El 4 de julio de 2021 la Comisión Europea publicó las nuevas cláusulas contractuales tipo (CCS) para las transferencias internacionales de datos personales. Estas cláusulas sustituyen a las anteriores con el fin de adaptar dichas transferencias al RGPD de manera más adecuada a como se venía haciendo hasta ahora.
En este artículo explicaremos qué son las cláusulas contractuales tipo de la UE, para qué sirven y cuándo deben usarse.
En este artículo hablamos de:
¿Qué son las cláusulas contractuales tipo (CCS) de la UE?
Las cláusulas contractuales tipo, CCS por sus siglas en inglés, son cláusulas estándar aprobadas por la Comisión Europea que deben incluirse en los contratos de transferencias internacionales de datos, cuando estas se realizan entre una organización sita en un país del Espacio Económico Europeo (los 27 países de la UE más Liechtenstein, Noruega e Islandia) y un tercer país fuera de este, que además tampoco esté dentro de la lista de países destinatarios declarados de nivel adecuado por la Comisión Europea.
La inclusión de las cláusulas contractuales tipo son un requisito obligatorio para cumplir con el RGPD cuando se efectúan transferencias internacionales de datos personales a países cuya legislación en materia de protección de datos no se adecua al nivel exigido por la UE y se pueden producir injerencias de agencias gubernamentales de esos países en los datos personales, lo que podría suponer un riesgo para los derechos y libertades de los ciudadanos europeos.
También se consideran cláusulas contractuales tipo aquellas aprobadas por una autoridad de control, de manera que se encuentra entre las funciones de la AEPD (Agencia Española de Protección de Datos), como el hecho de que es necesaria su autorización cuando se utilicen cláusulas contractuales entre responsable del tratamiento o el encargado y el responsable o encargado o subencargado, que no hayan sido adoptadas por la Comisión Europea.
¿Para qué sirven las CCS?
Las cláusulas contractuales tipo de la Comisión Europea se emplean para que responsables y/o encargados de tratamiento de datos exportadores establezcan las medidas técnicas y organizativas que garanticen la protección de los datos personales de los interesados en los países destinatarios, es decir, el conjunto de reglas que deberán seguir los responsables y/o encargados importadores.
Las cláusulas contractuales tipo entre responsable y encargado o entre responsable y responsable o encargado y encargado o encargado y responsable, se estructuran siguiendo los principios generales del RGPD en cuanto limitación del tratamiento, transparencia, exactitud, minimización de los datos, plazos de conservación, la mención expresa si se trata de transferencias de datos sensibles de acuerdo a las categorías de datos personales del RGPD y la existencia de subencargados.
Por ejemplo, si una empresa española tiene contratada la prestación de un servicio con una empresa cuya sede esté en EE. UU., para el que sea necesario realizar una transferencia de datos personales de sus clientes, la empresa española, como responsable del tratamiento, deberá incluir en el contrato de encargo del tratamiento con la empresa de EE. UU. las cláusulas contractuales tipo en aplicación del RGPD.
No incluir las cláusulas contractuales tipo cuando se van a producir transferencias de datos internacionales con terceros países que no forman parte de la lista de destinatarios adecuados aprobados por la Comisión Europea, puede ser motivo de denuncia en protección de datos y de sanciones por parte de la AEPD.
Nuevas cláusulas contractuales tipo para las transferencias internacionales de datos personales
Como decíamos al comienzo de este artículo, la Comisión Europea aprobó el 4 de julio de 2021 unas nuevas cláusulas contractuales tipo que sustituyen a las aprobadas con anterioridad y que aplican de forma más completa las exigencias en materia de protección de datos reguladas en el RGPD, de manera que se exige a las organizaciones importadoras las mismas obligaciones que a una organización en suelo del EEE.
¿En qué consisten las nuevas cláusulas aprobadas por la Comisión Europea?
Las nuevas cláusulas tipo aprobadas por la Comisión Europea incorporan el principio de accountability (responsabilidad proactiva) para adecuarse, como hemos dicho ya, al RGPD. Para ello han incorporado una nueva estructura contractual que ahora permite aplicar diferentes opciones en función de las transferencias de datos que deben regularse, en concreto:
- Transferencias de datos de responsables a responsable (módulo 1 de la Directiva 2021/914)
- Transferencias de datos de responsable a encargado (módulo 2 de la Directiva 2021/914)
- Transferencia de datos de encargado a encargado (módulo 3 de la Directiva 2021/914)
- Transferencia de encargado a responsable (módulo 4 de la Directiva 2021/914)
Las CCS que deben incluirse, con carácter general, y expuestas en el Anexo de la Directiva 2021/914 son las siguientes:
- Cláusula 1: Finalidad y ámbito de aplicación
- Cláusula 2: Efecto e invariabilidad de las cláusulas
- Cláusula 3: Terceros beneficiarios
- Cláusula 4: Interpretación
- Cláusula 5: Jerarquía
- Cláusula 6: Descripción de la transferencia o transferencias
- Cláusula 7: Cláusula de incorporación
- Cláusula 8: Garantías en materia de protección de datos (a partir de aquí se diferencia entre los módulos que hemos citado antes, estableciendo las condiciones específicas para cada tipo de transferencia)
- Cláusula 9: Recurso a subencargados
- Cláusula 10: Derechos del interesado
- Cláusula 11: Reparación
- Cláusula 12: Responsabilidad
- Cláusula 12: Supervisión
- Cláusula 14: Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
- Cláusula 15: Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
- Cláusula 16: Incumplimiento de las cláusulas y resolución del contrato
- Cláusula 17: Derecho aplicable
- Cláusula 18: Elección de foro y jurisdicción
Además de estas cláusulas, será obligatorio incorporar a modo de anexo de las mismas, la lista de medidas de seguridad que se aplicarán para garantizar la protección de datos personales de los interesados en los terceros países.
¿Por qué ha sido necesario aprobar estas nuevas CCS?
La aprobación de estas nuevas cláusulas contractuales tipo por parte de la Comisión Europea se ha hecho para poder tener en cuenta la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE), mediante la que quedó declarado no válido en materia de protección de datos el Escudo de Privacidad entre la UE y EE. UU. (o Privacy Shield) para la transferencia de datos internacionales, puesto que este mecanismo no garantizaba la no injerencia a de las autoridades estadounidenses en los datos personales de ciudadanos europeos tratados por sus empresas, ya que no reconocían el Escudo de Privacidad.
Actualmente, EE. UU. no se encuentra en lista de destinatarios adecuados de la Comisión Europea, por lo que para poder efectuar transferencias de datos personales con organizaciones de allí, es necesario incluir las CSS en los contratos.
Las nuevas cláusulas contractuales tipo se han aprobado, por tanto, para garantizar que los importadores datos aplican las mismas medidas técnicas y organizativas en materia de protección de datos que se exigen a los exportadores en la UE, garantizando así la protección de los derechos y libertades de los titulares de los datos.
¿Cuándo entrarán en vigor estas cláusulas contractuales tipo?
Las nuevas cláusulas contractuales tipo entrarán en vigor a partir del 27 de septiembre de 2021, si bien, los contratos que se hubieran firmado de acuerdo a las anteriores CCS serán válidos hasta el 27 de septiembre de 2022, siempre y cuando las actividades de tratamiento no cambien y las cláusulas garanticen que la transferencia de datos personales está sujeta a las garantías adecuadas.
Así mismo, se abre un período de 15 meses para adaptar a las nuevas cláusulas los contratos que estén empleando las CCS de 2011/497/CE, 2004/915/CE o 2010/87/CE.