Transferencia de datos personales a un tercer país: cláusulas contractuales estándar

Servicio

La transferencia de datos personales a un tercer país (fuera del EEE) está asociada con reglas específicas del GDPR, que están destinadas a garantizar que, en caso de dicha transferencia de datos, el nivel de protección de las personas físicas garantizado en el GDPR no sea violado. La transferencia de datos personales a un tercer país u organización internacional de acuerdo con el GDPR, en principio, solo puede tener lugar si el controlador y el procesador cumplen ciertas condiciones, que incluyen, entre otras, sobre la transferencia ulterior de datos a otro tercer país. La Comisión Europea determina un nivel adecuado de protección en forma de decisión. Pero, ¿qué pasa si no hay una decisión adecuada para la transferencia planificada? La solución puede ser utilizar el llamado cláusulas contractuales estándar. ¡Puede obtener más información sobre este método de legalización de la transferencia de datos en este artículo!

Legalización de la transferencia de datos - reglas generales

De conformidad con el considerando 108 del RGPD, si la Comisión Europea no logra determinar un nivel adecuado de protección de datos, el controlador o procesador debe aplicar medidas para compensar la falta de protección de datos en un tercer país, proporcionando al interesado las garantías adecuadas.

El RGPD indica varias formas de garantizar la protección de los datos transferidos. Algunos de ellos requieren, y otros no, aprobación adicional por parte de la autoridad supervisora. Entre los que requieren un permiso, se pueden mencionar, entre otros, la llamada Acuerdos ad hoc para proteger los datos personales transferidos a un tercer país, cuyo contenido ha sido acordado individualmente por las partes. Dicho contrato, para que sea una base legal para la transferencia, primero debe ser verificado por la autoridad supervisora.

Sin embargo, la entidad que planifica la transferencia de datos puede elegir uno de los métodos de legalización que no requieren el consentimiento de la autoridad de control, que incluyen, entre otros:

  • normas corporativas vinculantes: las políticas de protección de datos personales aplicadas por un controlador o un procesador con una unidad organizativa en el territorio de un Estado miembro, para transferencias únicas o múltiples de datos personales a un controlador o procesador en al menos un tercio país dentro de un grupo de empresas o de un grupo de empresarios que realizan una actividad económica conjunta;

  • códigos de conducta industriales aprobados elaborados por entidades que representan determinadas categorías de controladores o procesadores;

  • mecanismos de certificación aprobados;

  • cláusulas estándar de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión Europea;

  • cláusulas estándar de protección de datos adoptadas por la Comisión Europea.

Transferencia de datos personales a un tercer país: ¿qué son las cláusulas contractuales estándar?

Según el RGPD, cuando la transferencia se realiza sobre la base de cláusulas contractuales estándar, se considera que se han proporcionado las garantías de protección de datos adecuadas. Es importante destacar que, para que tal mecanismo legalice la transferencia de manera efectiva, las partes deben concluir un acuerdo sobre la base del contenido inalterado de las cláusulas estándar. Las cláusulas contractuales estándar introducidas en el contrato sin cambios legalizan la transferencia de datos personales a un tercer país (fuera del EEE).

Las cláusulas contractuales estándar son contratos modelo para la protección de datos personales que han sido aprobados por decisión de la Comisión Europea. Hasta el momento, la Comisión Europea ha emitido tres decisiones:

  1. Decisión nº 2001/497 / CE de 15 de junio de 2001 sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países en virtud de la Directiva 95/46 / CE (Revista de leyes de la UE L nº 181, p. 19);

  2. Decisión No 2004/915 / CE, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497 / CE en lo que respecta a la introducción de un conjunto alternativo de cláusulas contractuales estándar para la transferencia de datos personales a terceros países (DO L No 385, p. 19 );

  3. Decisión n. ° 2010/87 / UE de 5 de febrero de 2010 sobre cláusulas contractuales estándar para la transferencia de datos personales a procesadores de datos establecidos en terceros países en virtud de la Directiva 95/46 / CE del Parlamento Europeo y del Consejo (Journal of Laws EU L Núm. 39, pág.5).

La decisión mencionada en el punto 3 anterior se refiere a la transferencia de datos personales fuera del EEE llevada a cabo entre el administrador y el procesador y, por lo tanto, estas cláusulas implementan la obligación de celebrar un acuerdo de procesamiento de datos. Otras decisiones, sin embargo, incluyen cláusulas aplicables a las transferencias entre dos controladores (esta será una situación en la que cada entidad tiene sus propios fines para el procesamiento de datos personales), y difieren en los mecanismos de protección de datos personales aplicados. Actualmente tenemos la opción de utilizar tres conjuntos de cláusulas modelo. Su contenido está disponible, entre otros, en los sitios web de la Comisión Europea.

2001 cláusulas específicas de una relación entre dos administradores

Si la transferencia de datos personales a un tercer país (fuera del EEE) se refiere a operaciones sobre datos personales entre dos controladores, es posible legalizar la transferencia utilizando las disposiciones de 2001 o 2004. Nos ocupamos de la relación administrador-administrador cuando cada parte de una relación determinada tiene sus propios fines para el tratamiento de los datos personales que son objeto de la transferencia.

Las cláusulas de 2001 imponen una serie de obligaciones al exportador de datos a un tercer país. El administrador que proporciona datos en virtud del contrato se compromete, entre otras cosas, tratar los datos personales de acuerdo con la ley que le sea de aplicación. Además, el administrador está obligado a informar a los interesados ​​que están siendo transferidos y, a petición de estas personas, poner a disposición para inspección el contrato celebrado con la entidad del tercer país. En el contrato, el controlador también se compromete a responder preguntas sobre el procesamiento de los datos transferidos.

A su vez, el recopilador de datos se compromete a procesar los datos personales de una manera que tenga en cuenta los principios clave de la protección de datos personales en el sentido de la legislación de la UE. Los apéndices de las cláusulas contienen dos conjuntos propuestos de tales reglas que serán seleccionadas por las partes del contrato. Además, sobre la base de las cláusulas, el responsable del tratamiento que recibe los datos se compromete a someterse a un procedimiento de auditoría.

Las cláusulas introducen una regla especial según la cual las partes acuerdan que las personas cuyos datos se transfieren pueden referirse a las disposiciones del acuerdo entre los responsables del tratamiento. Las partes del contrato son solidariamente responsables frente a estas personas, lo que significa que el interesado puede reclamar una indemnización por la violación de sus derechos a cualquiera de los responsables del tratamiento en su totalidad, independientemente del grado de culpabilidad en el caso de un dato determinado. incumplimiento. Un controlador determinado no será responsable ante el interesado solo si demuestra que ninguno de los controladores es responsable de una infracción determinada. Las cláusulas de 2001 establecen normas específicas de responsabilidad hacia los interesados. Los responsables del tratamiento son solidariamente responsables de cualquier violación de datos. El controlador en cuestión solo no es responsable si puede demostrar que ninguno de los controladores es responsable del incumplimiento.

¡Comience un período de prueba gratuito de 30 días sin condiciones!

2004 cláusulas específicas de una relación entre dos administradores

Las cláusulas contractuales estándar de 2004 son, como en el caso de las cláusulas de 2001, un acuerdo modelo apropiado para la relación entre dos controladores de datos personales.

La principal diferencia es la diferente regulación de la responsabilidad de las partes.En este caso, cada administrador es el único responsable de sus propias infracciones. La responsabilidad se basa en un deber de diligencia. El administrador que transfiere datos a un tercer país es, además, responsable de la llamada error en la selección, es decir, por no ejercer la debida diligencia en la verificación del administrador que es el destinatario de los datos personales. La principal diferencia entre las cláusulas de 2001 y las cláusulas de 2004 son los principios de responsabilidad por violaciones de la protección de datos. En el caso de las cláusulas de 2004, cada responsable del tratamiento es responsable de sus propias infracciones.

Además, se impusieron obligaciones adicionales al controlador de datos para manejar las quejas de los interesados. Las reglas para realizar una auditoría al administrador que recibe los datos personales se han regulado de forma algo más flexible. Este conjunto de cláusulas también permite, bajo ciertas condiciones, la transferencia ulterior de datos personales.

Las cláusulas de 2004 ofrecen una alternativa para que el administrador elija qué reglas le convienen más. Sin embargo, conviene recordar que no es posible combinar los dos regímenes ni modificar disposiciones individuales en las fórmulas establecidas por la Comisión Europea.

Cláusulas de 2010 en la relación administrador-procesador

Las cláusulas contractuales estándar de 2010 se aplican a las operaciones de procesamiento que consisten en confiar el procesamiento de datos personales por parte del administrador a una entidad fuera del EEE. Según el RGPD, un procesador es una entidad que actúa en nombre y sobre la base de las instrucciones del administrador. El administrador supervisa el procesamiento de datos por parte del procesador.

Las cláusulas regulan, entre otras cosas, la cuestión de garantizar el cumplimiento del tratamiento de datos por parte del encargado del tratamiento con las instrucciones del administrador, las normas de protección de datos aplicables y las disposiciones legales. Si el procesador no puede proporcionar dicho cumplimiento, es su responsabilidad informar al controlador de este hecho. En este caso, el administrador puede suspender la transferencia de datos e incluso rescindir el contrato.

Además, el contrato permite el subprocesamiento de datos personales por parte del procesador solo después de obtener el consentimiento previo del administrador y con la condición de celebrar un acuerdo análogo a las cláusulas del procesador por parte del procesador con un procesador adicional. Es importante destacar que el subprocesador debe dar su consentimiento a la auditoría de su organización por parte de la autoridad de control competente para el administrador.