La CNIL, en Francia, ha publicado recientemente un recordatorio de que ya no puede utilizarse la versión anterior de las Cláusulas Contractuales Tipo para realizar transferencias de datos fuera de la UE.
La CNIL en Francia ha publicado recientemente un recordatorio para enfatizar que desde el 27 de diciembre de 2022 ya no puede utilizarse la versión anterior de las Cláusulas Contractuales Tipo. Los exportadores e importadores de datos tendrán que emplear la versión actualizada de 2021 u otra herramienta de transferencia. Las nuevas Cláusulas Contractuales Tipo fueron actualizadas por la Comisión Europea el 4 de junio de 2021 para sustituir las que existían hasta el momento, aprobadas en 2001 y en 2004. Tras la actualización de junio de 2021, se estableció un período de quince meses durante el que aún era posible utilizar la versión anterior de las cláusulas. Sin embargo, este período terminó el 27 de diciembre de 2022, tal y como recuerda esta publicación de la CNIL.
La versión anterior de las Cláusulas Contractuales Tipo sólo podía seguir usándose para los contratos firmados antes del 27 de septiembre de 2021 en los que no se haya modificado el objeto y contenido esencial de los mismos.
Los responsables y encargados de tratamiento que necesitasen transferir datos fuera de la UE pudieron seguir utilizando la anterior versión de las cláusulas hasta diciembre de 2022 si las operaciones de tratamiento y el objeto principal de los contrato seguían siendo las mismas. Sin embargo, desde el 27 de diciembre de 2021 no era ya posible concluir ningún nuevo contrato que incluyese la versión de las cláusulas aprobada bajo la Directiva 95/46.
Mientras que se espera que se apruebe pronto un nuevo acuerdo para las transferencias transatlánticas, las empresas y organizaciones cuentan con algunas alternativas para realizar transferencias internacionales de datos.
En su resolución de 2020 sobre el caso Schrems II, el Tribunal de Justicia de la UE concluyó que las Cláusulas Contractuales Tipo podían utilizarse como un mecanismo de transferencia de datos a terceros países. Sin embargo, el TJUE también enfatizó que el exportador y el importador de los datos debían comprobar si la legislación del país de destino permitía ofrecer a los datos un nivel de protección equivalente a aquel proporcionado en la UE. En consecuencia, en ocasiones las Cláusulas Contractuales Tipo podrían no ser suficiente para garantizar la seguridad de los datos transferidos a terceros países. El año pasado el Presidente de los Estados Unidos firmó una orden ejecutiva para el establecimiento de un Acuerdo Transatlántico de Privacidad. La Comisión Europea confirm también que se está trabajando en un borrador de un acuerdo que sustituya el anulado Privacy Shield. Mientras se aprueban estos acuerdos y también cuando las transferencias de datos se realicen a otros terceros países que no sean Estados Unidos, las empresas y organizaciones cuentan con varios mecanismos para poder realizarlas de manera legítima, incluida la última actualización de las Cláusulas Contractuales Tipo.
Es importante recordar que en aquellos casos de transferencias de datos internacionales en los que se aplique el UK GDPR, las organizaciones necesitarán utilizar la versión de Reino Unido de las Cláusulas Contractuales Tipo o el anexo de Reino Unido a las Cláusulas Contractuales Tipo de la UE.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, Implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado De Protección de Datos. Infórmate aquí.
