NUEVOS INSTRUMENTOS
JURÍDICOS PARA LA AUTORIZACIÓN DE TRANSFERENCIAS INTERNACIONALES DE
DATOS ENTRE PRESTADORES DE SERVICIOS
Cecilia Álvarez
/ Reyes Bermejo
Los prestadores de servicios cuentan
con nuevos instrumentos jurídicos que facilitan la transferencia
internacional de datos a sus subcontratistas (esto es, transferencias “processor
to processor”).
“Cláusulas contractuales tipo” de la
AEPD
La Agencia
Española de Protección de Datos (“AEPD”)
anunció en la Cuarta Sesión Abierta -celebrada en enero 2012- que estaba
trabajando en la elaboración de unas “Cláusulas Contractuales Tipo” (CCT)
basadas en la Decisión de la Comisión de 5 de febrero de 2010 relativa a
las cláusulas contractuales tipo para la transferencia de datos
personales a los encargados del tratamiento establecidos en terceros
países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo
y del Consejo.
La finalidad de
estas CCT es facilitar que los prestadores de servicios establecidos en
España puedan subcontratar sus servicios con subcontratistas ubicados
fuera del Espacio Económico Europeo (“EEE”).
Estas CCT reproducen en gran medida las previstas en la citada Decisión
de la Comisión de 5 de febrero de 2010 y ya pueden utilizarse para
solicitar la autorización de la AEPD de las transferencias que sean
objeto de las mismas.
Nuevas “normas corporativas
vinculantes” (Binding Corporate Rules o BCRs)
El pasado 6 de
junio, el Grupo del Artículo 29 -integrado fundamentalmente por las
Autoridades de Control de Protección de Datos de todos los Estados
miembros- adoptó el Documento de Trabajo 02/2012 relativo a las normas
corporativas vinculantes entre encargados del tratamiento pertenecientes
a un mismo grupo de empresas.
El objetivo de
estas BCRs es facilitar la subcontratación, entre entidades de un mismo
grupo, de servicios que conllevan acceso a datos personales (hosting
o backup).
Constituyen, por
tanto, una alternativa a la suscripción de cláusulas contractuales tipo
(de la Comisión Europea o de la AEPD) para la obtención de la
autorización de la AEPD respecto de transferencias internacionales
intragrupo fuera del EEE entre encargados de tratamiento.
La primera
solicitud de autorización de estas BCRs no se ha hecho esperar. Se ha
presentado ante la Autoridad de Control de Protección de Datos del Reino
Unido (i.e., Information Commissioner's Office) por parte de un
prestador internacional de servicios de pago que ya tienen autorizadas,
desde 2011, BCRs intragrupo para transferencias entre responsables de
tratamiento en ciertos países de la UE por el procedimiento de
reconocimiento mutuo del que forma parte España.
* * *
En un contexto
global que demanda flexibilidad en los instrumentos jurídicos (p. ej.,
para la prestación de servicios de cloud computing), son más
que bienvenidas estas dos nuevas herramientas que facilitan la
subcontratación de servicios con terceros y el cumplimiento de las
normas de protección de datos en las prestaciones de servicios fuera del
EEE.
volver al inicio