Cuando el período de transición termine el 31 de diciembre de 2020, el Reino Unido será un tercer país en virtud del Reglamento General de Protección de Datos (GDPR), lo que significa que las transferencias de datos al Reino Unido estarán generalmente prohibidas. 

A partir de ese momento, los controladores de datos residentes en la Unión Europea deberán asegurarse, caso por caso, de que el nivel de protección de los datos es suficiente para la transferencia de datos al Reino Unido.

Los datos personales pueden transferirse a un tercer país si la Comisión de la UE ha decidido que el tercer país en cuestión ofrece un nivel de protección adecuado. Si se ha tomado esa decisión de adecuación, la transferencia de datos puede tener lugar sin ninguna autorización adicional. 

La Comisión de la UE planea lanzar una evaluación de adecuación inmediatamente después de la retirada del Reino Unido. Una decisión positiva de adecuación por parte de la Comisión de la UE facilitaría considerablemente el intercambio de datos entre los Estados miembros de la UE y el Reino Unido después del período de transición.

Si no se ha llegado a tiempo a esa decisión de adecuación, las cláusulas estándar de protección de datos de la UE tienen una gran importancia práctica en este contexto. Se trata de contratos modelo entre el importador y el exportador de datos que son especificados por la Comisión de la UE y que exigen que el organismo con sede en el tercer país mantenga un nivel adecuado de protección de los datos.

La Comisión Europea puede decidir que las cláusulas contractuales tipo ofrezcan suficientes garantías de protección de los datos para que éstos se transfieran a nivel internacional. Hasta la fecha ha emitido dos conjuntos de cláusulas contractuales tipo para las transferencias de datos de los responsables del tratamiento de datos en la UE a los responsables del tratamiento de datos con sede fuera de la UE o del Espacio Económico Europeo (EEE). También ha emitido un conjunto de cláusulas contractuales para las transferencias de datos de los responsables del tratamiento de la UE a los responsables del tratamiento con sede fuera de la UE o el EEE.

Sin embargo, desde el fallo del Tribunal de Justicia de la Unión Europea en el asunto Schrems II, la transferencia de datos personales mediante cláusulas contractuales tipo exige que el exportador de datos evalúe si se garantiza un nivel adecuado de protección de los datos en el país receptor para los datos afectados por la transferencia. No es el nivel general de protección de los datos en el país receptor el que debe evaluarse, sino el nivel específico de protección de los datos transferidos.

También se están examinando actualmente los nuevos proyectos de la Autoridad Europea de Protección de Datos (EDPA).

Las Normas Corporativas Vinculantes ("BCR", por sus siglas en inglés) también son adecuadas para el intercambio de datos en empresas de grupos multinacionales. 

Las BCR son políticas de protección de datos que las empresas con sede en la UE cumplen cuando transfieren datos personales fuera de la UE dentro de un grupo de empresas o compañías. Estas normas deben incluir todos los principios generales de protección de datos y los derechos exigibles para asegurar las garantías adecuadas para la transferencia de datos. Deben ser jurídicamente vinculantes y ser aplicadas por todos los miembros del grupo en cuestión.

Sin embargo, a diferencia de las cláusulas estándar de protección de datos de la UE, la BCR requiere la aprobación de la autoridad de supervisión competente.

Este artículo fue originalmente escrito a principios del mes de Diciembre.