La Comisión Europa aprueba las cláusulas tipo para transferencias internacionales de datos 

08-06-2021 — AR/2021/078

Las cláusulas se dividen en dos grupos: las generales o aplicables a cualquier transferencia internacional de datos personales, y las modulares, que se subagrupan en cuatro módulos, según el juego de intervinientes en la transferencia. Para cada uno de estos casos, se definen las responsabilidades de las partes.

La Comisión Europea ha hecho pública, el 4-6-2021, su decisión «sobre las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679».1

Para aprobar estas cláusulas, ha considerado el dictamen conjunto del Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos, y los comentarios aportados en la fase de consulta pública del proyecto.

Las empresas cuentan con un plazo de 18 meses para adaptar los contratos firmados conforme a las cláusulas anteriores.

Resaltamos los puntos más relevantes de las nuevas cláusulas.

Aspectos clave de las nuevas cláusulas: enfoque modular

Se distinguen dos conjuntos de cláusulas:

  • uno, de cláusulas generales, aplicables a cualquier transferencia,
  • otro, de cláusulas que regulan diferentes módulos, entre las que deberán optar las entidades según las circunstancias que concurran en la transferencia.

Cláusulas generales

Son el subconjunto de la 1 a la 7 y la 16.

Regulan:

  • el ámbito de aplicación,
  • la eficacia e inmodificabilidad,
  • los terceros beneficiarios,
  • las reglas de interpretación y prevalencia,
  • la descripción de la transferencia, y
  • la responsabilidad del exportador de los datos respecto de la capacidad del importador para cumplir las cláusulas.

Cláusulas de módulos

Los módulos son versiones que regulan cuatro escenarios de transferencia:

  • Módulo 1: de responsable de tratamiento a responsable de tratamiento,
  • Módulo 2: de responsable de tratamiento a encargado de tratamiento,
  • Módulo 3: de encargado de tratamiento a encargado de tratamiento, y
  • Módulo 4: de encargado de tratamiento a responsable de tratamiento.

Estas cláusulas modulares se refieren a las obligaciones de las partes.

Principales innovaciones en sus reglas

Disposiciones Schrems II

En relación con el problema suscitado por la sentencia del TJUE Schrems II, se incorpora una cláusula específica, la 14, que recoge la responsabilidad del importador de los datos de haber comprobado que en el momento de comprometerse contractualmente no está sujeto a ninguna ley o requerimiento de una autoridad pública que le exija la divulgación o el acceso a los datos personales de forma incompatible con las nuevas cláusulas.

Esta evaluación debe documentarse y conservarse a disposición de la autoridad competente.

Para ello, el importador debe tener en cuenta:

  1. las circunstancias específicas de la transferencia en cuestión,
  2. las leyes del país de destino a las que está sometido, incluyendo el proceso que debe seguir si recibe una solicitud de divulgación de los datos, y
  3. las medidas complementarias implementadas.

Además, en el caso de que reciba un requerimiento, el importador debe notificarlo al exportador en el momento en el que considere que infringe sus compromisos contractuales.

Terceros beneficiarios 

El importador debe determinar un punto de contacto con los interesados y, al igual que en las antiguas cláusulas contractuales, los interesados están legitimados para invocar y hacer cumplir las disposiciones que los benefician.

Subencargados de tratamiento

Puede autorizarse específicamente o de forma general.

Cláusula de adhesión

Esta cláusula permite que un tercero se adhiera a las nuevas cláusulas en cualquier momento, por ejemplo, en caso de grupo de empresas..

Rendición de cuentas

El importador debe poder demostrar el cumplimiento de las nuevas cláusulas y, en particular, mantener la documentación adecuada de sus actividades a disposición de la autoridad de control competente.

Responsabilidad

Las disposiciones sobre responsabilidad se alinean en gran medida con las del RGPD.1 Cada parte es responsable ante la otra de cualquier daño que pueda ocasionar a la otra parte.

  1. Respecto del módulo 1, de responsable a responsable, y del módulo 4, de encargado a responsable, (ver apartado 1.2):
    • cada parte es responsable ante el interesado por cualquier daño material o moral y
    • las partes responden conjunta y solidariamente en caso de que no pueda atribuirse la responsabilidad a una sola de ellas.
  2. Respecto del módulo 2, de responsable a encargado) y del módulo 3, de encargado a encargado:
    • el importador de datos es responsable de cualquier daño causado por el importador de datos o subencargado, y
    • el exportador de datos es responsable de cualquier daño causado por el exportador, el importador o su subencargado, aunque el exportador puede reclamar la indemnización al importador de datos o sus subencargados.

Se prevé que las nuevas cláusulas se incorporen a un contrato más amplio y, además, se permite añadir otras garantías y condiciones que no las contradigan.

1 El reglamento aludido en el título de esta decisión es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Se suele abreviar como RGPD.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información