El pasado 4 de junio de 2021, la Comisión Europea publicó dos conjuntos de cláusulas contractuales tipo en el marco del Reglamento General de Protección de Datos («RGPD»):
- Cláusulas contractuales tipo para transferencias internacionales de datos personales (en adelante, nuevas «CCT»), destinadas a permitir las transferencias legales de datos personales fuera del Espacio Económico Europeo («EEE»).
- Cláusulas contractuales tipo entre responsables y encargados dentro del EEE (en adelante, «Modelo de Contrato de Encargado del Tratamiento»), que es un acuerdo de tratamiento de datos que puede utilizarse entre responsables y encargados del tratamiento en el EEE.
En este contexto, a continuación he recopilado algunas preguntas y respuestas sobre los principales aspectos cubiertos por estas cláusulas y los cambios que entrañan para las organizaciones en la práctica:
1. ¿Cuál es la diferencia entre estas dos series de cláusulas publicadas por la Comisión Europea?
Las nuevas CCT están destinadas a ser utilizadas cuando los datos vayan a ser exportados desde un responsable o un encargado del tratamiento en el EEE a un responsable o un encargado del tratamiento fuera del EEE, funcionando como mecanismo para regularizar la transferencia internacional de datos en virtud del artículo 45 del RGPD. Estas nuevas CCT, por tanto, sustituyen a las anteriores aprobadas en virtud de la antigua Directiva 95/46/CE y deben ser firmadas sin modificaciones por las partes para ser válidas.
Sin embargo, las otras cláusulas publicadas por la Comisión, a las que me he referido anteriormente como Modelo de Contrato de Encargado del Tratamiento, no sirven en el contexto de las transferencias internacionales de datos, sino que funcionan como un modelo de contrato entre un responsable y un encargado dentro del EEE en línea con el artículo 28 del RGPD. Debe tenerse en cuenta que este Modelo de Contrato de Encargado del Tratamiento no impide que las organizaciones utilicen cualquier otro contrato que cumpla los requisitos del artículo 28 del RGPD (de hecho, probablemente muchas ya tengan modelos personalizados que funcionen mejor de cara a sus intereses). Por lo tanto, a diferencia de lo que ocurre con las nuevas CCT, este Modelo de Contrato de Encargado del Tratamiento no debería implicar cambios sustanciales para las organizaciones, más allá de ser útil como referencia.
2. ¿Cuál es la diferencia entre las antiguas CCT y las nuevas?
Mientras que las antiguas se aprobaron en el marco de la anterior Directiva 95/46/CE (en 2001, 2003 y 2010), las nuevas CCT se han actualizado para ajustarse a los requisitos del RGPD y contienen un ámbito de aplicación más amplio, ya que también abarcan otros tipos de transferencias.
3. ¿Qué tipo de transferencias cubren las nuevas CCT?
Las nuevas CCT son modulares y pueden utilizarse para los siguientes tipos de transferencias, siempre que el exportador esté en el EEE y el exportador fuera del EEE:
- De responsable a responsable (C2C),
- De responsable a encargado (C2P),
- De encargado a sub-encargado (P2S), y
- De encargado a responsable (P2C).
4. ¿Es posible seguir utilizando las antiguas CCT?
De acuerdo con la decisión de aplicación de la Comisión Europea, las antiguas CCT pueden utilizarse durante tres meses más (septiembre de 2021). Sin embargo, sería aconsejable empezar a utilizar las nuevas CCT lo antes posible.
5. ¿Tenemos que actualizar todos nuestros contratos existentes que impliquen transferencias internacionales de datos?
Sí. Las transferencias de datos basadas en la versión anterior de las CCT tendrán que actualizarse con las nuevas, pero hay un plazo de hasta 18 meses (diciembre de 2022) para llevar a cabo esta tarea.
6. ¿Proporcionan las nuevas CCT suficientes garantías para que podamos «olvidarnos» de Schrems II y de las recomendaciones del Consejo Europeo de Protección de Datos?
No. Aunque las nuevas CCT incluyen medidas de protección adicionales en comparación con las antiguas, esto no elimina la obligación de que las organizaciones evalúen la legislación del país de destino para determinar si las salvaguardas contenidas en las CCT son suficientes o si deben establecerse medidas complementarias, de conformidad con la sentencia «Schrems II» del TJUE y las Recomendaciones del Consejo Europeo de Protección de Datos sobre transferencias internacionales de datos.
7. ¿Cómo afecta esto a las organizaciones de Reino Unido?
La Information Commissioner’s Office (ICO) o el Gobierno del Reino Unido aún no se han pronunciado sobre estas nuevas CCT, por lo que de momento no serían válidas para las transferencias del Reino Unido a terceros países. Sin embargo, es aconsejable estar atentos para ver qué posición adopta el Reino Unido sobre estas nuevas CCT. Por otra parte, debe tenerse en cuenta que la ICO anunció recientemente que está trabajando para elaborar un nuevo conjunto de cláusulas contractuales tipo solo para el Reino Unido. [Actualización Febrero 2022: El Reino Unido ha aprobado su nuevo régimen para transferencias internacionales de datos, que incluye dos opciones: (1) el International Data Transfer Agreement (equivalente a las CCTde la UE pero en el Reino Unido), así como (2) un «UK Addendum» que se trata de un documento que sería incorporado a las CCT de la UE para que éstas sean válidas también para regular transferencias de Reino Unido al resto del mundo].
Por otro lado, las empresas británicas que importen datos desde el EEE deben tener en cuenta que, si el Reino Unido no obtiene una decisión de adecuación antes de que finalice el período de transición establecido en el acuerdo comercial entre la UE y el Reino Unido (es decir, 30 de junio de 2021), es posible que las nuevas CCT tengan que utilizarse para regularizar las transferencias de datos del EEE al Reino Unido. [Actualización Junio 2021: El Reino Unido obtuvo una decisión de adecuación por parte de la UE – lo que significa que puede haber libre flujo de datos entre la Unión Europea y Reino Unido sin la necesidad de firmar CCT o realizar ninguna otra gestión de regularización de transferencias (no obstante, deberán aplicarse los mismos requisitos legales que si fuera un flujo de datos dentro de España, lo que por ejemplo puede incluir la necesidad de firmar un contrato de encargado del tratamiento o similares)]
8. Entonces, ¿qué debemos hacer ahora?
Esto dependerá de cada organización, aunque en mi opinión, los principales pasos a seguir deberían ser los siguientes (tenga en cuenta que lo que sigue se ha redactado en junio de 2021):
- Durante los próximos 3 meses (hasta septiembre 2021): diseñar un proceso BAU para garantizar que los nuevos acuerdos de transferencia internacional que se establezcan sean evaluados e incorporen las nuevas CCT; y
- Durante los próximos 18 meses (hasta diciembre 2022):
-
- Elaborar un mapa de todos los contratos con terceros que deben ser remediados, aprovechando la oportunidad para identificar también todas las demás transferencias internacionales de datos para las que puede no haber medidas de protección adecuadas en este momento;
- Evaluar los riesgos delas transferencias de datos para determinar si las nuevas CCT son realmente suficientes como salvaguardas para regularizar las transferencias internacionales identificadas y, en caso de que no lo sean, planificar cómo incorporar medidas suplementarias; y
- Actualizar los contratos que conlleven transferencias internacionales de datos, incorporando las nuevas CCT, así como las medidas complementarias que sean necesarias.
En resumen, esta actualización de la Comisión Europea va más allá de un mero trámite y puede suponer un esfuerzo importante para la mayoría de las organizaciones. Sería aconsejable no dejarlo como una tarea de última hora (más de uno lo dejará pasar hasta noviembre de 2022) y empezar a planificar cuanto antes cómo abordar este ejercicio de actualización.