info@typeoflegal.com
info@typeoflegal.com
  • 8 de marzo de 2022

Una transferencia internacional de datos consiste en un flujo de datos personales desde el territorio europeo a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

Para poder llevar a cabo transferencias internacionales de datos, es necesario que el responsable o encargado de tratamiento que desee llevarlas a cabo, garantice que la transferencia tendrá lugar siguiendo lo dispuesto en el RGPD.

Garantías en las transferencias internacionales de datos

Las entidades receptoras de los datos que se encuentren en terceros países fuera del Espacio Económico Europeo deberán garantizar que el tratamiento de los datos se llevará a cabo con el nivel adecuado de protección de acuerdo a la normativa europea de protección de datos.

Entre los diferentes modos de garantizar el nivel adecuado de protección se encuentran los siguientes supuestos:

  •     Que las entidades receptoras de los datos se encuentren en un país, un territorio o uno o varios sectores específicos de ese país u organización internacional que se encuentre enumerado en el listado de territorios declarados de nivel de protección adecuado por la Comisión Europea.
  •     A falta de decisión de adecuación, que ofrezca las garantías adecuadas de protección, que podrán ser aportadas, por ejemplo, a través de las Cláusulas Contractuales Tipo.
  •   Que exista autorización de la Agencia Española de Protección de Datos (AEPD), en caso de que la transferencia se lleve a cabo desde España.

Las nuevas Cláusulas Contractuales Tipo (CCS)

Como hemos adelantado, uno de los mecanismos disponibles para poder legitimar la realización de transferencias internacionales de datos a terceros países son las Cláusulas Contractuales Tipo (CCS) aprobadas por la Comisión Europea.

Las CCS que se encuentran vigentes en la actualidad fueron publicadas el 4 de julio de 2021 a través de la Directiva 2021/914  https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32021D0914en sustitución de las anteriores con el fin de adaptar, de un modo más adecuado que sus predecesoras, las transferencias internacionales al RGPD.

Estas nuevas Cláusulas Contractuales Tipo abarcan las transferencias entre los siguientes actores:

  • Transferencias de datos de responsables a responsable (módulo 1 de la Directiva 2021/914)
  • Transferencias de datos de responsable a encargado (módulo 2 de la Directiva 2021/914)
  • Transferencia de datos de encargado a encargado (módulo 3 de la Directiva 2021/914)
  • Transferencia de encargado a responsable (módulo 4 de la Directiva 2021/914)

En el Anexo de la Directiva 2021/914, se enumeran las CCS que deben ser incluidas con carácter general:

  • Cláusula 1: Finalidad y ámbito de aplicación
  • Cláusula 2: Efecto e invariabilidad de las cláusulas
  • Cláusula 3: Terceros beneficiarios
  • Cláusula 4: Interpretación
  • Cláusula 5: Jerarquía
  • Cláusula 6: Descripción de la transferencia o transferencias
  • Cláusula 7: Cláusula de incorporación
  • Cláusula 8: Garantías en materia de protección de datos (a partir de aquí se diferencia entre los módulos que hemos citado antes, estableciendo las condiciones específicas para cada tipo de transferencia)
  • Cláusula 9: Recurso a subencargados
  • Cláusula 10: Derechos del interesado
  • Cláusula 11: Reparación
  • Cláusula 12: Responsabilidad
  • Cláusula 12: Supervisión
  • Cláusula 14: Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
  • Cláusula 15: Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
  • Cláusula 16: Incumplimiento de las cláusulas y resolución del contrato
  • Cláusula 17: Derecho aplicable
  • Cláusula 18: Elección de foro y jurisdicción

No obstante, sigue siendo necesario que el exportador de los datos, en su caso ayudado por el importador, analice el impacto que la legislación y/o la práctica vigente en el país del importador pueda tener en el nivel de protección proporcionado, de forma que sea esencialmente equivalente al que proporciona el marco europeo. Asimismo, deberán tenerse en cuenta las directrices del Comité Europeo de Protección de Datos sobre las medidas suplementarias que se considere adecuado adoptar para garantizar ese nivel de protección equivalente.

¿Por qué ha sido necesario aprobar estas nuevas Cláusulas Contractuales Tipo (CCS)?

El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) publicó la sentencia Schrems II que declaraba que el Escudo de Privacidad (Privacy Shield), utilizado hasta la fecha para legitimar las transferencias internacionales de datos a EEUU, no garantizaba la no injerencia a de las autoridades estadounidenses en los datos personales de ciudadanos europeos tratados por sus empresas, ya que no reconocían el Escudo de Privacidad.

EE. UU. tampoco se encuentra en lista de destinatarios adecuados de la Comisión Europea, por lo que, para poder efectuar transferencias de datos personales con organizaciones de allí, es necesario incluir las CCS en los contratos.

Las nuevas cláusulas contractuales tipo se han aprobado, por tanto, para garantizar que los importadores datos aplican las mismas medidas técnicas y organizativas en materia de protección de datos que se exigen a los exportadores en la UE, garantizando así la protección de los derechos y libertades de los titulares de los datos.

La aprobación de estas nuevas cláusulas contractuales tipo por parte de la Comisión Europea incorporan los principios de responsabilidad proactiva y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II.

Entrada en vigor de las nuevas Cláusulas Contractuales Tipo (CCS)

Las nuevas cláusulas contractuales tipo entraron en vigor el pasado 27 de septiembre de 2021, si bien, los contratos que se hubieran firmado de acuerdo a las anteriores CCS continúan siendo válidos hasta el 27 de septiembre de 2022, siempre y cuando las actividades de tratamiento no cambien y las cláusulas garanticen que la transferencia de datos personales está sujeta a las garantías adecuadas.

Los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE cuentan con un período de 15 meses para su adaptación a las nuevas cláusulas.

En Type of Legal somos abogados expertos en protección de datos. Si precisas de asesoramiento en materia de transferencias internacionales de datos no dudes en contactarnos. 

La novedosa regulación de la publicidad de los criptoactivos
Europa acepta el Reglamento MiCA

Leave A Comment