términos y condiciones se publicó primero en Términos y Condiciones.

“¿Acaso la Tierra ha disminuido?

– Sin duda que sí- respondió Gualterio Ralph-. Opino como míster Fogg. La Tierra ha disminuido, puesto que se recorre hoy diez veces más aprisa que hace cien años.”

La vuelta al mundo en 80 días, Capítulo III
Julio Verne

La anterior frase, del genial libro “La vuelta al mundo en 80 días” de Julio Verne, fue publicada en 1872, cuando la Tierra empezaba a quedarse “pequeña”. Hoy un turista puede dar la vuelta al mundo en una semana, la Estación Espacial Internacional tarda aproximadamente hora y media y seguramente nuestros datos personales se propagan a través de todos los servidores del globo en cuestión de minutos. Así que hoy, nuestro querido planeta tiende a diminuto.

Sin embargo, no vamos a hablar hoy de viajes de personas, sino de cómo pueden viajar nuestros datos personales entre los distintos países.

Ahora que se ha cumplido un año de la entrada en vigor del Reglamento General de Protección de Datos (en adelante RGPD), posiblemente una de las norma más importantes de lo que llevamos de siglo, nos vamos a adentrar en una parte muy concreta de ese mundo: las transferencias internacionales de datos.

En primer lugar, repasemos unos cuantos conceptos clave que nos serán de ayuda durante todo el viaje:

1.- Ámbito de aplicación RGPD

Como ya sabemos, el  famoso RGPD se aplica al tratamiento de datos personales y afecta en principio a responsables y encargados de los países miembros del Espacio Económico Europeo, independientemente de que el tratamiento de los datos tenga lugar en la Unión o no.  

Sin embargo, el Reglamento también se aplica a responsables o encargados no establecidos en la Unión cuando las actividades de tratamiento estén relacionadas con:

A) La oferta de bienes o servicios a dichos interesados en la Unión.

B) El control de su comportamiento, en la medida en que este tenga lugar en la Unión.

Sin olvidar aquellos casos en los que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con lo cual, el territorio sobre el que se aplicará el RGPD es bastante más amplio – y difuso – de lo que podemos pensar inicialmente.

2.- ¿Qué es una transferencia internacional de datos?

Las transferencias internacionales de datos suponen un flujo de datos personales a terceros países fuera del Espacio Económico Europeo. Es decir, allí donde no se aplica el RGPD.

3.- ¿Pueden realizarse?

Las transferencias internacionales de datos pueden realizarse. Sin embargo, hay supuestos en los que no tendremos nada de qué preocuparnos pues será como si siguiéramos dentro de la Unión, y hay otros casos en los que deberemos ir adoptando una serie de garantías y cautelas.

Así, cada uno de los supuestos tasados es más excepcional que el anterior, funcionando como una especie de “embudo”.  

Algo más o menos así:

¡Y ahora que ya sabemos esto, a coger las maletas!

Como vemos, la primera categoría serían los países del Espacio Económico Europeo (es decir, los países de la Unión Europea más Liechtenstein, Islandia y Noruega). Aquí rige el RGPD y por tanto no se requiere ninguna previsión para el intercambio o transferencia de datos dentro de dicho territorio.

Sin embargo, la delimitación no es tan fácil como podría parecer. Resulta que algunos países o territorios en principio ajenos a la Unión tienen una especial vinculación con algún Estado miembro. Son los llamados Territorios Especiales de la Unión Europea, que a su vez engloban otras categorías de territorios.

TERRITORIOS ESPECIALES DE LA UNIÓN EUROPEA

Cada uno de estos territorios tiene un estatus especial que en ocasiones, como veremos a continuación, tiene implicaciones en el tratamiento de datos personales y sus transferencias.

Regiones Autónomas Especiales

En primer lugar tenemos las Regiones Autónomas Especiales, las cuales tienen la consideración de territorios de la Unión Europea. De este modo, aunque en algunas materias (por ejemplo respecto a aduanas/fiscalidad) tengamos legislaciones diferentes en cuanto a protección de datos se refiere, no hay ningún caso especial ni excepción, tampoco para una transferencia internacional de datos. Las Regiones Autónomas Especiales serían:

Regiones Ultraperiféricas

Las regiones ultraperiféricas (RUP) forman parte de la Unión Europea ya que son parte de algún estado miembro, aunque estén muy alejadas del continente.

Aunque en ocasiones tienen legislaciones específicas en materia aduanera y fiscal, no hay implicaciones en materia de protección de datos y tampoco a la hora de una transferencia internacional de datos. Las regiones ultraperiféricas serían:

Sin embargo, hay que estar “atentos” a la lista de regiones ultraperiféricas porque puede ir variando. Así, el artículo 355 del Tratado de Lisboa permite al Consejo Europeo cambiar el estatuto de un determinado país o territorio de la consideración RUP a la categoría de PTU. Donde como veremos si hay implicaciones en materia de transferencias internacionales de datos.

A modo de ejemplo, Saint Barthélemy era una región ultraperiférica, pero en 2012 se convirtió en un País y Territorio de Ultramar (PTU). Y a la inversa sucedió con Mayotte en 2014 que, mediante una Decisión del Consejo pasó de ser un PTU a convertirse en una RUP.

Países y Territorios de Ultramar

Los países y territorios de ultramar son una “rara avis” legislativa a efectos de aplicación del RGPD.

Por un lado, dependen constitucionalmente de cuatro Estados miembros de la Unión Europea (UE): Dinamarca, Francia, los Países Bajos y el Reino Unido.

Ahora bien, esta dependencia constitucional no los convierte en territorio de la UE. Por tanto, no son objeto directamente de la legislación de la UE.

Pero por otro lado, sus nacionales son ciudadanos europeos y se benefician del estado de asociados que se les otorga por el Tratado de Lisboa.

Así que vamos a ir paso a paso.

En primer lugar, hay que tener más o menos en mente a qué países y territorios nos referimos cuando hablamos de Países y Territorios de Ultramar o PTU:

En segundo lugar, hay que advertir que como no forman parte de la UE, en principio el RGPD no les resulta aplicable de manera directa.

Sin embargo, el asunto comienza a complicarse con facilidad:

1.- El Tribunal de Justicia (Gran Sala) ha declarado en el Asunto C‑300/04 (M.G. Eman y O.B. Sevinger contra College van burgemeester en wethouders van Den Haag) que:

“Las personas que tienen la nacionalidad de un Estado miembro y que son residentes o están domiciliadas en un territorio perteneciente a los países y territorios de ultramar, en el sentido del artículo 299 CE, apartado 3, pueden invocar los derechos que se reconocen a los ciudadanos de la Unión en la segunda parte del Tratado CE.”

O lo que es lo mismo, se les reconoce la Ciudadanía de la Unión y los derechos contenidos en el TCE.

2.- La condición de asociados de estos países y territorios implica entre otras cosas que:

1) Los Estados miembros aplicarán a sus intercambios comerciales con los países y territorios el régimen que se otorguen entre sí en virtud del presente Tratado.

2) Cada país o territorio aplicará a sus intercambios comerciales con los Estados miembros y con los demás países y territorios el régimen que aplique al Estado europeo con el que mantenga relaciones especiales.

Art. 183 TCE

3.– Varios de los reseñados territorios no tienen legislación propia en materia de protección de datos personales.

4.– Alguno de ellos prevé entre sus fuentes del Derecho que en caso de ausencia de previsión legal propia sea supletorio el derecho del Estado con quien tienen vinculación.

Por tanto, si bien como países y territorios no forman parte de la Unión Europea, sus ciudadanos sí lo son y las relaciones e intercambios con ellos deberán ser iguales que las que ellos mantengan con el “Estado europeo con el que mantenga relaciones especiales.”

