/ Las nuevas cláusulas contractuales estándar
10 de Agosto, 2021Jaime Urzúa
Asociado Alessandri
El 2020 fue un año clave para el derecho a la privacidad. La pandemia introdujo una serie de desafíos en relación con el uso de datos personales de salud y el replanteamiento acerca de la seguridad en el entorno digital con el auge del teletrabajo. Así, este derecho pasó a ser protagonista en diversos frentes, uno de los cuales se conoció a mitad de dicho año.
El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea zanjó el caso Schrems II, invalidando el esquema de adecuación para el flujo transfronterizo de datos personales Privacy Shield y dando paso a las cláusulas contractuales estándar (las “SCCs”, por su sigla en inglés) como base de legitimación para transferir datos a países que no posean una legislación adecuada. Recordemos que en este caso se reclamó en contra de Facebook Irlanda dado que esta transfería datos personales de sus usuarios a Estados Unidos, en donde tales datos podían quedar sujetos a control por parte de la Agencia Nacional de Seguridad u otras entidades de investigación.
Consiguientemente, la Comisión Europea (la “CE”) asumió el rol de actualizar las SCCs por unas nuevas. Casi un año después, en junio de 2021 la CE aprobó las nuevas SCCs, las que remplazarán a las antiguas y permitirán legitimar las transferencias de datos personales desde la Zona Económica Europea a países que no cuenten con estándares adecuados de protección de datos, en línea con establecido en el GDPR de 2018. Estos cambios se traducen en una mayor certeza respecto a la comunicación transfronteriza de este tipo de datos, pero aumentan las exigencias y requisitos para los que los traten.
Una de las novedades en estas nuevas SCCs es que la regulación es modular, y establece cuatro tipos de transferencias entre responsables y encargados del tratamiento de datos. Para ello serán fundamentales las labores de cumplimiento en las empresas para identificar la realidad de cada negocio en relación con las formas de tratar los datos personales de clientes, prospectos y colaboradores.
Respecto de los plazos, la CE estableció que las nuevas SCCs podrán ser utilizadas a partir del 27 de junio de 2021, en tanto que las antiguas SCCs perderán su vigencia el 27 de septiembre de 2021. Adicionalmente, las organizaciones tendrán un período de vacancia de 18 meses para adecuar las antiguas SCCs por las nuevas, el cual expirará el 27 de diciembre de 2022.
Una de las principales cuestiones que se levantaron durante Schrems II y que aún se encuentra pendiente, es si estas nuevas SCCs quedarán como una solución “parche” o si efectivamente se avanzará con elevar el estándar de cumplimiento de aquellos países que todavía no cuentan con legislaciones adecuadas para proteger el tratamiento de datos personales. Uno de ellos es Estados Unidos, en donde varios estados se encuentran avanzando en la tramitación de nuevas leyes (recientemente fue aprobada una ley en el Estado de Colorado que entrará a regir en 2023). Otro caso es Chile, en donde nos encontramos al debe en esta materia desde el año 2010, en que nuestro país pasó a formar parte de la OCDE y asumió el compromiso de elevar sus estándares de cumplimiento.
Estos cambios avanzan en la dirección correcta, por lo que deberá reforzarse la adecuación de los países, tanto en el sector público como en el privado, a las mejores prácticas internacionales para tratar los datos personales de manera segura y en sintonía con los desafíos de esta era digital.