El RGPD atraviesa las fronteras de la UE: la protección de datos en el EEE

El Espacio Económico Europeo (EEE) reúne a los Estados miembros de la Unión Europea (UE) y a los países de la Asociación Europea de Libre Comercio (AELC), excepto Suiza. El EEE ha incorporado el RGPD al Acuerdo sobre el Espacio Económico Europeo a través de una decisión del Comité Mixto del EEE con fecha 6 de julio de 2018, que entró en vigor el 20 de julio de 2018.

El EEE extiende las cuatro libertades del mercado interior de la UE (libre circulación de mercancías, personas, servicios y capitales) a los tres estados de la AELC, por lo que también están sujetos a la protección de datos del RGPD. En esta entrada, hablaremos de lo que esto significa para los países de la AELC, de las ventajas que conlleva la adopción de RGPD y de cómo se garantiza una aplicación uniforme de este Reglamento.

EEE y RGPD: qué significa para la AELC

Básicamente, la decisión del EEE supone que el RGPD, si bien es una ley de la UE, se aplica directamente a los tres países de la AELC: Islandia, Noruega y Liechtenstein. Además, el gobierno de Liechtenstein ha emitido una declaración sobre la revisión completa de su Ley de Protección de Datos, que entrará en vigor el 1º de enero de 2019. Mientras tanto, en Liechtenstein se aplica una legislación transitoria adoptada como enmienda a la Ley de Protección de Datos vigente. Por otro lado, Islandia y Noruega implementaron sus leyes nacionales de protección de datos el 15 y 20 de julio de 2018, respectivamente.

¿Por qué se ha adoptado el RGPD en el EEE?

El RGPD prevé la armonización de las leyes de protección de datos personales de la UE con el objetivo de facilitar el libre flujo de datos entre los Estados miembros y, de este modo, fomentar el desarrollo de la economía digital en el mercado interno. Desde la perspectiva de la gestión de datos, esto genera claridad y transparencia en el contexto europeo. Por lo tanto, podemos afirmar que, en su esencia, el RGPD reconoce la magnitud de la economía de datos y su posible crecimiento —teniendo en cuenta el desarrollo tecnológico en este sector— y apunta a facilitar esto de manera tal que no afecte el Mercado único.

Como el objetivo del Acuerdo del EEE es también la homogeneización del Mercado único, el RGPD era una legislación clave que debía integrarse al Acuerdo para garantizar esta uniformidad en la economía digital del EEE. Toda legislación relevante de la UE, como es el caso del RGPD, se incorpora al Acuerdo EEE a través de una decisión del Comité Mixto del EEE. Esta decisión se toma luego de haber obtenido la aprobación de los países de la AELC y de la UE, a través de procedimientos específicos establecidos para este fin.

¿Por qué es importante la adopción del RGPD?

La adopción del RGPD por parte del Comité Mixto del EEE significa que el Reglamento es directamente aplicable a Islandia, Noruega y Liechtenstein, y que los datos personales pueden fluir libremente entre estos estados y todos los Estados miembros de la UE. De lo contrario, según el RGPD, la transferencia de datos personales de los Estados miembros de la UE a estos países se consideraría una transferencia internacional de datos y, de ser así, sería necesaria una decisión de adecuación. Otro beneficio fundamental está relacionado con la participación de los estados del EEE en el mecanismo de "ventanilla única".

Esto sirve para establecer una autoridad principal de protección de datos que esté a cargo de controlar las actividades del responsable o del encargado que opera en más de un estado. Esta disposición genera certeza jurídica para responsables/encargados específicos, independientemente de los estados donde operan.

Aplicación homogénea del RGPD

El RGPD es una ley relativamente nueva y es lógico pensar que su interpretación y aplicación van a evolucionar con el paso del tiempo. Dado que la idea central de este Reglamento es la homogeneidad y la seguridad jurídica, su aplicación en todos los estados debe ser uniforme. Es de suponer que el Comité Europeo de Protección de Datos (CEPD) y el Tribunal de Justicia de la Unión Europea (TJUE) tendrán un rol central en esta tarea.

Por lo tanto, es un alivio para los estados del EEE que la estructura del CEPD se extienda a ellos. Sin embargo, los representantes de los estados del EEE no tienen derecho a voto en el CEPD ni pueden ser sus presidentes/vicepresidentes. Esto significa que falta una autoridad concreta de los estados del EEE para contribuir al desarrollo del RGPD.

Esto puede considerarse una desventaja —especialmente con respecto a las decisiones vinculantes del Artículo 65— cuando haya puntos de vista enfrentados entre las autoridades de control de los estados miembros de la UE y las de un estado del EEE. Queda por verse si esta situación se modificará en el futuro.

En lo que respecta a las decisiones del TJUE, el Comité Mixto del EEE está obligado a revisar la jurisprudencia constantemente y actuar de conformidad con una interpretación homogénea del Acuerdo, lo que garantiza, además, un sistema de colaboración e intercambio de información entre el TJUE y el tribunal de la AELC.

El caso de Suiza

Cabe destacar que Suiza no es miembro del EEE y, por lo tanto, el RGPD no puede aplicarse directamente. Sin embargo, la Ley de Protección de Datos de Suiza está sujeta a revisiones para alinearse con el RGPD. El proyecto final de la Ley de Protección de Datos revisada fue publicada por el Consejo Federal Suizo el 15 de septiembre de 2017 y se espera que entre en vigor a fines de 2018 este año o principios de 2019.

 

Soumya Patnaik

Soumya Patnaik

Asesora de Protección de Datos de PrivacyPerfect

rgpd guia gratuita

Contáctenos

¿Tiene alguna duda sobre este artículo o le gustaría recibir más información sobre PrivacyPerfect? Por favor, complete el siguiente formulario. Prometemos no enviarle newsletters a menos que se suscriba marcando la casilla correspondiente (desactivada por defecto).