Hace cuatro años, las empresas del Reino Unido luchaban por revisar la forma en que recopilaban la información personal de los trabajadores antes de que entraran en vigor nuevas reglas de protección de datos, en mayo de 2018.
Ahora, los líderes empresariales se preguntan si tendrán que romper los libros de reglas nuevamente, como resultado de los planes del gobierno británico para un régimen de datos independiente posterior al Brexit.
“Las empresas han pagado el precio de cumplir con el RGPD [General Data Protection Regulation] cumplimiento”, dice Adam Rose, socio de los abogados Mishcon de Reya. “Si el gobierno da la vuelta y dice que no es necesario que te molestes en hacer nada de eso, o que tendrás que pasar por nuevos obstáculos, eso los va a molestar”.
El volumen de datos producido a nivel mundial es difícil de comprender. Según el Foro Económico Mundial, la cantidad estimada de bytes en el universo digital en 2020 fue 40 veces mayor que la cantidad de estrellas en el universo observable.
Y aunque la creación y transferencia de esos datos en todo el mundo puede parecer fluida, una arquitectura compleja de reglas y regulaciones rigen lo que las empresas deben hacer para mantener todo seguro y protegido.
“Si le preguntara a la mayoría de las personas, se sorprenderían al saber que la información no puede fluir libremente en todo el mundo”, dice Ross McKenzie, socio de los abogados Addleshaw Goddard. “Pero existen leyes en el Reino Unido y Europa que limitan que las empresas compartan datos a nivel internacional”.
En el Reino Unido y la UE, las reglas sobre GDPR rigen la forma en que los datos se pueden almacenar y transferir internacionalmente. El Reino Unido, sin embargo, planea diluir sus reglas de protección de datos y buscar acuerdos con países no pertenecientes a la UE, como Australia y los EE. UU., en una revisión masiva de su régimen de datos, posterior al Brexit.
El secretario de cultura del Reino Unido, Oliver Dowden, llama al plan un «dividendo Brexit» para la economía. Sin embargo, los críticos temen que pueda poner fin al libre flujo de información entre Gran Bretaña y la UE, perjudicando a empresas y ciudadanos.
“Los datos son una gran parte del valor de UK plc”, dice Rose. “Somos un lugar estable para hacer negocios con leyes estrictas, buenos centros de datos, buenos científicos de datos. El Reino Unido es un centro importante para la industria basada en datos y existe el riesgo de divergir de nuestro principal socio comercial, que es Europa”.
En una consulta presentada en septiembre, el gobierno del Reino Unido estableció planes para revertir elementos clave de la regulación de protección de datos de la UE que había incluido en su propio estatuto durante el Brexit.
Esos planes incluyen eliminar o reescribir el artículo 22 de GDPR, que garantiza controles humanos sobre las decisiones tomadas por algoritmos informáticos y, según los activistas, brinda una protección contra el sesgo de la máquina.
Tales movimientos ponen al Reino Unido en curso de colisión con la UE. Este último ha advertido que eliminará su acuerdo de intercambio de datos con el Reino Unido si la privacidad de sus ciudadanos se ve amenazada.
La UE permite que los datos fluyan libremente desde la UE al Reino Unido como resultado de una llamada decisión de adecuación. Esto significa que la Comisión Europea ha dictaminado que Gran Bretaña protege adecuadamente la información personal y se puede confiar en los datos de sus ciudadanos.
Pero, si Bruselas decide que el Reino Unido ya no se adhiere a suficientes estándares de datos, podría revocar el fallo, deteniendo así el libre flujo de información a través del Canal.
“Cada pieza de legislación que se analiza y crea una divergencia significativa de la forma en que se hacen las cosas en la UE conlleva el riesgo de que sea más difícil comerciar con la UE”, dice James Mullock, socio de los abogados Bird & Bird.
“Tenemos una decisión de adecuación que permite que los datos fluyan al Reino Unido desde Europa. Cualquier divergencia [in rules] potencialmente pone en riesgo esa decisión de adecuación”.
Para evitar infringir la regulación, las empresas ya tienen que vigilar cuidadosamente la forma en que manejan los datos.
“Debido al Brexit, el Reino Unido tiene un enfoque completamente diferente” para el intercambio de datos, dice McKenzie de Addleshaw Goddard. Las corporaciones multinacionales con operaciones paneuropeas “tienen que lidiar tanto con los reguladores del Reino Unido como con los reguladores europeos. Es una carga de cumplimiento masiva”.
Las empresas, agrega, “claman por abogados de protección de datos y especialistas en cumplimiento”.
En julio de 2020, un fallo europeo, provocado por la batalla de un activista con Facebook, planteó un obstáculo para las empresas que transfieren datos entre la UE y los EE. UU. El Tribunal de Justicia de la Unión Europea (TJUE) eliminó un acuerdo en el que las empresas confiaban para mover datos fácilmente, debido a preocupaciones sobre la vigilancia por parte del estado de EE. UU.
Antes de la sentencia del TJUE, las empresas se basaban en el llamado escudo de protección de datos para realizar el comercio transatlántico. Ahora, las empresas de la UE deben realizar evaluaciones individuales de cada transferencia de datos a un país fuera de la UE para garantizar el cumplimiento.
Cualquier violación de datos ahora conlleva el riesgo de sanciones financieras para las empresas europeas, luego de la introducción de las reglas GDPR y Brexit. Las organizaciones pueden ser responsables de multas de la Oficina del Comisionado de Información en el Reino Unido y de los reguladores en Bruselas.
Mientras tanto, las empresas con sede en el Reino Unido tienen un panorama aún más complejo para negociar, como resultado del Brexit, agrega Mullock. Las empresas caen bajo “dos regímenes regulatorios”, señala. Con las multas que vienen con las infracciones de GDPR, «eso es una preocupación real y podría crear un doble peligro para las empresas».