Nota técnica (14) Preparación para el final del período de transición: Protección de Datos – C853

Gibraltar alerta sobre las transferencias de datos con la UE en caso de no acuerdo

Gobierno de Gibraltar

Nota técnica (14) Preparación para el final del período de transición: Protección de Datos

Gibraltar, 30 de noviembre de 2020

Protección de Datos

El 31 de diciembre de 2020 finalizará el período de transición (a veces también denominado período de aplicación), previsto en el Acuerdo de Retirada entre la UE y el Reino Unido. El final del período de transición pondrá fin al actual estatus, en virtud del cual Gibraltar, sus ciudadanos y sus empresas han disfrutado de los derechos de la Unión Europea.

Por lo tanto, con sujeción al resultado de las negociaciones en curso sobre la futura relación del Reino Unido y Gibraltar con la Unión Europea, el fin del período de transición traerá consigo importantes cambios para los que Gibraltar, en su conjunto, deberá estar preparado.

Propósito

La salida de Gibraltar de la Unión Europea implica que ciertos procesos y procedimientos serán, inevitablemente, más difíciles, engorrosos y burocráticos. Resulta importante que los ciudadanos y negocios sean conscientes de ello y que, en la medida de lo posible, planifiquen sus acciones con antelación. El Gobierno únicamente puede preparar las áreas bajo su control. Incluso en ese caso, habrá ciertas trabas que no será posible mitigar, puesto que la nueva situación simplemente reflejará lo que implica estar fuera de la Unión Europea.

El propósito de esta Nota Técnica es explicar el efecto de dichos cambios sobre las normas que regulan la transferencia de datos personales entre Gibraltar y el Reino Unido y, por separado, entre Gibraltar y la UE.

Si no se alcanza un acuerdo con respecto a la futura relación de Gibraltar con la UE antes del 31 de diciembre de 2020

Situación respecto a Gibraltar y el Reino Unido

Resulta importante destacar que, tras el 31 de diciembre de 2020, e independientemente de que se alcance un acuerdo sobre la relación futura con la UE o no, Gibraltar mantendrá, para los propósitos de su legislación local, las leyes de protección de datos de la UE incluyendo el Reglamento (UE) 2016/679 (generalmente conocido como “RGPD”). El Reino Unido adoptará el mismo enfoque.

Dado este marco legislativo, tanto el Reino Unido como Gibraltar han promulgado legislación doméstica, según la cual cada parte considerará que la otra cuenta con un régimen adecuado de protección de datos. Esto permitirá la continuidad del libre flujo de datos personales entre el Reino Unido y Gibraltar, en ambas direcciones.

La parte positiva del párrafo anterior es que, tras el 31 de diciembre, no se producirán cambios en la forma en la que se transfieren los datos personales entre el Reino Unido y Gibraltar. Tampoco se producirán cambios en las salvaguardas aplicadas a estas transferencias de datos. Se mantendrá el status quo. El hecho de que se alcance o no un acuerdo futuro con la UE no tendrá influencia sobre estos acuerdos.

Situación respecto a Gibraltar y la UE

Al igual que ha hecho el Reino Unido, Gibraltar ha promulgado legislación que confirma que considera que la UE cuenta con un adecuado régimen de protección de datos. Esto permitirá a las entidades establecidas en Gibraltar transferir datos a los Estados Miembros de la UE tras el 31 de diciembre de 2020. Este será el caso, incluso, si no se alcanzasen acuerdos separados sobre la futura relación del Reino Unido y Gibraltar con la UE.

Por lo tanto, el flujo de datos desde Gibraltar a la UE podrá continuar normalmente.

Sin embargo, no se puede decirse lo mismo respecto del flujo de datos desde la UE a Gibraltar. Tras el 31 de diciembre de 2020, cualquier transferencia de datos personales desde la UE a Gibraltar –aparte de lo que se conoce como “datos heredados” [legacy data], cubiertos por el Artículo 71 del Acuerdo de Retirada Reino Unido-UE–, no será tratada como una transferencia dentro de la UE.

Por lo tanto, a partir del 1 de enero de 2021, las entidades de la UE deberán cumplir con las normas relevantes de la UE aplicables a transferencias de datos personales a terceros países cuando transfieran datos a Gibraltar. Si la UE no declara que el régimen de protección de datos de Gibraltar resulta adecuado (ver a continuación), y a menos que la transferencia de datos quede cubierta por una de las derogaciones contenidas en el Artículo 49 de la RGPD, las opciones para que las entidades de la UE puedan transferir datos personales a Gibraltar después del 31 de diciembre de 2020 dependerán de uno de los siguientes “mecanismos alternativos de transferencia”:

  • Las entidades de la UE deberán asegurarse de que los datos personales transferidos a Gibraltar sean transferidos sobre la base de las “Cláusulas Contractuales Tipo” adoptadas por la Comisión de la UE (CCTs);
  • Sobre la base de “Normas Corporativas Vinculantes” estipuladas en el Artículo 46(1) y (2)(b) de la RGPD; o
  • Sobre la base de “Códigos de Conducta” o “Certificaciones” aprobadas según el Artículo 46(2)(e) y (f) de la RGPD, siempre que dichas transferencias estén sustentadas por compromisos vinculantes y ejecutables por parte de la entidad que reciba los datos en Gibraltar.

