Póngase en contacto con
News

Actualizaciones del GDPR que no puede ignorar: Las nuevas cláusulas contractuales tipo en detalle

Nuevas cláusulas contractuales tipo (CCT) de la UE: ¿Transferencias de datos a terceros países más seguras?

Tic-tac... ¿lo ha oído? Es el sonido de una fecha límite. El 27 de diciembre de 2022, las cláusulas contractuales tipo (CCT) del GDPR de la UE pasaron a ser oficialmente vinculantes, una llamada a las armas para las empresas de todo el mundo. Sorprendentemente, numerosas empresas, desde pequeñas startups hasta grandes corporaciones, aún no han adoptado estos cambios. ¿Podría ser su caso?

Adoptado en junio de 2021, el nuevo SCC trae consigo una ola de transformación a nuestro mundo digital, revolucionando la forma en que manejamos las transferencias de datos, especialmente a través de las fronteras. Si todavía estás al margen o no eres del todo consciente de lo que implican estos cambios, estás en el lugar adecuado. Este post es su llamada de atención: una guía completa para entender estos ajustes fundamentales, su impacto y por qué es hora de que su empresa se una al carro del cumplimiento. Siga leyendo, porque el mundo del GDPR está cambiando, y el momento de actuar es ahora. Déjenos ayudarle con la letra pequeña.

Las cláusulas introducen cambios significativos:

  1. Actualización del GDPR: las cláusulas anteriores se redactaron antes de que se introdujera el GDPR. Las nuevas cláusulas incluyen un lenguaje actualizado que refleja los requisitos adicionales del GDPR de la UE, incluidos los principios de minimización de datos, limitación de la finalidad y limitación del almacenamiento.
  2. Adaptación a la economía digital: las transferencias de datos en línea se presentan en más versiones que antes y están cubiertas por cláusulas contractuales estándar, que incluyen diferentes tipos de transferencia de datos (para más detalles, véase más abajo).
  3. Todo tratamiento de datos: las nuevas cláusulas ya no requieren un acuerdo de tratamiento de datos, según el artículo 28 del RGPD. Las nuevas cláusulas pueden ser independientes y abarcar las transferencias de datos y todo el tratamiento de datos. Esto podría suponer una enorme ventaja para las empresas que utilicen las nuevas cláusulas como un único contrato para cubrir todos los aspectos del tratamiento.
  4. Obligaciones más amplias y detalladas en materia de medidas técnicas yorganizativas: las nuevas cláusulas contienen requisitos más amplios y detallados en forma de aplicación de medidas técnicas y organizativas adecuadas para proteger los datos personales durante las transferencias de datos.
  5. Rendición de cuentas, transparencia y cooperación: las nuevas cláusulas hacen hincapié en la rendición de cuentas y la transparencia, con requisitos para que los responsables y encargados del tratamiento mantengan registros de las actividades de tratamiento y cooperen con los organismos de supervisión.
  6. Se permiten algunos cambios: ahora es más fácil ajustar ligeramente e integrar las nuevas cláusulas contractuales tipo siempre que estos cambios no reduzcan un nivel adecuado de protección: "Las partes pueden completar las CEC con cláusulas adicionales o incorporarlas a un contrato comercial más amplio, siempre que las demás disposiciones contractuales no contradigan las CEC, ni directa ni indirectamente, ni perjudiquen los derechos de los interesados." ( FAQ de la Comisión Europea)
  7. Mayor facilidad para añadir partes gracias a la cláusula de "acoplamiento": las partes pueden utilizar la cláusula opcional de "acoplamiento" previamente redactada para permitir que terceros se unan al contrato de forma más eficiente.
  8. Más variantes que cubren distintos tipos de transferencia de datos a través de otros módulos:
    1. De responsable a responsable (C2C - módulo 1): estas cláusulas se utilizan cuando dos responsables del tratamiento de datos en jurisdicciones diferentes transfieren cualquier dato personal.
    2. De responsable a encargado del tratamiento (C2P - módulo 2): estas cláusulas se utilizan cuando un responsable del tratamiento en la UE transfiere datos personales a un encargado del tratamiento fuera de la UE.
    3. (Subencargado del tratamiento a subencargado del tratamiento (P2P - módulo 3): estas cláusulas se utilizan cuando un encargado del tratamiento de datos en la UE contrata a un subencargado fuera de la UE.
    4. De encargado a responsable del tratamiento (P2C - módulo 4): estas cláusulas se utilizan cuando un encargado del tratamiento fuera de la UE transfiere datos personales a un responsable del tratamiento en la UE.

