El próximo proyecto de ley de datos del gobierno del Reino Unido convertirá al país en una “válvula con fugas” que socavaría los derechos de datos de los ciudadanos europeos, dicen los activistas de privacidad que piden revocar la adecuación de datos del Reino Unido.
En junio de 2021, la Comisión Europea otorgó la “adecuación de datos” al Reino Unido luego de su salida de la Unión Europea (UE), lo que permitió que continuara el libre flujo de datos personales hacia y desde el bloque, pero advirtió que la decisión aún puede ser revocada si Las futuras leyes de protección de datos difieren significativamente de las de Europa.
Programado para aprobarse en otoño de 2023, el proyecto de ley de protección de datos e información digital (DPDI) modificará la implementación del Reino Unido del Reglamento general de protección de datos (GDPR) y la Directiva de aplicación de la ley (LED) de la UE, que se transponen a la ley del Reino Unido a través de la actual Ley de Protección de Datos de 2018.
En una carta a la Comisión Europea (CE), los defensores de la privacidad ahora instan a la vicepresidenta ejecutiva Vera Jourova y al comisionado Didier Reynders a reevaluar la decisión de adecuación de datos del Reino Unido, sobre la base de que las condiciones que la sustentaron cambiarán como resultado de el proyecto de ley DPDI.
Los 28 firmantes de la carta incluyen una serie de grupos no gubernamentales, como Open Rights Group, Privacy International, Foxglove y Access Now, así como expertos legales y de regulación de Internet individuales, como Ian Brown, Douwe Korff y Max Schrems.
“Esta decisión, otorgada por la comisión, se basó en la premisa de que el sistema de protección de datos del Reino Unido continuaría siguiendo las mismas reglas que cuando el Reino Unido era un estado miembro de la UE”, escribieron, y agregaron que el DPDI “va en contra”. del acuerdo
“Si se aprueba, el proyecto de ley significaría una desregulación total del marco de protección de datos del Reino Unido, lo que permitiría a las empresas privadas buscar refugio en el Reino Unido para eludir las normas europeas de protección de datos y convertir al Reino Unido en un ‘laboratorio de prueba’ para usos experimentales y abusivos de datos. Asimismo, el gobierno del Reino Unido tendría el poder de legalizar los programas de vigilancia invasivos y otras medidas que superan el derecho a la protección de datos de los ciudadanos europeos”, agregaron.
Dijeron que la CE “debe hacer un balance urgente de estos cambios” y brindarles a los ciudadanos europeos la seguridad de que la adecuación de datos del Reino Unido será revocada si el proyecto de ley propuesto se convierte en ley.
Mariano delli Santi, oficial legal y de políticas de Open Rights Group, agregó: “El proyecto de ley DPDI romperá las protecciones de privacidad ganadas con tanto esfuerzo. Esto no solo perjudicará a los ciudadanos del Reino Unido, sino también a los derechos de los europeos que viven dentro y fuera del Reino Unido.
“La determinación del gobierno del Reino Unido de desregular la protección de datos está poniendo en peligro el acuerdo de adecuación con la UE, lo cual es un riesgo que la economía del Reino Unido no puede permitirse”.
Los signatarios también describieron una serie de otros problemas con el enfoque propuesto por el Reino Unido, incluido el hecho de que la independencia del regulador de datos del Reino Unido se vea socavada al tener su junta designada directamente por el gobierno, así como al otorgar a los ministros el poder de dictar sus prioridades estratégicas e interferir. con el ejercicio de sus facultades.
Agregaron que el proyecto de ley también debilitaría la definición de datos personales hasta el punto en que las organizaciones podrían usar el Reino Unido como base para seudonimizar los datos personales europeos antes de transferirlos a terceros países.
“Además, el proyecto de ley permitiría al gobierno del Reino Unido autorizar transferencias de datos personales a terceros países en ausencia de un escrutinio parlamentario significativo y sin garantías con respecto a la retención de derechos exigibles y recursos efectivos una vez que estos datos hayan sido transferidos”, dijeron.
La secretaria de Estado Michelle Donelan defendió previamente las nuevas reformas de datos del gobierno en marzo de 2023, argumentando proporcionarían seguridad a las empresas y, al mismo tiempo, mantendrían altos estándares de protección de datos.
Agregó, sin embargo, que con la decisión de adecuación de datos entre la UE y el Reino Unido programada para su revisión en 2024, “el gobierno del Reino Unido deberá tener en cuenta los riesgos que implica desviarse demasiado del RGPD de la UE” si quiere que las empresas continúen enviando datos. a Europa.
Computer Weekly se puso en contacto con la CE para comentar sobre la carta y si reconsideraría la adecuación en caso de que el proyecto de ley DPDI se convierta en ley, pero no recibió respuesta.
Sin embargo, el comisario Reynders dijo anteriormente que la UE intervendría si el Reino Unido no mantuviera su compatibilidad con la ley de protección de datos de la UE: “La comisión seguirá de cerca cómo evoluciona el sistema del Reino Unido en el futuro y hemos reforzado nuestras decisiones para permitir esto y para una intervención si es necesario. La UE tiene los más altos estándares en lo que respecta a la protección de datos personales y estos no deben verse comprometidos cuando los datos personales se transfieren al extranjero”.
La decisión de adecuación de la comisión estuvo acompañada de una cláusula de caducidad de cuatro años, lo que significa que ya existen mecanismos que podrían usarse para revocar la decisión.
Se han tomado un total de 14 decisiones de adecuación bajo el RGPD desde que entró en vigencia en mayo de 2018, que cubren Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, Israel, la Isla de Man, Japón, Jersey, Nueva Zelanda, Corea del Sur. , Suiza, Reino Unido y Uruguay. Sin embargo, solo la decisión de adecuación del Reino Unido cubre los intercambios de datos de aplicación de la ley, que se rigen por el LED.