La Comissió Europea té el poder de determinar, sobre la base de l’article 45 del Reglament General de Protecció de Dades (GDPR), si un país fora de la UE ofereix un nivell adequat de protecció de dades. D’aquesta forma, la Comissió Europea ha reconegut fins ara Andorra , Argentina , Canadà (organitzacions comercials), Illes Fèroe , Guernsey , Israel , Illa de Man , Japó , Jersey, Nova Zelanda, Suïssa i Uruguai com a protecció adequada.
El 28 de juny de 2021, la Comissió ha adoptat dues decisions d’adequació per a les transferències de dades personals al Regne Unit, de conformitat amb el GDPR i la Directiva sobre protecció de dades en l’àmbit penal (LED), respectivament.
Les dades personals ara poden circular lliurement des de la Unió Europea al Regne Unit, on es beneficien d’un nivell de protecció essencialment equivalent al garantit per la legislació de la UE. Les decisions d’adequació també faciliten la correcta implementació de l’Acord de Cooperació i Comerç UE-Regne Unit, que preveu l’intercanvi d’informació personal, per exemple per a la cooperació en matèria judicial.
Elements clau de les decisions d’adequació
- El sistema de protecció de dades del Regne Unit continua basant-se en les mateixes normes que eren aplicables quan el Regne Unit era un estat membre de la UE. El Regne Unit ha incorporat plenament els principis, els drets i les obligacions del GDPR i de la Directiva sobre protecció de dades en l’àmbit penal al seu sistema jurídic posterior al Brexit.
- Pel que fa a l’accés a les dades personals per part de les autoritats públiques del Regne Unit, sobretot per motius de seguretat nacional, el sistema britànic preveu garanties sòlides. En particular, la recopilació de dades per part de les autoritats d’intel·ligència està, en principi, subjecta a l’autorització prèvia d’un organisme judicial independent. Qualsevol mesura ha de ser necessària i proporcional al que pretén aconseguir. El Regne Unit també està sotmès a la jurisdicció del Tribunal Europeu de Drets Humans i ha de respectar el Conveni Europeu de Drets Humans, així com al Conveni del Consell d’Europa per a la protecció de les persones pel que fa al tractament automàtic de dades personals, que és l’únic tractat internacional vinculant en matèria de protecció de dades. Aquests compromisos internacionals són un element essencial del marc legal avaluat en les dues decisions d’adequació.
- Per primera vegada, les decisions d’adequació inclouen l’anomenada «clàusula de caducitat», que limita estrictament la seva durada. Això significa que les decisions caducaran automàticament quatre anys després de la seva entrada en vigor. Després d’aquest període, els resultats de l’adequació podrien renovar-se, però, només si el Regne Unit continua garantint un nivell adequat de protecció de dades.
- Les transferències a efectes de control d’immigració del Regne Unit s’exclouen de l’abast de la decisió d’adequació adoptada en virtut del GDPR per reflectir una sentència recent del tribunal d’apel·lació d’Anglaterra i Gal·les sobre la validesa i interpretació de determinades restriccions dels drets de protecció de dades en aquest àmbit. La Comissió tornarà a valorar la necessitat d’aquesta exclusió un cop s’hagi esmenat la situació d’acord a la legislació del Regne Unit.
Per a més informació:
Per qualsevol dubte o aclariment addicional podeu adreçar-vos al DPD de Salut: dpd@ticsalutsocial.cat
https://ticsalutsocial.cat/oficina-dpd/
Tel .: 93 553 26 42 (9:00 a 14:00 h.)
