Las transferencias internacionales se producen cuando se da una transmisión de datos personales desde un país del Espacio Económico Europeo (en adelante “EEE”) a terceros países ubicados fuera del EEE.
El Reglamento General Europeo de Protección de Datos (en adelante “RGPD”) prevé como mecanismo para amparar dichas transferencias, entre otros, las cláusulas contractuales tipo de protección de datos (en adelante “CCT”) adoptadas por la Comisión Europea (en adelante “CE”).
El pasado 4 de junio la CE publicó las nuevas cláusulas contractuales tipo (Decisión 2021/914/CE y Decisión 2021/915/CE) que sustituyen las anteriores (cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE). Estas nuevas cláusulas se adaptan al RGPD y adoptan los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II, por tanto, se mantiene la obligación del exportador de analizar el impacto de la legislación del país del importador y de tener en cuenta las directrices del Comité Europeo de Protección de Datos en relación a las medidas suplementarias para garantizar el nivel de protección equivalente.
Las nuevas CCT se basan en la existencia de cuatro escenarios diferentes de transferencias internacionales de datos y presentan una estructura contractual con diferentes módulos dependiendo del escenario en el que nos encontremos:
- Entre Responsable del Tratamiento y Responsable del Tratamiento (módulo 1);
- Entre Responsable del Tratamiento y Encargado del Tratamiento (módulo 2);
- Entre Encargados del Tratamiento (módulo 3);
- Entre Encargado del Tratamiento y Responsable del Tratamiento (módulo 4).
Las CCT se basan en los principios generales del RGPD (limitación, transparencia, exactitud y minimización, limitación del periodo de conservación…) e incorporan anexos, entre ellos el relativo a las medidas para garantizar la transferencia incluyendo ejemplos.
Además, estas nuevas CCT contemplan situaciones no previstas en las anteriores como la adhesión de terceros sin necesidad de llevar a cabo su modificación y flujos entre encargados del tratamiento.
Plazos
Las nuevas CCT entran en vigor el 27 de junio de 2021. Por tanto, a partir de esa fecha pueden emplearse para garantizar un nivel adecuado de protección a las transferencias internacionales de datos.
Las anteriores CCT (2001/497/CE, 2004/915/CE y 2010/87/UE) quedarán derogadas a partir del 27 de septiembre de 2021. Hay que tener en cuenta que los contratos celebrados antes de dicha fecha conforme a estas serán válidos hasta el 27 de septiembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas. Los contratos que utilicen estas CCT tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.
Ante esta novedad, es necesario llevar a cabo una revisión de las transferencias internacionales que se llevan a cabo dentro de la entidad sustentadas bajo CCT con el fin de proceder a su actualización.
En Ilvalegal, como abogados especializados en privacidad y protección de datos, ofrecemos asesoramiento para ayudar a las empresas a cumplir correctamente con la RGPD.
