Las CCT son cláusulas estandarizadas de protección de datos que han sido aprobadas por la Comisión Europea. Su inclusión en los acuerdos internacionales de transferencia de datos permite a los responsables y a los encargados del tratamiento cumplir con sus obligaciones en virtud del RGPD.
La Comisión Europea adoptó dos conjuntos de CCT el 4 de junio de 2022:
- uno que aborda diversas transferencias entre responsables y encargados del tratamiento : la Decisión de ejecución(UE) 2021/915 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo
- y otro que aborda las transferencias fuera de la UE: La Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
Se acompañan ambos de una serie de preguntas y respuestas, que la Comisión Europea pone a disposición con «fines informativos generales únicamente», pero, no obstante, para «proporcionar orientación práctica sobre el uso de las CCE y ayudar a las partes interesadas en sus esfuerzos de cumplimiento en virtud del RGPD
Dado que el llamado Escudo de Privacidad EE.UU.-UE fue invalidado por la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 2020, ECLI:EU:C:2020:559, «Schrems II». , las CCT han sido el principal mecanismo para transferir datos de la UE a los EE.UU., en cumplimiento del RGPD . Las directrices anteriores de las autoridades europeas explicaban que las transferencias en el marco de las CCT son aceptables siempre que los datos personales que se transfieren estén sujetos a protecciones «esencialmente equivalentes» a las que tendrían en la UE. Para lograr protecciones «esencialmente equivalentes», el Supervisor Europeo de Protección de Datos indica que las partes que transfieren datos que pueden necesitar adoptar salvaguardias adicionales, como la codificación de los datos antes de la transferencia
Para trasferir datos fuera de la UE, las nuevas CCT crean la obligación, principalmente para el exportador de datos, de llevar a cabo una «evaluación del impacto de la transferencia» que implica evaluar el marco jurídico de protección de datos de la jurisdicción de destino que regirán los datos que se recibirán del controlador en la UE. Al realizar este análisis, se deben considerar las circunstancias específicas de las transferencias contempladas, incluyendo la categoría y el formato de los datos, el tipo de destinatario, el sector económico en el que se produce la transferencia y la longitud de la cadena de tratamiento. Las orientaciones que acompañan ambas Decisiones aclaran los tipos de información que deben tenerse en cuenta al realizar una evaluación del impacto de la transferencia. En concreto, las orientaciones señalan que las empresas pueden tener en cuenta
- información cierta sobre la aplicación de la legislación nacional del país de destino en la práctica, incluida la jurisprudencia y los informes de organismos de supervisión independientes,
- la existencia o ausencia de solicitudes de las autoridades públicas del país de destino para acceder a los datos en el sector correspondiente y, en determinadas condiciones,
- la experiencia práctica documentada del exportador y/o importador de datos. Cuando haya una evaluación negativa del impacto de la transferencia, las partes sólo podrán transferir datos basándose en las CCT «si establecen salvaguardias «suplementarias» adicionales (por ejemplo, medidas técnicas para garantizar la seguridad de los datos, como el cifrado de extremo a extremo) que aborden la situación y garanticen así el cumplimiento» de las CCT.
PERSPECTIVAS
Aunque el panorama de las transferencias internacionales de datos puede cambiar significativamente en los próximos meses a partir del reciente anuncio de que EE.UU. y la UE han alcanzado un «acuerdo de principio» sobre un nuevo marco de transferencia bilateral, no puede obviarse que NOYB, la organización de Schrems, ya ha redactado una carta abierta en la que se opone al acuerdo de principio y anima a «los negociadores de ambos lados del Atlántico a avanzar en las tan necesarias reformas de la legislación estadounidense». Además, Schrems «está dispuesto a impugnar cualquier decisión final de adecuación que no proporcione la necesaria seguridad jurídica». Por lo tanto, es probable que los CCT sigan siendo un mecanismo importante para efectuar transferencias de datos de la UE a los Estados Unidos que cumplan con el Reglamento (UE) General de Protección de Datos
MAS
- Comunicación de la Comisión Europea al Parlamento Europeo y al Consejo: Dos años de aplicación del Reglamento General de Protección de Datos COM(2020) 264 final}{SWD(2020) 115 final}
- EDPB Issues Draft Guidance on Post-Schrems II GDPR Compliant Data Transfers, By 11.23.20
- EUCJ invalidates the EU-US Privacy Schield, by 07.20.20
