El Reino Unido acordó un acuerdo de adecuación de datos “en principio” con la República de Corea, lo que permite el libre flujo de datos entre las jurisdicciones y respalda más de £ 1.300 millones en comercio dependiente de datos.
El acuerdo de adecuación de datos en principio es el primero del Reino Unido desde que abandonó la Unión Europea (UE), y está destinado a ser particularmente beneficioso para las empresas con operaciones significativas en ambos países.
Esto incluye empresas como AstraZeneca, Standard Chartered, Samsung y LG Electronics, que ya no necesitarán salvaguardas contractuales, como acuerdos internacionales de transferencia de datos o normas corporativas vinculantes, para compartir datos entre las jurisdicciones del Reino Unido y Corea del Sur.
El gobierno del Reino Unido dijo que el acuerdo reducirá los costos de cumplimiento administrativo y financiero que las empresas normalmente enfrentarían cuando busquen transferir datos al exterior, y que los dos países trabajarán juntos en “la dirección y mejora de los marcos de datos” en el futuro.
El acuerdo compromete además tanto al Reino Unido como a Corea del Sur a trabajar juntos para “hacer frente a los desafíos y oportunidades globales en materia de datos”, incluso a través de la cooperación con otros “socios estratégicos” a través de iniciativas multilaterales como las Reglas de privacidad transfronterizas globales (CBPR) recientemente establecidas. Foro.
Sin embargo, la decisión sobre la adecuación de los datos solo se ha acordado en principio, lo que significa que aún no se ha finalizado y tiene pocos detalles.
“Hoy marca un gran hito para el Reino Unido, la República de Corea y los altos estándares de protección de datos que compartimos”, dijo la exministra de datos del Reino Unido, Julia López, quien renunciar de su cargo el 6 de julio por la controversia que rodea al primer ministro Boris Johnson. “Nuestro nuevo acuerdo abrirá más comercio digital para impulsar las empresas del Reino Unido y permitirá una investigación más vital que puede mejorar la vida de las personas en todo el país”.
El diputado John Whittingdale, enviado comercial del primer ministro del Reino Unido a la República de Corea, dijo: “El acuerdo refleja la sólida relación que ya existe entre nuestros dos países y nuestro compromiso compartido con los altos estándares de protección de datos. Al permitir el libre flujo de datos, no tengo ninguna duda de que esto reducirá las barreras y ayudará a las empresas a comerciar”.
Junto con el acuerdo de adecuación en principio, la Oficina del Comisionado de Información del Reino Unido (ICO) también firmó un memorando de entendimiento (MoU) con la Comisión de Protección de Información Personal de Corea del Sur (PIPC), que establece cómo las autoridades continuarán compartiendo experiencias y mejores prácticas, cooperar en proyectos específicos de interés y compartir información o inteligencia para respaldar su trabajo regulatorio.
“La cooperación entre las autoridades internacionales de protección de datos es esencial en tiempos de negocios globales basados en datos y este MoU se basa en la sólida colaboración que ya tienen las dos autoridades”, dijo el ICO en un comunicado. “El MoU se produce después de que PIPC se reestructuró como una autoridad de protección de datos independiente en Corea luego de la enmienda a tres leyes de protección de datos, y también en un momento de aumento del comercio entre el Reino Unido y Corea”.
El ICO dijo que acoge con beneplácito el anuncio de adecuación y agregó: “El gobierno del Reino Unido es responsable del proceso de adecuación con otros países, y el ICO apoyará y ayudará de acuerdo con nuestro papel definido en el proceso de adecuación”.
Según el propio MoU del gobierno con el ICO de marzo de 2021, se consultará al regulador de protección de datos antes de finalizar cualquier acuerdo de adecuación.
El Reino Unido anunció a la República de Corea como país prioritario para la adecuación de los datos, junto con los EE. UU., Australia, Singapur, el Centro Financiero Internacional de Dubái y Colombia, en agosto de 2021.
Adecuación de los datos de la UE con Corea del Sur
El anuncio de un acuerdo de adecuación de datos independiente en principio se produce seis meses después de que la UE finalizara su propio acuerdo de adecuación con la República de Corea en diciembre de 2021, tras la conclusión de conversaciones oficiales en marzo de ese año.
La UE ha tomado un total de 12 decisiones de adecuación en virtud del Reglamento general de protección de datos (RGPD) desde que entró en vigor en mayo de 2018, que abarcan Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza y Uruguay.
Sobre la distinción entre los acuerdos de adecuación separados de la UE y el Reino Unido con Corea del Sur, Ashley Winton, socia de tecnología financiera y privacidad dentro del grupo de datos del departamento de innovación del bufete de abogados Mishcon de Reya, dijo que la declaración de la Comisión Europea es limitada.
“Excluye datos personales de organizaciones religiosas, partidos políticos y datos crediticios, y en relación con todos los demás datos personales, establece que se deben seguir ciertas reglas adicionales cuando los datos personales están en Corea”, dijo a Computer Weekly.
