Carme Setó, Abogado asociado, Directora área IP & IT y Lily F. Estrada Ploegmakers, Abogada, Área IP & IT de DS Duran-Sindreu
Carme Setó y Lily Estrada
Recientemente la Comisión Europea ha publicado una guía de Preguntas y Respuestas (en adelante, “Q&A”) respecto las transferencias internacionales de datos, con tal de aclarar todas las cuestiones referentes a las nuevas cláusulas contractuales tipo publicadas en 2021, conocidas en inglés como las Standard Contractual Clauses (en adelante, las “SCC”).
Las SCC permiten a los responsables y encargados del tratamiento suscribirse a ellas de forma voluntaria para llevar a cabo transferencias internacionales de datos fuera del Espacio Económico Europeo (eso es, los Estados Miembros de la Unión Europea e Islandia, Liechtenstein y Noruega), cumpliendo en todo momento las obligaciones exigidas por el Reglamento (UE) 679/2016, General de Protección de Datos (en adelante, “RGPD”), ya que se contemplan las medidas de seguridad técnicas y organizativas necesarias a aplicar por las partes. De este modo, con la suscripción a las SCC, se pueden realizar transferencias internacionales de datos sin necesidad de obtener una autorización previa de una autoridad de protección de datos.
Esto es especialmente relevante para las PYMES y otras empresas que pueden no tener recursos para negociar contratos individuales con cada uno de sus socios comerciales ubicados fuera del Espacio Económico Europeo (en adelante, el “EEE”).
Las principales ventajas que ofrecen las SCC es que son de directa y fácil aplicación, puesto que ya están redactadas y únicamente se requiere (i) la elección o supresión de ciertos párrafos y/u opciones específicas ofrecidas en el texto (por ejemplo, indicar los tribunales y la autoridad de control competente, especificar plazos o suprimir las disposiciones referentes a subencargados del tratamiento en caso de que no los haya); (ii) completar los anexos con los datos solicitados (por ejemplo, datos del responsable y encargado del tratamiento, categoría de interesados, tipo de datos objeto de la transferencia y finalidad); y/o (iii) añadir garantías adicionales que aumenten el nivel de protección de los datos.
Dentro de las modificaciones permitidas, se pueden también añadir cláusulas adicionales, o incorporarlas a un contrato comercial más amplio, siempre que las demás disposiciones contractuales no entren en contradicción de forma directa o indirecta con lo dispuesto en las SCC, ni perjudiquen los derechos de los interesados. A modo de ejemplo, las SCC exigen que las partes se informen mutuamente o cooperen, por lo que si las partes lo desean, pueden incluir una cláusula adicional a las SCC referente al modo en que se llevará a cabo en la práctica la comunicación entre ellas.
Adicionalmente, las empresas pueden optar a la hora de suscribir las SCC por diferentes opciones atendiendo al contexto en el cual se realizará la transferencia internacional de datos: (i) transferencias de datos de responsable a responsable; (ii) transferencias de datos de responsable a encargado; (iii) transferencias de encargado a encargado; y (iv) transferencias de encargado a responsable.
En línea con todo lo anterior, para poder confiar en la vinculación y aplicación efectiva de las SCC, así como garantizar su transparencia, todas las partes contratantes deberán firmar las SCC siendo incorporadas al contrato principal de acuerdo con los requisitos del derecho civil de la jurisdicción aplicable.
Por todo lo anterior, parece claro que el objetivo de las SCC es facilitar las relaciones internacionales, aportando un mecanismo para cumplir con los estándares de seguridad establecidos por el RGPD, y siendo adaptadas a la situación concreta de cada relación comercial.
Por último, las SCC están sujetas a una constante revisión por parte de la Comisión Europea (está prevista la siguiente revisión para el año 2024) de modo que se garantiza a las partes firmantes que siempre que se suscriban a las SCC vigentes, estarán cumpliendo con el RGPD y aplicando las medidas de seguridad técnicas y organizativas más actuales con el fin de salvaguardar los derechos y libertades de los interesados y, consecuentemente, evitar ser sancionado con las altas multas previstas por el RGPD, que van hasta los 20.000.000 de euros o el 4% del volumen de negocio anual total de los ingresos globales del ejercicio anterior (se optará por la de mayor cuantía).
