Las antiguas Cláusulas Contractuales Tipo dejan de ser válidas

Las antiguas Cláusulas Contractuales Tipo dejan de ser válidas

Desde el 27 de diciembre de 2022 ya no son válidos los contratos que contienen las Cláusulas Contractuales Tipo en vigor antes de la actualización por parte de la Comisión Europea el 4 de junio de 2021, derogando las anteriores. De esta forma, las transferencias internacionales de datos no podrán basarse en las anteriores cláusulas contractuales tipo, en vigor antes del 4 de junio del 2021, por lo que todos aquellos contratos que estén basados en estas cláusulas, no tendrán validez. 

Pero recapitulemos.. ¿Qué son las Cláusulas Contractuales Tipo? De acuerdo con el artículo 46.2 del Reglamento General de Protección de Datos (‘RGPD’) las Cláusulas Contractuales Tipo (“SCC” por sus siglas en inglés) son unas de las formas que la normativa habilita para permitir la transferencia internacional de datos fuera de la Unión Europea. 

Y te preguntarás.. ¿Qué son las Transferencias Internacionales de Datos? Las transferencias internacionales de datos personales son un flujo de datos personales desde un territorio dentro del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega) hacia un país fuera del EEE.

Por tanto, cuando te decimos que las SCC de antes del 4 de junio del 2021 ya no son válidas, nos referimos a que todos aquellos contratos firmados en base a las SCC de antes de esta fecha, tendrán que volver a firmarse con las nuevas SCC, que puedes encontrar aquí:https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_es

Finalmente; ¿De qué otros modos puedes hacer transferencias internacionales de datos personales? Podrás realizar transferencias internacionales de datos siempre que el tratamiento de datos observe lo dispuesto en el RGPD y en los siguientes supuestos: 

1. Transferencias basadas en una decisión de adecuación:  Tal y como informa la AEPD, cuando las entidades que reciban los datos se encuentren en un país que haya sido declarado de nivel de protección adecuado por la Comisión Europea. Hasta la fecha los países y territorios están declarados como adecuados:

• Suiza. Decisión 2000/518/CE de la Comisión, de 26 de julio de 2000.
• Canadá. Decisión 2002/2/CE de la Comisión, de 20 de diciembre de 2001
• Argentina. Decisión 2003/490/CE de la Comisión, de 3 de junio de 2003
• Guernsey. Decisión 2003/821/CE de la Comisión, de 21 de noviembre de 2003
• Isla de Man. Decisión 2004/411/CE de la Comisión, de 28 de abril de 2004
• Jersey. Decisión 2008/393/CE de la Comisión, de 8 de mayo 2008
• Islas Feroe. Decisión 2010/146/UE de la Comisión, de 5 de marzo de 2010
• Andorra. Decisión 2010/625/UE de la Comisión, de 19 de octubre de 2010
• Israel. Decisión 2011/61/UE de la Comisión, de 31 de enero de 2011 
• Uruguay. Decisión 2012/484/UE, de la Comisión, de 21 de agosto de 2012
• Nueva Zelanda. Decisión 2013/65/UE de la Comisión, de 19 de diciembre de 2012
• Japón. Decisión de 23 de enero de 2019
• Reino Unido. Decisión de 28 de junio de 2021
• República de Corea. Decisión de 17 de diciembre de 2021

2. Mediante la aportación de garantías adecuadas: Tal y como informa la AEPD, a falta de decisión de adecuación si se ofrecen garantías adecuadas, que podrán ser aportadas a través de:

• Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
• Normas corporativas vinculantes
• Cláusulas tipo de protección de datos adoptadas por la Comisión
• Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
• Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas
• Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.

3. Excepciones para situaciones específicas:  Tal y como informa la AEPD, a falta de decisión de adecuación y de garantías adecuadas únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:

• La persona interesada haya dado explícitamente su consentimiento, después de haber sido informada de los posibles riesgos
• La transferencia sea necesaria para la ejecución de un contrato entre la persona interesada y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud de la persona interesada
• La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
• La transferencia sea necesaria por razones importantes de interés público
• La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
• La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento
• La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta