Aprovechando la reciente publicación por parte de la Comisión Europea de las nuevas cláusulas tipo actualizadas para contratos de encargados del tratamiento y para las transferencias internacionales de datos (echa un vistazo aquí a la Decisión), derivadas de las acciones del señor Schrems ante los Tribunales de Justicia (sí, otra vez), vamos a tratar de las transferencias esas a las que nadie conoce.
A estas alturas el tema de los encargados del tratamiento se va teniendo claro: son aquellos terceros que prestan un servicio que supone o puede suponer el acceso a tratamientos de datos. El caso típico es el de la asesoría laboral que hace las altas de los trabajadores, las nóminas… a partir de ahí a veces la cosa se complica e identificar cuándo estamos ante un encargo del tratamiento o una comunicación de datos (vulgarmente una cesión de datos) no es tan sencilla o requiere darle una vuelta a esto de la protección de datos.
En el caso de las transferencias internacionales de datos (aquellas que se realizan fuera del Espacio Económico Común, que no la Unión Europea), la cosa se complica. Básicamente porque cuando preguntas si se llevan a cabo, la primera respuesta suele ser un “No, nosotros no hacemos nada de eso” – Ya, pero usan Google… – “sí, eso sí” – ah, y ¿usan Mailchimp? – “sí, sí, Mailchimp también” – ah y este ERP en la nube, ¿dónde está alojado? – “ah, no sé la verdad, eso lo contrató el que nos lleva los ordenadores”. Pues eso: esas transferencias de las que usted me habla.
Así que, como decía mi profe de guitarra: al lío, que estamos perdiendo el tiempo. Resulta que para que estas transferencias internacionales de datos se adecuen al RGPD (nuestro texto sagrado, da igual que crea en él o no, el RGPD cree en usted) y siempre que no sea a un país con un nivel adecuado (cosa que puede consultar en esta lista de aquí), debemos contar con alguna de estas herramientas (sí, hay más supuestos y los veremos pero, como diría Máximo Décimo Meridio, “aún no):
a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
b) Normas corporativas vinculantes (por ejemplo, entre empresas pertenecientes al mismo grupo empresarial)
d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas
f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas.
g) Cláusulas tipo de protección de datos adoptadas por la Comisión.
Y aquí es dónde se masca la chicha.
Primero porque si somos de esos avezados y excéntricos que firmaron contratos basados en cláusulas contractuales tipo (CCT) regulando transferencias internacionales de datos, tenemos un plazo de 15 meses para adaptarnos a las nuevas.
Segundo porque si no lo somos, tal vez deberíamos unirnos al club, especialmente cuando el regulador, al adoptar esta Decisión, ha relajado la adopción de medidas adicionales, en el sentido de que si el Responsable del Tratamiento entiende que con las CCT es suficiente, pues es suficiente. Y este mismo es el criterio que sigue, como no podía ser de otra manera, el EDPB (European Data Protection Board o Comité Europeo de Protección de Datos).
¿Y ya está? Bueno, una justificación del porqué no vamos a adoptar esas medidas adicionales no está mal, básicamente de por qué en el supuesto de que en el país de destino las normas sean enrevesadas, a mí no me afectan, ya que como el RGPD nos pide proactividad y el coso ese de la accountability, está bien poder justificar el motivo por el que creemos que es suficiente.
Por si sirve de ayuda, os dejo una chuleta para el seguimiento de contratos-encargados del tratamiento. Feel free to take it as yours 🙂