Cláusulas contractuales tipo 2021 (SCCs): 9 novedades

 

 

Principales novedades de las nuevas cláusulas contractuales tipo («Nuevas SCCs») aprobadas por la Comisión Europea (SCCs 2021)

 

 

En junio pasado, la Comisión Europea publicó un nuevo kit de Cláusulas contractuales tipo. En la escalada de «violencia» a que estamos asistiendo en las últimas semanas, no está de más recordar que cada uno puede tener su argumentación Schremsproof en la cabeza, pero si no tienes (i) una TIA formalizada y (ii) unas SCCs en pie, se puede decir que no tienes nada.

El texto de las nuevas cláusulas contractuales tipo de 2021, aquí.

Las «faqs» publicadas por la Comisión Europea en mayo de 2022 relación con estas SCCs, aquí.

A continuación, os resumimos las novedades que consideramos más relevantes.

Recordemos que, sustancialmente, el “Exportador” es la empresa u organización que transmite datos o permite su acceso a un tercero que se encuentra fuera del Espacio Económico Europeo o de los estados declarados adecuados por la Comisión Europea.

“Importador” es quien recibe o accede a tales datos del Exportador.

 

1         Compatibilidad y prevalencia

Ya no es necesario un contrato de tratamiento de datos por separado: las nuevas Cláusulas contractuales tipo contienen las disposiciones obligatorias necesarias.

Además, las Nuevas SCCs regulan su propia prioridad sobre cualquier otra disposición entre las partes.

Ojo, porque se hace mucho hincapié (esto no es una novedad) en que cualquier edición del texto distinta de eliminar los contenidos de otros módulos que no apliquen a tu caso, o completar información en los espacios habilitados entre corchetes, pondrá en riesgo de nulidad el documento.

Esta advertencia se extiende a cualquier estipulación añadida por las partes que se oponga directa o indirectamente al texto original. El criterio interpretativo principal es garantizar la protección de los derechos de los interesados.

 

2        Derecho transitorio

El uso de las antiguas Cláusulas contractuales tipo sólo está permitido después del 28 de septiembre de 2021 en la medida en que el tratamiento de datos en cuestión (i) no haya cambiado y (ii) esté sujeto a garantías adecuadas.

En la práctica, es poco probable que estas condiciones se cumplan simultáneamente, en especial, en relación con el segundo requisito: si las «legacy SCCs» garantizaran adecuadamente los flujos internacionales de datos, no se habría armado la que se ha armado. Además, los antiguos formatos no incluyen los fundamentales compromisos de la cláusula 15 (15.1 obligación de informar y 15.2 «defend your data«, que se comentan a continuación.

3        Responsabilidad

El Exportador es responsable solidario del cumplimiento de las Nuevas Cláusulas contractuales tipo por parte del Importador.

Está por ver la validez de posibles limitaciones de responsabilidad de los importadores o su reparto entre las partes (hasta hoy, uno de los aspectos más relevantes en cualquier negociación de SCCs).

Las “onward transfers” (transferencias internacionales realizadas por el importador a terceros, cesionarios –y por tanto, Responsables de Tratamiento- o subcontratistas –Encargados de Tratamiento-) no garantizadas adecuadamente no cumplen, y pueden poner en situación de responsabilidad a todas las partes intervinientes en el flujo de datos.

En virtud de las Nuevas Cláusulas contractuales tipo, las partes no sólo son responsables ante los interesados por las infracciones de los Nuevas SCCs, sino también entre sí (cláusula 12).

Recordar al hilo de esto que los interesados pueden, pacten lo que pacten las partes y sea cual sea su nacionalidad o país donde tengan su establecimiento principal, exigir judicialmente la satisfacción de los derechos que se les reconoce ante los jueces y tribunales de su domicilio.

Igualmente, ONGs como NOYB de Max Schrems pueden ejercer todos los derechos reconocidos a los interesados, en su nombre. No sé si se me entiende…

4        Nuevas obligaciones

Las TOMs (medidas técnicas, organizativas de seguridad) deben estar «descritas en términos específicos (y no genéricos)”.

Debe ser posible «distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, determinar el papel o los papeles respectivos de las partes como Exportador(es) de datos y/o Importador(es) de datos».

Se exige más información y más detallada que con los antiguos modelos. Esto es especialmente visible en los anexos (ojo que los modelos incluyen advertencias explícitas en este sentido):

• Para los «datos sensibles» (categorías especiales de datos personales), las Nuevas SCCs exigen que se definan (y desglosen) medidas específicas y adicionales.
• La frecuencia de transferencia (disclosure) de los datos personales (puntual, periódica).
• El periodo de conservación de los datos personales o los criterios para calcularlo.
• La «naturaleza» del tratamiento (recogida, el registro, la modificación, la estructuración, el almacenamiento, la recuperación, la consulta, la divulgación, la difusión, la interconexión, la comparación, la restricción, la supresión, la comunicación de datos personales…).
• Duración y objeto del tratamiento.

