Las garantías que incorporan las nuevas cláusulas tipo para intercambiar datos con EE. UU.

La Comisión Europea ha aprobado dos nuevas cláusulas contractuales tipo para el intercambio de datos personales a un tercer país que no ha sido reconocido como adecuado por el Ejecutivo comunitario. Esta decisión va en la línea del Reglamento General de Protección de Datos (RGPD) y de la reciente sentencia del Tribunal de Justicia de la Unión Europea en el asunto "Schrems II", que invalidó el acuerdo de garantías para facilitar las transferencias de datos personales desde Europa hacia los Estados Unidos.

En concreto, estas cláusulas se incluyen un contrato a suscribir entre la entidad que exporta los datos a una entidad ubicada en un tercer país (“exportador”), y la entidad que importa o recibe los datos en dicho tercer país (“importador”). Su objetivo es garantizar la seguridad de los datos personales objeto de transferencia.

Y es que, tras la entrada en vigor del Reglamento General de Protección de Datos en 2018, las garantías ofrecidas por las cláusulas que se van a derogar, de 2001 y 2010, eran menores que las contenidas en la propia norma. En este sentido, Joaquin Munoz, socio de la firma jurídica Bird & Bird, explica que la publicación de este nuevo modelo “es una muy buena noticia que da certidumbre a las empresas europeas que contratan servicios a empresas fuera de la Unión Europea. El objetivo de estas cláusulas tipo es garantizar la seguridad de los datos personales objeto de transferencia. Para ello, estipulan una serie de medidas legales, técnicas y organizativas que deben comprometerse a cumplir los importadores de datos”.

En concreto, la actualización “implementa las nuevas obligaciones que emanan del Reglamento General de Protección de Datos como el principio de responsabilidad proactiva tanto del exportador de datos como del importador”. Además, “expanden el ámbito de aplicación, previendo hasta cuatro supuestos o módulos (responsable–responsable; responsable– encargado; encargado–encargado; y encargado exportador–responsable importador)". En particular, "la versión anterior no preveía un módulo encargado–encargado, lo que en ocasiones obligaba a las empresas a recurrir a figuras legales específicas, como el mandato ad hoc, para realizar la transferencia internacional", señala el jurista. Pero esta cuestión queda resuelta ahora con la inclusión de estas medidas específicas para regular la transferencia. 

Pese a ello, las nuevas cláusulas tipo “no son un mecanismo automático de legitimación que exonere a las entidades del cumplimiento de otras medidas previas para validar las transferencias como son, entre otras, la realización previa de un análisis de impacto de la transferencia, a fin de verificar si el marco legislativo del país en el que se ubica el importador es esencialmente equivalente al marco legislativo del exportador o el deber del importador de notificar al exportador ante una solicitud de divulgación de datos personales por parte de una autoridad”, concluye Munoz.

Las cláusulas vigentes serán derogadas dentro de tres meses, si bien a partir de entonces se abre un periodo de 15 meses para que exportadores e importadores se adapten a las nuevas cláusulas contractuales tipo. No obstante, el uso de estas durante este periodo de transición está condicionado a que sean capaces de garantizar la seguridad de los datos personales.