Entre las bases jurídicas que posibilitan las transferencias internacionales de datos, en ausencia de una decisión de adecuación, encontramos las llamadas cláusulas contractuales tipo (CCS o SCC, por sus siglas en inglés); en este artículo explicamos qué son y cómo utilizar las cláusulas contractuales tipo según el RGPD.
En este artículo hablamos de:
¿Qué son las cláusulas contractuales tipo (CCS) de la UE?
Las cláusulas contractuales tipo son cláusulas estándar aprobadas por la Comisión Europea que deben incluirse en los contratos de transferencias internacionales de datos, cuando estas se realizan entre una organización sita en un país del Espacio Económico Europeo (los 27 países de la UE más Liechtenstein, Noruega e Islandia) y un tercer país fuera de este, que además tampoco esté dentro de la lista de países destinatarios declarados de nivel adecuado por la Comisión Europea.
La inclusión de las cláusulas contractuales tipo son un requisito obligatorio para cumplir con el RGPD cuando se efectúan transferencias internacionales de datos personales a países cuya legislación en materia de protección de datos no se adecua al nivel exigido por la UE y se pueden producir injerencias de agencias gubernamentales de esos países en los datos personales, lo que podría suponer un riesgo para los derechos y libertades de los ciudadanos europeos.
También se consideran cláusulas contractuales tipo aquellas aprobadas por una autoridad de control, de manera que se encuentra entre las funciones de la AEPD (Agencia Española de Protección de Datos), como el hecho de que es necesaria su autorización cuando se utilicen cláusulas contractuales entre responsable del tratamiento o el encargado y el responsable o encargado o subencargado, que no hayan sido adoptadas por la Comisión Europea.
En julio de 2021, se aprobaron nuevas cláusulas contractuales tipo, en sustitución de las que se venían utilizando hasta esa fecha, para adaptar las transferencias al RGPD de manera más adecuada, incorporando el principio de accountability (responsabilidad proactiva) y con unas obligaciones y exigencias iguales a las que impone el Reglamento a los países del EEE.
¿Para qué sirven las CCS?
Las cláusulas contractuales tipo de la Comisión Europea se emplean para que responsables y/o encargados de tratamiento de datos exportadores establezcan las medidas técnicas y organizativas que garanticen la protección de los datos personales de los interesados en los países destinatarios, es decir, el conjunto de reglas que deberán seguir los responsables y/o encargados importadores.
Las cláusulas contractuales tipo para la transferencia internacional de datos pueden celebrarse entre responsable y encargado, o entre responsable y responsable, o entre encargado y encargado, o entre encargado y responsable, se estructuran siguiendo los principios generales del RGPD en cuanto a limitación del tratamiento, transparencia, exactitud, minimización de los datos, plazos de conservación, la mención expresa si se trata de transferencias de datos sensibles de acuerdo a las categorías de datos personales del RGPD y la existencia de subencargados.
Por ejemplo, si una empresa española tiene contratada la prestación de un servicio con una empresa cuya sede esté en México, para el que sea necesario realizar una transferencia de datos personales de sus clientes, la empresa española, como responsable del tratamiento, deberá incluir en el contrato de encargo del tratamiento con la empresa de México las cláusulas contractuales tipo en aplicación del RGPD.
No incluir las cláusulas contractuales tipo cuando se van a producir transferencias de datos internacionales con terceros países que no forman parte de la lista de destinatarios adecuados aprobados por la Comisión Europea, puede ser motivo de denuncia en protección de datos y de sanciones por parte de la AEPD.
¿Cómo puedo crear un SCC?
Para crear un SCC debemos recurrir al anexo de la Directiva 2021/914, en el que encontraremos tanto los diferentes módulos según entre quien se realice el acuerdo, como las propias cláusulas y el texto que debemos incluir (cabe señalar que el texto proporcionado por la Comisión no debe alterarse).
Los módulos son los siguientes:
- Módulo 1: Transferencias de datos de responsables a responsable.
- Módulo 2: Transferencias de datos de responsable a encargado.
- Módulo 3: Transferencia de datos de encargado a encargado.
- Módulo 4: Transferencia de encargado a responsable.
Mientras que las cláusulas a incluir, con carácter general, son:
- Cláusula 1: Finalidad y ámbito de aplicación
- Cláusula 2: Efecto e invariabilidad de las cláusulas
- Cláusula 3: Terceros beneficiarios
- Cláusula 4: Interpretación
- Cláusula 5: Jerarquía
- Cláusula 6: Descripción de la transferencia o transferencias
- Cláusula 7: Cláusula de incorporación
- Cláusula 8: Garantías en materia de protección de datos (a partir de aquí se diferencia entre los módulos que hemos citado antes, estableciendo las condiciones específicas para cada tipo de transferencia)
- Cláusula 9: Recurso a subencargados
- Cláusula 10: Derechos del interesado
- Cláusula 11: Reparación
- Cláusula 12: Responsabilidad
- Cláusula 12: Supervisión
- Cláusula 14: Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
- Cláusula 15: Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
- Cláusula 16: Incumplimiento de las cláusulas y resolución del contrato
- Cláusula 17: Derecho aplicable
- Cláusula 18: Elección de foro y jurisdicción
Además de estas cláusulas, será obligatorio incorporar, a modo de anexo de las mismas, la lista de medidas de seguridad que se aplicarán para garantizar la protección de datos personales de los interesados en los terceros países.
¿Existen alternativas a las Cláusulas contractuales tipo?
Sí, existen alternativas a las cláusulas contractuales tipo para la transferencia internacional de datos:
- En el caso de empresas multinacionales, con sede en un país fuera del EEE, estas pueden adoptar las denominadas normas corporativas vinculantes (BCR), que permiten transferir datos internacionalmente entre empresas de un mismo grupo. Estas normas solo sirven para ese grupo empresarial en particular, deben cumplir con lo establecido en el artículo 47 del RGPD y ser aprobadas por la autoridad de control correspondiente (en España, la AEPD).
- En algunos casos excepcionales, el artículo 49 del RGPD permite la transferencia internacional de datos sin ninguna garantía, siendo imprescindible cumplir estos requisitos:
- Tener el consentimiento explícito del interesado, habiendo sido informado de todos los riesgos posibles de la transferencia.
- La transferencia es necesaria para el cumplimiento de un contrato.
- La transferencia es necesaria por razones de interés público.