Tanto si realiza actualmente transferencias internacionales de datos personales a terceros países fuera del Espacio Económico Europeo (EEE) como si tiene pensado efectuarlas en un futuro próximo, conviene conocer la actualización de las cláusulas tipo que deben incluirse en los contratos entre las partes. A este respecto, el pasado 4 de junio la Comisión Europea promulgó la Decisión de Ejecución (UE) 2021/914, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países.
El ejecutivo comunitario resuelve el escenario de incertidumbre acontecido a raíz de la Sentencia C-311/18, de 16 de julio de 2020, a través de la que el Tribunal de Justicia de la Unión Europea decidió que el Escudo de privacidad (Privacy Shield) no proporcionaba suficiente garantía de adecuación al marco jurídico comunitario en materia de protección de datos. Concretamente, el Tribunal comunitario consideró que el acceso a datos personales por parte de determinadas autoridades de los Estados Unidos de América en base a la legislación federal estadounidense no ofrecía suficientes garantías de acuerdo con el Derecho de la Unión Europea. A este respecto, recomendamos la lectura de una entrada anterior del blog donde se analiza detalladamente el contenido de la sentencia.
En consecuencia, el Tribunal resolvió el caso Comisaria de Protección de datos vs Facebook Irlanda y Maximillian Schrems (Schrems II) con la declaración de invalidez de la decisión de adecuación del Escudo de privacidad, lo que supone que, desde este pronunciamiento prejudicial, ya no es posible seguir transfiriendo datos desde la Unión a los Estados Unidos sin evaluar la base jurídica de dicha transferencia, siendo necesario utilizar un sistema de legitimación alternativo para las transferencias internacionales entre la Unión Europea y terceros países. En suma, el acuerdo en materia de privacidad para la transferencia de datos entre ambos lados del Atlántico se considera ilícito, en la medida en que no se garantiza la no interferencia en los derechos y libertades fundamentales de los interesados de conformidad con el Reglamento General de Protección de Datos (art. 45).
Así, las cláusulas contractuales tipo vienen a facilitar la transferencia internacional de datos, una vez derogado el Escudo de privacidad con Estados Unidos de América, con las garantías suficientes para avalar dichas transferencias de conformidad con el RGPD.
A continuación, se analizan las cuestiones más relevantes sobre las nuevas cláusulas contractuales tipo:
¿Qué son las cláusulas contractuales tipo?
Las cláusulas contractuales tipo son un instrumento normativo que se incluye en los contratos de tratamiento de datos a efectos de ofrecer garantías suficientes de cumplimiento normativo en la materia estipulada en cada decisión del órgano comunitario; en esta ocasión, con la Decisión de Ejecución (UE) 2021/914, se garantiza adecuadamente el cumplimiento del art. 46.1 y 46.2.c) RGPD relativo a las transferencias internacionales desde la Unión Europea (UE) a terceros países.
Estas cláusulas, de conformidad con el considerando 7 de la Decisión de ejecución (UE) 2021/914, de 4 de junio de 2021, pueden utilizarlas tanto el responsable como el encargado a fin de ofrecer garantías adecuadas (…) y pueden utilizarse respecto a las transferencias internacionales solo en la medida en que el tratamiento por parte del importador no entre en el ámbito de aplicación del Reglamento (UE) 2016/679. En otras palabras, a través de estas cláusulas el responsable del tratamiento podrá realizar transferencias internacionales con garantías suficientes de cumplimiento normativo en materia de protección de datos entre las partes implicadas (exportador e importador de los datos personales) en el supuesto de transferencia de datos personales desde la Unión a un tercer país que no ofreciese un nivel de protección adecuado en materia de protección de datos.
¿Con qué fin se establecen las cláusulas contractuales tipo?
Las cláusulas contractuales tipo de la Decisión de Ejecución (UE) 2021/914, permiten lograr garantías suficientes de cumplimiento del art. 46 del RGPD para la realización de transferencias de datos personales entre la Unión Europea y un tercer país.
El establecimiento de estas cláusulas contractuales responde a la necesidad de ofrecer garantías suficientes para el tratamiento de datos personales de conformidad con el RGPD, para ello estas cláusulas permiten la vinculación de carácter contractual entre el responsable y el encargado que sirva de base jurídica de aplicación a efectos de garantizar un tratamiento de datos lícito y con garantías suficientes con arreglo al Derecho de la Unión y los Estados miembros. Precisamente, estas cláusulas contractuales tipo establecen los derechos y obligaciones de los responsables, encargados y subencargados del tratamiento, con lo que suponen un complemento normativo necesario en caso de que se precise realizar una transferencia internacional de datos personales sin la autorización expresa de la Autoridad de control competente.
¿Qué había antes de la actualización y por qué fue necesario corregir las deficiencias de las versiones anteriores?
Hasta la promulgación de las nuevas cláusulas contractuales tipo, en materia de transferencias de datos a terceros países, eran de aplicación la Decisión 2001/497/CE y la Decisión 2010/87/UE de la Comisión Europea, en las que se establecían determinadas cláusulas contractuales de conformidad con la ya derogada Directiva 95/46/CE. Asimismo, al igual que en 2010 se actualizaron dichas cláusulas en relación con la Decisión 2004/915/CE, se hacía necesario adecuar las cláusulas contractuales tipo al nuevo marco jurídico vigente en materia de protección de datos (RGPD) para poder lograr las garantías suficientes de cumplimiento normativo que permita la transferencia internacional de datos personales entre la Unión y terceros países.
Así, con motivo de la expansión del tráfico comercial y financiero entre los Estados miembros de la Unión Europea y terceros países, era necesaria una labor de adecuación de los contratos entre responsables y encargados del tratamiento con el objetivo de garantizar que las transferencias de datos entre la Unión y terceros países se realicen mediante garantías adecuadas de cumplimiento normativo y, en definitiva, de protección de los derechos y libertades fundamentales tanto de los responsables y/o encargados como de los interesados.
¿Cuáles son las principales novedades?
Estas nuevas cláusulas contractuales traen consigo un actualizado ámbito de aplicación de conformidad con el vigente RGPD, a diferencia de las anteriores basadas en la Directiva 95/46/CE. En esta línea, en cuanto a las transferencias internacionales se refiere, estas nuevas cláusulas contractuales sirven de garantía adecuada para las transferencias internacionales de datos en el nuevo escenario tecnológico y mercantil a nivel global; no obstante, el exportador de los datos deberá cumplir con las obligaciones que establece el RGPD para los responsables y/o encargados, así como el resto de obligaciones contractuales acordadas entre las partes. Esta Decisión (UE) 2021/914 distingue las diferentes partes implicadas en el contrato que, de acuerdo con el nuevo contexto tecnológico y, sobre todo, normativo, puedan llegar a intervenir en las transferencias internacionales de datos, a saber: responsable-responsable, responsable-encargado, encargado-encargado o encargado-responsable.
En todo caso, como recuerda el Dictamen conjunto 2/2021 del CEPD-SEPD al respecto de las cláusulas contractuales para la transferencia de datos personales a terceros países, deberán establecer con suficiente claridad las funciones y responsabilidades que a tal efecto tienen los responsables y/o encargados implicados en la importación/exportación de los datos. Asimismo, en cada una de estas cláusulas contractuales, a fin de facilitar la operatividad de la transferencia de datos personales, se detallan los siguientes factores: limitación de la finalidad, transparencia, exactitud y minimización de datos, limitación del plazo de conservación, seguridad del tratamiento, datos sensibles, transferencias ulteriores y documentación y cumplimiento.
¿En qué supuestos se aplican estas cláusulas?
Las cláusulas contractuales serán necesarias en todos aquellos supuestos en los que tenga lugar una transmisión de datos entre un responsable y/o encargado a un tercer país fuera del Espacio Económico Europeo (EEE) que no hubiera sido declarado como destinatario de nivel adecuado por la Comisión Europea (ver listado de destinatarios de nivel adecuado AQUÍ). Solo se permitirá la transferencia internacional de los datos entre responsables y/o encargados implicados si se ofrecen las garantías suficientes de que dicha transmisión cumple con lo requerido en el RGPD.
¿A partir de qué momento será obligatorio firmar las cláusulas actualizadas?
La Decisión de ejecución (UE) 2021/914, de 4 de junio de 2021, entró en vigor pasados los veinte días desde su publicación en el Diario Oficial de la Unión Europea; a partir de ese momento, deberán iniciarse las actuaciones necesarias para la firma de las cláusulas contractuales convenientemente actualizadas conforme a lo establecido en la Decisión anteriormente referida.
¿Qué ocurre con las anteriores cláusulas contractuales tipo?
Atendiendo a la resolución de la Comisión Europea, las cláusulas contractuales tipo de las Decisiones de la Comisión Europea 2001/497/CE, 2004/915/CE y 2010/87/UE quedarán derogadas a partir del 27 de septiembre de 2021. No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores Decisiones serán válidos hasta el 27 de diciembre de 2022, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas. Esto supone que todas las cláusulas contractuales constituidas a partir de las decisiones anteriores deberán adecuarse a la presente Decisión en vigor y firmarse a partir de la fecha de entrada en vigor arriba indicada.
Como se aprecia, esta nueva actualización de las cláusulas contractuales pretende facilitar el acuerdo entre responsables y encargados del tratamiento conforme al RGPD en relación a la transmisión de datos a nivel internacional de un modo seguro y respetuoso con cada uno de los principios de licitud del tratamiento de datos tal y como se regulan en el RGPD y el Derecho de los Estados miembros, en la medida en que toda transferencia internacional con terceros países fuera del EEE, que no estén amparados por una decisión de adecuación conforme al Reglamento, supone el aumento del nivel de riesgo sobre el derecho fundamental a la privacidad tanto para los responsables/encargados de aplicación, como en definitiva, para los derechos y libertades de los ciudadanos de la Unión cuyos datos son objeto de tratamiento.