Las empresas y ciudadanos europeos tenemos la seguridad de que nuestros datos personales circulan de forma segura en el Espacio Económico Europeo (EEE). Esencialmente, gracias a la aprobación del Reglamento General de Protección de Datos (RGPD). Pero ¿qué ocurre con las transferencias internacionales de datos a terceros países? ¿Qué criterios o requisitos básicos se siguen?
En un reciente pronunciamiento de la Comisión Europea (CE) se ha aclarado sensiblemente esta cuestión, concretamente en lo que respecta a las transferencias mediante garantías adecuadas, que es una de las formas en las que el RGPD prevé que se pueden realizar las transferencias de datos (artículo 46.2,c del RGPD). Quedan fuera de la Decisión de Ejecución (UE) 2021/914, por lo tanto, las transferencias basadas en una decisión de adecuación y las normas corporativas vinculantes (puedes ampliar información en la Sección «Transferencias Internacionales AEPD»).
La situación de partida
En este contexto, antes de la adopción de la decisión definitiva de la CE el pasado 4 de junio, la situación era, básicamente, de incertidumbre. El motivo es que existían algunas deficiencias en las Cláusulas Contractuales Tipo (CCT) vigentes hasta esa fecha, entre las que destacan las siguientes:
- No se adecuaban al RGPD: por ser anteriores a este reglamento, se encontraban sujetas a la Directiva 95/46. Y esta norma preveía menos garantías que las que contempla el RGPD.
- No eran válidas para todo tipo de relaciones: solo se regulaban dos (responsable – encargado y responsable – responsable). Por poner un ejemplo, se quedaban fuera las transferencias internacionales de datos entre un subencargado del tratamiento importador y un encargado del tratamiento exportador.
- Generaban confusión: no existía un protocolo claro respecto a las estructuras o figuras legales que debían aplicarse. Esta incertidumbre se intentó paliar con la publicación de unas FAQs, pero ello no hizo más que aumentar la confusión.
- Provocaban inseguridad jurídica: sobre todo, porque los exportadores no sabían cómo incluir ciertas obligaciones ya aprobadas en las anteriores CCT.
Todo lo anterior condujo a lo inevitable: la actualización de las CCT a las nuevas circunstancias.
Las nuevas y actualizadas CCT
Con esta nueva disposición de la CE sobre las transferencias internacionales de datos, se consigue garantizar, también en el caso de las transferencias a terceros países, el mismo nivel de protección que prevé el RGPD. Se hace a través de las siguientes modificaciones:
- Se adecúan al RGPD: las nuevas CCT implementan las obligaciones contempladas en el nuevo reglamento europeo. Y se obliga a las organizaciones a demostrar que cumplen con dichas obligaciones.
- Amplían su ámbito de aplicación: en concreto, las nuevas CCT contemplan hasta cuatro supuestos de relaciones (encargado exportador – responsable importador, encargado -encargado, responsable – encargado y responsable – responsable).
- Añaden nuevas obligaciones: más específicamente, las que han establecido con posterioridad a las anteriores CCT el Tribunal de Justicia de la Unión Europea (TJUE) y el Comité Europeo de Protección de Datos (CEPD).
¿Cómo afecta esta decisión a las empresas españolas?
Como es lógico, hay algunas cosas que cambian para las organizaciones con sede en España y, también, en Europa. Estas son las novedades más relevantes:
- Ya no se precisa la autorización de la Agencia Española de Protección de Datos (AEPD): antes, para transferir o recibir datos personales los encargados o responsables del tratamiento debían pedir una autorización a la AEPD. Esto, ahora, ya no es necesario. Eso sí, a cambio, se debe cumplir estrictamente con el RGPD y añadir al contrato las cláusulas adicionales necesarias para adecuarse a las nuevas CCT.
- Nace la obligación de comunicar la transferencia a los interesados: es responsabilidad de la empresa que estos sepan que sus datos personales se van a transferir a un tercer país. Asimismo, deben entregarles una copia del contrato firmado.
Se trata, en definitiva, de que las empresas europeas tengan, de ahora en adelante, más previsibilidad jurídica. De esta forma, podrán realizar transferencias más seguras y los datos se podrán mover de un país a otro sin ninguna barrera legal.
El caso particular de Reino Unido
Tras la salida de Reino Unido de la UE, muchos se preguntaban qué iba a ocurrir a partir de ahora entre ambas regiones, en todos los sentidos. Pues bien, en lo que a las transferencias internacionales de datos personales se refiere, la CE también se ha pronunciado al respecto.
¿Qué ocurre con los datos personales, cuando estos sean intercambiados entre un estado miembro de la UE y el Reino Unido? Junto a la anterior resolución, la CE ha determinado también que la protección de los datos personales que fluyan entre Reino Unido y la UE es la misma que garantiza la legislación vigente europea.
Con esta otra decisión, tal y como destacan desde la propia Comisión, se logra implementar correctamente el Acuerdo de Comercio y Cooperación UE-Reino Unido. Y se aumenta la seguridad jurídica y las garantías en todas las transferencias de datos entre ambas regiones.
Sin duda, este es un tema de enorme complejidad y con importantes implicaciones legales. Por eso, te animamos a que, si todavía te queda alguna duda por resolver, contactes con nosotros.