Nuevas cláusulas contractuales tipo:¿Solución para la transferencia de datos a EEUU?

El pasado viernes 4 de junio la Comisión Europea publicó las nuevas Cláusulas Contractuales Tipo para las transferencias internacionales de datos fuera del Espacio Económico Europeo, mediante las cuales se pretende actualizar las medidas de protección de datos y seguridad a las que deben someterse estas transferencias y, a lo que la mayoría de empresas más interesa, encontrar un método alternativo para esta transferencia de datos a Estados Unidos, para hacer frente a la decisión del Tribunal de Justicia de la Unión Europea que invalidó el Privacy Shield (Schrems II).

En esta ocasión, la Comisión ha aprobado un único documento para validar todas las transferencias que puedan producirse, dividiendo el mismo en cuatro módulos, siendo el primero el destinado a regular las transferencias entre responsables de datos, el segundo cuando se producen desde un responsable a un encargado, el tercero entre encargados, y el cuarto regula las mismas cuando se producen de un encargado a un responsable. De este modo, todas las transferencias internacionales, tengan la figura que tengan las partes, deberán acudir a este documento para saber qué artículos y obligaciones le aplican y cuáles no.

Sin embargo, es cierto que hay determinadas disposiciones que aplicarán sea cual sea la relación entre las transferencias, y entre ellas se incluyen los artículos destinados a lidiar con los problemas que conlleva la transferencia internacional de datos personales a países cuyas leyes permiten, sin establecer claros límites a ojos del Tribunal de Justicia, que los poderes públicos accedan a datos personales de residentes de los Estados miembros de la Unión Europea.

Uno de estos artículos es el establecido para afrontar el efecto que las leyes locales del importador puedan tener sobre la protección de los datos. Dicho artículo regula la obligación de las partes de garantizar que no tienen motivos para creer que la legislación y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales incluidos los requisitos de divulgación de los datos personales o las medidas que autorizan el acceso de las autoridades públicas impiden al importador de datos cumplir sus obligaciones en virtud de las presentes cláusulas.

Para ello, a las partes se les exige que analicen ciertos elementos, como son las circunstancias específicas de la transferencia, el número de actores involucrados, las transferencias posteriores planeadas, las categorías de receptores, la categoría de datos enviados, la localización del almacenamiento y el sector económico en el que se produce la transferencia.

También se les obliga a que tengan en cuenta las leyes del tercer estado, y la práctica de las autoridades públicas en el mismo, para lo cual pueden considerar diferentes elementos como parte de su evaluación, entre los que deben incluir la experiencia práctica pertinente y documentada con casos anteriores de solicitudes de divulgación por parte de las autoridades públicas, o la ausencia de dichas solicitudes, que abarquen un marco temporal suficientemente representativo, si bien no establecer criterios que permitan concretar este margen temporal. Cuando realicen este análisis, las partes deben tener en cuenta si su experiencia práctica se ve corroborada o contradicha por información fiable, disponible al público, sobre la existencia de solicitudes en el mismo sector, así como la aplicación de la ley en la práctica, la jurisprudencia y los informes de organismos de supervisión independientes.

Así mismo, se obliga al importador a notificar el exportador de datos si, por algún motivo o cambio en la legislación de su país, la situación respecto a la posibilidad de que autoridades públicas accedan a esta información se ha visto incrementada, mientras está en vigor el contrato que permite la transferencia de datos.

Otro de los artículos destinado a regular esta situación, centrado en las obligaciones del importador en caso de acceso a los datos por las autoridades, impone al mismo el deber de comunicar al exportador los requerimientos legales de divulgación de datos personales que haya recibido, siempre que sea legalmente posible o, en caso de que no lo sea, a realizar todos los esfuerzos posibles por obtener una exención a esta prohibición. Además, también deberá, a la hora de recibir una solicitud de acceso a información personal por parte de una autoridad, tener en cuenta la legalidad de la solicitud y de impugnarla en caso de ser posible.

Añadido a lo anterior, el importador deberá indicar las medidas técnicas y organizativas que se implementen para garantizar la seguridad de los datos. Entre ellas, se especifica la obligación del importador de conceder a su propio personal solo el acceso a los datos estrictamente necesario para la ejecución del contrato, medida que venía recogida en las recomendaciones emitidas por el Comité Europeo de Protección de Datos.


Así mismo, estas cláusulas mantienen la obligación al importador de notificar al exportador cuando el primero dictamine su imposibilidad de cumplir con los requisitos establecidos en estas cláusulas, con la consecuente obligación del exportador de suspender la transferencia de datos, con la excepción de que el exportador establezca las medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que se deban adoptar para hacer frente a la situación.

Por lo tanto, si bien estas nuevas cláusulas actualizan las obligaciones en materia de transferencias internacionales, ampliando las obligaciones tanto de los importadores como exportadores de datos, es cierto que no parece desprenderse de su lectura que las mismas vayan a suponer un verdadero cambio o solución para garantizar la legalidad de las transferencias de datos a EEUU, dado que solo recoge algunas obligaciones que ya habían sido incluidas en la recomendaciones emitidas por el Comité Europeo de Protección de Datos, si bien muchas de ellas siguen estando ausentes en el documento, lo cual no significa que los partes no deban analizar la idoneidad de implementarlas para garantizar la seguridad de la transferencia de datos, en caso de que las partes deseen aplicar de la excepción mencionada en el párrafo anterior.

Enrique Extremera Maestro, Senior Privacy Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias