El pasado viernes, 4 de junio, se publicaron las cláusulas contractuales tipo (también conocidas como CCT, por sus siglas) para las transferencias de datos a terceros países, que recogen los nuevos requisitos del Reglamento General de Protección de Datos y que abordan las realidades a las que se enfrentan las empresas. En el presente número de Breves de Regulación Digital analizamos sus características y los próximos pasos que deberían dar las compañías afectadas.
Las principales novedades de las nuevas cláusulas tipo son estas:
- Se adecuan al Reglamento General de protección de datos (GDPR);
- Incorporan una nueva estructura contractual, de forma que la plantilla o documento, permite distintas opciones en función de la transferencia objeto de regulación:
- Transferencia de datos de responsable a responsable (Modelo 1).
- Transferencia de responsable a encargado (Modelo 2).
- Transferencia de encargado a encargado (Modelo 3).
- Transferencia de encargado a responsable (Modelo 4).
- Cada uno de los modelos se estructura siguiendo los principios generales del Reglamento, relativos a la Limitación del tratamiento, Transparencia, Exactitud y Minimización, período de conservación, la expresa mención si son objeto de transferencia datos sensibles y la existencia de sub-encargados.
- Inclusión de Anexos. Las nuevas CCT, requieren que se incorpore como anexo a las mismas la relación de medidas y salvaguardas con las que deberá garantizarse la transferencia de datos.
- La novedad en esta nueva versión de cláusulas tipo es que se relacionan ejemplos de medidas que pueden ser incorporadas al contrato.
Implicaciones Schrems II
Como hemos apuntado, estas nuevas cláusulas han sido adoptadas teniendo en cuenta la Sentencia Schrems II del Tribunal de Justicia de la Unión Europea. En esta sentencia se acordó la invalidez de la Decisión 2016/1250, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EEUU. Además, se pronunció respecto de la validez de las transferencias internacionales amparadas en la suscripción de las CCT a países cuyas leyes establezcan medidas de vigilancia por parte de las autoridades públicas que no estén suficientemente limitadas y puedan suponer una injerencia en los derechos y libertades de los interesados, aceptando dicha utilización, siempre que se identifiquen y se adopten medidas complementarias para llevar el nivel de protección de los datos transferidos hasta el estándar de la UE.
En este sentido, los módulos 1, 2, 3 y 4 de la Sección II de los nuevos textos incorporan recomendaciones y salvaguardas, que, junto con lo establecido en las Recomendaciones 01/2020 sobre medidas que complementan los instrumentos de transferencia y las Recomendaciones 02/2020 sobre Garantías Esenciales publicadas por el European Data Protection Board han de ser tomadas en consideración en supuestos en los que pueda darse una divulgación de los datos transferidos en caso de una solicitud vinculante por parte un Gobierno.
Ello supone que, a pesar de que existan estas nuevas cláusulas, las compañías se verán obligadas a analizar la injerencia que puede comportar la transferencia de datos a un tercer país en el que el importador de los datos no pueda garantizar el cumplimiento de las cláusulas tipo suscritas.
Próximos pasos: Transfer Impact Assessment
Las compañías deberán actualizar y/o adoptar a la hora de regular las transferencias internacionales de datos las presentes nuevas cláusulas contractuales y, en aquellos casos en los que las mismas pueden no ser suficientes para garantizar la ausencia de injerencia por parte de un gobierno, o el proveedor no sea capaz de garantizar que puede cumplir con las medidas recogidas en las cláusulas tipo, realizar un análisis o evaluación de impacto de la transferencia que se pretende acometer.
Dicho análisis debe evaluar los riesgos de privacidad de la transferencia de datos teniendo en cuenta las leyes locales y el marco normativo en materia de protección de datos del país de destino y, en particular, las circunstancias específicas de la transferencia (como el contenido y la duración, la naturaleza de los datos a transferir, el destinatario, la finalidad del tratamiento) y cualquier salvaguarda implementada adicional a las cláusulas (incluidas las técnicas y organizativas pertinentes).
Esta evaluación legal debe documentarse y podrá ser exhibida ante la autoridad de control si fuse necesario acreditar la inexistencia de riesgo.
Derogación y periodo transitorio
La Decisión C(2021)3972 final, por la que se aprueban las Cláusulas Contractuales Tipo, deroga asimismo las Decisiones de la Comisión Europea número 2001/497/EC y 2010/87/EU.
A pesar de lo anterior, la Comisión establece un período de transición de 18 meses para los responsables y encargados del tratamiento que actualmente utilizan las anteriores de cláusulas contractuales tipo, siempre que las mismas se hubieran suscrito antes de la aprobación que nos ocupa.
PwC Tax & Legal puede ayudarte a sustituir las Cláusulas Contractuales Tipo anteriormente suscritas por estas nuevas versiones, así como a evaluar la viabilidad de transferencias internacionales con terceros que traten datos fuera de la UE. Ponte en contacto con nosotros.