El pasado 4 de junio de 2021, la Comisión Europea (CE) publicó nuevos modelos de cláusulas contractuales tipo (CCT o SCC, por sus siglas en inglés) con el objetivo de facilitar el intercambio de datos personales con países ubicados fuera del EEE (espacio económico europeo), así como aportar mayor seguridad y certeza jurídica a las empresas europeas que transfieren datos de carácter personal.
Tras la inestabilidad provocada por la Sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE), la cual invalidaba el acuerdo de protección de datos personales entre la UE y EEUU (puedes encontrar toda la info en este post), conocido como “Escudo de privacidad” o “Privacy Shield”, la CE ha decidido poner cartas en el asunto proporcionando nuevos modelos de CCT que se adecuan al RGPD y que derogan las CCT anteriores que se vienen utilizando en la actualidad.
¿Cuál es el objetivo?
El objetivo de las CCT es asegurar que los datos personales transferidos a terceros fuera de EEE con arreglo a las mismas gozan de un nivel de protección equivalente al garantizado en la UE.
Las cláusulas actuales vienen a solventar una de las limitaciones que sufrían las CCT anteriores (Decisión 2001/497/CE y 2010/87/UE), que era que solo regulaban dos tipos de relaciones, entre:
- Responsable y responsable (no EEE); y
- Responsable y encargado (no EEE).
La principal novedad que presentan las CCT actuales es, su estructura contractual que, al ser de carácter modular, permiten a los responsables y encargados combinar las cláusulas generales con otras modulares en función de la transferencia objeto de regulación. Este nuevo enfoque es mucho más flexible y permite las siguientes opciones de transferencia, entre:
- Módulo 1: responsable a responsable
- Módulo 2: responsable a encargado
- Módulo 3: encargado a encargado
- Módulo 4: encargado a responsable
Ámbito territorial
Respecto al ámbito territorial, la nuevas CCT no establecen limitaciones geográficas, de manera que, no requieren que el exportador de los datos se encuentre dentro del EEE, lo cual, además, incrementa su aplicabilidad en diferentes escenarios. Además de lo anterior, se introduce otra novedad y es que se permite, en cualquier momento, a lo largo del periodo de vigencia del contrato, que puedan otras partes contratantes adherirse a las CCT.
¿Qué aspectos deben detallarse en los contratos?
Por otro lado, se establecen una serie de aspectos y medidas que deberán detallarse en los contratos, entre ellas, las siguientes:
- Limitación de la finalidad del Tratamiento;
- Transparencia;
- Exactitud y minimización de los datos;
- Periodo de conservación;
- Seguridad del tratamiento;
- Datos sensibles;
- Transferencias ulteriores; y
- Documentación y cumplimiento.
Cabe tener en cuenta que las CCT actuales integran el principio de responsabilidad proactiva (accountability), por tanto, la CE incide en la importancia de que las compañías no se limiten únicamente a la actualización y/o adopción las mismas, sino que, además, realicen análisis para evaluar si la transferencia en cuestión comporta riesgos a la privacidad y, por tanto, no puede garantizarse el cumplimiento de las CCT suscritas.
Para realizar el análisis o evaluación de impacto de las transferencias debe tenerse en cuenta la normativa en materia de protección de datos del país al que se destinan, así como reglas específicas que afecten al cumplimiento de las cláusulas.
Las partes deben poder demostrar ante las autoridades de control, en caso de que lo soliciten, el cumplimiento de las cláusulas contractuales tipo, para ello, será necesario documentar las actividades de tratamiento y la evaluación de impacto, con el fin acreditar, o bien la inexistencia de riesgo, o bien las razones por las cuales ha sido imposible cumplir con las cláusulas.
Dicho lo anterior, a efectos de cumplimiento y exención de responsabilidad, no será suficiente con que las empresas actualicen y/o adopten las nuevas CCT, sino que, además, es exigible actuar con diligencia y establecer medidas adicionales que garanticen el cumplimiento a las cláusulas suscritas.
Periodo de transición
La Decisión adoptada por la CE, en fecha de 4 de junio de 2021, establece un periodo de transición de 18 meses en el cual las empresas (importadores y exportadores de datos) podrán seguir utilizando las CCT anteriores.
No obstante, podrán seguir utilizándose las mismas, siempre y cuando, las operaciones de tratamiento permanezcan inalteradas y las cláusulas anteriores garanticen que la transferencia de datos esta sujeta a las garantías adecuadas (art. 46.1 RGPD).
En caso de modificaciones sustanciales y de no que sea posible garantizar un nivel de protección adecuado, deberán ser sustituidas las CCT existentes por las actuales. Dicha sustitución, también será de aplicación para los subencargados del tratamiento.
Metricson es una firma de servicios legales especializada en negocios tecnológicos e innovadores. Contamos con un equipo de abogados especialistas en protección de datos, privacidad y derecho tecnológico y ayudamos a empresas de todo el mundo a desarrollar y proteger su actividad con las máximas garantías legales.
Si quieres más información o quieres saber más acerca de nuestros servicios, no dudes en ponerte en contacto con nosotros aquí
Artículo escrito por:
Estefanía Asensio – Abogada especialista en Propiedad Intelectual e Industrial y nuevas tecnologías
estefania.asensio@metricson.com
Photo by Mathew Schwartz on Unsplash