El pasado 12 de noviembre, la Comisión Europea publicó el borrador de decisión mediante la cual se proponen unas nuevas Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países.

La sentencia del TJUE sobre el caso Schrems II ha puesto de manifiesto algunas deficiencias presentes en las salvaguardas aplicadas a las transferencias de datos internacionales. Además de anular el Privacy Shield, el Tribunal estipuló que se requerían algunas medidas adicionales para que las Cláusulas Contractuales Tipo (SCCs) ofreciesen consistencia suficiente para garantizar que los interesados reciben un nivel de protección de sus datos personales equivalente a aquel garantizado por el RGPD y la Carta Europea de Derechos Fundamentales.  

Puedes leer más sobre las implicaciones prácticas de la sentencia Schrems II en nuestro blog.

¿Cuáles son las novedades?

En respuesta a las advertencias señaladas por el TJUE en relación al uso de SCCs, la Comisión Europea ha publicado un borrador de decisión que contiene un conjunto de nuevas cláusulas para transferencias de datos personales a terceros países, e incluye cinco cambios principales respecto de las actuales cláusulas aprobadas bajo la Directiva 95/46/CE: 

• Enfoque modular para cubrir diferentes escenarios de transferencias, incluidas aquellas entre encargado y responsable y encargado y sub-encargado. 
• Se podrían adherir a las SCC más de dos partes, y responsables y encargados adicionales podrían acceder a las mismas en cualquier momento del ciclo de vida del contrato. 
• Deberían ofrecerse salvaguardas adicionales para garantizar un nivel de protección de datos personales equivalente al que garantiza el RGPD. 
• Si lo solicitasen, los interesados deberían recibir una copia de las SCC. Asimismo, tendrían que ser notificados de cada cambio de finalidad y de la identidad de cualquier tercero a quienes se le enviasen los datos. 
• El importador de los datos tendría que aportar a los sujetos, de manera transparente y mediante un formato accesible que puede ser notificación individual o publicación en la página web, de un punto de contacto autorizado para gestionar las quejas o solicitudes. 

Enfoque modular y ámbito territorial

Las nuevas SCCs han sido concebidas para suplir algunas de las deficiencias de las actuales cláusulas, como lo es la limitación en el tipo de transferencias que hasta ahora han podido encuadrarse en este instrumento. Mientras que las actuales cláusulas fueron diseñadas para respaldar las transferencias internacionales entre, por un lado, responsables europeos y responsables no europeos y, por otro, entre responsables europeos y encargados no europeos, las nuevas combinan un conjunto de cláusulas generales con otras modulares que permitirían a los responsables y encargados seleccionar el módulo aplicable a su situación y adaptar sus obligaciones a las correspondientes funciones y responsabilidades. En cuanto a las restricciones geográficas, las nuevas SCC no requieren que el exportador esté en la Zona Económica Europea, lo cual también aumenta el número de escenarios que podrían someterse a esta salvaguarda.  

Salvaguardas adicionales

Las nuevas SCCs estipulan algunas obligaciones que deberían cumplir las partes a fin de garantizar un nivel adecuado de protección de los datos personales. Las medidas adicionales que las nuevas SCC impondrían son, entre otras, las siguientes: 

• Aplicación de requisitos adicionales para acordar cómo se gestionarían las solicitudes vinculantes de cesión de datos emitidas por las autoridades del tercer país.
• Evaluación de riesgo realizada por el exportador para determinar si existen razones que pueden hacer creer que las leyes aplicables al importador de los datos no se ajustan a los requisitos recogidos en las SCCs. A este fin, deberían considerarse algunos elementos clave, como:
  • Duración del contrato.
  • Naturaleza de los datos transferidos.
  • Tipo de receptor.
  • Finalidad del tratamiento.
  • Cualquier experiencia práctica que pueda ser relevante e indique la existencia o ausencia de solicitudes precias de cesión de datos por parte de autoridades públicas recibidas por el importador para los tipos de datos transferidos. 
  • Leyes del país de destino que sean relevantes a la luz de las circunstancias de la transferencia. 
  • Medidas técnicas y organizativas que se apliquen durante la transmisión y tratamiento de los datos. 
• Obligación del importador de notificar al exportador cualquier solicitud vinculante de cesión de datos emitida por una autoridad pública bajo la ley del país de destino o informar sobre cualquier acceso directo a los datos por parte de dichas autoridades. 

Período de gracia

Una vez aprobadas, estas SCCs reemplazarían a las actuales. Se ofrece a estos efectos un período de gracia de un año para incorporar las nuevas cláusulas a los contratos correspondientes. Durante este período, se podrán seguir realizando transferencias sobre la base de las actuales SCCs, excepto que dichos contratos se modifiquen.  En tal caso, las partes perderán el beneficio del período de gracia y deberán adoptar las nuevas cláusulas. Si la modificación de los contratos se hace a los solos efectos de introducir medidas de salvaguarda adicionales conforme a la sentencia del caso Schrems II, las partes podrán seguir beneficiándose del período de gracia.  

El borrador queda abierto a consulta pública hasta el 10 de diciembre.

¿Realizas transferencias internacionales de datos a terceros países?  Aphaia ofrece servicios de consultoría para el RGPD y la LOPDGDD, y también evaluaciones de impacto, evaluaciones de impacto de transferencias y subcontratación del Delegado de Protección de Datos. También ofrecemos servicios de cumplimiento con la CCPA. Infórmate aquí.