Transferenciales internacionales: Concepto y modo de realizarlas
Las transferencias internacionales de datos tienen lugar cuando los datos personales objeto de tratamiento por un responsable o encargado del tratamiento situado en el Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega) son remitidos a un tercer país u organización internacional que se encuentra situada fuera de dicho territorio. De este modo, en toda transferencia internacional de datos vamos a encontrar dos figuras: el exportador y el importador de datos. El exportador de datos es aquel responsable o encargado del tratamiento que transfiere datos a un tercer país, mientras que el importador de datos es aquel responsable o encargado del tratamiento que recibe los datos personales.
A modo de ejemplo, muchas empresas utilizan para sus correos comerciales la herramienta de Mailchimp, cuyas oficinas centrales están en Estados Unidos al igual que sus servidores, lo que supone que los datos que procesan pueden ser transferidos, almacenados o procesados en Estados Unidos. En este caso, si una empresa española (en calidad de responsable del tratamiento y exportador de datos y a la que, además, le es de aplicación el Reglamento General de Protección de Datos) contrata con Mailchimp (en calidad de encargado de tratamiento e importador de datos) estaríamos ante una transferencia internacional de datos, dado que una empresa situada en el Espacio Económico Europeo está remitiendo datos a una empresa situada fuera de dicho espacio, concretamente en Estados Unidos.
En principio, los responsables y encargados de tratamiento pueden realizar transferencias internacionales sin necesidad de una autorización de la Agencia Española de Protección de Datos siempre y cuando el tratamiento de datos observe lo dispuesto en el Reglamento General de Protección de Datos (RGPD) y se dé alguno de los supuestos contemplados en los arts. 45 y siguientes del Reglamento. Dentro de estos supuestos y a falta de una decisión de adecuación (art. 45.3 RGPD) el responsable o el encargado del tratamiento solo podrán transmitir datos personales a un tercer país u organización internacional si este hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. En este sentido, estas garantías pueden ser aportadas de diversas formas entre las que se encuentran las Cláusulas Contractuales Tipo (Standard Contractual Clauses o SCCs) que se pueden entender como unas clausulas estandarizadas adoptadas bien por la Comisión Europea o bien por una autoridad de control y que permiten, mediante el establecimiento de ciertos controles y garantías, que se realicen transferencias internacionales de datos sin que se vea menoscabado el nivel de protección de datos establecido en el Reglamento.
Nuevas cláusulas contractuales tipo: entrada en vigor y novedades
La Comisión Europea aprobó las nuevas SCCs el 4 de julio de 2021 que sustituyen a sus predecesoras con efecto a partir del 27 de septiembre de 2021 (Decisión 2001/497/CE y la Decisión 2010/87/UE) y que entraron en vigor el 27 de junio de 2021. No obstante, pese a que ya entraron en vigor debe tenerse presente que aquellos contratos que incluyesen las clausulas anteriores se entienden que ofrecen garantías adecuadas en el sentido del artículo 46.1 del Reglamento hasta el 27 de diciembre de 2022, siempre y cuando las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas y que las cláusulas contractuales tipo garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas. De este modo, los contratos que utilicen las cláusulas contractuales de 2001/497/CE, 2004/915/CE o la Decisión 2010/87/UE tendrán un período de 15 meses para su adaptación a las nuevas cláusulas.
Estas nuevas SCCs nacen con el objetivo de adaptarse a los avances que se han producido en la economía digital y, más concretamente, a la existencia de nuevos tratamientos de datos mucho más complejos en los que suelen intervenir a menudo múltiples importadores y exportadores de datos. Asimismo, las nuevas SCCs se adaptan al RGPD incorporando los principios de accountability y tratan de adoptar los criterios señalados por el Tribunal de Justicia de la Unión Europea (TJUE) en la sentencia del caso Schrems II (C-311/18). Debe recordarse que en su decisión el TJUE precisó que las SCCs eran válidas y que dicha validez no quedaba en entredicho por el mero hecho de que, debido a su carácter contractual, no vinculasen a las autoridades del país tercero al que podían transferirse los datos, pero añadiendo que esa validez dependía de que en las SCCs se hubiesen incluido mecanismos eficaces que permitiesen garantizar en la práctica que el nivel de protección exigido por el Derecho de la Unión mediante el RGPD sea respetado.