Cada conjunto de cláusulas contiene disposiciones específicas adaptadas al tipo de transferencia que se realiza. Por ejemplo, las cláusulas C2C pueden incluir disposiciones relativas al control conjunto de los datos. En cambio, las cláusulas C2P pueden incluir disposiciones relacionadas con las instrucciones de tratamiento de datos y las medidas de seguridad.

Es vital que las organizaciones se aseguren de que están utilizando el conjunto correcto de cláusulas para su escenario individual de transferencia de datos y verifiquen que se están cumpliendo todas las obligaciones y requisitos de conformidad con el GDPR de la UE. Sin embargo, determinar qué supuesto se aplica en un contexto concreto de tratamiento de datos, por ejemplo en la sentencia del TJUE sobre la página de fans de Facebook, puede resultar difícil.

Aunque las nuevas cláusulas contractuales tipo son plantillas "prefabricadas", no son ni mucho menos suficientemente seguras: utilizarlas correctamente también se ha vuelto mucho más difícil debido a la decisión Schrems II, que exige un nivel "esencialmente equivalente" de protección de datos en terceros países. Por lo tanto, especialmente cuando se utilizan cláusulas contractuales tipo para proteger una transferencia de datos fuera de la UE, es imperativo tener en cuenta cuestiones esenciales:

  1. ¿Qué leyes del país de destino rigen la transferencia de datos en cuestión?
  2. ¿Cómo afectan las leyes pertinentes a la protección de datos? ¿Disminuyen estas leyes las garantías de las cláusulas tipo de protección de datos para las transferencias internacionales de datos?
  3. Es imperativo analizar cada transferencia de datos específica y determinar qué leyes de terceros países se aplican. Esto también se aplica a todos los destinatarios posteriores de estos datos.

En general, las nuevas cláusulas contractuales tipo del RGPD de la UE están diseñadas para proporcionar una excelente protección y flexibilidad para las transferencias de datos personales de conformidad con los requisitos del RGPD de la UE. No obstante, las transferencias de datos fuera del EEE son cada vez más complejas y arriesgadas. Por lo tanto, recomendamos consultar las FAQ facilitadas por la Comisión Europea.


Referencias clave:

CEC: Cláusulas Contractuales Tipo: cláusulas contractuales estandarizadas desarrolladas por la Comisión Europea para garantizar la protección de los datos personales durante las transferencias entre los Estados miembros de la UE y terceros países.

GDPR: Reglamento General de Protección de Datos: directiva de seguridad de datos de la Unión Europea que regula la protección de los datos personales de los ciudadanos de la UE e introduce normas coherentes de protección de datos en toda la UE.

C2P: Consumer to Platform: relación comercial por la que los consumidores adquieren servicios o productos de una plataforma proporcionada por una empresa.

EEE: Espacio Económico Europeo: mercado único que permite la libre circulación de bienes, servicios, capitales y personas entre los Estados miembros de la Unión Europea y los miembros de la Asociación Europea de Libre Comercio.

UE: Unión Europea: unión política y económica de 27 países europeos que promueve la cooperación en diversos sectores, incluidos el comercio y el Derecho.

C2C: Consumidor a consumidor: relación comercial por la que los consumidores compran o venden directamente o intercambian productos o servicios entre sí.

P2C: Plataforma a consumidor: relación comercial por la que una plataforma vende servicios o productos a los consumidores.