El CEPD y el SEPD han publicado una opinión conjunta sobre las cláusulas contractuales tipo para la transferencia de datos personales dentro del EEE y a terceros países.
El CEPD y el SEPD publicaron el mes pasado unas declaraciones conjuntas sobre las cláusulas contractuales tipo para la transferencia de datos personales. Esta actualización de las mismas pretende alinearlas con los requisitos del RGPD y ofrecer un reflejo más realista de las actividades de tratamiento más complejas, así como proporcionar salvaguardas específicas en relación a las leyes de los terceros países y su efecto en el cumplimiento que puede garantizar el importador de los datos. El borrador de las cláusulas abarca, por un lado, las relaciones entre responsable y encargado de tratamiento dentro del EEE y, por otro, transferencias internacionales. Ambos documentos se denominan SCC; sin embargo, se trata de publicaciones independientes que no deben confundirse. Tanto el CEPD como el SEPD afirman que las provisiones particulares incluyen muchas recomendaciones realizadas por el CEPD, y también lidian con la mayoría de las indicaciones efectuadas por el TJUE en el caso Schrems II.
El CEPD y el SEPD expresaron satisfacción general con las SCCs para transferencias internacionales.
El CEPD y el SEPD están en términos generales satisfechos con el nivel de protección reforzado que la actualización de las SCCs aportan a los sujetos. Esta nueva versión busca alinear las SCCs con las disposiciones del RGPD a la par que dar respuesta a la polémica que plantea el cumplimiento con las leyes de los terceros países y su conflicto con las SCCs. Las organizaciones destacaron que el borrador de las SCCs cubre la mayoría de las medidas complementarias recomendadas por el RGPD, aunque algunas indicaron que les gustaría percibir una mayor consistencia. Muchas organizaciones tendrán que basarse en estas cláusulas contractuales tipo para las transferencias internacionales, principalmente tras la anulación del EU-US Privacy Shield.
Puedes leer más sobre las nuevas SCCs para transferencias internacionales en este artículo del pasado diciembre en nuestro blog.
En su análisis de las cláusulas responsable-encargado, el CEPD y el SEPD realizaron algunas sugerencias.
Mientras que el CEPD y el SEPD se mostraron generalmente satisfechos con el borrador, presentaron una solicitud a la Comisión Europea para aclarar algunos elementos específicos, con la finalidad de alcanzar una mayor transparencia del texto y asegurar su practicidad y uso en las operaciones del día a día entre responsables y encargados.
El CEPD y el SEPD también sugirieron que los anexos de las cláusulas aclaren tanto como sea posible los roles y responsabilidades de cada una de las partes en relación a las actividades de tratamiento, pues cualquier tipo de ambigüedad al respecto podría derivar en impedimentos para que los responsables y los encargados cumplan en su totalidad con sus obligaciones conforme al principio de rendición de cuentas. Se pretende que los anexos ofrezcan una explicación técnica sobre cómo las cláusulas se aplican en situaciones específicas.
Andrea Jelinek, Presidente del CEPD, señaló que “El CEPD y el SEPD dan la bienvenida a las cláusulas responsable-encargado como una herramienta europea única y sólida que facilitará el cumplimiento con las provisiones del RGPD y el EUDPR. Entre otros aspectos, el CEPD y el SEPD requieren que se ofrezca claridad suficiente a las partes en relación a las situaciones en las que pueden emplear estas cláusulas, y enfatizar que las circunstancias que impliquen transferencias fuera de la UE no deberían ser excluidas”.
Las opiniones presentadas por el CEPD y el SEPD serán tomadas en consideración por la Comisión, junto a las otras respuestas enviadas a la consulta que se abrió a tales efectos. La Comisión Europea adoptará entonces una decisión que incorporará las cláusulas finalizadas y señalará los detalles pertinentes para que las organizaciones las adopten. Una vez alcanzada dicha fase, las SCCs para transferencias internacionales reemplazarán las actuales SCCs para las transferencias de datos personales entre la UE y terceros países que no ofrezcan un nivel adecuado de protección de los datos. En lo que respecta a las cláusulas responsable-encargado, estas ofrecerán un estándar para las partes, pero su implementación no será obligatoria para los responsables y los encargados, que podrán seguir utilizando sus propias cláusulas.
