Europa aclara (en parte) cómo transferir datos a EEUU de forma segura
  1. Jurídico
Hay tres meses para adaptar las CCT

Europa aclara (en parte) cómo transferir datos a EEUU de forma segura

La CE publica los nuevos modelos de cláusulas tipo, que incluyen las indicaciones del TJUE. Pero las empresas seguirán realizando una evaluación de la normativa del país de destino

placeholder Foto: Foto: iStock.
Foto: iStock.

La Comisión Europea ha publicado los nuevos modelos de las denominadas cláusulas contractuales tipo (CCT), un elemento imprescindible para que las empresas puedan transferir datos de forma segura a terceros países no reconocidos como "adecuados" en materia de privacidad por parte de Bruselas. En esencia, las CCT son contratos entre quien envía los datos desde territorio comunitario (el exportador) y quien los recibe en un tercer Estado (el importador), que contienen un conjunto de medidas legales, técnicas y organizativas que debe cumplir el importador para legitimar la transferencia. Hay que recordar que desde la entrada en vigor del Reglamento General de Protección de Datos (RGDP), las multas por no llevar a cabo un adecuado manejo de esta información pueden alcanzar, en los casos más graves, los 20 millones de euros o el 4% de la facturación global de la compañía.

Las nuevas CCT sustituyen a los modelos vigentes, de 2001 y 2010, y tratan de solventar las deficiencias que señaló el Tribunal de Justicia de la UE (TJUE) en la sentencia del caso 'Schrems II', adaptando los contratos a las exigencias del Reglamento europeo, de aplicación desde 2018. En este sentido, como señala Joaquín Muñoz, socio de Bird & Bird, las cláusulas publicadas integran el principio de responsabilidad proactiva, que se traduce en la obligación de las partes de demostrar "el cumplimiento de la normativa, e imponen al importador, en ocasiones, la obligación de documentar las actividades de tratamiento que realiza por cuenta del exportador".

Foto: La directora de la Agencia Española de Protección de Datos, Mar España. (EFE)

Asimismo, detalla Muñoz, con esta actualización se expande el ámbito de aplicación de las CCT. Las anteriores únicamente regulaban dos tipos de relaciones: entre responsable y responsable del tratamiento de los datos; y entre responsable y encargado. "Las nuevas cláusulas, sin embargo, prevén hasta cuatro supuestos o módulos. Además de los ya mencionados, entre encargado y encargado; y entre encargado exportador y responsable importador", indica el letrado. El módulo encargado-encargado, apunta, es relevante porque evita tener que recurrir a otras figuras legales específicas para poder realizar la transferencia internacional en esos casos.

Análisis de idoneidad

¿Con las CCT el único requisito que deben cumplir las empresas para transferir datos a EEUU u otros países "no adecuados"? No. Como remarca el socio de Bird & Bird, las cláusulas tipo son solo una parte del procedimiento legal necesario. La otra, que también resulta imprescindible, es el análisis de idoneidad del país o las circunstancias en las que se produce el envío, para asegurarse de que se producen con los estándares de seguridad que exige la normativa europea.

Tras la publicación de estos nuevos modelos, las antiguas CCT tendrán aún un plazo de vigencia de tres meses. A partir de ese momento, se abre un periodo de 15 meses para que exportadores e importadores suscriban las nuevas versiones contractuales actualizadas. No obstante, como indican desde Bird & Bird, el uso de las CCT estará condicionado al cumplimiento de los requisitos indicados en 'Schrems II' y en las directrices del Comité Europeo de Protección de Datos (CEDP), por lo que las cláusulas deberán incorporar las medidas suplementarias que sean necesarias para garantizar la seguridad de la transferencia internacional.

Foto: Pedro Sánchez. (EFE)

Como concluye Muñoz, son dos los grandes tipos de empresas que deben prestar especial atención a este cambio. En primer lugar, las tecnológicas que presten servicios a empresas o ciudadanos europeos, pero que tengan sus sedes fuera de la UE y por tanto remitan allí sus datos. Y, en segundo término, compañías europeas de fuerte componente tecnológico, pero que tienen servicios descentralizados y tienen copias espejo en países como EEUU, India o Rusia.

Señor con maletín

Detrás de toda gran historia hay otra que merece ser contada

Conoce en profundidad las 20 exclusivas que han convertido a El Confidencial en el periódico más influyente.
Saber más
Ley de protección de datos Comisión Europea Tribunal de Justicia de la Unión Europea (TJUE)
El redactor recomienda