Último mes para formalizar los contratos para las transferencias internacionales de datos

¿Tienes proveedores que estén ubicados fuera de la Unión Europea?

Si es así tendrás que comprobar que cumplan con lo indicado en este artículo.

El 27 de diciembre de 2022 es el último día para formalizar cláusulas contractuales estándar si se realizan transferencias internacionales de datos. La aprobación de estas nuevas cláusulas contractuales tipo garantizarán que los importadores de datos apliquen las mismas medidas técnicas y organizativas en materia de protección de datos que en Europa.

¿Qué es una transferencia internacional de datos?

Las transferencias internacionales de datos suponen un tráfico de datos personales desde el territorio europeo a destinatarios establecidos en países fuera de la Unión Europea más Liechtenstein, Islandia y Noruega.

¿Cómo puedo hacer una transferencia internacional de datos y cumplir con la normativa?

• Mediante una decisión de la Comisión Europea (“decisión de adecuación“) que declara que un Estado no perteneciente a la UE ofrece un nivel de protección de datos adecuado.
• Mediante el establecimiento de garantías adecuadas (“normas corporativas vinculantes”, “código de conducta” y “cláusulas contractuales tipo“).

Cuando

En el supuesto de que no exista una decisión de adecuación o garantías adecuadas únicamente se podrá realizar la transferencia internacional de datos cuando:

• Consentido explícitamente la transferencia propuesta después de haber recibido toda la información necesaria sobre los riesgos relacionados con esta transferencia.
• ejecución o celebración de un contrato;
• ejecución de medidas precontractuales;
• por razones de interés público;
• el ejercicio o la defensa de reclamaciones;
• para proteger los intereses vitales;
• cuando es física o jurídicamente imposible dar su consentimiento

“Se transfiere datos fuera de la Unión Europea siendo una empresa española que quiere ampliar sus servicios en Sudamérica, en particular Argentina, Uruguay y Brasil.
El primer paso sería comprobar si los países están sujetos a una decisión de adecuación. En este caso, Argentina como Uruguay han sido declarados adecuados.
Entonces, podría transferir los datos personales a estos dos Estados no pertenecientes a la UE sin garantías adicionales, mientras que, para las transferencias a Brasil, que no cuenta con una decisión de adecuación, deberá establecer el marco para sus transferencias ofreciendo las garantías adecuadas”.

En este artículo nos centraremos con las cláusulas contractuales tipo, ya que éstas deberán actualizarse antes del 27 de diciembre de 2022.

¿Qué son las cláusulas contractuales tipo (CCS) de la UE?

Son una tipología de contrato aprobado por la Comisión Europea que deberá firmarse en aquellos contratos entre entidades ubicadas en un país de los 27 países de la UE + Liechtenstein, Noruega e Islandia, y un tercer país fuera del mismo, que además tampoco esté dentro de la lista de países destinatarios declaradas de nivel adecuado por la Comisión Europea.

¿Para qué sirven las CCS?

Se emplean para que los responsables y/o encargados de tratamiento de datos exportadores establezcan las medidas técnicas y organizativas que garanticen la protección de los datos personales de los interesados en los países destinatarios (el conjunto de reglas que deberán seguir).

“Si una empresa española tiene contratada la prestación de un servicio con una empresa cuya sede esté en EEUU, para el que sea necesario realizar una transferencia de datos personales de sus clientes, la empresa española, como responsable del tratamiento, deberá firmar con la empresa de EEUU las cláusulas contractuales tipo de aplicación del RGPD”.

¿Qué deberá incluir, con carácter general, las CCS?

Directiva 2021/914 de la Comisión Europea, de 4 de junio de 2021

• Cláusula 1: Finalidad y ámbito de aplicación
• Cláusula 2: Efecto e invariabilidad de las cláusulas
• Cláusula 3: Terceros beneficiarios
• Cláusula 4: Interpretación
• Cláusula 5: Jerarquía
• Cláusula 6: Descripción de la transferencia o transferencias
• Cláusula 7: Cláusula de incorporación
• Cláusula 8: Garantías en materia de protección de datos
• Cláusula 9: Recurso a subencargados
• Cláusula 10: Derechos del interesado
• Cláusula 11: Reparación
• Cláusula 12: Responsabilidad
• Cláusula 13: Supervisión
• Cláusula 14: Derecho y prácticas del país que afectan el cumplimiento de las cláusulas
• Cláusula 15: Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
• Cláusula 16: Incumplimiento de las cláusulas y resolución del contrato
• Cláusula 17: Derecho aplicable
• Cláusula 18: Elección de foro y jurisdicción
• Anexo: Lista de medidas de seguridad a aplicar

¿Por qué hay que firmar estas nuevas CCS?

Para cumplir con la normativa de protección de datos es necesario que los Responsables del Tratamiento garanticen que aquello que traten datos de carácter personal de su titularidad se comprometan a cumplir con las medias técnicas y organizativas, asegurando así la protección de los derechos y libertades de los titulares de los datos.

¿Necesitas ayuda?

Tarinas Law & Economy te soluciona todas tus dudas. No dudes en ponerte en contacto con nuestros expertos del departamento TIC.