Redes sociales, todo lo que debes saber de la suplantación de identidad en empresas
2 julio 2021
¿Se adecuan sus videoconferencias al RGPD?
14 septiembre 2021
El pasado 4 de junio de 2021 la Comisión publicó las nuevas cláusulas contractuales tipo (en adelante, CCT). El Tribunal de Justicia de la Unión Europea decretó el pasado 16 de julio de 2020 la invalidez del Escudo de Privacidad entre la UE y EUA1. Esta sentencia abogó por el refuerzo de la formalización de cláusulas contractuales tipo para asegurar que se mantendrá un nivel de protección equivalente al garantizado por el RGPD.
Un año después, como conmemoración del hito que supuso esta Sentencia en las transferencias internacionales de datos de carácter personal, analizamos las modificaciones que introduce la decisión de ejecución (UE) 2021/914 relativa a las nuevas CCT para las transferencias de datos personales a terceros países2.
Las CCT constituyen una de las garantías consideradas como adecuadas de las que se enumeran en el artículo 46 del RGPD. Su validez depende de que sean capaces de incorporar mecanismos efectivos que permitan garantizar en la práctica que se ha alcanzado el nivel de protección exigido por el Derecho de la Unión.
1. ENFOQUE MODULAR
Esta Decisión pretende abarcar los múltiples supuestos de transferencia que se dan en la praxis teniendo en cuenta la complejidad que presentan las cadenas de tratamiento actuales.
Módulos:
- -Responsable - Responsable
- -Encargado - Encargado
- -Responsable –Encargado
- -Encargado - Responsable
Cada uno de los módulos de transferencia de la Decisión se estructura en base a los principios del RGPD relativos al tratamiento (art. 5 RGPD). Se establece la posibilidad, en la cláusula 7, de que más de dos partes se puedan adherir a las CCT sin necesidad de realizar ninguna modificación adicional o firmar un clausurado nuevo. Además, regula la figura del subencargado y, ofrece la posibilidad de que se prevea una autorización general por escrito.
Las nuevas cláusulas contractuales tipo, prevén, en el anexo II, ejemplos de las medidas técnicas y organizativas específicas para mantener la privacidad de los datos personales.
2. LAS TRANSFERENCIAS POSTERIORES
Se deberá informar al interesado sobre la existencia o no de la intención de realizar transferencias ulteriores de los datos personales a terceros. En el supuesto en que esté previsto que se realizarán posteriores transferencias, el tercero debe estar vinculado por estas CCT, de lo contrario, deberá demostrar que se cumple otro de los supuestos que prevé la cláusula 8 en su apartado 7.
3. ACCOUNTABILITY O PRINCIPIO DE RESPONSABILIDAD PROACTIVA
Otra de las novedades que se han incorporado en las nuevas cláusulas contractuales tipo es la introducción del principio de responsabilidad activa que emana del RGPD (art. 5.2) que exige al importador no sólo que cumpla con lo que en estas se dispone sino que también sea capaz de demostrarlo. Llega al detalle de determinar algunos elementos para que se pueda realizar una evaluación global y valorar el efecto del derecho del tercer país en la privacidad de los datos de carácter personal, tales como los informes de organismos supervisores independientes y la jurisprudencia, entre otros.
4. DERECHOS DE LOS INTERESADOS
Los derechos del interesado, regidos desde su configuración por el principio de transparencia, se recogen en la cláusula 10 y son muy similares a los que prevé el artículo 13 del RGPD. Se introduce como novedad que las partes deben establecer reglas de responsabilidad y de indemnización. Además, independientemente de la responsabilidad que le atribuye el RGPD al exportador de los datos de carácter personal, rige la regla de la responsabilidad solidaria por lo que el interesado podrá dirigir su reclamación ante cualquiera de las partes involucradas.
5. PERÍODO DE TRANSICIÓN
Las cláusulas contractuales pertenecientes a las Decisiones de la Comisión Europea 2001/497/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. Así mismo, se establece un plazo adicional de 15 meses para que importadores y exportadores dejen de utilizar las CCT establecidas en las referidas Decisiones.
La certificación de DPD se reputa como una herramienta válida y adecuada para evaluar de forma objetiva e imparcial que se posee un nivel de competencia adecuado para el ejercicio de las funciones que esta figura tiene encomendadas. ANF AC, como Entidad de Certificación reconocida por ENAC posee la competencia técnica necesaria para la certificación de DPD conforme al Esquema de la AEPD.
Si ha superado satisfactoriamente alguno de los cursos impartidos por las Entidades de Formación reconocidas por cualquier Entidad de Certificación3 y/o acredita una experiencia profesional suficiente4 en funciones relacionadas con las propias del DPD no dude en dar el último paso y certificarse. ¡Inscríbete ya! (aquí encontrarás las especificaciones de la convocatoria y el formulario de solicitud)
Todos los meses hay prevista una convocatoria- a excepción de agosto- para que pueda seleccionar la fecha que mejor se ajuste a su planificación. Enlace a las próximas convocatorias previstas en Madrid y Barcelona: https://www.anf.es/entidad-de-certificacion/
¿Cómo transferir datos de forma segura y cumpliendo con lo que dispone el RGPD?
ANF AC pone a su disposición Transfer Security, un servicio de entrega de archivos y documentación de forma fácil, cómoda y 100% segura. Transfer Security está basado en Tecnología PKI, utilizando encriptación simétrica AES-256 end-to-end. El receptor del archivo no precisa de instalación ninguna, puesto que nuestro cifrado autoejecutable permite la apertura con doble click, sin instalación de software.
Este servicio le permite el envío y solicitud de archivos sin papel, con eficacia y seguridad jurídica plenas. La tramitación se realiza de forma rápida, por medios telemáticos y sin intermediarios, permitiendo establecer políticas de seguridad extras o acceso a la documentación con 2FA.
ANF AC no tiene acceso a la documentación remitida. Además, todo ello en cumplimento del RGPD y con las garantías de un servicio cualificado, auditado y acreditado ante la Comisión Europea.
1Decisión 2016/1250
2 Consulte aquí la Decisión de Ejecución 2021/915 adoptada en la misma fecha que rige la relación entre responsables y encargados.
3Consulta aquí los programas de formación reconocidos por ANF AC.
4 Para acceder a la fase de evaluación por la vía de experiencia, consulte el apartado 7.3 relativo a los prerrequisitos en donde se indican los años de dedicación necesarios y las formas de acreditarlos.