Transferencias internacionales de datos personales y cláusulas contractuales del Consejo de Europa
Por Pilar Vargas
2 ago 2023 - 12:47 CET
El 27 de junio de 2023, el Consejo de Europa anunció la adopción de su primer paquete de Cláusulas contractuales tipo para la transferencia internacional de datos en base al Protocolo de 2018 modificativo del Convenio 108 del Consejo de Europa de 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (“Convenio 108+”). Datando de 1981, el Convenio fue el primer instrumento internacional jurídicamente vinculante adoptado en el ámbito de la protección de datos, y su Protocolo modificativo recoge como elementos clave los principios de transparencia y proporcionalidad en su tratamiento incrementando las garantías que han de adoptarse junto a medidas adecuadas de salvaguarda, en línea con lo establecido por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ( “Reglamento general de protección de datos”).
En paralelo a la estructura establecida para las cláusulas contractuales tipo adoptadas por la Comisión Europea en el marco del Reglamento general de protección de datos, el Consejo de Europa ha destacado que estas nuevas Cláusulas contractuales tipo regulan exclusivamente las transferencias internacionales de datos entre responsables del tratamiento, excluyendo las que se desarrollan entre responsables y encargados del tratamiento, o entre encargados y sub-encargados del tratamiento, que serán adoptadas como dos paquetes independientes y complementarios al que nos ocupa.
Asimismo, en línea con las cláusulas contractuales tipo del Reglamento general de protección de datos, estas nuevas cláusulas modelo establecen, entre otras cosas, los derechos y obligaciones de las partes, incluidos los requisitos asociados con la seguridad de los datos, las transferencias adicionales de los mismos, los principios generales de tratamiento de datos, los derechos de los interesados y las obligaciones asociadas con el acceso gubernamental a información personal.
Además, el Consejo de Europa ha recomendado la utilización de este modelo sin alteraciones, tal y como ha sido adoptado y puesto a disposición de las autoridades nacionales para su preaprobación y transposición en mecanismo nacional y regional de transferencia.
Una vez adoptadas estas cláusulas contractuales tipo, corresponde a las autoridades nacionales de los Estados que han ratificado el Convenio la decisión sobre su aprobación como medidas adecuadas de protección para las transferencias internacionales, en virtud de su compatibilidad con las obligaciones establecidas por las respectivas leyes nacionales.
La finalidad de estos mecanismos es tanto su inclusión como parte de Contratos maestros de servicios (Master Service Agreements - MSA), como su aplicación complementaria a otras garantías adicionales o cláusulas contractuales tipo, como podrían ser las propias del Reglamento general de protección de datos. En términos de ley aplicable, estas cláusulas contractuales tipo se rigen por la ley del Estado exportador de datos de carácter personal, salvo en casos en que dicho Estado no permita derechos de tercero beneficiario.