TRANSFERENCIAS INTERNACIONALES: QUEMANDO ETAPAS. NUEVAS CLÁUSULAS CONTRACTUALES TIPO

ETAPA 1. SAFE HARBOR. Aprendimos lo que era el Safe Harbor, o “puerto seguro”. En el año 2000 se llegó a un acuerdo entre para que, todas las empresas estadounidensesque se adhiriesen al mismoy cumpliesen los principios que en él se recogían, se consideraran un «puerto seguro» por las autoridades europeas. Así, se podían efectuar transferencias internacionales de datos con la seguridad de que las autoridades europeas no pondrían trabas.

ETAPA 2. ANULACIÓN DEL SAFE HARBOR. A raíz de las denuncias de Max Schrems y Edward Snowden, que evidenciaban que empresas como Facebook no cumplían con el acuerdo -y que EEUU efectuaba espionaje masivo-, desde el 6 de octubre de 2015 quedó anulado el Safe Harbor por el Tribunal de Justicia de la Unión Europea (TJUE), al  considerar que EEUU ya no garantizaba la suficiente protección de los datos que allí se transferían.

ETAPA 3. CONSECUENCIAS DE LA ANULACIÓN. Esta anulación no solo afectó a los servicios de email-marketing, pues los ecommerce y los blogs que tuvieran una lista de correo se vieron afectados en gran parte. En realidad afectó a cualquier servicio que almacenara datos de carácter personal en un servidor situado, físicamente, en un país sin un nivel adecuado de protección. Así que también se vieron afectados servicios tan populares como Dropbox o Google.

ETAPA 4. PRIVACY SHIELD. Todo ello provocó una “huida” de clientes hacia plataformas con los servidores en Europa. La sangría económica de las plataformas norteamericanas era tal que, en julio de 2016, nueve meses más tarde, entró en vigor el Privacy Shield (Escudo de privacidad) entre el Espacio Económico Europeo y los EEUU. Pero, para entonces, muchas empresas habían ya probado “otras soluciones”.

ETAPA 5. ANULACIÓN DEL PRIVACY SHIELD. Ha sido una etapa corta, la del Privacy Shield; pues cuatro años después de su aprobación el TJUE anuló, en julio de 2020, la Decisión 2016/1250 de la Comisión, que declaraba el nivel adecuado de protección del esquema del Escudo de Privacidad para las transferencias internacionales de datos a EEUU.

ETAPA 6. ALTERNATIVAS PRÁCTICAS. La sentencia, cuyas implicaciones marcaron un nuevo punto de inflexión sobre la forma en la que se realizaban las transferencias internacionales de datos a EEUU, reafirmaba, a su vez, la validez de las cláusulas contractuales tipo (standard contractual clauses, SCC) adoptadas por la Comisión Europea para realizar transferencias internacionales de datos entre un responsable establecido en el Espacio Económico Europeo y un encargado del tratamiento establecido en cualquier país del que no se hubiera declarado anteriormente un nivel adecuado de protección por parte de la Comisión Europea (p.ej. Suiza, Andorra, Israel, Uruguay, etc). No obstante, las SCC no son un mecanismo automático que exonere a los responsables del tratamiento de la aplicación de medidas previas para evaluar la idoneidad de las transferencias como pueden ser, entre otras, la realización previa de una evaluación de impacto con el fin de determinar que el marco legislativo del país al que se transfieren los datos es equivalente al marco legislativo de la UE y asegurarse de que las transferencias se realiza bajo los estándares de seguridad exigidos por la normativa europea.

Pero ahora toca adaptarse a las nuevas CLÁUSULAS CONTRACTUALES TIPO (SCC) en las transferencias internacionales de datos.

El 4 de junio de 2021, la Comisión Europea adoptó dos nuevos conjuntos de cláusulas contractuales tipo para reemplazar el esquema de transferencia de datos internacionales,

Las cláusulas contractuales tipo de la UE (2021)

Las nuevas SCC de la UE, publicadas en junio de 2021, reflejan, según la Comisión de la UE, los nuevos requisitos del Reglamento General de Protección de Datos (RGPD) y tienen en cuenta la sentencia Schrems II del Tribunal de Justicia de la UE; lo que garantiza un alto nivel de protección de datos para los ciudadanos.

Elementos fundamentales de las nuevas SCC

  • Posibilitan las transferencias de datos personales entre el EEE  y cualquier tercer país (con un nivel ‘no adecuado’ de protección, según la Comisión Europea) y eliminan la necesidad de autorización de la Autoridad de Control; así como de la formalización de un acuerdo de encargo del tratamiento de datos (DPA) por separado.
  • Requieren de información adicional para asegurar transferencias; por ejemplo, frecuencia de transferencia, propósito, período de conservación de datos, base legal para transferencias de subencargados, etc.
  • Permiten que terceros se unan a las SCC formalizadas entre las partes iniciales, lo que facilita la gestión de futuros reemplazos de partes.

Si bien las antiguas SCC solo permitían transferencias de datos en el marco de un encargo del tratamiento (responsable a encargado), las nuevas cláusulas contractuales tipo permiten que las siguientes partes se transfieran datos personales entre sí:

  • Responsable a encargado del tratamiento,
  • Encargado a responsable del tratamiento,
  • Responsable a otro responsable del tratamiento de datos,
  • Encargado a otro encargado del tratamiento de datos.

Las nuevas cláusulas contractuales tipo se pueden utilizar desde el pasado 27 de junio de 2021; mientras que las ya existentes se pueden utilizar hasta el 27 de septiembre de 2021. Del mismo modo, se otorga un periodo de transición de 18 meses para adaptarse al nuevo modelo de SCC, sustituyendo los acuerdos formalizados bajo las anteriores SCC por las nuevas. Es por ello que lo más recomendable, si se está en proceso de acuerdo del modelo antiguo de SCC, es reiniciar el proceso de acuerdo en base a las nuevas SCC.

Finalmente, el Comité Europeo de Protección de Datos (European Data Protection Board – EDPB) publicó el pasado 18 de junio de 2021 unas recomendaciones sobre medidas complementarias para realizar transferencias internacionales de datos.

No dude en contactarnos para realizar una evaluación exhaustiva de las transferencias internacionales de datos que se estén llevando a cabo en su organización.