Cláusulas contractuales tipo 2021

Cláusulas contractuales tipo 2021: 9 novedades

 

 

Principales novedades de las nuevas cláusulas contractuales tipo («Nuevas SCCs») aprobadas por la Comisión Europea (SCCs 2021)

 

(Este texto fue enviado en noviembre pasado a los secuoyers y a los privadísimos y exclusivísimos destinatarios de mi newsletter)

 

En junio pasado, la Comisión Europea publicó un nuevo kit de Cláusulas contractuales tipo. En la escalada de «violencia» a que estamos asistiendo en las últimas semanas, no está de más recordar que cada uno puede tener su argumentación Schremsproof en la cabeza, pero si no tienes (i) una TIA formalizada y (ii) unas SCCs en pie, se puede decir que no tienes nada.

A continuación, os resumimos las novedades que consideramos más relevantes.

Recordemos que, sustancialmente, el “Exportador” es la empresa u organización que transmite datos o permite su acceso a un tercero que se encuentra fuera del Espacio Económico Europeo o de los estados declarados adecuados por la Comisión Europea.

Importador” es quien recibe o accede a tales datos del Exportador.

 

1         Compatibilidad y prevalencia

Ya no es necesario un contrato de tratamiento de datos por separado: las nuevas Cláusulas contractuales tipo contienen las disposiciones obligatorias necesarias.

Las Nuevas SCCs regulan su propia prioridad sobre cualquier otra disposición entre las partes.

 

2        Derecho transitorio

El uso de las antiguas Cláusulas contractuales tipo sólo está permitido después del 28 de septiembre de 2021 en la medida en que el tratamiento de datos en cuestión (i) no haya cambiado y (ii) esté sujeto a garantías adecuadas.

En la práctica, es poco probable que estas condiciones se cumplan simultáneamente, en especial, en relación con el segundo requisito: si las «legacy SCCs» garantizaran adecuadamente los flujos internacionales de datos, no se habría armado la que se ha armado. Además, los antiguos formatos no incluyen los fundamentales compromisos de la cláusula 15 (15.1 obligación de informar y 15.2 «defend your data«, que se comentan a continuación.

Cláusulas contractuales tipo 2021

3        Responsabilidad

El Exportador es responsable solidario del cumplimiento de las Nuevas Cláusulas contractuales tipo por parte del Importador.

Está por ver la validez de posibles limitaciones de responsabilidad de los importadores o su reparto entre las partes (hasta hoy, uno de los aspectos más relevantes en cualquier negociación de SCCs).

Como siempre, el texto estándar es inmutable y, como se ha dicho anteriormente, prevalece sobre cualesquiera otras disposiciones entre las partes.

Las “onward transfers” (transferencias internacionales realizadas por el importador a terceros, cesionarios –y por tanto, Responsables de Tratamiento- o subcontratistas –Encargados de Tratamiento-) no garantizadas adecuadamente no cumplen, y pueden poner en situación de responsabilidad a todas las partes intervinientes en el flujo de datos.

En virtud de las Nuevas Cláusulas contractuales tipo, las partes no sólo son responsables ante los interesados por las infracciones de los Nuevas SCCs, sino también entre sí (cláusula 12).

Recordar al hilo de esto que los interesados pueden, pacten lo que pacten las partes y sea cual sea su nacionalidad o país donde tengan su establecimiento principal, exigir judicialmente la satisfacción de los derechos que se les reconoce ante los jueces y tribunales de su domicilio.

Igualmente, ONGs como NOYB de Max Schrems pueden ejercer todos los derechos reconocidos a los interesados, en su nombre. No sé si se me entiende…

 

4        Nuevas obligaciones:

Las TOMs (medidas técnicas, organizativas de seguridad) deben estar «descritas en términos específicos (y no genéricos)”.

Debe ser posible «distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, determinar el papel o los papeles respectivos de las partes como Exportador(es) de datos y/o Importador(es) de datos».

Se exige más información y más detallada que con los antiguos modelos:

  • Para los «datos sensibles» (categorías especiales de datos personales), las Nuevas SCCs exigen que se definan medidas específicas y adicionales.
  • La frecuencia de transferencia (disclosure) de los datos personales (puntual, periódica).
  • El periodo de conservación de los datos personales o los criterios para calcularlo.
  • La «naturaleza» del tratamiento (recogida, el registro, la modificación, la estructuración, el almacenamiento, la recuperación, la consulta, la divulgación, la difusión, la interconexión, la comparación, la restricción, la supresión, la comunicación de datos personales…).
  • Duración y objeto del tratamiento.

 

5        Brecha de seguridad

Si se produce una brecha de seguridad de los datos que entrañe riesgos relevantes para los interesados, el Importador (ojo, el Importador, no el Exportador, que será el que normalmente tenga relación directa con el interesado) debe ahora no sólo informar al Exportador, sino también (módulo 1, cláusula 8.5(e)):

  • Notificar a la autoridad de protección de datos competente designada por las Partes (cláusula 13) y,
  • también a los interesados, si es necesario.
  • El Importador está obligado a llevar un registro de las brechas de seguridad de los datos, también de las que no se hayan notificado (módulo 1, cláusula 8.5(g)).

 

6        Transparencia

El Importador debe informar a los interesados (módulo 1, cláusula 8.2 a) de:

  • su denominación social y datos de contacto,
  • el derecho a obtener una copia de las propias SCCs.
  • las categorías de datos transferidos y
  • de cualquier otro ulterior destinatario
  • de la finalidad y base de legitimación de dichas transferencias ulteriores

Las Nuevas SCCs establecen que la información se puede suministrar via Exportador (y/o su Privacy policy publicada p.ej en su web corporativa). Si el Importador puede demostrar que era imposible o suponía un esfuerzo desproporcionado para él informar por sí, bastaría con un wording en la privacy policy de su web.

 

7         Derechos de interesados

Se regulan específicamente los derechos de los interesados de acceso, rectificación y supresión, así como a oponerse a la utilización de sus datos con fines comerciales.

Pueden hacer valer estos derechos directamente contra el Importador (no sólo contra el Exportador, que será la parte con la que normalmente tendrán relación directa).

Los interesados tienen ahora derecho a inspeccionar las Nuevas SCCs específicamente acordadas, incluidos los anexos (módulo 1, cláusula 8.2(c)).

Aunque los secretos comerciales y los datos personales pueden ser protegidos, se debe proporcionar al menos un “resumen significativo que permita evaluar la legalidad del acuerdo”.

 

8        Resolución

Si el Importador ET no sigue las instrucciones del Exportador RT, se prevé un derecho extraordinario de rescisión del contrato principal.

Obviamente, las SCCs no detallan el procedimiento y consecuencias para cada parte de esta rescisión anticipada…

 

9        TIA “Transfer Impact Assessment”

Las partes deben garantizar que no tienen «ninguna razón para creer» que en el país del Importador puedan producirse accesos de las autoridades locales incompatibles con el estándar europeo.

Por eso, en rigor, las SCCs se deben firmar después de la TIA porque si no, las garantías de la cláusula 14 se prestan en vacío.

Recordemos que el objetivo de la TIA es evaluar si:

  • Es posible o probable que las autoridades del estado Importador accedan a los datos transferidos de forma lícita según su propio ordenamiento jurídico.
  • Si dicho acceso lícito es compatible con el estándar de derechos y garantías propios de la UE.

Se puede mantener un flujo de datos si se considera que el estándar de protección europeo no se ve menoscabado, pero se requiere un informe detallado, específico, circunstanciado y basado en fuentes objetivas, fiables y disponibles públicamente.

 

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos