Transferencias internacionales de datos: Nuevas cláusulas contractuales tipo adoptadas por la UE
El pasado 4 de junio de 2021, la Comisión Europea publicó una nueva serie de cláusulas contractuales tipo (“Standard Contractual Clauses” o “SCCs”) para las transferencias internacionales de datos personales a terceros países que no cumplen o no tienen un nivel adecuado de protección según las consideraciones de la Comisión Europea.
Estas nuevas cláusulas pretenden sustituir a sus predecesoras y derogar las mismas, las cuales se configuraban como uno de los métodos más comunes para garantizar el nivel adecuado de protección de datos para la realización de las transferencias internacionales.
¿Cuáles son las nuevas cláusulas contractuales tipo para las transferencias internacionales de datos?
El origen de esta actualización no solo lo encontramos en que se trata de unas cláusulas anteriores a la entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“Reglamento general de protección de datos”).
Además, la mencionada revisión se vio acelerada debido a la sentencia Schrems II dictada por parte del Tribunal de Justicia de la Unión Europea, la cual invalidaba la Decisión 2016/1250 y por ende la validez del conocido como “Escudo de Privacidad” o “Privacy Shield”. Para las transferencias de datos entre la Unión Europea y los Estados Unidos.
Como novedad, estas cláusulas contractuales tipo se caracterizan por tener una estructura modular en las que se contemplan lo siguientes escenarios:
- Módulo 1: Transferencia de los datos de responsable a responsable.
- Módulo 2: Transferencia de los datos de responsable a encargado.
- Módulo 3: Transferencia de los datos de encargado a encargado.
- Módulo 4: Transferencia de los datos de encargado a responsable.
De esta manera, en las nuevas cláusulas contractuales tipo se contemplan supuestos que no se preveían en las anteriores, como son los módulos 3 y 4 (de encargado a responsable y de encargado a encargado, respectivamente).
Estas nuevas cláusulas se componen de cuatro secciones diferentes, distinguiendo:
- Una sección introductoria con las cláusulas generales referidas tanto a la interpretación como a la jerarquía.
- Una sección que contiene las obligaciones de las partes.
- Otra de las secciones contiene una serie de obligaciones de análisis de la normativa local, así como el acceso a los datos por parte de las autoridades.
- Una última sección con diversas cláusulas finales como las relativas a la jurisdicción y la ley aplicable.
Por otro lado, en el caso de los Módulos 1 y 3, se contienen dos Anexos que contienen una serie de especificaciones acerca del tratamiento, así como las medidas técnicas y organizativas correspondientes.
Para el caso de los Módulos 2 y 4, se incluye un Anexo para listar los diferentes subencargados del tratamiento que pudiera haber.
Mayores garantías legales y de privacidad
A través de estas cláusulas contractuales tipo las diversas empresas y compañías que realicen transferencias internacionales de datos tendrán la garantía suficiente de que a través de estas herramientas cumplen perfectamente con la normativa vigente en materia de protección de datos para el caso de que se lleven a cabo actuaciones tanto dentro como fuera del Espacio Económico Europeo.
Es necesario que estas compañías revisen el tratamiento que realizan de los datos adoptando para ello las garantías necesarias y suscribiendo las cláusulas contractuales tipo con los terceros con los que hagan dichas transferencias internacionales, así como actualizando los protocolos de las transferencias de datos.
Las nuevas SCCs son más prácticas y flexibles
Hay que destacar dentro del contenido de las nuevas cláusulas tipo lo siguiente:
- Cláusulas de adhesión a las propias SSCs: Se permite que se adhieran terceros a las partes ya firmantes sin que sea necesaria la firma de unas nuevas cláusulas contractuales tipo.
- Identificación de la autoridad competente en cada caso: La autoridad de control competente para poder supervisar las transferencias que se lleven a cabo será la del Estado Miembro en el que el que transfiera los datos personales tenga su establecimiento.
- Responsabilidad solidaria de las partes: Se podrá reclamar por parte de los interesados a cualquiera de las partes involucradas en una transferencia internacional, independientemente de la posibilidad de repetir el daño a la parte realmente responsable.
- Información: Cuando se trate de comunicaciones o transferencias de datos de responsable a responsable fuera del Espacio Económico europeo, se requiere una serie de información por parte del responsable al que se comuniquen los datos como, identidad y datos de contacto, o categorías de datos a tratar, entre otros.
- Medidas técnicas y organizativas: En contraposición con las cláusulas contractuales anteriores, las nuevas SSCs si incluyen una serie de medidas de este carácter para cada uno de los 4 escenarios que se contemplan.
¿Cuál es el plazo para empezar a utilizar las nuevas SCCs?
Tras la publicación de la Decisión 2021/914 estableciendo las nuevas cláusulas contractuales tipo, las anteriores quedarán derogadas a partir del 27 de septiembre de 2021.
No obstante lo anterior, aquellos contratos que se hubieran celebrado con anterioridad a tal fecha y conforme a las SSCs anteriores, serán válidos hasta 15 meses más tarde. Es decir hasta el 27 de septiembre de 2022, debiendo adaptarse durante dicho periodo.
En Letslaw somos especialistas en Privacidad y Protección de Datos. Además mantenemos informados a todos nuestros clientes y usuarios de las novedades más importantes en esta materia.
José María Baños es el socio fundador de Letslaw y abogado multidisciplinar.
Está especializado en derecho mercantil, derecho procesal y en el derecho de las nuevas tecnologías, comercio electrónico, propiedad intelectual y protección de datos.