Nuevas cláusulas tipo para la Transferencia internacional de datos

Las nuevas tecnologías están avanzando cada vez más deprisa y llevan consigo el incremento en la transferencia internacional de datos. Así, es necesario reforzar la protección de los datos de las personas en transferencias internacionales de datos para garantizar sus derechos. La Comisión Europea ha aprobado recientemente unas nuevas cláusulas tipo para establecer las condiciones de obligado cumplimiento entre los exportadores e importadores de manera que garanticen una protección suficiente de los datos personales. Vamos a analizar los antecedentes y las novedades de las  nuevas cláusulas.

¿Qué es la transferencia internacional de datos?

Se produce una transferencia internacional de datos cuando los datos personales son tratados por personas del Espacio Económico Europeo (países de la Unión Europea, Noruega, Islandia y Liechtenstein) y son enviados a personas de un tercer país fuera del territorio.

La nueva cláusula tiene como objetivo dar mayor protección de datos para asegurar los derechos a los ciudadanos.

Antecedentes a las nuevas cláusulas tipo

Las nuevas cláusulas contractuales tipo aprobadas por la Comisión Europea se actualizan adaptándose al Reglamento Europeo de Protección de Datos (RGPD) que entró en vigor en 2018 y teniendo también en cuenta la Sentencia Schrems II que invalidaba los tratados de que legitimaban las transferencias internacionales de datos entre Europa y Estados Unidos. Maximilian Schrems interpuso una reclamación contra Facebook Irlanda considerando que se violaban los derechos de protección de datos de los usuarios. Los datos se transferían desde Irlanda a los servidores de Estados Unidos, donde Facebook los procesaba y hacía uso de ellos. En el año 2015 el Tribunal de Justicia de la Unión Europea (TJUE) declaró inválidas esas transferencias basadas en el tratado de Puerto Seguro (“Safe Harbor”), vigente desde el año 2000. El Escudo de Seguridad (o “Privacy Shield”) pasó a sustituir al Puerto Seguro (“Safe Harbor”) pero el alto Tribunal volvió a invalidar el “Privacy Shield” en julio de 2020 con la conocida Sentencia Schrems II.  

Desde entonces, el uso de las cláusulas contractuales tipo aprobadas por la Comisión Europea se convirtieron en el principal instrumento legitimador para realizar transferencias internacionales de datos personales. 

Novedades de las nuevas cláusulas tipo para la transferencia internacional de datos

Las nuevas cláusulas buscan la adaptación al Reglamento Europeo de Protección de Datos, a la sentencia Schrems II y a las últimas directrices del Comité Europeo Protección de Datos. Las principales novedades son:

  • Principio de responsabilidad activa: las partes intervinientes (exportador e importador de los datos) deben constatar y comprobar proactivamente el cumplimiento de sus respectivas obligaciones en materia de protección de datos.
  • Ampliación del ámbito de aplicación: se incluyen nuevas relaciones posibles entre los intervinientes en las transferencias:
    • Transferencia de responsable a responsable
    • Transferencia de responsable a encargado
    • Transferencia de encargado a encargado
    • Transferencia de encargado a responsable
  • Adhesión de terceras partes: se pueden sumar como importador o exportador de datos a las nuevas cláusulas terceras partes. Deben cumplir con las medidas de seguridad estipuladas.

Plazos para aplicar la nueva normativa

Las empresas que han utilizado cláusulas anteriores tienen hasta noviembre de 2022 para actualizarlas con el nuevo marco normativo. 

Las empresas exportadoras de datos deben realizar análisis de la normativa de protección de datos en el país de importación de los datos para adoptar las medidas necesarias para proteger a los usuarios.

Ante cualquier duda o inconveniente sobre la transferencia de datos internacional, no te la juegues, consulta con nuestro equipo de expertos

Deja un comentario