Las entidades de Gibraltar afectadas por la información contenida en esta Nota Técnica deberán asegurarse de estar colaborando con las entidades de la UE que les transfieren datos para garantizar el establecimiento de mecanismos alternativos de transferencia. En la mayoría de casos, los mecanismos más relevantes serán las CCTs.

De forma separada, y dependiendo de si (i) se trata de una entidad de Gibraltar sin oficinas, filiales o establecimientos en la UE; y (ii) se ofrecen bienes y servicios a individuos de la UE o se sigue el comportamiento de individuos de la UE, es posible que sea necesario nombrar un representante en la UE que ejerza labores de representación en los Estados Miembros de la UE en los que estén ubicados algunos de los individuos cuyos datos personales se procesan.

Situación respecto al EEE (Noruega, Islandia, Liechtenstein)

La orientación detallada en esta Nota Técnica con respecto a la posición de los Estados Miembros de la UE se aplica igualmente a la transferencia de datos entre Gibraltar y los Estados del EEE no miembros de la UE, en concreto Noruega, Islandia y Liechtenstein.

Posibilidad de que la UE alcance una decisión sobre el carácter adecuado de la protección de datos con respecto al Reino Unido y Gibraltar antes del 31 de diciembre de 2020

Actualmente, la UE no ha decidido si otorgará o no una decisión sobre sobre el carácter adecuado de la protección de datos del Reino Unido y Gibraltar. Si la UE alcanzase una decisión positiva sobre este tema antes del 1 de enero de 2021, ello significaría que los datos personales podrían fluir libremente desde la UE/EEE a Gibraltar, tal y como lo hacen en la actualidad, sin necesidad de que las entidades tengan que tomar ninguna medida adicional.

Posición respecto a terceros países que hayan sido considerados adecuados por la UE

El Gobierno está trabajando con el Gobierno británico para asegurar que los actuales acuerdos con terceros países considerados adecuados por la UE, como Suiza, Canadá, Nueva Zelanda y Japón, entre otros, se extiendan de un modo que permita mantener el flujo de datos sin restricciones entre Gibraltar y estos países tras el 31 de diciembre de 2020.

Si se alcanza un acuerdo con respecto a la futura relación de Gibraltar con la UE antes del 31 de diciembre de 2020

Las negociaciones con respecto a la futura relación del Reino Unido y Gibraltar con la UE continúan su curso y los posibles acuerdos futuros entre Gibraltar y la UE sobre cuestiones relacionadas con la protección de datos están siendo examinados como parte de este proceso. Aun así, debe recalcarse que la capacidad de la UE para adoptar decisiones sobre el carácter adecuado de la protección del Reino Unido y Gibraltar no depende de que se alcance un acuerdo sobre la relación futura con la EU.

Orientación ofrecida por la Autoridad Reguladora de Gibraltar

Se informa al público de que la Autoridad Reguladora de Gibraltar (Gibraltar Regulatory Authority, GRA) ha iniciado una campaña de información pública con el objetivo de asegurar que las entidades establecidas en Gibraltar se encuentren preparadas para los cambios que podrían producirse al concluir el Periodo de Transición.

En septiembre de 2020, se organizaron talleres para orientar a los operadores basados en Gibraltar sobre cualquier cuestión relacionada con la retirada de la UE. En vista del interés que podría generar la publicación de esta Nota Técnica, la GRA ha ofrecido organizar más talleres online el 9 de diciembre de 2020, en horarios por confirmar. Aquellas personas que deseen acudir deberán enviar un email a la siguiente dirección para dejar constancia de su interés: dpoworkshops@gra.gi

El Gobierno también recomienda que aquellos negocios afectados por las cuestiones mencionadas en esta Nota Técnica se familiaricen con la información publicada por la GRA en la sección de su web sobre la retirada de la UE, incluyendo los documentos relacionados detallados en la parte inferior de la página: www.gra.gi/data-protection/brexit

La web de la Oficina del Comisario de Información (Information Commissioner’s Office) del Reino Unido también contiene información práctica sobre estas cuestiones.

Información adicional

Esta Nota Técnica es sólo una guía. Puede solicitarse más información en brexit@gibraltar.gov.gi.

Comunicado en pdf con original en inglés incluido

Nota a redactores:

Esta es una traducción realizada por el Servicio de Información de Gibraltar. Algunas palabras no se encuentran en el documento original y se han añadido para mejorar el sentido de la traducción. El texto válido es el original en inglés.

Para cualquier ampliación de esta información, rogamos contacte con

Servicio de Información de Gibraltar

Web: www.infogibraltar.com, web en inglés: www.gibraltar.gov.gi/press

Twitter: @InfoGibraltar