Protección de datos: Las nuevas cláusulas tipo

El pasado 4 de junio de 2021 la Comisión Europea aprobó dos decisiones de ejecución que establecen las nuevas cláusulas contractuales tipo (CCT o SCC, por sus siglas en inglés, Standard Contractual Clauses) en materia de protección de datos tanto para transferencias de datos a terceros países, como para los contratos entre responsables y encargados del tratamiento. Las nuevas cláusulas responden a los requisitos del Reglamento General de Protección de Datos (RGPD), tratando de acercarse a la realidad del tráfico jurídico y de las relaciones cada vez más globales entre empresas, además de incorporar los criterios establecidos en la sentencia Schrems II de julio de 2020 por el Tribunal de Justicia de la Unión Europea.


La decisión de ejecución (UE) 2021/915 responde a las previsiones de los artículos 28.6 RGPD y 29.6 del Reglamento 2018/1725 y, por tanto, el mismo conjunto de cláusulas tipo podrá ser utilizado tanto en las relaciones entre responsables y encargados del tratamiento sujetos al RGPD, como en las de los sujetos al Reglamento 2018/1725, consiguiendo un planteamiento coherente de protección de datos en la Unión para sector privado, sector público y para las instituciones, órganos y organismos de la Unión. Así, a partir de la entrada en vigor de estas cláusulas el responsable y el encargado podrán optar entre negociar un contrato individual que contenga los elementos obligatorios de dichos artículos o utilizar, total o parcialmente, las cláusulas contractuales tipo fijadas por la Comisión.


Por su parte, para la realización de transferencias internacionales de datos personales a terceros países (países situados fuera del Espacio Económico Europeo), mediante la decisión de ejecución (UE) 2021/914, la Comisión ha establecido unas CCT modulares, que permiten la realización de dichas transferencias con garantías adecuadas en el sentido del art. 46 1 y 46.2.c del RGPD, recogiendo los criterios establecidos por la sentencia Schrems II.


NUEVAS CLÁUSULAS CONTRACTUALES TIPO PARA TRANSFERENCIAS INTERNACIONALES DE DATOS

Las nuevas CCT tienen una estructura modular, de modo que es necesario escoger unos artículos u otros en función de la relación entre las partes (exportador-importador):

  • Modelo 1: responsable-responsable

  • Modelo 2: responsable-encargado

  • Modelo 3: encargo-encargado

  • Modelo 3: encargado-responsable

Además, las nuevas CCT permiten que se adhieran al contrato nuevas partes tanto como importadores como como exportadores, de modo que adquieran las mismas obligaciones y queden igualmente vinculados por el contrato.


Habrá que ver cómo resuelven esta parte las grandes empresas, ya que se imponen nuevas obligaciones de información, auditoría, comunicación directa a los interesados y a las autoridades de control, etc., en la línea de RGPD y de la Sentencia Schrems II, que suponen muchas más restricciones y precauciones a la hora de subcontratar a terceros fuera de la UE y de modificar las cadenas de subcontratación sin información efectiva o fehaciente para los responsables del tratamiento.


Concretamente, los módulos de la sección II (obligaciones de las partes) conllevan obligaciones que, en suma, suponen la necesidad de que las compañías analicen la injerencia que puede comportar la transferencia de datos a un tercer país antes de contratar, y que guarden pruebas de dicho análisis.


Además de firmar las nuevas CCT y del análisis anteriormente mencionado, será necesario realizar una Evaluación de Impacto de la Transferencia (TIA) en los casos en los que la firma de las CCT pueda no ser suficiente para garantizar la ausencia de injerencia por parte del gobierno de un tercer país o de que el proveedor no pueda garantizar el cumplimiento por su parte de las medidas de las CCT. Esta evaluación también debe almacenarse y ser puesta, en caso de solicitud, a disposición de la autoridad de control.

NUEVAS CLÁUSULAS CONTRACTUALES TIPO ENTRE RESPONSABLES Y ENCARGADOS SUJETOS AL RGPD O AL REGLAMENTO 2018/1725

Como hemos señalado en la introducción de este artículo, los encargados y responsables a quienes sean de aplicación estos reglamentos podrán optar entre negociar un contrato individual de encargo del tratamiento (los DPAs y ETs de hasta ahora, que deberán en todo caso reunir el contenido mínimo obligatorio), o bien utilizar total o parcialmente las Cláusulas Contractuales Tipo fijadas por la Comisión.

nuevas cláusulas contractuales tipo

En caso de que se desee optar por suscribir el modelo de CCT propuesto, no sería necesario realizar una modificación inminente de los encargos del tratamiento vigentes que se hayan suscrito por parte de las empresas, si bien sería recomendable plantear la modificación de los contratos de encargo actuales para, o bien reemplazarlos por las CCT a partir de una determinada fecha, o bien incorporar cambios que proponen las nuevas CCT, como por ejemplo:


a) Incorporar la posibilidad de adhesión de terceros a las CCT a medida que la relación vaya creciendo, de modo que queden vinculados literalmente por las obligaciones e instrucciones del responsable, en su caso (cláusula 5).


b) Incorporar la obligación para los encargados de aportar copia del contrato con los subencargados y las modificaciones de los mismos (cláusula 7).


c) Añadir una cláusula de tercero beneficiario para el responsable en virtud de la cual, y en caso de subcontratación, si el encargado desaparece de facto, cesa de existir o deviene insolvente, el responsable tenga derecho a rescindir el subencargo y ordenar que se devuelvan los datos personales (cláusula 7).


d) Añadir la obligación de realizar transferencias internacionales en base a las nuevas CCT para transferencias internacionales (cláusula 7).


e) Incluir que, en caso de incumplimiento del encargado, el responsable pueda ordenar la suspensión del tratamiento de datos hasta que el encargado subsane el incumplimiento o, en caso contrario, pueda resolver el contrato; así como que e