Si tienes una empresa y, en algún momento, tu negocio aborda un tema tan complejo como las transferencias internacionales de datos personales, debes tener en cuenta que se han aprobado nuevas cláusulas contractuales tipo a nivel europeo.
Las nuevas medidas de cumplimiento están dirigidas a todos aquellos que lleven a cabo transferencias de datos desde el Espacio Económico Europeo (que incluye a los países de la Unión Europea y también a Noruega, Islandia y Liechtenstein) hacia el exterior.
Libre circulación en las transferencias internacionales de datos
El avance de la tecnología permite que el flujo de datos transfronterizos sea ahora mucho más rápido y eficaz. A nivel europeo estos trasvases de información están amparados por el RGPD, pero es necesario garantizar a los titulares que la protección de datos seguirá siendo tenida en cuenta en transferencias a terceros países.
Por ello, la Decisión Ejecutiva 2021/914 de la Comisión Europea, de 4 de junio de 2021, establece unas cláusulas contractuales tipo que deben seguirse cuando se lleve a cabo la transferencia de datos desde dentro de la Unión Europea a un tercer país a fin de garantizar a los ciudadanos el máximo respeto a sus derechos.
¿Por qué se ajustan ahora estas medidas de cumplimiento?
Las nuevas cláusulas vienen a sustituir a las establecidas en las Decisiones de la Comisión Europea 2001/497, 2004/915 y 2010/87, que dejarán de estar en vigor el 27 de septiembre de 2021.
Una de las razones para llevar a cabo el cambio ha sido incluir en las cláusulas tipo el principio de accountability al que hace referencia el RGPD. También conocido como principio de responsabilidad proactiva, implica que los responsables de los ficheros que contienen datos personales deben cumplir lo dispuesto en la normativa europea sobre protección de datos y, además, poder demostrarlo.
El otro motivo del cambio es adaptar las cláusulas a lo establecido en la sentencia del caso Schrems II resuelto por el Tribunal Superior de Justicia de la Unión Europea. La resolución reconoce la validez de las transferencias de datos hechas a terceros países que no tengan una legislación acorde a la de la Unión Europea en materia de protección de datos, siempre y cuando el trasvase de datos se haya hecho respetando las cláusulas contractuales tipo establecidas por la Comisión.
Al final lo que se busca es agilizar los procedimientos de transferencias internacionales de datos fuera del Espacio Económico Europeo sin menoscabar los derechos de los ciudadanos europeos. Las cláusulas contractuales tipo actúan como garantía.
¿Cómo afecta esto a las empresas y a la protección de datos que deben hacer?
Los encargados de los ficheros pueden ahora transferir los datos a entidades o personas de fuera del Espacio Económico Europeo sin necesidad de contar con una autorización de la AEPD. Pero es imprescindible que en ese trasvase de datos se respeten las prescripciones del RGPD y que, además, haya entre las partes un contrato que incluya las cláusulas tipo.
Quién recibe los datos (el importador) debe asegurarse de que el nivel de protección que va a tener la información será equivalente a la protección que se otorga en Europa.
¿Qué ocurre con los contratos firmados al amparo de otras cláusulas contractuales?
Los contratos firmados antes del 27 de septiembre de 2021 con arreglo a las anteriores cláusulas contractuales seguirán siendo válidos hasta el 27 de septiembre de 2022. Hay un plazo de 15 meses para adaptar los contratos a las nuevas cláusulas tipo.
Las transferencias internacionales de datos son esenciales para que los negocios puedan desenvolverse con normalidad. Pero también es fundamental que haya un adecuado nivel de protección en el envío a terceros para los datos que se puedan ver afectados. De ahí la importancia de estas nuevas cláusulas.