 

5        Brecha de seguridad

Si se produce una brecha de seguridad de los datos que entrañe riesgos relevantes para los interesados, el Importador (ojo, el Importador, no el Exportador, que será el que normalmente tenga relación directa con el interesado) debe ahora no sólo informar al Exportador, sino también (módulo 1, cláusula 8.5(e)):

• Notificar a la autoridad de protección de datos competente designada por las Partes (cláusula 13) y,
• también a los interesados, si es necesario.
• El Importador está obligado a llevar un registro de las brechas de seguridad de los datos, también de las que no se hayan notificado (módulo 1, cláusula 8.5(g)).

 

La Comisión en sus «frequently asked questions» de mayo de 2022 ha manifestado que no existe un plazo de notificación que haya que incluir en las estipulaciones, siempre que se notifiquen «without undue delay».

Esto parece un claro guiño a esa interpretación que deja mayor flexibilidad al importador/encargado de tratamiento para investigar como Dios manda una posible brecha, en vez de imponerle la obligación de notificarte en 24 horas lo poco que sepa (normalmente en 24 horas se sabe bien poco del perímetro del problema, en especial si ha sido importante).

 

 6        Transparencia

El Importador debe informar a los interesados (módulo 1, cláusula 8.2 a) de:

• su denominación social y datos de contacto,
• el derecho a obtener una copia de las propias SCCs.
• las categorías de datos transferidos y
• de cualquier otro ulterior destinatario
• de la finalidad y base de legitimación de dichas transferencias ulteriores

 

Las Nuevas cláusulas contractuales tipo establecen que la información se puede suministrar via Exportador (y/o su Privacy policy publicada p.ej en su web corporativa). Si el Importador puede demostrar que era imposible o suponía un esfuerzo desproporcionado para él informar por sí, bastaría con un wording en la privacy policy de su web.

 

7         Derechos de interesados

Se regulan específicamente los derechos de los interesados de acceso, rectificación y supresión, así como a oponerse a la utilización de sus datos con fines comerciales.

Pueden hacer valer estos derechos directamente contra el Importador (no sólo contra el Exportador, que será la parte con la que normalmente tendrán relación directa).

Los interesados tienen ahora derecho a inspeccionar las Nuevas SCCs específicamente acordadas, incluidos los anexos (módulo 1, cláusula 8.2(c)).

Aunque los secretos comerciales y los datos personales pueden ser protegidos, se debe proporcionar al menos un “resumen significativo que permita evaluar la legalidad del acuerdo”.

 

8        Resolución

Si el Importador no puede seguir cumpliendo sus obligaciones de acuerdo con las cláusulas contractuales tipo, o bien no cumple las instrucciones del Exportador (en un flujo Responsable-Encargado), se prevé un derecho extraordinario de resolución del contrato principal.

Las SCCs no detallan el procedimiento y consecuencias para cada parte de esta rescisión anticipada.

Las «Faqs» de la Comisión sí tratan el tema, pero únicamente para clarificar que la resolución sólo se producirá en caso de incumplimiento sustancial de sus obligaciones por el Importador (esto es derecho civil) y sólo afectará parcialmente a las obligaciones contractuales vinculadas con los flujos internacionales de datos personales cuya protección (amparada por las cláusulas contractuales tipo) ya no se puede garantizar.

El resto del contrato seguiría vivo (si es que eso tiene sentido en el caso concreto).

 

9        TIA “Transfer Impact Assessment”

Las partes deben garantizar que no tienen «ninguna razón para creer» que en el país del Importador puedan producirse accesos de las autoridades locales incompatibles con el estándar europeo.

Por eso, en rigor, las SCCs se deben firmar después de la TIA porque si no, las garantías de la cláusula 14 se prestan en vacío.

Recordemos que el objetivo de la TIA es evaluar si:

• Es posible o probable que las autoridades del estado Importador accedan a los datos transferidos de forma lícita según su propio ordenamiento jurídico.
• Si dicho acceso lícito es compatible con el estándar de derechos y garantías propios de la UE.

Se puede mantener un flujo de datos si se considera que el estándar de protección europeo no se ve menoscabado, pero se requiere un informe detallado, específico, circunstanciado y basado en fuentes objetivas, fiables y disponibles públicamente.

 

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos