La Comisión Europea (CE) ha publicado unos nuevos modelos de Cláusulas Contractuales Tipo (CCT) para llevar a cabo de forma legítima Transferencias Internacionales de Datos. Estas, tienen como objeto la actualización y adaptación final al contenido del RGPD, a la Sentencia del TJUE SCHREMS II y a las últimas Recomendaciones del CEPD.

Las transferencias internacionales de datos se producen cuando los datos personales que son tratados por un responsable o un encargado del tratamiento en el EEE. (países UE + Islandia, Liechtenstein y Noruega) son enviados internacionalmente a un tercer país. Este se encuentra fuera de este territorio, y que no asegura un nivel adecuado de protección de datos. Este concepto,

nivel adecuado de protección“, significa que el tercer país ha de proporcionar un nivel de protección equivalente o similar al que otorga la UE en materia de protección de datos personales.

El Reglamento (UE) 2016/679 (RGPD) determina en su art. 44 que solo se podrán llevar a cabo transferencias de datos personales a terceros países cuando el responsable y el encargado del tratamiento cumplan con las condiciones que establece el Capítulo V del texto. Es decir, se podrán producir transferencias internacionales de datos cuando:

  • La CE haya decidido que el tercer país, un territorio, o uno o varios sectores específicos de ese tercer país, poseen un nivel de protección adecuado de protección “Decisión de Adecuación“.
  • A falta de tal Decisión, se podrá realizar una transferencia internacional de datos, sin necesidad de que exista una autorización por la CE, en caso de que se otorguen “garantías adecuadas” mediante diferentes instrumentos recogidos en el art. 46.2 RGPD. Entre estos, se encuentran las CCT.

Los últimos modelos de CTT aprobados a nivel comunitarios se encontraban recogidos en: (i) Decisión 2001/497/CE, (ii) Decisión 2004/915/CE, y (iii) Decisión 2010/87/UE. De esta forma, la publicación de estas nuevas cláusulas tiene como objeto su adaptación final al RGPD, a lo recogido por la Sentencia SCHREMS II y a lo estipulado por las últimas Directrices del CEPD.

¿Cuáles son las novedades de las nuevas CCT?

Las nuevas CCT integran de forma pragmática distintos aspectos que se escapaban a lo determinado por las anteriores, en la medida en que su finalidad radica en actualizarse a la casuística más reciente en la materia. Así, recoge de forma concreta:

  • Principio de Responsabilidad Proactiva: se obliga a constatar, probar y verificar que se cumple con lo dispuesto en la normativa vigente. Ello deberá realizarse a través de la actualización de las cláusulas y la documentación constante,
  • Ampliación del ámbito de aplicación: se regulan 4 módulos tipo de cláusulas que se incardinan en cada tipo de relación posible:
    • (i) Transferencias Responsable – Responsable,
    • (ii) Transferencias Responsable – Encargado,
    • (iii) Transferencias Encargado – Encargado,
    • (iv) Transferencias Encargado – Responsable.
  • Adhesión de terceras Partes : se da la posibilidad de que terceras Partes se unan a unas CTT ya suscritas, con el acuerdo de las partes, ya sea como exportador o importador de datos. Asimismo, estas nuevas Partes deberán cumplir con las concretas medidas de seguridad, técnicas y organizativas estipuladas.

En relación con lo determinado tanto por la Sentencia del TJUE SCHREMS II, como por las últimas Directrices del CEPD, se obliga a las partes a analizar el impacto de la transferencia asegurando que las leyes y prácticas del país de destino no impiden cumplir con la normativa europea. Es por ello que, se debe realizar y documentar un análisis de impacto teniendo en cuenta:

  • (i) las circunstancias específicas de la transferencia,
  • (ii) la legislación y prácticas del tercer país,
  • (iii) todas las garantías contractuales, técnicas u organizativas pertinentes para complementar las salvaguardias ya previstas en las cláusulas.

Asimismo, se establece la obligación de cooperar en todo momento durante el transcurso de la relación de transferencia. Imponiendo al importador de datos el deber de notificar sin demora la aparición de leyes o prácticas en el país de destino que puedan comprometer el cumplimiento de lo establecido en el contrato. Así, se posibilita que el exportador pueda determinar medidas cautelares adecuadas que adoptar por todas las partes para hacer frente a la situación, llegando incluso a la rescisión del contrato.

¿Entrada en vigor de las nuevas CCT?

Estas nuevas CCT entrarán en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea. Quedando automáticamente derogadas a los 3 meses de esta fecha las Decisiones de la CE que contenían los modelos precedentes. No obstante, se otorga un periodo de 15 meses de transición y adaptación para las CCT basadas los modelos anteriores. Considerando que ofrecen garantías adecuadas en el sentido del art. 46.1 del RGPD siempre que las operaciones de tratamiento no se modifiquen y que el recurso a dichas cláusulas garantice que la transferencia de datos personales esté sujeta a las garantías adecuadas.

Para más información: documentos oficiales.

Suscríbete a nuestra Newsletter

¡Únete a nuestra lista de contactos y recibe las últimas noticias de Privacidad, Derechos digitales y Ciberseguridad!

¡Gracias! Hemos recibido su mail correctamente