Reglamento de Ejecución (UE) 2021/1772 de la Comisión, de 28 de junio de 2021, con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativa a la protección adecuada de los datos personales por parte del Reino Unido [notificada con el número C(2021) 4800]

• Section: Serie L
• Issuing Organization: Comisión de las Comunidades Europeas

11.10.2021 ES Diario Oficial de la Unión Europea L 360/1

(1) El Reglamento (UE) 2016/679 establece las normas que regulan la transferencia de datos personales desde los responsables o encargados del tratamiento en la Unión Europea (UE) a terceros países y organizaciones internacionales, en la medida en que tales transferencias se encuentren comprendidas dentro de su ámbito de aplicación. Las normas relativas a las transferencias internacionales de datos se establecen en el capítulo V de dicho Reglamento, en concreto en sus artículos 44 a 50. Si bien el flujo de datos personales hacia y desde países no pertenecientes a la Unión es esencial para la expansión de la cooperación internacional y el comercio transfronterizo, el nivel de protección de los datos personales en la UE no debe verse menoscabado por transferencias a terceros países (2).

(2) A tenor del artículo 45, apartado 3, del Reglamento (UE) 2016/679, la Comisión puede decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país o una organización internacional garantizan un nivel de protección adecuado. En virtud de esta condición, las transferencias de datos personales a un tercer país pueden producirse sin que sea necesario obtener ninguna autorización adicional, tal como establecen el artículo 45, apartado 1, y el considerando 103, de dicho Reglamento.

(3) Según lo especificado en el artículo 45, apartado 2, del Reglamento (UE) 2016/679, la adopción de una decisión de adecuación ha de basarse en un análisis exhaustivo del ordenamiento jurídico del tercer país, que contemple tanto las normas aplicables a los importadores de datos como las limitaciones y garantías en lo que respecta al acceso a los datos personales por parte de las autoridades públicas. En su evaluación, la Comisión debe determinar si el tercer país en cuestión garantiza un nivel de protección «esencialmente equivalente» al ofrecido en la Unión Europea [considerando 104 del Reglamento (UE) 2016/679]. La norma con la que se evalúa el nivel de protección «equivalente en lo esencial» es la que establece la legislación de la Unión Europea, en concreto el Reglamento (UE) 2016/679, así como la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) (3). En este sentido, también son importantes las referencias sobre adecuación del Comité Europeo de Protección de Datos (CEPD) (4).

(4) Tal como ha precisado el Tribunal de Justicia de la Unión Europea, no se exige un nivel de protección idéntico (5). En particular, los medios de que se sirve el tercer país en cuestión para la protección de los datos personales pueden ser diferentes de los aplicados en la Unión Europea siempre que, en la práctica, sean eficaces para garantizar un nivel de protección adecuado (6). Por consiguiente, el nivel de adecuación no exige que se reproduzcan al pie de la letra las normas de la Unión. Se trata más bien de determinar si el sistema extranjero ofrece, en su conjunto y por la esencia de los derechos a la protección de los datos y su aplicación, fuerza ejecutiva y supervisión efectivas, el nivel de protección exigido (7).

(5) La Comisión ha analizado detenidamente el Derecho y la práctica del Reino Unido. A partir de las conclusiones desarrolladas en los considerandos 8 a 270, la Comisión concluye que el Reino Unido garantiza un nivel adecuado de protección para los datos personales transferidos dentro del ámbito de aplicación del Reglamento (UE) 2016/679 de la Unión Europea al Reino Unido.

(6) Esta conclusión no se refiere a los datos personales transferidos con fines de control de la inmigración en el Reino Unido o que se comprenden dentro del ámbito de aplicación de la exención de ciertos derechos de los interesados a efectos del mantenimiento de un control de la inmigración efectivo («exención de inmigración») de conformidad con el cuarto párrafo, del punto 1, del anexo 2 de la Data Protection Act del Reino Unido. La validez e interpretación de la exención de inmigración con arreglo al Derecho del Reino Unido no se ha resulto tras la decisión del Tribunal de Apelación de Inglaterra y Gales, de 26 de mayo de 2021. Si bien se reconoce que los derechos de los interesados pueden, en principio, restringirse con fines de control de la inmigración como «un aspecto importante del interés público», el Tribunal de Apelación ha concluido que la exención de inmigración es, en su forma actual, incompatible con el Derecho del Reino Unido, ya que la medida legislativa carece de disposiciones específicas que establezcan las garantías contempladas en el artículo 23, apartado 2, del Reglamento general de protección de datos del Reino Unido (RGPD del Reino Unido) (8). En estas condiciones, deben excluirse del ámbito de aplicación de la presente Decisión las transferencias de datos personales desde la Unión Europea al Reino Unido a las que se puede aplicar la exención de inmigración (9). Una vez que se resuelva la incompatibilidad con el Derecho del Reino Unido, se debe volver a evaluar la exención de inmigración, así como la necesidad de mantener la limitación del ámbito de aplicación de la presente Decisión.

(7) La presente Decisión no debe afectar a la aplicación directa del Reglamento (UE) 2016/679 a las organizaciones establecidas en el Reino Unido en las que se cumplan las condiciones relativas al ámbito territorial de dicho Reglamento, establecidas en su artículo 3.

(8) El Reino Unido es una democracia parlamentaria que tiene un monarca constitucional como jefe de Estado. Tiene un Parlamento soberano, que es supremo frente a todas las demás instituciones gubernamentales, un poder ejecutivo que se deriva del Parlamento y rinde cuentas ante él y un poder judicial independiente. El poder ejecutivo adquiere su autoridad de su capacidad para obtener la confianza de la Cámara de los Comunes electa y rinde cuentas ante ambas cámaras del Parlamento, que son responsables de escrutar al Gobierno y debatir y aprobar las leyes.

(9) El Parlamento del Reino Unido ha delegado la responsabilidad al Parlamento de Escocia, el Parlamento de Gales (Senedd Cymru) y la Asamblea de Irlanda del Norte de legislar en Escocia, Gales e Irlanda del Norte sobre asuntos internos que el Parlamento del Reino Unido no se haya reservado para sí. Si bien la protección de datos es una cuestión reservada, es decir, que la misma legislación aplica en todo el país, se delegan otras áreas de política pertinentes para la presente Decisión. Por ejemplo, los sistemas de justicia penal, incluidas las autoridades policiales, de Escocia e Irlanda del Norte se delegan en el Parlamento de Escocia y la Asamblea de Irlanda del Norte, respectivamente. El Reino Unido no tiene una constitución codificada, en el sentido de un documento constitutivo afianzado. Los principios constitucionales del Reino Unido han surgido con el tiempo y proceden, en concreto, de la jurisprudencia y del consenso. Los tribunales han reconocido el valor constitucional de determinadas leyes parlamentarias, como la Carta Magna, la Bill of Rights (Declaración de Derechos) de 1689 y la Human Rights Act (Ley de Derechos Humanos) de 1998. A través del common law, las leyes parlamentarias mencionadas y determinados tratados internacionales, en especial el Convenio Europeo de Derechos Humanos, que el Reino Unido ratificó en 1951, se han desarrollado los derechos fundamentales de las personas como parte de la constitución. En 1987, el Reino Unido también ratificó el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (10).

(10) La Human Rights Act de 1998 incorpora los derechos recogidos en el Convenio Europeo de Derechos Humanos en el Derecho del Reino Unido. La Human Rights Act concede a toda persona los derechos y libertades fundamentales recogidos en los artículos 2 a 12 y 14 del Convenio Europeo de Derechos Humanos, los artículos 1 a 3 de su Protocolo n.o 1 y el artículo 1 de su Protocolo n.o 13, interpretados según los artículos 16, 17 y 18 de dicho Convenio. Esto incluye el derecho al respeto a la vida privada y familiar (y el derecho a la protección de los datos como parte del anterior derecho), así como el derecho a un proceso equitativo (11). En concreto, en virtud del artículo 8 del Convenio, solo podrá haber injerencia de la autoridad pública en el ejercicio de este derecho en tanto en cuanto esta injerencia esté prevista por la ley y constituya una medida que, en una sociedad democrática, sea necesaria para la seguridad nacional, la seguridad pública, el bienestar económico del país, la defensa del orden y la prevención del delito, la protección de la salud o de la moral, o la protección de los derechos y las libertades de los demás.

(11) En virtud de la Human Rights Act de 1998, cualquier acción de las autoridades públicas debe ser compatible con uno de los derechos del Convenio (12). Además, el Derecho primario y el subordinado deben interpretarse y aplicarse de manera compatible con los derechos del Convenio (13).

(12) El Reino Unido se retiró de la Unión Europea el 31 de enero de 2020. En virtud del Acuerdo sobre la retirada del Reino Unido de Gran Bretaña e Irlanda del Norte de la Unión Europea y de la Comunidad Europea de la Energía Atómica (14), el Derecho de la Unión se aplicó en el Reino Unido durante el período transitorio hasta el 31 de diciembre de 2020. Antes de la retirada y durante el período transitorio, el marco legislativo sobre la protección de datos personales en el Reino Unido consistía en la legislación pertinente de la UE [en particular, el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (15)] y la legislación nacional, en particular, la Data Protection Act de 2018 (DPA de 2018) (16) que estableció normas nacionales, cuando lo permitía el Reglamento (UE) 2016/679, que especificaban y restringían la aplicación de las normas del Reglamento (UE) 2016/679...