A primeros del mes de junio, la Comisión Europea ha decidido aprobar las nuevas cláusulas contractuales tipo (CCT) por las que se regirán, de ahora en adelante, muchos de los tratamientos en los que medien transferencias internacionales de datos personales.
Estas nuevas cláusulas pretenden solventar las deficiencias que traían las anteriores, así como solucionar algunos aspectos que generaban incertidumbre y, finalmente, establecer una protección adecuada al Reglamento Europeo de Protección de Datos, la conclusiones del TJUE y las últimas directrices del Comité Europeo de Protección de Datos. En este artículo vamos a analizar brevemente sus implicaciones.
¿Cuál es su origen?
Recordemos que las CCT son una de las alternativas necesarias para asegurar la protección de los datos de los usuarios cuando se celebren contratos en los que alguna de las partes no está establecida en la UE, o con países no miembros, a falta de una Decisión de Adecuación refrendada por la Comisión Europea.
En este sentido, varios son los motivos que han llevado a la Comisión a aprobar y modificar esta alternativa, entre los que destacan los asuntos Schrems I y II, la anulación del Privacy Shield con EEUU por parte del TJUE y sobre todo, porque las cláusulas anteriores fueron aprobadas adecuándose a la Directiva de Protección de Datos del año 1996. Es otras palabras, no se ajustaban a la realidad creada por el RGPD de 2016.
¿Por qué ahora?
Los datos personales han sido desde hace ya varios años uno de los focos de atención de la UE. Los motivos anteriores, sumados a los comentarios de la consulta pública de finales de 2020, el dictamen del CEPD y la opinión del Supervisor Europeo de Protección de Datos han dado lugar a la aprobación de un nuevo paquete de cláusulas, adaptadas a nuestro mundo digital moderno, que ayudará significativamente a las empresas a cumplir con el RGPD, tal y como expone el actual comisario europeo de Justicia.
¿Qué novedades traen estas CCT?
Lo más importante de estas nuevas cláusulas es que por fin están adaptadas a la realidad jurídica que se desprende del RGPD, en concreto, sobre su artículo 28, apartados 3 y 4. En este sentido, incorporan obligaciones que emanan directamente del Reglamento, como la implementación del principio de responsabilidad proactiva o la tramitación y denuncia de brechas de seguridad.
Por otro lado, se introducen nuevas relaciones entre las partes, puesto que las anteriores sólo contemplaban los vínculos Responsable con Responsable y Responsable con Encargado. En definitiva, las nuevas CCT incluyen las anteriores y añaden; Encargado con Encargado y Encargado Exportadorcon Responsable Importador.
Asimismo, de manera opcional se permite la inclusión de Partes adicionales a unas CCT ya formalizadas, siempre y cuando se cumplan una serie de requisitos, como el mutuo acuerdo entre las Partes originales y medidas técnicas y organizativas adecuadas al tratamiento por parte de las Partes adheridas.
Destacar que se obligará a las Partes a realizar una evaluación de impacto previa a la transferencia, de la cual dependerá la validez de las CCT suscritas entre las Partes. Para esta evaluación, se tomarán en cuenta los criterios y obligaciones establecidos en Schrems II, así como las últimas recomendaciones del CEPD.
También se prevé que las Partes incluyan medidas de refuerzo adicionales para asegurar el cumplimiento de las CCT. En particular, se añaden nuevos deberes y obligaciones, como el deber de las Partes de comunicar cualquier solicitud de divulgación de datos personales a petición de una autoridad y, en su caso, de impugnarla cuando ésta no sea razonable ni proporcional.
¿Y qué plazo hay de adaptación?
La Decisión de la Comisión ha establecido que las antiguas cláusulas serán derogadas y perderán su eficacia en un plazo de 3 meses a contar desde la publicación de la misma.
Por otro lado, se concede un plazo adicional de 15 meses a las Partes Importadoras y Exportadoras de datos personales transfronterizos, para que las modifiquen y actualicen, o incluso para que suscriban nuevas cláusulas, adaptadas a esta realidad jurídica.
Si mientras tanto, se opta por utilizar las cláusulas anteriores, éstas deberán al menos respetar los parámetros establecidos en Schrems II y cumplir con los criterios del CEPD.
En ambos casos, el plazo comienza a partir del 4 de junio
Víctor León de Prada
DPO&ITLaw (Integrado en Club Legal)