El certificado verde digital y la protección de datos
20 julio 2021
¿Se adecuan sus videoconferencias al RGPD?
14 septiembre 2021
El pasado 4 de junio de 2021 la Comisión publicó las nuevas cláusulas contractuales tipo (en adelante, CCT). El Tribunal de Justicia de la Unión Europea decretó el pasado 16 de julio de 2020 la invalidez del Escudo de Privacidad entre la UE y EUA1. Esta sentencia abogó por el refuerzo de la formalización de cláusulas contractuales tipo para asegurar que se mantendrá un nivel de protección equivalente al garantizado por el RGPD.
Un año después, como conmemoración del hito que supuso esta Sentencia en las transferencias internacionales de datos de carácter personal, analizamos las modificaciones que introduce la decisión de ejecución (UE) 2021/914 relativa a las nuevas CCT para las transferencias de datos personales a terceros países2.
Las CCT constituyen una de las garantías consideradas como adecuadas de las que se enumeran en el artículo 46 del RGPD. Su validez depende de que sean capaces de incorporar mecanismos efectivos que permitan garantizar en la práctica que se ha alcanzado el nivel de protección exigido por el Derecho de la Unión.
1. ENFOQUE MODULAR
Esta Decisión pretende abarcar los múltiples supuestos de transferencia que se dan en la praxis teniendo en cuenta la complejidad que presentan las cadenas de tratamiento actuales.
Módulos:
- -Responsable - Responsable
- -Encargado - Encargado
- -Responsable –Encargado
- -Encargado - Responsable
Cada uno de los módulos de transferencia de la Decisión se estructura en base a los principios del RGPD relativos al tratamiento (art. 5 RGPD). Se establece la posibilidad, en la cláusula 7, de que más de dos partes se puedan adherir a las CCT sin necesidad de realizar ninguna modificación adicional o firmar un clausurado nuevo. Además, regula la figura del subencargado y, ofrece la posibilidad de que se prevea una autorización general por escrito.
Las nuevas cláusulas contractuales tipo, prevén, en el anexo II, ejemplos de las medidas técnicas y organizativas específicas para mantener la privacidad de los datos personales.
2. LAS TRANSFERENCIAS POSTERIORES
Se deberá informar al interesado sobre la existencia o no de la intención de realizar transferencias ulteriores de los datos personales a terceros. En el supuesto en que esté previsto que se realizarán posteriores transferencias, el tercero debe estar vinculado por estas CCT, de lo contrario, deberá demostrar que se cumple otro de los supuestos que prevé la cláusula 8 en su apartado 7.
3. ACCOUNTABILITY O PRINCIPIO DE RESPONSABILIDAD PROACTIVA
Otra de las novedades que se han incorporado en las nuevas cláusulas contractuales tipo es la introducción del principio de responsabilidad activa que emana del RGPD (art. 5.2) que exige al importador no sólo que cumpla con lo que en estas se dispone sino que también sea capaz de demostrarlo. Llega al detalle de determinar algunos elementos para que se pueda realizar una evaluación global y valorar el efecto del derecho del tercer país en la privacidad de los datos de carácter personal, tales como los informes de organismos supervisores independientes y la jurisprudencia, entre otros.
4. DERECHOS DE LOS INTERESADOS
Los derechos del interesado, regidos desde su configuración por el principio de transparencia, se recogen en la cláusula 10 y son muy similares a los que prevé el artículo 13 del RGPD. Se introduce como novedad que las partes deben establecer reglas de responsabilidad y de indemnización. Además, independientemente de la responsabilidad que le atribuye el RGPD al exportador de los datos de carácter personal, rige la regla de la responsabilidad solidaria por lo que el interesado podrá dirigir su reclamación ante cualquiera de las partes involucradas.
5. PERÍODO DE TRANSICIÓN
Las cláusulas contractuales pertenecientes a las Decisiones de la Comisión Europea 2001/497/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. Así mismo, se establece un plazo adicional de 15 meses para que importadores y exportadores dejen de utilizar las CCT establecidas en las referidas Decisiones.
La certificación de DPD se reputa como una herramienta válida y adecuada para evaluar de forma objetiva e imparcial que se posee un nivel de competencia adecuado para el ejercicio de las funciones que esta figura tiene encomendadas. ANF AC, como Entidad de Certificación reconocida por ENAC posee la competencia técnica necesaria para la certificación de DPD conforme al Esquema de la AEPD.
