Las nuevas Cláusulas Contractuales Tipo adoptadas por la Comisión Europea la semana pasada introducen mayores garantías legales y de privacidad para las transferencias internacionales de datos.
Desde que el TJUE emitió el pasado julio su decisión sobre la transferencia de datos fuera de la UE por medio de Cláusulas Contractuales Tipo en el caso Schrems II, estas han sido uno de los principales temas de conversación en este campo. Numerosas empresas emplean SCCs para la transferencia de datos con diversas finalidades, incluidas, entre otras, el almacenamiento de datos, las finanzas y el marketing. Fue el pasado miércoles cuando la Comisión Europea anunció que adoptaría nuevas Cláusulas Contractuales Tipo el viernes 4 de junio. El Comisario Europeo de Justicia Didier Reynders dijo que estas nuevas SCCs “incorporan algunos elementos de transparencia y rendición de cuentas en absoluto cumplimiento con el RGPD”, y añade que el objetivo es evitar un “Schrems III”.
La Comisión Europea ha adoptado dos conjuntos de Cláusulas Contractuales Tipo que reflejan los nuevos requisitos bajo el RGPD.
Las nuevas SCCs adoptadas por la Comisión Europea para la transferencia de datos a terceros países incorporan detalles de la sentencia del TJUE en el caso Schrems II y ofrecen una mayor practicidad legal para los negocios europeos. Las nuevas SCCs pretenden ayudar a las pequeños y medianas empresas a realizar transferencias de datos en cumplimiento con los requisitos de seguridad. Ofrecen a las compañías una plantilla que es fácil de implementar y permite el libre movimiento de datos entre las fronteras, sin barreras legales.
La Comisión Europea también ha adoptado otro conjunto de Cláusulas Contractuales Tipo para las relaciones entre responsables y encargados dentro de la Unión Europea, conforme al Artículo 28 RGPD.
Las nuevas SCCs son más prácticas y flexibles para cubrir un amplio rango de posibles transferencias.
Las nuevas Cláusulas Contractuales Tipo incluyen una perspectiva de los diferentes pasos que las empresas tendrán que implementar conforme con la sentencia del caso Schrems II y lo complementan con ejemplos de posibles medidas complementarias que pueden ser necesarias para asegurar absoluto cumplimiento. Estas medidas complementarias pretenden reforzar la protección de datos en las transferencias de datos a terceros países que no se consideran con un nivel adecuado de protección, e incluyen cifrado y pseudonimización de los datos, que pueden evitar que los mismos se atribuyan a un sujeto específico sin emplear detalles adicionales. Las nuevas SCCs adoptadas por la Comisión Europea cubren un amplio rango de escenarios, todos en una única herramienta práctica.
Se establece un período de transición de 18 meses para los responsables y encargados que estén utilizando las anteriores SCCs.
Desde la sentencia del TJUE el pasado verano, muchas empresas han estado empleando Cláusulas Contractuales Tipo para facilitar sus transferencias de datos a terceros países. Tras la anulación del EU-US Privacy Shield el pasado julio, el tribunal confirmó la validez de las Cláusulas Contractuales Tipo para la transferencia de datos fuera de la UE. Sin embargo, se señaló también que en muchos casos las SCCs no ofrecían en sí mismas suficiente protección para los datos personales. Estas, ahora antiguas, SCCs se encuentran actualmente en uso por la mayoría de empresas que efectúan transferencias de datos a terceros países. La Comisión Europea ha confirmado que estas SCCs pueden seguir en uso durante los próximos 18 meses, período durante el cual las organizaciones tendrán que efectuar la transición a las nuevas SCCs adoptadas el pasado viernes.