De cara a su implementación, las SCCs pueden ser incorporadas al contrato que rija la relación de servicios entre los responsables y/o encargados del tratamiento como si se tratasen de unas cláusulas más del contrato o incorporarlo como anexo al mismo. Además, debe tenerse presente que las partes del contrato pueden añadir cualesquiera otras cláusulas o garantías que estimen oportunas con el límite de que dichas cláusulas no pueden contradecir, sea directa o indirectamente, el pliego de cláusulas elaborado por la Comisión ni perjudiquen los derechos o libertades fundamentales de los interesados. En cualquier caso, la existencia de estas cláusulas no puede llevar a pensar que simplemente con su incorporación a un contrato se está cumplimiento con el Reglamento, dado que las organizaciones que pretendan realizar transferencias internacionales deberán igualmente realizar previamente un análisis de impacto de dicha transferencia con el fin de verificar que los datos transferidos contarán con un nivel de protección adecuado. De hecho, si se pretenden realizar transferencias internacionales de datos con base a las SCCs deberá prestarse especial atención a las medidas técnicas y organizativas que se establezcan en dicho contrato además de realizar una correcta evaluación que tenga en cuenta, entre otros, los siguientes aspectos:
– Las circunstancias específicas de la transferencia
– La longitud de la cadena de tratamiento
– El número de agentes implicados
– Los canales de transmisión utilizados
– Las transferencias ulteriores previstas
– El tipo de destinatario
– La finalidad del tratamiento
– Las categorías y el formato de los datos personales transferidos
– El sector económico en el que tiene lugar la transferencia
– El lugar de almacenamiento de los datos transferidos
– El derecho y las prácticas del tercer país de destino que sean pertinentes en la transferencia
En cuanto a la estructura de las nuevas SCCs puede observarse que combinan cláusulas generales con un enfoque modular con el objetivo de tener en cuenta los distintos supuestos de transferencia y, en consecuencia, abarcar la diversa complejidad de las cadenas de tratamiento actuales. Derivado del enfoque modular los responsables y encargados deben seleccionar el módulo aplicable a su situación, para adaptar las obligaciones derivadas de las cláusulas contractuales tipo a su función y sus responsabilidades respecto del tratamiento de datos en cuestión. En este sentido, las SCCs contemplan cuatro escenarios diferentes en el marco de las transferencias internacionales de datos:
a) de responsable a responsable
b) de responsable a encargado
c) encargado a responsable
d) de encargado a encargado
Como puede observarse estas nuevas cláusulas tienen en cuenta dos escenarios que no se planteaban en las anteriores cláusulas (escenarios c y d) reflejando la mayor diversidad de transferencias que se pueden realizar, más si tenemos en cuenta las ulteriores transferencias que puedan darse. De hecho, debe tenerse presente que las SCCs nacen con vocación de abertura, es decir, que debe ser posible que otros responsables o encargados se adhieran a las mismas, sea como exportadores o como importadores de datos, a lo largo del periodo de vigencia del contrato en el que se inserten dichas cláusulas.
Siguiendo con el análisis de la estructura de las nuevas cláusulas cada escenario se divide en cuatro secciones diferentes:
(1) en primer lugar, una sección de carácter más introductorio en el que se describen y definen los principios del Reglamento y los aspectos esenciales que deben tenerse en cuenta en el tratamiento de datos personales;
(2) en segundo lugar, se recogen las obligaciones que asume cada una de las partes en materia de protección de datos;
(3) en tercer lugar, una sección relativa al derecho del país y las obligaciones de acceso por parte de sus autoridades públicas. Esta sección claramente tiene su origen en la sentencia del TJUE relativa al caso Schrems II por la cual el Privacy Shield o Escudo de Privacidad quedaba invalidado y, finalmente,
(4) una cuarta sección que recoge una serie de disposiciones finales en materia de incumplimiento y resolución del contrato, así como la jurisdicción aplicable.
Además, junto con el clausulado correspondiente a las secciones anteriores, será obligatorio que se incorpore a modo de anexo un listado de las medidas de seguridad que se van a aplicar para garantizar la protección de datos personales de los interesados en los terceros países. De hecho, en el anexo II de las cláusulas se contemplan a modo ejemplificativo medidas de seguridad que se pueden adoptar, por ejemplo, medidas de seudonimización y cifrado de los datos personales, medidas para garantizar la confidencialidad, medidas para garantizar la responsabilidad proactiva, entre otras que también podrán ser completadas con las medidas establecidas en la Recomendación 01/2020 de medidas que complementan los instrumentos de transferencia internacional de datos personales para garantizar un nivel de protección de datos personales adecuado.
Cláusulas contractuales tipo y transferencias con estados unidos: ¿solucionan el problema?
Visto lo anterior es inevitable preguntar si estas nuevas cláusulas solucionan el problema de las transferencias internacionales de datos con Estados Unidos tras el caso Schrems II. Así pues, tras la sentencia Schrems II se puede observar que las nuevas SCCs incluyen obligaciones encaminadas fundamentalmente a evaluar, por un lado, el impacto de la transferencia internacional y, por otro lado, a establecer medidas y requisitos de actuación en caso de recibir una solicitud vinculante de acceso a los datos por parte de las autoridades del país receptor de los datos.
No obstante, es interesante observar la letra a) de la cláusula 14 en la que lo primero que se señala por las partes es que no existen motivos para creer que el Derecho y las prácticas del país de destino, en especial los requisitos de comunicación de los datos personales, impidan al importador cumplir con las obligaciones recogidas en las cláusulas. En este sentido, si se parte que la razón fundamental de invalidez del Escudo de Privacidad se basa en la posibilidad de acceso del gobierno estadounidense a los datos de las organizaciones, parece lógico pensar que estas nuevas cláusulas por sí solas no suponen un mecanismo útil para realizar transferencias internacionales de datos a responsables o encargados del tratamiento situados en dicho país, salvo que lógicamente se establezcan medidas técnicas y organizativas que verdaderamente impidan al gobierno estadounidense acceder a los datos personales obtenidos. De hecho, las propias cláusulas así lo señalan en su considerando número dieciséis al indicar que “Deben aplicarse requisitos adicionales para corregir el efecto que tenga el Derecho del tercer país de destino sobre el cumplimiento de las cláusulas por parte del responsable y, en particular, el modo de resolver las solicitudes vinculantes de comunicación de los datos personales transferidos presentadas por las autoridades públicas del tercer país cuando el encargado de la Unión combine los datos personales recibidos del responsable en el tercer país con los datos personales recopilados por el encargado en la Unión”.
Además, siempre se debe partir de una evaluación previa del derecho del tercer país y si de dicha evaluación se deriva que no se puede garantizar un nivel esencialmente equivalente de protección para los datos personales del país receptor de los datos, el uso de las SCCs solo será válido si se toman medidas efectivas adicionales que garanticen un nivel de protección equivalente al contemplado en el Reglamento. Por lo tanto, para poder realizar transferencias internacionales de datos a Estados Unidos sí que se podrán emplear las nuevas SCCs, pero teniendo presente en todo momento que deberán adoptarse medidas precisas de cara garantizar un nivel adecuado de protección de los datos personales.
En Legitec contamos con un equipo de juristas expertos en protección de datos e informáticos expertos en ciberseguridad que nos permite contemplar todos los aspectos relevantes para la elaboración de cláusulas contractuales tipo que tengan en cuenta no solo los aspectos jurídicos sino también el establecimiento de medidas técnicas y organizativas adecuadas, por lo que si su organización necesita elaborar unas SCCs estaremos encantados de ayudarle.
Autora: Tania Pedregosa
Consultora Jurídica Legitec
