El pasado 4 de junio de 2021, la Comisión Europea publicó el nuevo conjunto de cláusulas contractuales tipo, en inglés, Standart Contractual Clause (SCC), que entrarán en vigor el próximo 27 de septiembre de 2021, derogando las decisiones anteriores 2001/497/CE, 2004/915/CE y 2010/87/UE.
Las anteriores cláusulas contractuales tipo seguían pendientes de revisión a raíz del Reglamento General de Protección de Datos, y de la Sentencia Schrems II del Tribunal de Justicia de la Unión Europea, que consideró que en algunas ocasiones la firma de dichas cláusulas no era suficiente para garantizar un nivel adecuado de protección.
Las nuevas cláusulas, que constituyen un mecanismo legal para el tratamiento transfronterizo de datos de personas de la UE, por parte de entidades de terceros países, presentan una estructura diferente a las anteriores, incluyendo varios escenarios para las transferencias: entre responsable y responsable, entre responsable y encargado, entre encargados o entre encargado y responsable. De ese modo, se adaptan a cada contexto posible, e incluso, sustituyen a los contratos de responsable-encargado del tratamiento.
Asimismo, las cláusulas se estructuran en cuatro secciones y tres anexos, la primera con las características generales del tratamiento en concreto, la segunda que establece las obligaciones de las partes, la tercera sobre derecho local y obligaciones en caso de acceso por parte de las autoridades locales, y una cuarta sobre disposiciones finales. Los anexos son necesarios en función del escenario elegido, y se refieren a las medidas técnicas y organizativas y a los subencargados del tratamiento.
Los contratos celebrados con arreglo a las decisiones 2001/497/CE, 2004/915/CE y 2010/87/UE antes del próximo 27 de septiembre, serán válidos hasta el 27 de septiembre de 2022, siempre que no se produzcan cambios en las actividades del tratamiento sujetas a transferencias. De esta manera, se establece un período de transición de 15 meses para la adaptación de las cláusulas.
En otro orden de cosas, informar que, finalmente, el pasado 28 de junio, la Comisión Europea dictó una decisión de adecuación para Reino Unido, otorgando un nivel adecuado de protección de datos a dicho país. Nueva decision de la Comisión Europea respecto al Reino Unido (Uk COMMISSION IMPLEMENTING DECISION of 28.6.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom).
Con esta decisión se zanja la problemática salida del Reino Unido de la Unión Europea en materia de protección de datos que comentábamos en nuestro post.
La Agencia Inglesa de Protección de Datos ha informado a través de su página web que está elaborando una guía para facilitar el trabajo a los responsables, encargados y delegados de protección de datos.
Por último, en relación con la Decisión (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020, comentar que, por el momento, no ha habido ningún cambio al respecto.
Según explicábamos en nuestro post, hace aproximadamente un año, EEUU perdió la condición de Destinatario declarado de nivel adecuado por la Comisión Europea, a raíz de la Decisión invalidada por el Tribunal de Justicia de la Unión Europea (TJUE) el 17 de julio de 2020.
Comentarios
No hay comentarios