La legalidad de una transferencia de datos personales fuera de la UE se evalúa con respecto a las garantías apropiadas proporcionadas por el exportador de datos (1). Cuando no hay decisión de adecuada a la Comisión Europea (2), es decir cuando se considera que el país de importación de datos ofrece un nivel adecuado de protección a los datos transferidos, el 'exportador de datos generalmente utiliza las cláusulas contractuales estándar establecidas por la Comisión Europea, a saber, un conjunto de cláusulas estandarizadas y prepropiadas enmarcando la transferencia. Fácil de implementar, estas cláusulas se pueden insertar mediante el Anexo al contrato concluido entre el exportador y el importador de los datos de la UE.

Las cláusulas contractuales estándar, adoptadas sucesivamente en 2001, 2004 y 2010, fueron actualizadas por la Comisión Europea el 4 de junio de 2021 (3). En su mayor parte, las modificaciones tenían como objetivo refinar los tipos de transferencias de datos e integrar las consecuencias de la sentencia de Schrems II del Tribunal de Justicia de la Unión Europea (CJEU - CIO, 14 de febrero de 2022). A los casos preexistentes de transferencias de datos entre un controlador de procesamiento de la UE y un controlador de procesamiento de la UE (Módulo 1) y las transferencias entre un controlador de procesamiento de la UE y un subcontratista fuera de la UE (Módulo 2), ahora se agregan un caso de transferencias entre un subcontrator de la UE y un subcontrator de la UE y Un subcontratista posterior fuera de la UE (módulo 3) y transferencia entre un subcontratista de la UE y un controlador fuera de la UE (Módulo 4). Además, además de algunos detalles y ajustes de consistencia con el GDPR, hay algunas características nuevas, como una cláusula de amarre que permite integrar nuevas entidades en el contrato con el acuerdo de las otras partes o la obligación de que el 'importador informe para informar El exportador de datos en caso de una solicitud de acceso a las autoridades públicas.

Reemplazar las cláusulas existentes: un proceso largo y restrictivo

Se planeó que el nuevo sistema, que entró en vigor desde el 27 de septiembre de 2021, podría coexistir con el mantenimiento de las viejas cláusulas hasta el 27 de diciembre de 2022 para permitir a los administradores de tratamiento reemplazar sus cláusulas.

Es cierto que el proceso de actualización puede ser largo y restrictivo, especialmente para las grandes empresas.

El exportador primero debe identificar todas las transferencias internacionales en cuestión y los contratos relacionados. Esto puede preocuparse, por ejemplo, un contrato de acomodación de datos, el exportador responsable de procesar en Francia y el importador-Heberger en Brasil, o incluso un contrato de subcontratación de la nómina de los empleados entre un tratamiento de exportador de tratamiento ubicado en España y un importador de nómina Ubicado en Marruecos.

Evaluar el impacto de las leyes extranjeras, como la Ley de la nube

Luego, para las transferencias mencionadas por las antiguas cláusulas contractuales estándar en cuanto a las nuevas transferencias que se realizan, es aconsejable llevar a cabo una "evaluación de impacto de transferencia de datos" para evaluar el impacto de las leyes extranjeras en la efectividad de las cláusulas contractuales estándar. Como ilustración, este es el caso de las leyes estadounidenses, como la Ley de la Nube o la Ley de Inteligencia Exterior (FISA), que permiten a los servicios de inteligencia estadounidense acceder a los datos (ver Google Analytics en el visor de las autoridades de control europeasCIO 21 de marzo de 2022). Para que la metodología se implemente, podemos consultar de manera útil el sitio web de CNIL.

Finalmente, si al final del análisis de impacto, el cumplimiento de las cláusulas contractuales estándar es efectivo o que se complementan con otras garantías técnicas (p. Ej. de los equipos) suficiente complementario, el exportador debe firmarlos con el importador.

Mantenga las viejas cláusulas: el riesgo de una multa pesada

Tenga en cuenta que el exportador siempre tiene la posibilidad de completar estas cláusulas con obligaciones y garantías adicionales, en particular al especificar el período dentro del cual el importador debe informar al exportador de la recepción de una solicitud de ejercicio de los derechos. El editor debe tener cuidado de no contradecir las cláusulas estándar, por ejemplo, insertando una cláusula que permite a un subcontratista del importador escapar de la obligación de disputar las solicitudes de acceso ilegal de las autoridades extranjeras. Cuando las cláusulas se apartan de las cláusulas estándar, se considera cláusulas ad hoc que deben ser sometidas al CNIL (4).

Por lo tanto, desde finales de diciembre de 2022, las transferencias cubiertas por las antiguas cláusulas contractuales estándar deben considerarse como transferencias no sujetas a ninguna garantía apropiada en el sentido del artículo 46 del GDPR. Se recordará que tal violación puede ser sancionada por una multa administrativa pesada: ¡hasta 20,000,000 de euros o hasta el 4% de la facturación (5)! Por lo tanto, es urgente cumplir si aún no se ha hecho.

(1) GDPR, Art. 46

(2) GDPR, Art. 45

(3) Decisión de ejecución (UE) 2021/914 de la Comisión del 4 de junio de 2021 relacionada con las cláusulas contractuales estándar para la transferencia de datos personales a terceros países bajo el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo.

[4] GDPR, Art. 46, punto 3, a)

[5] GDPR, Art. 83, punto 5