✔ La normativa vigente en materia de protección de datos establece que, únicamente, se podrán realizar transferencias internacionales de datos a Responsables del tratamiento o Encargados que cumplan con los requisitos establecidos por el «Reglamento General de Protección de Datos (RGPD)».

Esos requisitos vienen a exigir que la transferencia se debe basar en unas determinadas garantías, con el fin que no se menoscaben los derechos y libertades de los interesados que residan en países donde el RGPD es de plena aplicación. Estas garantías son:

  • Transferencias basadas en una decisión de adecuación de la Comisión Europea.

  • Instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos.

  • Normas corporativas vinculantes (o Binding Corporate Rules)

  • Código de conducta o mecanismo de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas.

  • Cláusulas contractuales tipo para el encargo de tratamiento.

Las cláusulas contractuales tipo son un instrumento que permite a los «Responsables del tratamiento» realizar transferencias internacionales con garantías, suscribiendo un contrato entre el exportador e importador de la información por el que, este último, se compromete a tratar la información de un modo respetuoso al Derecho europeo de protección de datos. Las cláusulas contractuales tipo solo deberían referirse a la protección de datos. Por lo tanto, el exportador de datos y el importador de datos tienen plena libertad para incluir cualquier otra cláusula sobre cuestiones relacionadas con sus negocios que consideren pertinente para el contrato, siempre que no contradiga las cláusulas contractuales tipo.

Las cláusulas contractuales tipo deben estipular las medidas de seguridad técnicas y organizativas necesarias que han de aplicar los encargados del tratamiento establecidos en un tercer país que no ofrece la protección adecuada con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse. El importador de datos tratará los datos personales transferidos solo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas. En particular, el importador de datos no revelará los datos personales a terceros sin el consentimiento por escrito previo del exportador de datos. El exportador de datos dará instrucciones al importador de datos durante la prestación de los servicios de tratamiento de los datos para que se lleve impuestas en las cláusulas a cabo de conformidad con sus instrucciones, la legislación de protección de datos aplicable y las obligaciones.

A mayor abundamiento, el encargo consistirá exclusivamente en las operaciones acordadas en el contrato entre el exportador de datos y el importador de datos por el que se incorporarán las cláusulas contractuales tipo previstas y no se referirá a operaciones de tratamiento o finalidades diferentes para respetar así el principio de limitación de la finalidad. Las cláusulas contractuales tipo deben ser exigibles no solamente por las organizaciones que sean parte en el contrato, sino también por los interesados, en particular cuando estos sufran un daño como consecuencia del incumplimiento del contrato.

¿Aún dudas cual es el cumplimiento normativo legal que afecta a tu empresa?

☑ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.

☛ Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.

¿Qué tipos de cláusulas contractuales tipo para el encargo de tratamiento existen?

El «artículo 46.2 RGPD» establece dos tipos de cláusulas contractuales tipo, las adoptadas por la «Comisión Europea» y las adoptadas por una «Autoridad de control», la «Agencia Española de protección de Datos» en el caso de España-.

Respecto a las primeras, resulta menester señalar que las «Decisiones de la Comisión Europea», donde se adoptaron cláusulas contractuales tipo para el encargo de tratamiento, según la «Directiva 95/46/CE»  (la normativa anterior al RGPD) continúan siendo válidas, a la espera que la Comisión apruebe unas nuevas. En particular existen las siguientes cláusulas

  • Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país y

  • Decisión 2004/915/CE, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países

  • Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.

Con lo que respecta a las Cláusulas adoptadas por nuestra Autoridad de control debemos decir que, a fecha de elaboración de este artículo, aun un se han elaborado. No obstante, la AEPD juega un papel en la elaboración de estas, debido a que será el organismo que deberá autorizar las cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado, que no hayan sido adoptadas por la «Comisión Europea». Es decir, el contrato relativo a la proteccion de datos entre exportador e importador, si no se utilizan las «Cláusulas de la Comisión», necesitarán la aprobación expresa de la AEPD.

¿Cómo suscribir las cláusulas contractuales tipo para el encargo de tratamiento?

Para aplicar cláusulas contractuales tipo para el encargo de tratamiento a un contrato, incorporaremos el anexo de la correspondiente Decisión al contrato principal entre importador y exportador, procurando identificar correctamente a las partes en el mismo. Se deberá incorporar la legislación del Estado miembro que resultará aplicable supletoriamente al RGPD. Como apéndice a las mismas cláusulas se deberá incorporar lo siguiente:

  • Las actividades correspondientes a la transferencia del importador y del exportador.

  • Las categorías de interesados.

  • Las categorías de datos.

  • Categorías especiales de datos

  • Operaciones del tratamiento.

  • Medidas técnicas y organizativas aplicadas para garantizar la seguridad de la transferencia.

  • Incorporar, opcionalmente, una cláusula de responsabilidad.

Conclusiones

Así las cosas, cuando se transfieran datos fuera del «Espacio Económico Europeo» se requerirán garantías, como la suscripción de cláusulas contractuales tipo entre responsable y encargado. De modo contrario, tal y como establece el «artículo 72.1.L de la Ley Orgánica de Protección de Datos» y «Garantía de Derechos Digitales», podría conllevar una infracción muy grave, sancionados con multas de hasta 20 millones de euros.

▸Estimado lector, ¡¡gracias por su tiempo!!

Si te gustó este contenido quizás te interese…

La LOPDGDD y el derecho al testamento digital
Datos especialmente protegidos
Análisis de Riesgos de las Pymes