Winton agregó que si bien el acuerdo del gobierno del Reino Unido en principio no menciona estas limitaciones, se podrían incluir aspectos similares cuando se revelen más detalles sobre el acuerdo.
“El nuevo acuerdo, curiosamente, enfatiza la necesidad de ‘soluciones más escalables’ y hace referencia al Foro Global CBPR”, dijo. “Este es un marco internacional creado por el Departamento de Comercio de EE. UU. que cubre EE. UU., Canadá, Japón, la República de Corea, Filipinas, Singapur y Taiwán”.
En marzo de 2022, la UE y los EE. UU. anunciaron por separado que habían llegado a un acuerdo de privacidad de datos, conocido como Marco de privacidad de datos transatlántico, para reemplazar el Escudo de privacidad y permitir el intercambio de datos a través del Atlántico.
Winton agregó además que si el Reino Unido, luego del Brexit, no puede obtener su propio reemplazo del Escudo de privacidad, el marco de protección de datos que permitió el libre flujo de datos entre los EE. UU. y la UE, pero que fue anulado en julio de 2020 sobre la base que no garantizó a los ciudadanos europeos un derecho de reparación adecuado cuando los servicios de inteligencia de los EE. [Global CBPR] foro podría ser una forma efectiva para que las empresas en el Reino Unido transfieran datos personales de manera segura a los EE. UU., aunque quizás a expensas de la declaración de idoneidad de la UE para las transferencias de datos personales de la UE al Reino Unido”.
Hablando con Computer Weekly, Estelle Massé, líder global de protección de datos en la organización no gubernamental internacional Access Now, señaló que el acuerdo de adecuación entre el Reino Unido y Corea del Sur es el segundo anuncio de acuerdo de flujo de datos que usa la frase “acuerdo en principio”.
“Se utilizó por primera vez en marzo de este año para el acuerdo de flujos de datos UE-EE. UU.”, dijo. “Es interesante ver al Reino Unido siguiendo el ejemplo de la UE, no solo tomando medidas para otorgar una adecuación a Corea, sino también usando este lenguaje vago y poco claro para anunciarlo.
“Un ‘acuerdo en principio’ brinda muy poca información sobre los detalles legales de un trato. De hecho, simplemente confirma la intención de llegar a un acuerdo, pero aún puede haber mucho en el aire. Por ejemplo, casi cuatro meses después de que se anunciara el ‘acuerdo en principio’ entre la UE y los EE. UU., todavía estamos esperando información sobre las reformas reales y los textos legales que serán la base de ese acuerdo”.
Adecuación de la UE con el Reino Unido
Aunque la Comisión Europea otorgó la adecuación de datos del Reino Unido en junio de 2021, lo que permitió a las empresas británicas continuar intercambiando datos con Europa, advirtió que esto aún puede revocarse si las nuevas reglas de protección de datos del Reino Unido difieren significativamente de las de la UE.
Esto se debe a que el gobierno del Reino Unido ha propuesto diluir el régimen de protección de datos del país como parte de un movimiento para reducir la burocracia y mejorar su posición competitiva tras el Brexit.
Muchos de estos cambios propuestos se describen en una consulta sobre el panorama de datos del Reino Unido, que se lanzó el 9 de septiembre de 2021.
Con derecho Datos: una nueva direcciónlas propuestas sugieren eliminar los requisitos de las organizaciones para designar oficiales de protección de datos (DPO), terminar con la necesidad de evaluaciones de impacto de protección de datos obligatorias (DPIA) e introducir un “régimen de tarifas” para solicitudes de acceso de sujetos (SAR).
También incluye una propuesta del Grupo de trabajo sobre innovación, crecimiento y reforma regulatoria (TIGRR) de Downing Street para deshacerse del artículo 22 del RGPD del Reino Unido, que protege a las personas de estar sujetas a la toma de decisiones únicamente automatizada.
En su respuesta oficial a la consulta, el gobierno confirmó que “no seguirá adelante con esta propuesta”, pero dijo que está considerando cómo enmendar el artículo 22 para aclarar cómo se aplica en la práctica. “Las reformas presentarán el Artículo 22 como un derecho a garantías específicas, en lugar de una prohibición general sobre la toma de decisiones únicamente automatizada”, dijo. “Las reformas permitirán el despliegue de la toma de decisiones automatizada impulsada por IA, brindando un margen para la innovación con las salvaguardas adecuadas en su lugar”.
Sin embargo, las otras propuestas para relajar las reglas sobre DPO, DPIA y SAR fueron aceptadas por el gobierno en su respuesta.
Otra área de preocupación para la UE son las leyes del Reino Unido que permiten a las agencias gubernamentales acceder y retener datos masivos sobre personas que no están bajo sospecha.
Los eurodiputados han argumentado anteriormente, por ejemplo, que esta práctica es incompatible con el RGPD y que el intercambio de datos entre la agencia de inteligencia de señales del Reino Unido GCHQ y la Agencia de Seguridad Nacional de EE. UU. “no protegería a los ciudadanos o residentes de la UE”.