De ese modo, aunque no formen parte de la UE ni del EEE en algunos casos:

• Podría ser aplicable directamente el RGPD.
• Pueden existir “instrumentos vinculantes” que permitan una transferencia internacional de datos con las suficientes garantías.
• El RGPD podría ser subsidiariamente aplicable en función de la legislación de un determinado territorio.

Veamos algunos ejemplos para aclararlo algo más:

1.- Transferencia internacional de datos en el caso de Francia

Posiblemente sea el más sencillo, ya que mediante su Ordonnance n° 2018-1125 du 12 décembre 2018 que desarrolla la Loi n° 2018-493 du 20 juin 2018 relativa a la protección de datos , establece una serie de disposiciones relativas a los territorios de ultramar.

Así, su “Titre V  DISPOSITIONS RELATIVES À L’OUTRE-MER” establece en síntesis que las leyes francesas en materia de protección de datos en desarrollo del RGPD son aplicables en dichos territorios.

[table id=11 /]

Con lo cual, y sabiendo que el ámbito de aplicación del RGPD se expande a aquellos territorios donde el Derecho de los Estados miembros sea de aplicación, en estos casos las transferencias internacionales de datos podrán realizarse como si de un Estado de la Unión se tratara.

2.- Transferencia internacional de datos en el caso de Groenlandia:

No tiene en principio mucha complejidad. Ya que a solicitud del Gobierno de Groenlandia, se estipuló que la Ley de protección de datos de Dinamarca se aplicara a Groenlandia el 1 de diciembre de 2016.

Sin embargo, existe un acuerdo transitorio que estipula que la notificación y la obtención de permisos para el procesamiento de datos personales de acuerdo con los Capítulos 12 y 13 de la Ley de Datos Personales Danesa, deberá realizarse dentro de un período de tres años a partir de la entrada en vigor de dicha Ley. Es decir, antes del 1 de diciembre de 2019.

De esta forma, actualmente hay un “instrumento vinculante” entre Dinamarca y Groenlandia que debería extenderse al resto de  Estados miembros de la UE. Con lo cual, transitoriamente, se presuponen las mismas garantías para las transferencias de datos que si éstas se produjeran dentro del territorio del EEE. Y a partir del 1 de diciembre de 2019 se entenderá que están regulados por el Derecho Danés y por tanto será de aplicación directa el RGPD.

Sirva como ejemplo la política de privacidad del Gobierno de Groenlandia, que indica que sus servidores se encuentran alojados en la UE:

[table id=10 /]

3.- Transferencia internacional de datos en el caso de los Países Bajos

Aquí el asunto ya es algo más complejo. Por un lado debemos considerar que el parlamento neerlandés aprobó en 2010 la entrada en vigor, día 10 de octubre, del proyecto de ley que modificaba la estructura del Reino.

De esta forma, pasó de estar compuesto por tres países (Países Bajos, Antillas Neerlandesas y Aruba) a cuatro países:

• Los Países Bajos ( las Islas de Bonaire, San Eustaquio y Saba que son entes territoriales especiales de los Países Bajos )
• Aruba
• Curazao
• San Martín

En cuanto a los territorios de Aruba, Curazao y San Martín, el gobierno de los Países Bajos ha propuesto que puedan optar por la condición de región ultraperiférica. Eso implicaría que podrían pasar a formar parte de la UE, y en consecuencia una transferencia internacional de datos no tendría la consideración de “internacional”.

Sin embargo, por lo pronto no pertenecen a la UE. De modo que las transferencias de datos con ellos seguirán previsiones similares a las del caso de Groenlandia.

Veamos por ejemplo el caso de Aruba. Su REGLAMENTO DEL PAÍS de 19 de mayo de 2011 para la protección de la privacidad de datos personales prevé, en el apartado segundo de su artículo 23 dedicado a “aspectos internacionales”, que pese a estar prohibidas las transferencias internacionales de datos, se otorgarán excepciones para allí donde exista protección equivalente en materia de privacidad.

[table id=12 /]

En su caso, y con respecto a los Países Bajos, eso es automático. En consecuencia, y según estipula el Tratado de la Unión, esta especial relación deberá ampliarse al resto de la UE.

Las otras tres islas (Bonaire, San Eustaquio y Saba) son entes territoriales especiales de los Países Bajos. Esto implica que sólo tienen las competencias de un municipio y están sujetas a la constitución y legislación neerlandesa y por tanto, al igual que en los casos de los territorios franceses, será de aplicación el RGPD.

Así se recoge en concreto en la Ley de 16 de mayo de 2018, que contiene normas en aplicación del Reglamento (UE) 2016/679 de El Parlamento Europeo y el Consejo de 27 de abril, estipulando que:

Las transferencias de datos personales a estos tres territorios no deben tener la consideración internacionales, ni requerir decisión de adecuación, instrumentos vinculantes o la presunción de garantías suficientes.

4.- Transferencia internacional de datos en el caso de Reino Unido

Quizás sea el caso más enrevesado, ya que cada una de las dependencias de la Corona, al igual que los territorios de ultramar, están interpretando la aplicación del RGPD de manera distinta. Es decir, desde la misma premisa alcanzan soluciones distintas.

Sirva como adelanto algunas de las cuestiones comentadas en en nuestro blog en materia de transferencia internacional de datos en el caso de Brexit.

Pero veamos los diferentes casos con más detenimiento.

Por un lado, el equivalente británico a nuestra AEPD, la ICO (Information Commissioner’s Office), ha declarado en relación con las Transferencias Internacionales de Datos que quedan excluidos de la aplicación del RGPD las dependencias de la Corona, los territorios de ultramar y Gibraltar, aunque con éste último se permitirán. (Posteriormente trataremos de manera individualizada el caso de Gibraltar).

[table id=13 /]

Sobre esta base que parece bastante clara, algunos territorios han decidido desarrollar su propia legislación y solicitar una “adecuación” a la Unión Europea, otros han interpretado que el RGPD les resulta directamente aplicable, y otros no tienen ninguna legislación en materia de protección de datos y por tanto se aplica el derecho consuetudinario británico de manera subsidiaria.

Veamos algunos ejemplos:

En el caso de Bermudas han desarrollado y publicado su propia normativa en materia de protección de datos personales, la “PIPA”.

Esta PERSONAL INFORMATION PROTECTION ACT 2016 de Bermudas, que por cierto es muy muy similar al RGPD, recoge en su artículo 3 que su aplicación quedará circunscrita al territorio de Bermuda y en el art. 15 establece las condiciones para transferencias a terceros países.

Así mismo, el Dr. Excmo. E. Grant Gibbons, Ministro de Desarrollo Económico de Bermudas explicó, y así se recoge en la propia web del gobierno de Bermudas, que:

“Con la PIPA creemos que hemos logrado desarrollar una legislación de privacidad informativa pragmática y moderna, que cumple con las mejores prácticas internacionales y equilibra la protección integral con una regulación razonable, que es apropiada para Bermudas y las organizaciones locales e internacionales. Operando así, es nuestra intención presentar una solicitud a la Unión Europea para una evaluación de “Adecuación” para que podamos unirnos a la red de jurisdicciones en las que se puede confiar para proteger la información personal”.

De modo que actualmente las transferencias de datos con dicho territorio se considerarán internacionales. Y en espera de la decisión de adecuación, deberán realizarse bajo los supuestos que el RGPD prevé para estos casos y que posteriormente trataremos.

El caso de las Islas Caimán es muy similar al de Bermudas.

Han redactado su propia legislación, también similar al RGPD y llamada THE DATA PROTECTION LAW, 2017. Y claramente tienen el objetivo de lograr un estado de adecuación a los ojos de la UE para permitir el libre intercambio de datos personales entre la UE y Caimán sin necesidad de mecanismos adicionales.

Sin embargo, la entrada en vigor de esta norma, prevista para el pasado enero, ha sido pospuesta a septiembre de 2019.

De este modo, las transferencias de datos personales a este territorio tendrán la consideración de internacionales. Y deberemos esperar a que entre en vigor su normativa y haya decisión de adecuación para realizarlas normalmente. Mientras tanto, se deberán realizar sólo en las formas tasadas y excepcionales que el RGPD contempla.

El caso de Montserrat es totalmente opuesto.

Su Ministerio de Comunicaciones está alentando a las empresas en Montserrat a cumplir con el RGPD.

Desde su “especial” perspectiva han concluido que el reglamento afecta a los 28 países miembros de la UE, que incluyen el Reino Unido (por ahora). Y por lo tanto, según su interpretación, Montserrat y otros territorios británicos de ultramar ahora también tendrán que cumplir con la UE-RGPD.

Desde nuestra óptica creemos que no puede considerarse que la adopción del RGPD de manera “unilateral” implique que las transferencias de datos se vean automáticamente amparadas. Otra cuestión sería que adoptasen la legislación británica como propia y no requieran ni decisión de adecuación ni garantías.

En cuanto a las Islas Malvinas, su asamblea legislativa el 26 de Julio valoró la adopción de la legislación británica (the Data Protecction Act 2018). Sin embargo, resolvieron que no se haría de momento.

[table id=14 /]

Así se recoge al folio 19 del acta de la asamblea:

De ese modo, las transferencias de datos se considerarán internacional, igual que en los anteriores casos. Debemos considerar además que sin adoptar la legislación británica ni legislar al respecto, difícil será que haya decisión de adecuación.

Por otro lado,  el Gobierno de South Georgia y de las Islas Sandwich del Sur (GSGSSI), – que para hacer las cosas algo más difíciles está asentado en las Islas Malvinas – ha declarado que la información personal puede ser transmitida fuera de Georgia del Sur e Islas Falkland, ya que están sujetos a las leyes del Reino Unido, incluida la Ley de protección de datos inglesa de 1998 y el Reglamento general de protección de datos de la Unión Europea (UE 2016/679).

Desde nuestro punto de vista, al igual que el caso de Montserrat, poca validez tiene esa declaración. La transferencia de datos se considerará internacional al menos hasta que adopten la vigente normativa Británica o exista una decisión de adecuación.

Finalmente, las Islas Vírgenes Británicas (BVI) no han promulgado una legislación formal para regular la protección de datos.

Y aunque se espera que BVI promulgue una legislación propia en esta materia en un futuro próximo para adaptarse a los estándares reconocidos internacionalmente hoy, nada hay en tal sentido hasta ahora.

Además, tampoco se aplica la ley británica de manera supletoria, con lo cual las transferencias de datos a las Islas Vírgenes Británicas sólo deberían hacerse en casos excepcionales.

Sirva como anécdota que la empresa ExpressVPN, uno de los servicios VPN más populares y que se comercializa como una herramienta de privacidad y seguridad, está afincada allí, “un país sin ley”.

TRANSFERENCIA INTERNACIONAL DE DATOS EN CASOS ESPECIALES

Estos territorios que hemos denominado “casos especiales” no son parte de la UE, pero mantienen vinculaciones muy fuertes con la misma, de modo que la aplicación del RGPD y las transferencias internacionales de datos serán frecuentes.

Estos territorios no pertenecen a la UE ni al EEE, de modo que en principio el RGPD no sería de aplicación. Sin embargo, las especiales relaciones que mantienen con la Unión Europea hace que debamos analizar cada caso.

Para entenderlo mejor, hagamos un pequeño viaje por ellos:

En el Estado de la Ciudad del Vaticano ninguna ley específica ha sido adoptada por el Sumo Pontífice, la Comisión Pontificia u otra Autoridad legítima en relación con el derecho fundamental a la privacidad de personas físicas y jurídicas.

Sí es cierto que el Canon 220 del Código de Derecho Canónico se refiere a “la protección de una buena reputación y de la intimidad”. Pero éste no proporciona reglas específicas relacionadas con la protección de datos personales, sino que solo contiene principios generales que deben ser articulados en Reglamentos más específicos.

De esta forma, en ausencia de legislación propia en la materia la Ley Vaticana de Fuentes del Derecho (N. LXXI) prevé en su artículo tercero que serán de aplicación directa las leyes italianas.

[table id=15 /]

Por lo tanto, parece factible concluir que la Ley Italiana de Protección de Datos Personales debera ser de aplicación automática con carácter subsidiario en el Estado de la Ciudad del Vaticano. Y del mismo modo, será de aplicación el RGPD al ser aplicable donde el Derecho de los Estados miembros sea de aplicación.

De igual forma ocurre con las Tierras Antárticas Francesas. Las cuales no forman parte de la UE, pero que la  Ordonnance n° 2018-1125 du 12 décembre 2018 que desarrolla la Loi n° 2018-493 du 20 juin 2018 relativa a la protección de datos las incluye entre los territorios donde será de aplicación la Ley Francesa y por tanto el RGPD.

Así que ya sabéis, ¡sin problemas para enviar datos a la Antártida! :p

Algo similar ocurre en el caso de Gibraltar. Un territorio que no pertenece a la Unión Europea pero que por vinculación con Gran Bretaña asume parte de su legislación.

De este modo, actualmente la legislación en materia de protección de datos de Gibraltar está compuesta por:

[table id=16 /]

Un caso extraño (aunque sin mucha relevancia) es el de las Sovereign Base Areas de Acrotiri y Dhekelia. Estos territorios son dependientes de Gran Bretaña pero con autonomía legislativa.

Según hemos podido comprobar actualmente no tiene legislación propia en materia de protección de datos. Y tal y como se recoge en el listado de legislación británica aplicable a las bases soberanas , tampoco reconocen la respectiva legislación británica. Así que las transferencias de datos a estos territorios tendrán la consideración de internacionales y deberán realizarse bajo las especialidades que en las siguientes etapas del viaje trataremos.

Por otro lado, tenemos territorios que están legislando activamente a fin de obtener una decisión de adecuación:

Así, en Mónaco, tras unas jornadas informativas del Gobierno, se concluyó que era necesario adaptar su legislación para obtener una decisión de adecuación.

[table id=17 /]

De la misma forma en San Marino, cuya LEGGE PROTEZIONE DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI es prácticamente idéntica al RGPD, incluso en la numeración de los artículos.

No parece por tanto descabellado pensar que próximamente estos territorios tendrán su correspondiente “Decisión de Adecuación”.

Finalmente están aquellos países como Andorra, la Isla de Mann, las Islas del Canal y las Islas Feroe, que ya disponen de su propia decisión de adecuación.

Ya hemos concluido las primeras etapas de nuestro viaje. Así que ahora que tenemos más clara la aplicación directa del RGPD, analizaremos cómo deben realizarse las transferencias de datos al resto del mundo. Es decir, aquellas que sin duda serán consideradas “internacionales”.

En primer lugar encontramos las denominadas:

“Transferencias Internacionales de datos basadas en una decisión de adecuación (art. 45 RGPD)”.

Estas decisiones de la Comisión permiten realizar transferencias de datos personales a terceros países, territorios o sectores específicos de los mismos. Ya que para la concesión de la Decisión se debe acreditar una legislación y nivel de protección adecuado.

A día de hoy, la Comisión ha aceptado la transferencia de datos a 13 Estados. Y como las listas son algo amargas de leer, os dejamos un mapa para que lo veáis mejor :

Debemos resaltar así mismo que entre las “decisiones de adecuación” adoptadas hasta la fecha una de ellas es un caso “especial”, el de Estados Unidos.

Decisión sobre Estados Unidos

El Tribunal de Justicia de la Unión Europea –asunto C-362/14– consideró en 2015 ilegal el acuerdo entre Europa y Estados Unidos a raíz de una filtración de Edward Snowden.

En concreto, en su nota de prensa posterior al fallo determinó que:

“El Tribunal de Justicia estima que la existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos, no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control en virtud de la Carta de los Derechos Fundamentales de la Unión Europea”.

A raíz de esta decisión del TJUE, la Comisión Europea y Estados Unidos llegaron a un nuevo acuerdo. Mediante el mismo se considera que aquellas organizaciones que están adscritas al “Privacy Shield” cumplen a prori la adecuación exigida.

De este modo, no todas las transferencias de datos a Estados Unidos podrán estar basadas en la Decisión de Adecuación; sino solo aquellas que tengan como destinatario alguna de las organizaciones adscritas al “Privacy Shield” o Escudo de Privacidad.

Finalmente, de cara al futuro debemos tener en cuenta que:

• Desde 2017 se encuentra en negociación una decisión relativa a Corea del Sur, y se estudian países de América Latina o la India.

• Parte de las negociaciones del Brexit están centradas en una salida con decisión de adecuación automática.

Por otro lado, para aquellos países que no cuentan con una Decisión de Adecuación, se podrán efectuar transferencias si se cumplen unas determinadas garantías. Son las llamadas:

“Transferencias internacionales de datos mediante garantías adecuadas” (art. 46 RGPD).

En estos casos no es necesaria la autorización administrativa de la autoridad de control.

Como vemos, las garantías requeridas pueden agruparse en cuatro grandes grupos que deberemos revisar antes de realizar la pretendida transferencia de datos.

• Los instrumentos vinculantes

Los instrumentos internacionales pueden dividirse en dos categorías: instrumentos vinculantes, también llamados ‘hard law’, y documentos no vinculantes o ‘soft law’.

La primera categoría la componen los Tratados (que pueden presentarse en forma de Convenciones, Pactos y Acuerdos) y supone por parte de los Estados un reconocimiento de obligación legal hacia estos instrumentos.

• Los códigos de conducta

Los códigos de conducta son una buena muestra de lo que se denomina “autorregulación”. Es decir, la capacidad de las entidades y organizaciones para regularse a sí mismas a partir de la normativa establecida y pueden servir –entre otras muchas cosas– para demostrar el cumplimiento de las obligaciones de los responsables en contextos de  transferencia de datos personales a terceros países y organizaciones internacionales.

• Las cláusulas tipo

Es importante resaltar que actualmente siguen vigentes las cláusulas tipo siguientes:

• Decisión 2001/497/CE, de 15 de junio de 2001,  relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país.
• La Decisión 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países.
• Y la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

• Finalmente, las normas corporativas vinculantes (NCV o BCR) recogidas en el artículo 47 del RGPD

Éstas, previa aprobación de la autoridad de control, permiten a los grupos de empresas dotarse de unas normas corporativas de uso interno vinculantes. Y así dotar de garantías suficientes las transferencias de datos a responsables o encargados sitos en terceros países.

Es importante destacar que es la primera vez que en materia de protección de datos, las “Binding Corporate Rules” tienen rango legal.

Si seguimos sin estar dentro de los casos anteriormente expuestos, todavía nos queda alguna opción.

Ya que podremos realizar la transferencia de datos si cumplimos alguna de las condiciones del artículo 49 del RGPD, que podemos esquematizar así:

Cuando tampoco sea aplicable ninguna de las excepciones anteriores – y entonces quizás deberíamos plantearnos si de verdad tenemos que hacer el viaje -,  solo se podrá llevar a cabo una transferencia si:

• No es repetitiva
• Afecta solo a un número limitado de interesados
• Es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento
• No prevalezcan los intereses o derechos y libertades del interesado
• Y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y ofrezca garantías apropiadas.

Además, en este supuesto el responsable del tratamiento informará a la autoridad de control de la transferencia, proporcionando la información de los artículos 13 y 14 del RGPD, pero el responsable también informará al interesado de la transferencia y de los intereses imperiosos perseguidos.

Finalmente, existe una última excepción para cuando se realicen transferencias internacionales de datos basadas en garantías adecuadas distintas de las reglamentariamente tasadas. Así, necesitaremos una autorización expresa cuando las garantías “adecuadas” se aporten mediante:

a) Cláusulas contractuales entre el responsable o el encargado y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional, que no hayan sido adoptadas por la Comisión Europea.

b) Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

*Las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

Este procedimiento:

A) Tendrá una duración máxima de 6 meses.

B) Se regirá según lo previsto en la sección primera del capítulo V del título IX del RLOPD.

C) Quedará sometida a la emisión de dictamen por el Comité Europeo de Protección de Datos [64.1.e), 64.1.f) y 65.1.c)] del RGPD.

CONCLUSIONES

1.- La aplicación del Reglamento es más expansiva de lo que inicialmente puede parecer.

2.- No solo en el EEE el RGPD es de aplicación directa, lo puede dificultar conocer su concreta aplicación. Por ello quizás hubieran sido de agradecer determinadas previsiones normativas dentro del propio cuerpo legislativo.

3.- Ante una transferencia internacional de datos deberemos verificar la relación entre el territorio receptor y los Estados Miembros.

4.- Parece que lo lógico es que el número de Decisiones de Adecuación vaya creciendo con los años.

5.- Los mecanismos de autorregulación (códigos de conducta o normas corporativas) permiten solventar la falta de adecuación de algunos países. Aunque la burocracia de su inscripción hace que no haya muchos inscritos todavía.

6.- En un mundo “tan pequeño” y que cada vez presenta mayores riesgos a nivel de ciberseguridad, sin duda el RGPD era necesario.

“Tres días antes, Phileas Fogg era un criminal que la policía perseguía sin descanso, y ahora era el caballero más honrado, que estaba cumpliendo matemáticamente su excéntrico viaje alrededor del mundo.”

La vuelta al mundo en 80 días, Capitulo XXXVI, Julio Verne.

Alberto F. Bonet

FIN

La entrada La vuelta al mundo en una transferencia internacional de datos se publicó primero en Términos y Condiciones.

“Brexit means Brexit”, dijo la primera ministra Theresa May por allá julio de 2016 tras ser elegida para el cargo. Sea lo que sea que eso acabe significando, lo que sin duda supondrá (y ya lo está haciendo) es uno de los terremotos jurídicos más importantes que ha visto Europa en muchas décadas. Desde las mercancías al transporte pasando por los permisos de trabajo o residencia, el efecto jurídico de Brexit es inmenso.

Ese efecto también se notará en materias más relacionadas con el derecho tecnológico. Es decir, protección de datos de carácter personal, propiedad intelectual e industrial, gestión de dominios web, contratos online o incluso criptomonedas, entre otras. Por ello hemos pensado analizar cómo Brexit puede impactar en cuestiones de corte más jurídico – tecnológicas.

En cualquier caso, y antes de adentrarnos en ello, comencemos por el principio: ¿qué es Brexit?

Brexit es un acrónimo inglés formado por “Britain” (Gran Bretaña, en español) y “Exit” (Salida). De ese modo, es la palabra utilizada para hacer referencia al referéndum que tuvo lugar el 23 de junio de 2016, donde los ciudadanos británicos decidieron sobre a la continuidad del Reino Unido en la Unión Europea.

La decisión fue impactante e inesperada, ya que un 51.9% de los británicos votaron a favor de la salida del país de la Unión Europea (el 48,1% restante votó en contra).  

El resultado del referéndum ha supuesto que por primera vez en la historia se aplique el art. 50 del Tratado de la Unión Europea, que regula la retirada voluntaria de un Estado miembro de la Unión. Evidentemente esta salida del Reino Unido no se podía hacer de forma inmediata, ya que era necesario un periodo de negociación para debatir los acuerdos de la retirada, configurar el régimen transitorio aplicable a las relaciones constituidas con anterioridad a la fecha de retirada y negociar un nuevo marco jurídico aplicable al Reino Unido, tanto con la Unión Europea así como con el resto de países.

Por tanto, para hacer efectiva la retirada del Reino Unido como Estado miembro de la Unión Europea (en adelante UE), se debían pasar por las siguientes 5 fases (indicar que ahora mismo todavía estamos en la Fase 3):

Fase Uno: El Reino Unido activaba el art. 50 del Tratado, para notificar oficialmente al Consejo Europeo su intención de abandonar. Eso es algo que hizo el 29 de marzo de 2017, como puede verse en la Carta de notificación del Reino Unido.

Fase Dos: El Consejo Europeo recibió la notificación de retirada y se reunió con los dirigentes de los 27 Estados miembros restantes de la UE para determinar unas directrices de negociación del acuerdo de retirada.  

Fase Tres: Comenzó la fase de negociación, que conforme al art. 50, apartado tercero, del Tratado de la Unión Europea, podía durar hasta 2 años desde la notificación de retirada (es decir, hasta el 29 de marzo de 2019). Ese plazo se prorrogó en varias ocasiones, hasta el 31 de enero de 2020. Esta fase finalizaba con la formalización de un proyecto de acuerdo de retirada.

Fase Cuatro: Se presentaría el borrador de acuerdo de retirada ante el Consejo Europeo, para que los 27 Estados Miembros lo aprobaran por mayoría cualificada como mínimo (art. 218.8 del Tratado de Funcionamiento de la Unión Europea), con la aprobación final del Parlamento Europeo.

Fase Cinco: el Reino Unido abandonaría efectivamente la Unión Europea. Eso ocurrió el 31 de enero de 2020, revocándose la Ley de la Comunidad Europea del año 1972 por la que se incorporó el Reino Unido en la Unión Europea. 

Por tanto, fruto de las arduas negociaciones entre el Reino Unido y la Unión Europea, Reino Unido y la UE llegaron el 17 de octubre de 2019 a un nuevo acuerdo de salida, que se consumó el mencionado 31 de enero de 2020.

Por tanto, en principio ya no hay posibilidad de un “Brexit duro” (es decir, una salida del Reino Unido sin acuerdo), algo para lo que la Comisión Europea publicó unas medidas de contingencias en varios ámbitos (servicios financieros, transporte aéreo o aduanas, entre otros), a fin de minimizar los posibles daños más importantes en el supuesto de que no haya acuerdo. Al igual que el gobierno español, que también preparó unos planes de contingencias en caso de una retirada sin acuerdo, especialmente el RDL 5/2019 sobre medidas a tomar en caso de Brexit duro.

Y a día de hoy, ése sería el estado de la cuestión.

Pero entrando ya en materia, ¿el Brexit a quién afecta? Pues el impacto será muy importante, tanto si se aprueba el acuerdo como no, para las personas físicas (desde una doble vertiente, a los residentes no británicos en el Reino Unido y también los turistas británicos que estén en cualquier país de la Unión Europea). Pero también notarán su efecto las empresas europeas con actividades en el Reino Unido o las empresas británicas que operan en el territorio de la Unión Europea.

Para conocer cómo puede afectar en términos generales Brexit a ciudadanos y operadores económicos, puede consultarse la web que para ello ha creado el gobierno español.

En nuestro caso la intención ha sido exponer las materias jurídico tecnológicas donde más probablemente Brexit tenga impacto, pero sin llegar a profundizar en la letra pequeña del borrador de acuerdo o las múltiples normas a tener en consideración (eso es algo que haremos en materias más concretas y en posts individuales).

¡Dicho esto, vamos allá!

1.- Empresas y comercio en general

Recordemos que la Unión Europea desde sus inicios se ha configurado como un mercado interno único, con una regulación unificada para todos los Estados miembros de la Unión. Uno de los regímenes más importantes de este mercado único es la libertad de circulación de mercaderías. Dicha libertad se verá afectada con el Brexit, ya que a partir de la salida del Reino Unido dejaría de beneficiarse de este régimen.

Además, la salida del Reino Unido como miembro de la UE podría considerarse, a nivel contractual, un motivo de resolución del contrato de los comerciantes, fundamentándose en la causa de fuerza mayor. Si bien la aplicación de esta causa de resolución dependerá de los pactos de cada contrato en particular.

• Comercio electrónico

Respecto del comercio electrónico, debemos advertir que el Reino Unido es líder en Europa en este sector tecnológico, debido al gran desarrollo el país en esta industrial y la alta formación de su capital humano.

Con el Brexit esta situación podría cambiar, e incluso el Banco de Inglaterra ha manifestado que podría suponer una gran crisis financiera peor que la del año 2008, afectando muy negativamente al valor monetario de la libra, las compras e inversiones de negocios en el Reino Unido.

De igual manera, podría perjudicar de manera considerable al sector del comercio electrónico, afectando a los siguientes puntos:

• La imposición de nuevas tasas o impuestos.
• Los plazos de envío de los productos entre Reino Unido y el resto de la UE.
• Los plazos de desistimiento pueden variar, entre otros motivos, por abandonar UK el mercado único digital.
• La aplicación y el registro del VAT (nuestro IVA).
• La seguridad de los productos comercializados online, tanto los sistemas de aviso como las organizaciones dedicadas al cumplimiento.
• La gestión de la información personal (ampliado más adelante).
• La protección del consumidor mediante sistemas online alternativos de resolución de disputas o la jurisdicción aplicable.
• Cuestiones relativas a la competencia desleal en ventas online entre UK y UE.
• En términos generales, la desaparición de un marco legal coherente.

2.- Industria de radiodifusión, telecomunicaciones

El sector de las telecomunicaciones también se verá fuertemente afectado por el Brexit. Actualmente la regulación interna del Reino Unido en materia de telecomunicaciones está contemplado principalmente en dos normativas: la Ley de comunicaciones del 2003 y la Ley de telegrafía inalámbrica del 2006. Estas leyes son las que garantizan los derechos de los usuarios en los servicios de telecomunicaciones y son las normas por las que se rige la Oficina de Comunicaciones del Reino Unido (conocido como Ofcom).

Las citadas normas han sido implementadas de acuerdo con el marco legislativo de la Unión Europea. Por tanto, con la salida del Reino Unido, dichas normas no se podrán aplicar directamente, ya que será necesario realizar ciertas adaptaciones y ajustes normativos. Las áreas que potencialmente se verán afectadas serían: a) roaming y la neutralidad de la red; b) licencias de emisión; c) la portabilidad transfronteriza en el sector de los medios de comunicación y; d) el comercio exterior de productos electrónicos.

• Roaming y la neutralidad de la red

Conforme a la normativa de la Unión Europea, en junio del año 2017, se eliminaron los cargos por itinerancia de datos cobrados entre los operadores móviles. Esta normativa actualmente se aplica a los operadores que presten servicios dentro los países del Espacio Económico Europeo (en adelante, EEE), y el Reino Unido es parte de ella.

Con el Brexit, se tendría que negociar un nuevo acuerdo en el tema del roaming, ya que en caso contrario, se podría aplicar un cargo adicional en las llamadas y datos roaming entre Reino Unido y UE, y viceversa. Este aspecto será de importante consideración para las personas y empresas que se dedican al sector del turismo o las que residan en el Reino Unido. En estos casos tendrían que comprobar en sus contratos telefónicos la tarifa de roaming aplicable.

• Licencias de emisión

Otro tema relevante son las licencias que se conceden a las emisoras de telecomunicaciones. A día de hoy, dichas licencias se pueden utilizar de forma global en todos los Estados miembros de la UE, de acuerdo con la Directiva 2010/13/UE sobre la prestación de servicios de comunicación audiovisual. Con la salida del Reino Unido, se dejará de aplicar dicha Directiva, y por tanto, las emisoras no tendrán este beneficio y quizás tengan que solicitar otras licencias de emisión para poder reproducir los canales de radio o televisión en otros estados europeos, conforme a la normativa interna de cada Estado miembro particular.

• Portabilidad transfronteriza

La portabilidad transfronteriza que entró en vigor en abril del año 2018, mediante el Reglamento 2017/1128 relativo a la portabilidad transfronteriza de los servicios de contenidos en línea en el mercado interior, permite a los ciudadanos que hayan pagado una suscripción en los canales de contenido de películas, eventos deportivos, libros electrónicos, videojuegos y servicios de música, puedan disfrutarlo en todo momento en cualquier Estado miembro de la Unión Europea.

Con la salida del Reino Unido, dicha normativa tampoco le sería aplicable. En caso de no llegar a ningún acuerdo respecto de este tema, los proveedores de servicios no estarán obligados a garantizar la portabilidad de sus contenidos a los ciudadanos británicos cuando éstos estuvieran de viaje, por ejemplo, en cualquier Estado miembro de la UE. Asimismo, los proveedores tampoco estarán obligados a garantizar la portabilidad de los contenidos a un ciudadano de cualquier miembro de la UE, cuando éste estuviera presente temporalmente en el Reino Unido.

• Comercio de productos electrónicos

Por último, es interesante destacar las exportaciones e importaciones de productos relativos a las telecomunicaciones como pueden ser teléfonos, equipos de comunicación, aparatos de radios, entre otros. La mayoría de dichos productos son importados desde Asia y Estados Unidos. Cuando Reino Unido ya no sea miembro de la UE se tendrá que negociar individualmente con estos países concretos a fin de concertar un acuerdo comercial en tema de las tarifas y precios aplicables.  

3.- Propiedad industrial: marcas, patentes y diseños industriales

En este punto es importante hablar de las marcas comunitarias (EUTM), los diseños comunitarios y las patentes europeas. 

En primer lugar, el registro de marcas comunitarias se encuentra regulado en el Reglamento 2017/1001 sobre la marca de la Unión Europea, se trata de un sistema de registro para obtener la protección sobre una marca, en varios países simultáneamente, integrados en el Sistema de Madrid. Cabe aclarar que el registro de una marca comunitaria no despliega efectos en el ámbito internacional, sino que únicamente en los países acogidos a los tratados internacionales del Sistema de Madrid (actualmente son 80 países). Asimismo, el solicitante puede elegir la protección de la marca internacional en todos los países firmantes de los Tratados o sólo en algunos de ellos.

De otro lado, los diseños industriales está contemplado en el Reglamento 6/2012 sobre los dibujos y modelos comunitarios, entendiéndose como la apariencia exterior de un producto o de una parte del mismo que se deriva de líneas, contornos, colores, forma, textura, materiales y/o su ornamentación y que provoca que sea visualmente diferente a otro, sin tener en cuenta sus características técnicas o funcionales. Estos diseños comunitarios puede ser protegidos a través del llamado Registro de la Haya, cuyos efectos una vez inscritos afectan en todo el territorio de la UE de forma unitario.  

En el caso de salida del Reino Unido sin acuerdo, el gobierno británico ha manifestado que garantizará los derechos de los titulares de las marcas y diseños comunitarios registrados, teniendo todos los efectos jurídicos en su territorio nacional. Por tanto, las marcas y diseños comunitarios registrados serán completamente válidos en el Reino Unido y en el resto de los Estados miembros de la UE. Si bien, ha aclarado que para ello se concederá a los titulares un nuevo derecho equivalente otorgado en el Reino Unido que entrará en vigor en el momento de la salida del mismo.

Conforme el gobierno británico, este nuevo derecho equivalente será otorgado de “forma automática” con una mínima carga administrativa y posteriormente se les notificará a los titulares de los derechos para que puedan oponerse o rechazarlo, en su caso. Este derecho será concedido de forma totalmente gratuita, si bien, para la renovación del mismo se deberá pagar una cuota administrativa que se fijará en su momento.

En todo caso, hay que tener en cuenta que este nuevo derecho complementario otorgado por el Reino Unido se le aplicaría la legislación británica. Por tanto, en caso de solicitar la renovación de una marca y diseño comunitario con efectos en el Reino Unido, se aplicaría la normativa propia de este territorio.

De igual manera, el texto del borrador del acuerdo entre el Reino Unido y UE, contemplados en sus artículos 54 a 61, recogen unos efectos jurídicos muy beneficiosos para los titulares de los derechos marcarios y diseños comunitarios. En concreto, el artículo 54 establece la continuidad en la protección de las marcas y diseños comunitarios registrados con anterioridad a la finalización del periodo de transición del acuerdo (es decir, antes del 31 de diciembre del 2020) en el territorio británico.

Por este motivo, consideramos que no será necesario realizar un doble registro (en Reino Unido y en la UE) de las marcas y diseños comunitarios, dado que una vez producida la salida del Reino Unido, se protegerán en ambos territorios de la misma manera.

En relación a las patentes europeas, la guía publicada por el gobierno británico ha manifestado que en caso de no acuerdo hay intención de integrar la legislación europea sobre patentes en la legislación estatal del Reino Unido, consiguiendo así que no haya ningún cambio en cuanto al régimen existente.

No obstante lo anterior, cabe mencionar que en la UE existe un proyecto para aprobar un sistema unitario de patentes. Actualmente ya hay 16 países que han ratificado el acuerdo sobre un tribunal unificado de patentes, que se firmó el 19 de febrero de 2013 por parte de 25 Estados miembros de la UE (entre ellas está el Reino Unido), quién lo ratificó el 26 de abril de 2018.

Este sistema unitario de patentes no ha entrado en vigor todavía debido a la falta de ratificación por parte de Alemania. Esta ratificación no se ha llevado a cabo todavía ya que según los tribunales alemanes sería un acto inconstitucional. 

Respecto si este sistema de patentes sería aplicable o no al Reino Unido después de su salida de la UE, hay opiniones controvertidas. Desde nuestro punto de vista, compartimos la reflexión realizada por el despacho británico, Brick Court Chambers, en el sentido de que no hay prohibición expresa que obligue a dejar sin efecto el acuerdo que el Reino Unido firmó y ratificó para la creación del sistema unitario de patentes aunque deje de ser miembro de la UE. Si bien es cierto que sería necesario realizar algunas adaptaciones en el acuerdo y que el Tribunal de Justicia de la Unión Europea estuviera conforme con ello.

4.- Propiedad Intelectual: derechos de autor

En este caso hablaremos de los derechos de autor en sentido amplio. Es decir, tanto de los derechos de autor literarios, artísticos o musicales como los programas informáticos y base de datos. 

Indicar que si bien en esta materia hay un conjunto de reglamentos, directivas y otras normativas de la UE que lo regulan, muchas de estas normas remiten a tratados internacionales. En consecuencia, la adaptación de la normativa del Reino Unido, después de su salida de la UE, debería ser más sencilla.

Tomando en consideración la guía publicada por el gobierno británico, analizaremos los siguientes puntos: a) derechos sobre base de datos; b) Autorización de derechos de autor en la radiodifusión por satélite; c) y obras huérfanas sin autor conocido.

• Derecho sobre las bases de datos

Esta cuestión está regulada en la Directiva 96/9/CE sobre la protección jurídica de las bases de datos, que conforme a sus estipulaciones, protege el derecho de autor de las bases de datos cuyos fabricantes sean nacionales o residentes de un Estado miembro de la UE. Esta protección es aplicable a las personas físicas (o grupo de personas físicas creadora de la base de datos) y también a las sociedades y empresas que tengan sede en un Estado miembro de la UE.

Según el artículo 7 de la Directiva, esta protección consiste en que el creador de la base de datos puede prohibir la extracción y/o reutilización de la totalidad o de una parte sustancial del contenido de la misma.

Si el Reino Unido sale sin acuerdo, los Estados miembros de la UE no estarán obligados a garantizar esta protección a los ciudadanos, residentes y empresarios del Reino Unido. Y viceversa, si un particular o empresario británico tuviera una base de datos no podría obligar tener esta protección en los Estados miembros de la UE, una vez que el Reino Unido abandone la misma.

Tomando en consideración lo expuesto, los fabricantes y creadores de las bases de datos de origen o con efectos en Reino Unido debería buscar otras alternativas de protección legal, por ejemplo: firmar acuerdos de licencia más restrictivos.

Sin perjuicio de lo anterior, en el borrador de acuerdo sobre el Brexit, concretamente en su artículo 58, se especifica que la protección sobre las bases de datos será garantizada en el Reino Unido hasta la finalización del periodo de transición, si bien se aplicaría en todo caso la normativa de propiedad intelectual británica, que tendría las mismas garantías que la Directiva europea. Asimismo, dicho protección sería aplicable, tanto a los fabricantes, sean personas físicas o empresas, nacionales o residentes en el Reino Unido.

• Autorización de derechos de autor en la radiodifusión por satélite

Relacionado con las licencias de emisión concedidas a las prestadoras de servicios de comunicación audiovisual, también está el tema de los derechos de autor en relación a las obras reproducidas en estas emisoras de telecomunicaciones.

Esta materia se encuentra regulada actualmente en la Directiva 93/83/CEE sobre coordinación de determinadas disposiciones relativas a los derechos de autor y derechos afines a los derechos de autor en el ámbito de la radiodifusión vía satélite y de la distribución por cable. Según ella, las entidades emisoras vía satélite tienen derecho a transmitir las obras protegidas por derechos de autor en cualquier Estado miembro del EEE, siempre y cuando se cumplan los requisitos de derechos de autor del territorio donde se emitió originalmente el contenido.

Con el Brexit esta protección no estará garantizada. Por ello, las entidades de radiodifusión con sede en el Reino Unido deberán autorizar los derechos de autor de las obras en cada Estado miembro al que deseen transmitir. Y viceversa, si alguna entidad emisora de la UE desea transmitir en el Reino Unido deberá obtener la correspondiente autorización para ese territorio concreto.

• Obras huérfanas sin autor conocido

La Directiva 2012/28/UE sobre ciertos usos autorizados de las obras huérfanas, permite a las instituciones públicas (por ejemplo, las bibliotecas, centros de enseñanza o museos) digitalizar dichas obras y divulgarlas en todos los países del EEE sin el consentimiento del titular de las obras.

Con el Brexit, las instituciones de patrimonio cultural del Reino Unido ya no estarían autorizadas a realizar esta misión de interés público, ya que la difusión de dichas obras huérfanas podrían suponer una infracción de derechos de autor.

En este sentido, una organización donde se realice alguna labor de digitalización y difusión de obras huérfanas debería considerar la necesidad de borrar dichas obras o restringir el acceso en determinados territorios.

5.- Protección de datos de carácter personal

Desde el 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) es la norma que en la UE regula el uso de los datos personales y su protección jurídica como un derecho fundamental. 

Con el acuerdo más reciente, no habrá ningún cambio en materia de protección de datos hasta el 1 de enero de 2021, cuando finalizará el periodo de transición. Para entonces, lo ideal es que el Reino Unido ya hubiera recibido el OK como tercer país mediante una decisión de adecuación. Pero el proceso no será tan sencillo, más cuando Holanda ya está cuestionando el nivel de cumplimiento del Reino Unido en los últimos 4 años.

En todo caso, la guía del ICO sobre el impacto del Brexit en materia de protección de datos, sería un buen inicio para ir estudiando alguna de las medidas que pueden tener que adoptarse si finaliza el periodo de transición sin decisión de adecuación.

Por ejemplo, comenzando por las normas corporativas vinculantes o BCR, el EDPB indicó en febrero de 2019 los pasos a tener en cuenta en caso de Brexit sin acuerdo cuando el ICO (la agencia de protección de datos británica) fuera la autoridad supervisora de referencia. Mayormente, tener en cuenta el momento en el que se encuentran las BCR que se hayan enviado y según eso, adoptar el criterio 1.2 del WP263.

En cuanto al resto de cuestiones, el EDPB también publicó una nota de carácter más genérico sobre cómo funcionarían las transferencias de datos en caso de Brexit sin acuerdo (ahora entendido como sin decisión de adecuación). Resumidamente, sin problema desde UK a la UE, en el caso de la UE a UK aplicar cláusulas contractuales estándar, normas corporativas vinculantes, códigos de conducta, certificaciones, instrumentos propios de los organismos públicos o excepciones del artículo 49 RGPD.

A continuación incluimos un cuadro que resume ésas y otras cuestiones importantes en materia de protección de datos y Brexit:

Todo ello sin olvidar la debida revisión de los contratos de encargados del tratamiento si llegamos a tener Brexit sin acuerdo. Dicho esto, entramos ahora más en detalle en algunas de esas cuestiones:

• Transferencia de datos

En este apartado entramos en tres posibles contextos: a) transferencia de datos del Reino Unido a la UE; b) transferencia de datos de la UE al Reino Unido; c) transferencia de datos del Reino Unido al resto de países del mundo.

1.- Transferencia de datos del Reino Unido a la UE

En este supuesto, tanto si hay acuerdo como si no en el Brexit, no habrá mucho impacto en el flujo de datos del Reino Unido hacia los Estados de la UE, dado que el mismo gobierno británico ha manifestado en su guía que se podrá realizarse sin ningún impedimento. Si bien añade que es una cláusula sujeta a revisión tras la salida definitiva del Reino Unido.

Este resultado es completamente lógico, teniendo en cuenta que en la mayoría de los Estados miembros de la UE han adaptado su normativa interna de conformidad con el RGPD. Por tanto, se pueden considerar como “países receptores seguros”.

2.- Transferencia de datos de la UE al Reino Unido

Como hemos visto, en este caso la situación se complica.

Si estamos ante un Brexit sin decisión de adecuación, el mismo será considerado como tercer país. En términos de protección de datos, esto significa que para realizar cualquier transferencia de datos al Reino Unido se deberá cumplir un régimen más estricto de transferencia.

Como señala el EDBP, y hemos indicado más arriba, en este caso habría que recurrir a:

A) Que el responsable demuestre que el tercer país ofrece garantías adecuadas y protege los derechos y acciones legales efectivas de los interesados (por ejemplo mediante normas corporativas vinculantes, contratos de acuerdos bilaterales en materia de protección de datos, código de conductas exigibles a los responsables y encargados o cláusulas tipo de protección de datos adoptadas por la Comisión, entre otras).

B) Que se aplique alguna de las excepciones previstas en el artículo 49 del RGPD, por ejemplo: consentimiento expreso del interesado, transferencia necesaria para la ejecución de un contrato o transferencia necesaria por razones de interés público, entre otras.

Respecto de la decisión de adecuación emitida por la Comisión Europea, entendemos que sería posible lograrlo mediante dos vías:

En primer lugar, que la propia Comisión considere que el Reino Unido proporciona un nivel de protección de datos personales similar o equivalente al de la UE, conforme al artículo 45 del RGPD. Por el momento, hasta la fecha de hoy, se han otorgado esta decisión de adecuación a un total de 12 países. 

En segundo lugar, se podría intentar llegar a un acuerdo político que garantice la libertad de transferencia de datos internacionales entre el Reino Unido y la UE, tal como manifiesta en la declaración de intenciones el gobierno británico en cuanto a las relaciones futuras con la UE. 

