Nuevas clausulas tipo para la transferencia de datos a países fuera de la UE: medidas de seguridad

A principios de este mes de junio, la Comisión Europea publicó una decisión que buscaba garantizar el optimo cumplimiento del RGPD en lo referente a la transferencia de datos a terceros países fuera de la UE, mediante clausulas tipo para los contratos.

Esta decisión, la UE 2021/914 de la Comisión de 4 de junio de 2021, además de proponer modelos de clausulados y clausulas tipo para el cumplimiento de esta obligación, también detalla cuales son las medidas de seguridad más importantes que, en cada tipo de escenario, han de cumplir estos tratamientos.

En concreto, en este post, vamos a ver en una tabla resumen, cuales son los escenarios existentes y las medidas de seguridad a aplicar en cada uno de ellos.

Escenario/ MedidasResponsable a ResponsableResponsable a EncargadoEncargado a EncargadoEncargado a Responsable
Instrucciones
Instrucciones documentadas para la transferencia. (clausula 8.1)Instrucciones documentadas para la transferencia.(clausula 8.1)Instrucciones documentadas para la transferencia.(clausula 8.1)
Limitación de la finalidadTratamiento solo a fines indicados en la transferencia. (clausula 8.1)Tratamiento solo a fines indicados en la transferencia. (clausula 8.2)Tratamiento solo a fines indicados en la transferencia.(clausula 8.2)
TransparenciaInformar a los afectados de la identidad y detalles de la transferencia. (clausula 8.2)Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. (clausula 8.3)Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes.(clausula 8.3)
Exactitud / minimización de datosSolo transferencia de datos exactos, limitados, actualizados y adecuados para el tratamiento. (clausula 8.3)Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. (clausula 8.4)Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. (clausula 8.4)
Duración del plazo de conservaciónLos datos se conservarán solo durante el plazo necesarios para el tratamiento. (clausula 8.4)Los datos se conservarán solo durante el plazo necesarios para el tratamiento. (clausula 8.5)Los datos se conservarán solo durante el plazo necesarios para el tratamiento. (clausula 8.5)
Supresión o devolución de los datos
Finalizado el plazo del tratamiento se destruirán o devolverán los datos a petición del exportador. (clausula 8.5)Finalizado el plazo del tratamiento se destruirán o devolverán los datos a petición del exportador. (clausula 8.5)
Seguridad del tratamientoAmbas partes implantarán medidas de seguridad durante el tratamiento y la transferencia para garantizar la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos. (clausula 8.5)Ambas partes implantarán medidas de seguridad durante el tratamiento y la transferencia para garantizar la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos. (clausula 8.6)Ambas partes implantarán medidas de seguridad durante el tratamiento y la transferencia para garantizar la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos. (clausula 8.6)Ambas partes implantarán medidas de seguridad durante el tratamiento y la transferencia para garantizar la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos. (clausula 8.2)
Datos sensiblesAplicación de medidas específicas por parte del importador, si el tratamiento incluye datos sensibles. (clausula 8.6)Aplicación de medidas específicas por parte del importador, si el tratamiento incluye datos sensibles. (clausula 8.7)Aplicación de medidas específicas por parte del importador, si el tratamiento incluye datos sensibles. (clausula 8.7)
Transferencias ulterioresNo se realizarán transferencias a otros terceros del país de referencia, salvo que esté vinculado por el pliego de clausulas. (clausula 8.7)No se realizarán transferencias a otros terceros del país de referencia, salvo que esté vinculado por el pliego de clausulas. (clausula 8.8)El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del responsable, tal y como las haya comunicado el exportador de datos al importador de datos. (clausula 8.8)
Tratamiento bajo la autoridad del importador de datosEl importador de datos se asegurará de que las personas que actúen bajo su autoridad, especialmente el encargado, solo trate los datos siguiendo instrucciones del importador de datos. (clausula 8.8)


Documentación y cumplimientoEl tratamiento y las obligaciones derivadas, deberán ser demostrables por ambas partes, en todo momento. (clausula 8.9)El tratamiento y las obligaciones derivadas, deberán ser demostrables por ambas partes, en todo momento. (clausula 8.9)El tratamiento y las obligaciones derivadas, deberán ser demostrables por ambas partes, en todo momento. (clausula 8.9)El tratamiento y las obligaciones derivadas, deberán ser demostrables por ambas partes, en todo momento. (clausula 8.3)

Créditos de la imagen: Photo by TeaMeister on Foter.com

guest
0 Comentarios
Inline Feedbacks
View all comments