Según el RGPD, para transferir datos personales fuera de la Unión Europea, debe asegurarse de que existen normas específicas de protección de datos. Si no las hay, las transferencias no están permitidas.
Sin embargo, para que las transferencias sean posibles, existen varias bases jurídicas en las que puede apoyarse. Una de ellas son las Cláusulas Contractuales Tipo (CCT).
En esta breve guía, le explicaremos todo lo que necesita saber sobre las Cláusulas Contractuales Tipo, cuándo puede necesitar recurrir a las CEC y qué debe hacer para transferir datos fuera de la UE.
Las cláusulas contractuales tipo (CCC) son cláusulas estandarizadas, aprobadas por la Comisión Europea, que permiten las transferencias de datos fuera del Espacio Económico Europeo (EEE).
Ambas partes implicadas en la transferencia deben firmar un acuerdo que contenga las Cláusulas Contractuales Tipo, sin alterar su texto. Como afirma la Comisión Europea, las CEC pueden añadirse en cualquier “acuerdo contractual” entre las partes.
👉 Las cláusulas contractuales tipo se mencionaron por primera vez en la Directiva sobre protección de datos de 1995. Según esta Directiva, las transferencias de datos fuera de la UE solo se permitían cuando se cumplían determinadas normas de protección de datos, o cuando existían Cláusulas Contractuales Tipo. En 2018, el RGPD sustituyó a la Directiva de protección de datos, manteniendo la misma mención a las CEC.
👉 Un avance rápido hasta julio de 2020, la sentencia Schrems II invalidó el acuerdo de transferencia entre la UE y EE.UU., el Escudo de la privacidad. Los SCC se han convertido en esenciales para cualquier tipo de transferencia de datos entre estos países. Sin embargo, no son vinculantes para el gobierno estadounidense, sino solo para la empresa que firma el acuerdo.
👉 Para hacer frente a los retos actuales y facilitar la transferencia de datos entre la UE y EE.UU., la Comisión Europea revisó las cláusulas. El 4 de junio de 2021, la Comisión adoptó dos conjuntos de Cláusulas Contractuales Tipo:
Los SCC no siempre son necesarios.
De hecho, primero debe comprobar si existe una decisión de adecuación. Normalmente, cuando el nivel de protección de datos es el mismo que el del RGPD, la Comisión Europea emite una decisión de adecuación. En ese caso, no hay necesidad de cláusulas contractuales tipo.
💡 Hasta ahora, los únicos países para los que la Comisión Europea ha emitido una decisión de adecuación son: Andorra, Argentina, Canada (organizaciones comerciales), Faroe Islands, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, República de Corea, Suiza, the Reino Unido and Uruguay.
Una vez que esté seguro de este aspecto, también tiene que asegurarse de que las CEC son el mecanismo que se aplica a su actividad. Si es así, tendrá que firmar un acuerdo que contenga Cláusulas Contractuales Tipo.
Si transfieres datos fuera del EEE, también tienes que indicarlo en tu política de privacidad. Con iubenda, esto es realmente fácil:
Como ya hemos dicho, las cláusulas contractuales tipo pueden añadirse a cualquier acuerdo que tenga con la parte a la que transfiere los datos, o pueden constituir un documento por sí solas.
Crear sus SCC es más fácil de lo que cree, porque tiene que seguir estrictamente el texto sugerido por la Comisión Europea.
Sí, las Cláusulas Contractuales Tipo no son la única forma de transferir datos fuera del EEE, tiene otras alternativas:
¡Si está transfiriendo datos, debe revelarlo en su política de privacidad! No hacerlo, podría invalidar tu actividad.
Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.
