Las cláusulas contractuales tipo o SCC (Standard Contractual Clauses) aprobadas por la Comisión Europea son aquellas cláusulas que permiten transferir datos personales entre la Unión Europea y un país tercero no miembro de la Unión Europea.

Las cláusulas contractuales tipo o SCC (Standard Contractual Clauses) aprobadas por la Comisión Europea son aquellas cláusulas que permiten transferir datos personales entre la Unión Europea y un país tercero no miembro de la Unión Europea, cuya legislación no posea las garantías necesarias en materia de protección de datos y no cumpla con los criterios impuestos por la misma Unión Europea.  

Estas cláusulas están reguladas por varias decisiones de la Comisión Europea: 

• Decisión nº 2016/2297/UE, que modifica la decisión de 2010/87/UE. 

• Decisión nº 2004/915/CE que modifica la decisión de 2001/497/CE.  

Además de las anteriores decisiones que regulan las cláusulas contractuales tipo, el propio Reglamento Europeo de Protección de Datos (“RGPD”), también contempla las transferencias internacionales entre la Unión Europea y países terceros de fuera de la Unión Europea, mediante garantías adecuadas de protección de datos. 

Las cláusulas contractuales tipo son un instrumento jurídico que permite que los Responsables de Tratamiento puedan realizar transferencias internacionales con las debidas garantías, mediante la suscripción de un contrato entre el “exportador” de datos y el “importador” de datos, donde éste último se compromete al tratamiento de dichos datos bajo las exigencias del RGPD.  

Para suscribir un contrato con un Encargado de Tratamiento de un tercer país se deben tener en cuenta un seguido de ítems:  

• Las actividades correspondientes a la transferencia del importador y del exportador. 

• Las categorías de los interesados. 

• Las categorías de los datos. 

• Categorías especiales de los datos 

• Operaciones del tratamiento. 

• Medidas técnicas y organizativas aplicadas para garantizar la seguridad de la transferencia. 

• Incorporar, opcionalmente, una cláusula de responsabilidad 

 

El impacto de las sentencias Schrem I y II en las transferencias internacionales: 

El pasado día 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea dictó la segunda sentencia del “caso Shrems”, una de las sentencias más importantes para el Derecho europeo de protección de datos personales. Las sentencias Schrem I y II han significado el establecimiento de los posibles límites en las trasnferencias internacionales, ya que han conllevado que las autoridades nacionales de control puedan incluso prohibir las transferencias realizadas bajo las SCC siempre que: 

1. Las partes contratantes no cumplan con las cláusulas tipo. 

2. La normativa del tercer país implique la supresión de garantías de protección al interesado que las SCC ofrecen.  

Este último punto (ii) es el que ha afectado a las transferencias internaciones de datos a los Estados Unidos, ya que, a pesar de que las partes contratantes respetaban y cumplían con las disposiciones de las SCC, no lo hacían con la normativa estadounidense. Esto fue debido a que las SCC no vinculan a las autoridades públicas, de esta manera, permitían que las agencias de seguridad del país pudieran acceder a los datos personales transferidos, y, en consecuencia, se estuviera vulnerando la legislación europea en protección de datos y se pusiera en riesgo los derechos y libertades de los interesados.  

Por este motivo, el Tribunal de Justicia de la Unión Europea ha invalidado el escudo de privacidad, más conocido como Privacy Shield.  

Las SCC siguen siendo válidas y son uno de los medios más usados para realizar transferencias internacionales de datos seguras entre países transfronterizos. Ahora es necesario que las partes contratantes comprueben si la legislación nacional de destino de los datos a transferir suprima o no las garantías de las SCC, de modo que, si existe riesgo y perjuicio para el interesado de dichas transferencias las autoridades de control europeas podrán prohibir dichas transferencias. 

En OptimumTIC ofrecemos servicios de asesoría legal en materia de protección de datos desde nuestros inicios en 2009, disponiendo certificaciones en las mejores plataformas de Compliance como es OneTRUST, la cual disponemos también interno desde 2016.  

Nuestro equipo de Compliance está formado por abogados expertos en materia de protección de datos, criminalistas y compliance,  hecho que nos permite ofrecer un servicio de asesoría legal transversal desde el marco de seguridad actualizado y de calidad.  

Si desea más información sobre nuestros servicios o productos, puede contactar con nosotros sin compromiso a través de nuestra página web: www.optimumtic.com o escribiéndonos a info@optimumtic.com