3.- Transferencia de datos del Reino Unido al resto de países del mundo

Podría pensarse que no habrá ningún inconveniente en las transferencias de datos del Reino Unido a cualquier país extranjero (sea de la UE o no). Sin embargo, hay que tener en cuenta que con el Brexit, cualquier acuerdo contractual sobre transferencia de datos impuesto legalmente en el Reino Unido será aplicable a los terceros países destinatarios de los datos.

Por tanto, en caso de transferencia de datos a estos terceros países será necesario que, o bien estos países cumplan con la normativa de protección de datos del Reino Unido, o bien que el legislador británico apruebe algún tipo de normativa específica para la exportación de datos fuera del territorio británico. En este sentido, cualquier empresa u organización del Reino Unido que tenga acuerdo especiales respecto a la transferencia de datos a países fuera del territorio británico, podrían necesitar una revisión y/o adaptación.

A día de hoy, en el Reino Unido ya se ha aprobado una nueva normativa sobre protección de datos adaptada al RGPD (la Data Protection Act 2018). Asimismo, se ha presentado al Parlamento británico una propuesta de enmiendas a esta nueva Ley de protección de datos británica, en caso de que haya salida del Reino Unido (actualmente pendiente de resolución todavía).

• Autoridad de supervisión o control en el Reino Unido

Con el nuevo RGPD se ha creado una figura llamada “One stop shop”, conocido como ventanilla única. Consiste en la posibilidad de supervisión acudiendo a la autoridad de control donde tenga la oficina principal la empresa interesada, y no país por país en el que tenga intereses. En el caso del Reino Unido, esta autoridad de control es la llamada Oficina del Comisionado de Información (ICO).

Con el Brexit, se desconoce si este órgano público será competente o no para resolver las cuestiones sobre protección de datos. De hecho, no es descartable que se tenga que crear una autoridad de supervisión alternativa o adicional que esté en contacto con el ICO y los interesados.

Sea como sea, y si hay Brexit sin decisión de adecuación, lo normal será que en función de la normativa aplicable el ICO y otra autoridad de control podrían tener jurisdicción. Si se aplicara normativa sobre protección de datos de Reino Unido, el ICO tendría jurisdicción. Si además se aplicara el RGPD, y el ICO fuera la autoridad de control legitimada antes del Brexit, otra autoridad de control UE también sería requerida.

• Representante local

Según el art. 3.2 RGPD, la normativa europea de protección de datos también se aplica a los responsables o encargados que no estén establecidos en la UE cuando sus actividades de tratamiento cumplan ciertas condiciones.

Con el Brexit, los responsables de tratamiento de datos del Reino Unido sin presencia en la UE, pero que ofrezcan bienes o servicios a los interesados en la UE, deberán designar un representante local en la UE.

Sea como sea, y como señala el ICO, mientras dure el periodo de transición hasta el 1 de enero de 2021, nada cambia y es como si el Reino Unido siguiera en la UE. Pero si durante ese tiempo no se adopta decisión de adecuación, a partir del 1 de enero de 2021 es cuando habrá que empezar a estresarse.

6.- Otros temas de interés

Sin entrar en profundidad, la salida del Reino Unido de la UE no solo afecta a las materias y sectores analizados, sino que pueden tener gran repercusión en otros ámbitos importantes:

• Gestión de dominios .EU

Según el aviso del gobierno británico, cualquier ciudadano o empresa de UK que haya registrado un dominio .EU debería reemplazarlo por un .COM y plantearse una posible reclamación. La cuestión es que si ese ciudadano o empresa no tiene representación en la UE, el registro de ese dominio automáticamente se extinguirá (incluso si el Brexit implica acuerdo).

Sea como sea, otro tema sin duda espinoso.

• Mercado Único Digital

En 2015, la Comisión Europea propuso la creación de un Mercado Único Digital para que la economía, la industria y la sociedad europea se adapte completamente a la nueva era digital y casi sin fronteras.

En marzo de 2018, la primera ministra británica manifestó que el Reino Unido no formaría parte de este Mercado Único Digital tras la salida del mismo.

• Los exchanges de criptomonedas

Debido a que la ciudadanía inglesa está entre los mayores compradores de criptomonedas del mundo, en caso de Brexit se plantea un escenario en el que los exchanges busquen alianzas con la banca inglesa para facilitar ese uso de criptomonedas.

• El outsourcing

Algunas particularidades relativas al outsourching de trabajo y empleados en materias tecnológicas pueden verse condicionadas con Brexit, como todo lo regulado a través de la Directiva 2001/23/CE sobre la aproximación de las legislaciones de los Estados miembros relativas al mantenimiento de los derechos de los trabajadores en caso de traspasos de empresas, de centros de actividad o de partes de empresas o de centros de actividad.

7.- ¿Entonces, qué debemos hacer?

Sin duda la preparación y prevención son fundamentales en cualquier sector que pueda verse afectado. Ahora mismo, y a pesar de la prórroga hasta el 31 de octubre, seguimos con dos grandes escenarios:

A.- Que el borrador del acuerdo de retirada se apruebe y se ratifique antes del 31 de octubre de 2019. En este supuesto, habrá un periodo transitorio de 21 meses. Pasado ese tiempo el derecho de la UE dejaría de aplicarse.

B.- Que el borrador del acuerdo de retirada no se apruebe antes del 31 de octubre de 2019 (y no haya más prórrogas). Estaríamos ante un Brexit sin acuerdo, donde no habría periodo transitorio y el derecho de la UE se dejaría de aplicar desde esa fecha, generando una muy considerable inseguridad jurídica.

Mientras tanto, no nos queda otra que seguir atentos el devenir de esta cuestión y ver cómo acabará. Recordad que desde nuestra área de asuntos internacionales, analizamos cuestiones jurídicas en el ámbito tecnológico con una vertiente supranacional.

Sin duda, continuará…

La entrada El efecto Brexit en cuestiones jurídico tecnológicas se publicó primero en Términos y Condiciones.

1.- ¿Qué es el RGPD?

2.- ¿Qué es Blockchain?

2.1.- Tipo de nodos y de cadenas

3.- La tensión entre blockchain y el RGPD

3.1.- Los escenarios

3.2.- Los puntos de tensión

3.2.1.- Quién es el responsable

• Los desarrolladores de smart contracts que tengan acceso a datos personales de los usuarios de sus smart contracts.

• Los desarrolladores o validadores de transacciones, como son los mineros en las blockchain privadas o en las públicas con permisos, y bajo un protocolo de consenso de prueba de trabajo, cuando validan transacciones que contengan datos personales.

3.2.2.- La anonimización de los datos

3.2.3.- El ejercicio de derechos y otras cuestiones

3.2.4.- Decisiones individuales automatizadas y smart contracts

4.- Diferentes escenarios y posibles soluciones

• ¿Quién es el probable responsable?

• ¿Quiénes son los probables encargados?

• ¿Subimos datos a la cadena?

• ¿Se pueden ejercer todos los derechos?

• ¿Podemos controlar las decisiones individuales automatizadas de los contratos inteligentes?

• ¿Hay transferencias internacionales de datos?

• ¿Quién es el probable responsable?

• ¿Quiénes son los probables encargados?

• ¿Subimos datos a la cadena?

• ¿Se pueden ejercer todos los derechos?

• ¿Podemos controlar las decisiones individuales automatizadas de los contratos inteligentes?

• ¿Hay transferencias internacionales de datos?

• ¿Quién es el probable responsable?

• ¿Quiénes son los probables encargados?

• ¿Subimos datos a la cadena?

• ¿Se pueden ejercer todos los derechos?

• ¿Podemos controlar las decisiones individuales automatizadas de los contratos inteligentes?

• ¿Hay transferencias internacionales de datos?

5.- Conclusiones

La entrada La fuerza imparable (RGPD) contra el objeto inamovible (Blockchain) se publicó primero en Términos y Condiciones.