Después de años de conflicto en la búsqueda de un sistema que garantice la máxima protección de los derechos y libertades en el tratamiento y transmisión de datos personales, debes saber que la Comisión Europea por fin ha aprobado las nuevas cláusulas contractuales tipo (CCT). Su objetivo no es otro que garantizar una transmisión segura de datos a terceros que estén fuera de la UE.
El problema de transferir datos fuera de la Unión Europea
El RGPD regula la protección de datos a nivel europeo, pero seguramente tú ya te hayas preguntado en alguna ocasión cómo hay que actuar cuando se envían los datos desde una empresa situada en la UE a un tercero que está fuera de ella.
Con anterioridad se han usado los sistemas de Puerto Seguro y Escudo de Privacidad, pero ambos han sido invalidados por el Tribunal de Justicia de la Unión Europea. El TJUE ha considerado que ninguno de ellos ofrecía garantías suficientes en lo que se refiere a la transmisión de datos hacia los Estados Unidos.
Prueba de ello, como sabrás, es que Facebook fue descubierto cediendo los datos de sus usuarios europeos al Gobierno norteamericano y sus agencias de seguridad.
Según la normativa actual, si se van a transmitir datos personales desde un país de la UE a un tercero, no es necesario el consentimiento de la autoridad de control si la Comisión Europea ha determinado que la legislación de protección de datos de ese país es equivalente al RGPD.
Si no es así, hay que atender a las garantías adicionales que pueda ofrecer el país de destino de los datos, siendo unas de ellas las cláusulas contractuales tipo (CCT).
¿Por qué la Comisión Europea ha modificado ahora las cláusulas contractuales tipo (CCT)?
Sencillamente porque ha entendido que el nivel de seguridad que ofrecían estas no era suficiente, tal y como destacaban los informes del Consejo Europeo de Protección de Datos y del Supervisor Europeo de Protección de Datos.
Las cláusulas no son otra cosa que contratos entre el exportador de los datos y el importador, y deben garantizar que la transferencia es legítima y que se respetan todas las garantías necesarias para proteger los derechos y libertades de los titulares de los datos.
Novedades en las cláusulas CCT
Aquí tienes algunos de los cambios más importantes que se han producido:
Enfoque modular
Los aspectos que deben detallarse en los contratos variarán en función de la relación que exista entre el responsable y el encargado del tratamiento de datos. Esto determinará cuestiones como el plazo de conservación de la información o los criterios de seguridad aplicables en el tratamiento.
Subencargado
El encargado puede contratar a un subencargado para el tratamiento de datos sin que sea necesario que el responsable de estos firme un nuevo contrato con él.
Transferencias posteriores
Los intervinientes deben actuar siempre con la debida diligencia para evitar que la protección de datos se vea vulnerada en ulteriores transferencias.
Derechos de los interesados
Se hace especial hincapié en el principio de transparencia que permite a los titulares de los datos solicitar información sobre si se están tratando su información personal, saber si estas serán transferidas posteriormente o conocer la finalidad de la transferencia a terceros.
Además de todo lo anterior, también se establece para exportador e importador la obligación de supervisar las transferencias y garantizar el cumplimiento de las cláusulas CCT. Y se han diseñado una serie de medidas de carácter técnico y organizativo que hay que respetar en la transmisión de datos.
Tras la publicación de las nuevas cláusulas contractuales por parte de la Comisión Europea, es importante que sepas que los interesados tienen un plazo de 15 meses para suscribirlas con respecto a aquellas transferencias en las que hayan utilizado versiones anteriores de las CCT.