ACTUALIZACIÓN Junio 2021: La Comisión Europea ha publicado nuevos conjuntos de cláusulas contractuales tipo para las transferencias internacionales de datos. Por tanto, el artículo de abajo no seguiría vigente, ya que se refiere a las antiguas cláusulas. Puedes encontrar más información sobre las nuevas cláusulas contractuales tipo en este otro artículo: Nuevas cláusulas contractuales tipo – Preguntas y respuestas
Según el Reglamento General de Protección de Datos (RGPD / GDPR), cualquier transmisión de datos que un responsable o un encargado del tratamiento realice a un territorio fuera del Espacio Económico Europeo sería considerado una transferencia internacional de datos. El Espacio Económico Europeo, además de todos los países de la Unión Europea, incluiría Liechtenstein, Islandia y Noruega. Por tanto, de acuerdo con lo dispuesto en los artículos 44 y siguientes del RGPD, para llevar a cabo estas transferencias internacionales deberemos cumplir los requisitos expresamente establecidos a tal efecto.
Cuando se vaya a realizar una transferencia internacional de datos personales a un tercer país, lo primero que debe chequearse es si el mismo se encuentra dentro del listado de países con nivel adecuado de protección. A tal efecto, se puede consultar la lista en este enlace (a tal efecto, simplemente recordar que en el caso de Estados Unidos únicamente aplicaría a las entidades adheridas al Privacy Shield). Si el país se encuentra en este listado, no es necesario llevar a cabo ninguna medida diferente en comparación con una transmisión de datos dentro de la Unión Europea.
Una vez comprobado que el país no se encuentra dentro de este listado, deberemos analizar las distintas posibilidades que nos ofrecen los artículos 46 y siguientes del RGPD para realizar esta transferencia de forma legal. A tal efecto, sin perjuicio de otros sistemas como las Normas Corporativas Vinculantes, este artículo se centra en la que quizá sea la medida más utilizada en la práctica: las cláusulas contractuales tipo de la Comisión Europea.
El artículo 46 del RGPD establece que el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país si hubiera ofrecido garantías adecuadas. Para considerarse que se aportan estas garantías, el art. 46.2.c establece que para ello sería válido firmar unas cláusulas tipo de protección de datos adoptadas por la Comisión de acuerdo con el procedimiento establecido a tal efecto. Asimismo, el apartado siguiente permite a las autoridades de protección de datos aprobar también cláusulas tipo (no obstante, a fecha de escritura de este artículo no tengo constancia de que ninguna autoridad de protección de datos haya aprobado ningunas a estos efectos).
Todo esto significa que, para regularizar una transferencia internacional de datos, bastaría con que ambas partes (el exportador y el importador de datos) firmaran estas cláusulas contractuales tipo. Esto haría que la transferencia internacional de datos fuera legal (sin descuidar, eso sí, cualesquiera otras obligaciones generales en materia de protección de datos, como informar a los interesados, etc.). Como consecuencia, en función de la situación concreta, se pueden firmar dos tipos diferentes de cláusulas:
Transferencia internacional de datos de responsable a responsable (cesión de datos)
Transferencia internacional de datos de responsable a encargado (encargo del tratamiento)
¿Es posible modificar las cláusulas contractuales tipo de la Comisión para las transferencias internacionales de datos?
Hasta aquí, todo parece bastante claro, pero una vez que nos adentramos a leer las apasionantes cláusulas contractuales tipo, en la práctica suele surgir la pregunta de si se pueden modificar. Esto es debido a que no son pocas las ocasiones en las que cualquiera de las partes preferiría sustituir algunas de sus cláusulas o, simplemente, añadir otras nuevas, más acordes a sus intereses. Esto, asimismo, también sucede habitualmente cuando nos encontramos con empresas que cuentan con estrictas políticas en cuanto a sus modelos contractuales, de forma que querrían adaptar las clausulas tipo a dichos modelos.
A estos efectos, cabe hacer alusión a que las propias cláusulas cuentan con partes que deben personalizarse (por ejemplo, cuando debemos identificar las partes firmantes o la información relativa a la transferencia). En estos casos, es evidente que debemos incluir texto personalizado en las cláusulas según sea necesario. Sin embargo, desde mi punto de vista no cabría la posibilidad de modificar las cláusulas más allá de esto por los siguientes motivos:
– Naturaleza de las cláusulas tipo. La cuestión es que, si pensamos en la naturaleza de las propias cláusulas tipo, si las mismas se pudieran modificar perderían su sentido. Tengamos en cuenta que se trata de un texto redactado y aprobado por la Comisión para cumplir con las garantías necesarias y, por tanto, cualquier alteración supondría que nos desviaríamos de lo expresamente aprobado por la autoridad. De nada serviría la existencia de unas cláusulas tipo como mecanismo de garantía si éstas pudieran ser modificadas libremente.
– Prohibición expresa incluida en las cláusulas tipo. Las propias cláusulas de las decisiones de 2004 y 2010 incluyen una previsión específica que prohíbe a las partes modificar las cláusulas firmadas. Esto, evidentemente, manifiesta la voluntad de la Comisión de que las cláusulas se firmen tal y como han sido publicadas y que no sean modificadas posteriormente.
– Criterio de la Information Commisioner Officer (ICO). La ICO (autoridad británica de protección de datos), cuenta con un documento publicado en el que indica que la utilización de cualquier versión de las cláusulas en las que se hubiera realizado cualquier mínimo cambio en la redacción de las cláusulas, incluso aunque con ello no se cambie el sentido de las mismas, se consideraría que no equivaldría a las auténticas cláusulas tipo aprobadas por la Comisión y, como consecuencia, no serían válidas para demostrar el cumplimiento de las salvaguardias necesarias.
-Criterio de la Agencia Española de Protección de Datos (según mi experiencia). Cuando en España aplicaba la LOPD de 1999, contábamos con un principio general de autorización para las transferencias internacionales de datos y, para conseguir esa autorización, las partes debían firmar previamente las correspondientes cláusulas contractuales tipo. Según mi experiencia gestionando procedimientos de autorización de transferencias (que no fueron pocos), la AEPD no admitía ni un solo cambio en las cláusulas contractuales tipo (básicamente ni de formato). En caso contrario, la denegación de la solicitud de autorización era automática (como digo, esto está basado en mi experiencia personal, no en ninguna circular oficial difundida por la Agencia).
Por tanto, si tenemos en cuenta todos los factores indicados anteriormente, la conclusión sería que estas cláusulas no pueden ser modificadas ni alteradas. En caso de querer incluir algunas de las cláusulas opcionales que algunos de los modelos recogen en la parte final (sobre responsabilidad y demás), las deberemos añadir como una suerte de anexo. Sin perjuicio de lo anterior, nada nos impide firmar contratos adicionales para completar cualquier resquicio que no estuviera regulado en las mismas, pero siempre que no suponga una alteración de éstas.
