Ecoley

Bruselas actualiza sus reglas para transferir datos fuera de la Unión

  • Europa exige ahora más control y carga con nuevas obligaciones a las empresas
  • La UE quiere alcanzar el mayor nivel de seguridad sobre los datos personales
La presidenta de la Comisión Europea, Ursula von der Leyen. eE
Madrid

La Comisión Europea ha actualizado sus reglas para las transferencias internacionales de datos. Bruselas refuerza así su normativa, que ahora exige más control en el traslado de los datos y carga con nuevas obligaciones a las empresas que envíen fuera de la Unión Europea esta información.

El Ejecutivo comunitario adoptó el pasado 4 de junio las nuevas cláusulas contractuales tipo como garantía para las transferencias internacionales de datos personales (CCT). La medida pretende responder a dos grandes expectativas, adaptarlas al Reglamento General de Protección de Datos (RGPD) y hacer frente a las exigencias de la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto Schrems II. Las empresas se enfrentarán ahora a un proceso de regularización de las transferencias internacionales de datos personales.

"El objetivo es garantizar un nivel de seguridad adecuado de los datos personales objeto de transferencia", apunta Nikola Kovacic, manager de Privacy, Risk & Compliance en Ecix Group. El despacho realizó recientemente un evento explicativo sobre este asunto para sus clientes. "La reforma crea obligaciones más detalladas, lo que aumenta sustancialmente el nivel de diligencia debida para evaluar el impacto potencial de las leyes locales sobre los datos", añade Kovacic.

"La reforma integra el principio de responsabilidad proactiva", indican los especialistas

La normativa incorpora algunas de las obligaciones señaladas por el TJUE y apoyadas por el CEPD. La suscripción de las CCT actualizadas está condicionada a la realización previa de un análisis de impacto de la transferencia para verificar si el marco legislativo del país de destino es esencialmente equivalente al del país de origen de los datos.

La Comisión ha introducido cierta flexibilidad en relación con los diferentes elementos que pueden tenerse en cuenta para realizar este análisis: puede analizarse desde la jurisprudencia e informes de organismos de supervisión independientes hasta la experiencia práctica documentada del exportador y/o del importador de datos. "Se integra el principio de responsabilidad proactiva al obligar a las partes a demostrar el cumplimiento del contenido de las CCT", explica Nikola Kovacic.

La UE quiere alcanzar el mayor nivel de seguridad sobre los datos personales

La normativa refuerza las obligaciones como el deber del importador de notificar al exportador ante una solicitud de divulgación de datos personales por parte de una autoridad, o el deber del importador de impugnar dicha solicitud y de, incluso, solicitar medidas cautelares si considera que existen razones suficientes para hacerlo. Asimismo, si un importador notifica al exportador la imposibilidad de cumplir con las CCT actualizadas, el exportador puede identificar medidas adicionales para mitigar el riesgo del incumplimiento. Si las medidas adicionales no permiten mitigar debidamente los riesgos, el exportador deberá suspender la transferencia.

"Además, se admiten las transferencias ulteriores por parte de los importadores de datos a otros destinatarios para el ejercicio de reclamaciones legales relacionadas con procedimientos administrativos, judiciales o reglamentarios, así como para proteger intereses vitales del interesado u otra persona física", señala Kovacic.

Con respecto al derecho del exportador de datos a obtener, previa solicitud, una copia de los contratos de subencargo del importador, se aclara que el importador puede reservarse la facultad de redactar el contrato de forma que proteja sus secretos comerciales u otra información confidencial. Se trata de una mejora con respecto a las anteriores CCT que preveían la obligación de proporcionar copias sobre información comercial sin autorización.

Kovacic apunta que "se incorporan apartados expresamente previstos en el RGPD como la gestión de brechas de seguridad o la referencia a las medidas técnicas y organizativas del artículo 32 del RGPD". Según explica, "las partes deben describir las medidas de seguridad técnicas y organizativas aplicadas, que incluirán las medidas adoptadas para ayudar a responder a las solicitudes de los interesados".

Otra de las novedades es que la reforma amplía el ámbito de aplicación con respecto a las anteriores CCT, pues se prevén hasta cuatro relaciones: responsable-responsable; responsable-encargado; encargado-encargado; y, para finalizar, encargado-responsable.

comentarios0WhatsAppWhatsAppFacebookFacebookTwitterTwitterLinkedinlinkedin