TRANSFERENCIA DE DATOS PERSONALES A UN TERCER PAÍS
Cláusulas contractuales tipo
Las cláusulas contractuales tipo adoptadas por la Comisión Europea en 2021 pueden ser utilizadas por las empresas como salvaguardia adicional al transferir datos personales a un tercer país.
RGPD- Cláusulas contractuales estándar
Si una empresa utiliza cláusulas contractuales tipo (SCC), no necesita obtener un permiso específico de la autoridad nacional de protección de datos para la transferencia. Tenga en cuenta, sin embargo, que la Comisión Europea puede actualizar las cláusulas contractuales estándar, lo que es importante tener en cuenta, para que las versiones antiguas no válidas no se utilicen por error.
Contratos con cláusulas contractuales tipo
Si una empresa celebra un acuerdo con un operador de un tercer país e incluye cláusulas contractuales tipo adoptadas por la Comisión Europea, normalmente se permiten las transferencias al operador de ese tercer país.
Sin embargo, la empresa puede necesitar tomar más medidas de protección en algunos casos. También es importante tener en cuenta que no está permitido cambiar las cláusulas, pero es posible agregar otras cláusulas que estén relacionadas con el negocio. Tenga en cuenta, sin embargo, que cualquier adición no debe contravenir ninguna de las cláusulas contractuales estándar.
Contenido de las cláusulas contractuales tipo adoptadas por la Comisión Europea
- Obligaciones de las empresas (responsable/encargado del tratamiento) que deseen transferir datos personales a terceros países.
- Obligaciones de la empresa (responsable/encargado del tratamiento) que recibe los datos personales.
- Regulación de los derechos de los interesados.
- Reglas sobre cómo resolver cualquier disputa que surja del acuerdo.
Las cláusulas contractuales tipo contienen disposiciones que se aplican a diferentes tipos de situaciones. La estructura se divide en diferentes «módulos». Las cláusulas contractuales tipo consisten en disposiciones relacionadas con las transferencias de datos personales dentro de los cuatro módulos siguientes:
Módulo 1
Un responsable del tratamiento en la UE a otro responsable del tratamiento en un tercer país
Módulo 2
Un responsable del tratamiento dentro de la UE a un encargado del tratamiento en un tercer país
Un transformador dentro de la UE a otro transformador en un tercer país
Un encargado del tratamiento dentro de la UE a un responsable del tratamiento en un tercer país
Cuando una empresa va a utilizar las cláusulas contractuales estándar, es importante utilizar los módulos adecuados y las disposiciones adecuadas que se ajusten a la situación específica. Además, más de dos partes pueden celebrar el acuerdo entre sí.
Aquí puede leer las últimas versiones de las cláusulas contractuales estándar adoptadas por la Comisión Europea en 2021.
Concluir un Acuerdo de Procesamiento de Datos (DPA)
Cuando un operador procesa datos personales en nombre de un controlador, el procesamiento se lleva a cabo en calidad de procesador. En tales casos, las partes celebrarán un acuerdo de tratamiento de datos entre sí. Además, dicho contrato debe redactarse por escrito para que sea válido con arreglo al artículo 28 del RGPD.
Sin embargo, las partes no necesitan celebrar un acuerdo separado de tratamiento de datos si se trata de una transferencia a un tercer país en el que las empresas hayan adoptado salvaguardias adicionales que incluyan las cláusulas contractuales tipo. Esto se debe a que las últimas versiones de las cláusulas contractuales tipo han incluido disposiciones del artículo 28 del RGPD directamente en los módulos pertinentes contenidos en las cláusulas contractuales tipo.
La Comisión Europea ha elaborado un documento de preguntas y respuestas sobre las cláusulas contractuales tipo, que contiene buena información.
MÁS SOBRE LAS TRANSFERENCIAS DE DATOS PERSONALES A UN TERCER PAÍS
Códigos de conducta o mecanismos de certificación
Una empresa que es un controlador o procesador puede adherirse a un código de conducta aprobado al transferir datos personales. Sin embargo, las autoridades de protección de datos o el Comité Europeo de Protección de Datos no elaboran códigos de conducta. En cambio, es común que las organizaciones que representan a una industria específica elaboren un código de conducta, que beneficia tanto a las pequeñas como a las grandes empresas.