El EDPB y el SEPD han adoptado dictámenes conjuntos sobre dos conjuntos de cláusulas contractuales estándar (CCS). Un dictamen sobre las CCS para los contratos entre responsables y encargados del tratamiento y otro sobre las CCS para la transferencia de datos personales a terceros países.
Las CCS de Responsable-Encargado tendrán un efecto en toda la UE y tendrán como objetivo garantizar la plena armonización y la seguridad jurídica en toda la UE en lo que respecta a los contratos entre Responsables y sus Encargados.
Andrea Jelinek, presidenta del EDPB, dijo : “El EDPB y el SEPD dan la bienvenida a las CCS Responsable-Encargado como una herramienta de responsabilidad única, sólida y en toda la UE que facilitará el cumplimiento de las disposiciones tanto del GDPR 2016/679 como de la EUDPR. Entre otros, el EDPB y el SEPD solicitan que se proporcione suficiente claridad a las partes en cuanto a las situaciones en las que pueden confiar en estas CCS, y hacen hincapié en que no deben excluirse las situaciones que impliquen transferencias fuera de la UE «.
Se solicitaron varias enmiendas para aportar más claridad al texto y garantizar su utilidad práctica en las operaciones diarias de los Responsables y Encargados estos incluyen la interacción entre los dos documentos, la llamada «cláusula de acoplamiento» que permite que entidades adicionales accedan a las CCS, y otros aspectos relacionados con las obligaciones de los Responsables. Además, el EDPB y el SEPD sugieren que los anexos de las CCS aclaren en la mayor medida posible las funciones y responsabilidades de cada una de las partes con respecto a cada actividad de tratamiento; cualquier ambigüedad dificultaría que los Responsables del Tratamiento o los Encargados del Tratamiento cumplan sus obligaciones en virtud de el principio de responsabilidad.
Wojciech Wiewiórowski, SEPD, dijo : “Estamos convencidos de que estas CCS pueden facilitar el cumplimiento de los Responsables del Tratamiento y los Encargados del Tratamiento con sus obligaciones, tanto en el marco del RGPD 2016/679 como en el marco legal de las instituciones y organismos de la UE. Además, esperamos que estas CCS garanticen una mayor armonización y seguridad jurídica para las personas y sus datos personales. Es en este contexto que nuestro objetivo es hacer que estos documentos estén lo más preparados posible para el futuro «.
Los proyectos de CCS para la transferencia de datos personales a terceros países de conformidad con el art. 46 (2) (c) GDPR 2016/679 reemplazará los CCS existentes para transferencias internacionales que se adoptaron sobre la base de la Directiva 95/46 y debían actualizarse para adecuarlos a los requisitos de GDPR 2016/679, así como para tener en cuenta el TJUE ‘ Schrems II, y para reflejar mejor el uso generalizado de operaciones de procesamiento nuevas y más complejas que a menudo involucran a múltiples importadores y exportadores de datos. En particular, las nuevas CCS incluyen salvaguardias más específicas en caso de que las leyes del país de destino afecten el cumplimiento de las cláusulas, en particular en el caso de solicitudes vinculantes de las autoridades públicas para la divulgación de datos personales.
Wojciech Wiewiórowski, SEPD, dijo : “Dada nuestra experiencia práctica, hemos realizado estos comentarios para mejorar estas CCS con el fin de garantizar plenamente que los datos personales de los ciudadanos de la UE reciben un nivel de protección esencialmente equivalente cuando se realizan transferencias a terceros países. Creemos que estas sugerencias y enmiendas son cruciales para lograr estos objetivos en la práctica ”.
En general, el EDPB y el SEPD opinan que los proyectos de CCS presentan un nivel reforzado de protección para los interesados. En particular, el EDPB y el SEPD acogen con satisfacción las disposiciones específicas destinadas a abordar algunas de las principales cuestiones identificadas en la sentencia Schrems II. No obstante, el EDPB y el SEPD opinan que varias disposiciones podrían mejorarse o aclararse, como el alcance de las CCS; ciertos derechos de terceros beneficiarios; ciertas obligaciones con respecto a las transferencias posteriores; aspectos de la evaluación de la legislación de terceros países en relación con el acceso a los datos públicos por parte de las autoridades públicas; y la notificación a la Autoridad de Control.
La presidenta de la EDPB, Andrea Jelinek, añadió : «Las condiciones en las que se pueden utilizar las CCS deben ser claras para las organizaciones y los interesados deben recibir derechos y recursos efectivos. Además, las CCS deben incluir una distribución clara de funciones y del régimen de responsabilidad En lo que respecta a la necesidad, en determinados casos, de medidas complementarias ad-hoc para garantizar que los interesados disfruten de un nivel de protección esencialmente equivalente al garantizado en la UE, las nuevas CCS deberán utilizarse junto con las Recomendaciones del EDPB sobre medidas complementarias ”.
El EDPB y el SEPD invitan a la Comisión a remitirse a la versión final de las Recomendaciones del EDPB sobre medidas complementarias, en caso de que la versión final de las recomendaciones se adopte antes de la decisión de las CCS de la Comisión. Este documento se sometió a consulta pública hasta el 21 de diciembre de 2020 y aún está sujeto a posibles modificaciones adicionales sobre la base de los resultados de la consulta pública.
Recomendaciones 01/2020 del EDPB sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de datos personales de la UE adoptadas el 10 adoptadas el 10 de noviembre de 2020.
