UK GDPR: Las empresas británicas deben ahora cumplir con dos conjuntos de legislación

El Reglamento General de Protección de Datos (RGPD) de la UE, que entró en vigor en 2018, exige a las organizaciones que establezcan medidas de protección de datos cuando ofrezcan bienes y servicios o supervisen el comportamiento de las personas dentro de la UE.

Sin embargo, las regulaciones del GDPR del Reino Unido están ahora separadas de las regulaciones del GDPR de la UE, tras el acuerdo comercial que entró en vigor el 1 de enero, lo que significa que ahora hay dos legislaciones de protección de datos en lugar de una sola; GDPR del Reino Unido que cubre a los individuos en el Reino Unido y GDPR de la UE para los individuos en la UE. Las empresas que posean ambos tipos de datos tendrán que cumplir cada una de las dos legislaciones por separado.

El Reino Unido se considera oficialmente un “tercer país” en el marco del RGPD de la UE, lo que significa que las empresas británicas que prestan servicios a los consumidores de la UE tendrán que cumplir tanto las medidas del RGPD del Reino Unido como las de la UE.

Michael Begley, director general de venuedirectory.com, que ha seguido la legislación actualizada, dijo que muchas personas en la industria de eventos no eran conscientes de los cambios. “Estoy en contacto regular con lugares, agencias y planificadores en todo el Reino Unido y muchos actualmente no son conscientes del impacto del Brexit en el GDPR del Reino Unido y el GDPR de la UE, y las medidas que ahora deben tomar para garantizar que su negocio continúe operando legalmente”, dijo.

“Hay algunos pasos simples e inmediatos que las organizaciones deben tomar para abordar las regulaciones de protección de datos y garantizar que los eventos puedan continuar una vez que el mundo se abra de nuevo. Para apoyar a nuestro sector en el camino hacia un mejor negocio, me he asociado con el experto en protección de datos Arvi Virdee, de Smartec, para lanzar una serie de seminarios web breves y centrados en guiarles a través de este desafío.”

Hay dos medidas que las organizaciones de reuniones y eventos deben tomar ahora, señaló Begley. “En primer lugar, las empresas británicas que poseen datos para la UE deben revisar y actualizar sus conjuntos de datos existentes. Se trata de determinar qué proporción son datos de la UE (y, por tanto, están sujetos a la normativa del GDPR de la UE); cuáles son datos del Reino Unido (sujetos a la normativa del GDPR del Reino Unido) y qué datos quedan fuera de estas dos categorías, por ejemplo, los conjuntos de datos para los que tienen su sede en América o Asia.

“En segundo lugar, las empresas británicas deben designar a un representante dentro de la UE para atender cualquier consulta. Puede tratarse de consultas sobre una violación de los datos o una solicitud de acceso del interesado. Este representante debe residir en cualquiera de los 27 países de la UE y, por tanto, estar in situ para atender las solicitudes de particulares, empresas o autoridades”.

Las empresas británicas deben nombrar un representante en la UE sólo si no tienen ya una sucursal u oficina en la UE. Si lo tienen, esta sucursal u oficina actuaría como representante, aunque habría que actualizar los avisos de privacidad a tal efecto.

La legislación británica también exige ahora que las empresas de la UE que poseen datos del Reino Unido tengan un representante en el país, y las empresas con sede en la UE deben revisar y separar sus conjuntos de datos para determinar cuáles están ahora sujetos a la normativa británica del RGPD.

Begley añadió: “Los profesionales de los eventos deben actuar ahora, aprovechando este momento en el que las reuniones y los eventos están actualmente en suspenso, con el fin de asegurarse de que están totalmente preparados y cuentan con los elementos correctos para volver a hacer negocios”.