El pasado 4 de junio la Comisión Europea publicó las nuevas cláusulas contractuales tipo para la transferencia de datos personales a terceros países desde la UE. Estas nuevas cláusulas se adaptan a los requerimientos marcados por el Reglamento General de Protección de Datos (RGPD) e implican la derogación de las anteriores cláusulas del 2001 y del 2010.
Las nuevas cláusulas contractuales tipo ofrecen un soporte legal a las exportaciones de datos. Cualquier empresa de la UE, sin perjuicio de su deber de determinar la causa de legitimación del tratamiento, pueden usar estas cláusulas cuando exporte datos de sus empleados, clientes o usuarios. Las cláusulas se pueden usar como parte integrante del contrato de servicios entre la empresa exportadora y la importadora o ser añadidas como anexo al contrato.
A menudo, las empresas no son conscientes de que están exportando datos a empresas situadas en otros países. Por ello, en primer lugar, las compañías que trabajen con datos deben conocer si están realizado transferencias internacionales de datos y, en consecuencia, comprender cuándo una empresa actúa como exportadora o importadora de datos.
Qué es una transferencia internacional de datos
Una transferencia internacional de datos se produce siempre que una empresa de fuera de la UE tiene acceso a datos, bien porque se los han cedido y tiene permiso para tratarlos para sus propias finalidades, bien porque se ha contratado con ella la prestación de un servicio para el cual es necesario gestionar información de carácter personal. Esta gestión de datos se produce siempre que, como consecuencia de la prestación del servicio contratado, la empresa contratada realiza, entre otras, alguna de las siguientes actividades: almacenar, modificar, extraer, registrar, guardar, consultar, usar, comunicar, copiar, acceder, suprimir o destruir datos.
La contratación por parte de las empresas de servicios de almacenamiento y gestión de la información en la nube, el correo electrónico, la publicidad, las videoconferencias, las apps de dispositivos o navegadores, la realización de encuestas, la contabilidad, la gestión de empleados, etc., son todas ellas, acciones llevadas a cabo, directa o indirectamente, de forma muy frecuente y, en ocasiones, inadvertida, con empresas de fuera de la UE.
Empresa importadora de datos, empresa exportadora
En lo que se refiere a la clasificación de las empresas según el origen o destino de los datos, se considerará como empresa exportadora de datos aquella situada en la UE e importadora aquella que realiza alguno de los tratamientos de datos indicados desde fuera de la UE. Se pueden dar situaciones algo más complejas como, por ejemplo, que la empresa que presta el servicio esté situada en la UE pero realice los tratamientos en algún otro país de fuera de la UE. En estos casos, resulta imprescindible preguntar donde se realizan los tratamientos para valorar si se considera una exportación o no.
Por otro lado, las empresas deben tener una relación actualizada de todas las compañías a las que pueden ceder datos o que pueden tener acceso a los mismos. En este caso, es necesario identificar cuáles de estas empresas tienen domicilio fuera de la Unión Europea y, en el caso de que estén en la UE, cuáles realizan tratamiento de datos fuera de la UE o subcontratan servicios a otras entidades de fuera de la UE.
Una vez identificadas las empresas de fuera de la UE a las que se ceden los datos o que tienen acceso a los mismos, y siempre que no estén situadas en un país sobre el que la Comisión Europea haya manifestado que ofrece un nivel de protección de datos adecuado o similar la UE, se podrán utilizar las cláusulas que ha aprobado la UE para “legalizar” las transferencias. Existen otras herramientas o medios para realizarlo, pero la forma más habitual de hacerlo es a través de las cláusulas tipo. Todo ello sin perjuicio del deber determinar la causa de legitimación del tratamiento.
En la práctica, cuando una empresa exportadora cede los datos o permite el acceso a los mismos, la capacidad de negociación con la empresa importadora es muy limitada. Por ello, es muy importante que la empresa exportadora sea diligente a la hora seleccionar a la empresa importadora y tener en cuenta si esta dispone o no de las cláusulas tipo aprobadas por la Comisión, entre otras cuestiones.
Plazos de aplicación de la nueva normativa
En los casos que las empresas hayan venido usando las cláusulas de 2001 o 2010, tienen hasta principios de noviembre del 2022 como fecha límite para actualizarlas, de acuerdo con alguno de los cuatro modelos que se proponen.
Una de las cuestiones destacadas que se incluyen en las nuevas cláusulas, como consecuencia de sentencia del TJUE y de las recomendaciones del Comité Europeo de Protección de Datos, es la necesidad de que las empresas exportadoras de datos realicen un análisis de la normativa aplicable en el país importador de datos y de que analicen la posibilidad de que los poderes públicos del país importador accedan a datos personales de residentes de la UE y, en caso ese, adopten las medidas necesarias para salvaguardar el derecho a la protección de datos.