La Comisión Europea acaba de publicar la versión definitiva de las nuevas y esperadas Cláusulas Contractuales Tipo (Standard Contractual Clauses o SCCs), que sirven como mecanismo para otorgar un nivel adecuado de protección de datos personales a algunas transferencias internacionales de datos. Previamente, la Comisión europea publicó una primera versión de las SCCs sujetas a consulta pública.
Las SCCs anteriores y que quedan derogadas por éstas, constituyeron uno de los mecanismos más comunes para garantizar un nivel adecuado de protección al realizar transferencias internacionales. Las anteriores SCCs estaban en proceso de revisión y actualización al ser anteriores a la entrada en vigor del Reglamento General de Protección de Datos. Este proceso de revisión se vio acelerado por la Sentencia Schrems II del Tribunal de Justicia de la Unión Europea, que, aunque las considerara válidas, concluía que en algunos casos podían no ser suficientes para garantizar un nivel adecuado de protección.
A continuación analizamos las cuestiones más relevantes de las SCCs.
Estructura
Las nuevas SCCs tiene una estructura modular, siendo su redactado diferente dependiendo del escenario en el que se utilicen. En este sentido, las SCCs contemplan cuatro escenarios diferentes de transferencias internacionales de datos:
La estructura modular de las nuevas SCC en cuanto escenarios diferentes tienen en cuenta dos escenarios que no se contemplaban con las anteriores (E-R y E-E). De esta manera, las nuevas SCCs reflejan mejor la diversidad de escenarios presente en la realidad.
Así, las SCCs para todos los escenarios se dividen en cuatro (4) secciones diferentes: (i) una primera sección introductoria con cláusulas generales sobre interpretación y jerarquía, (ii) una segunda sección con las obligaciones de las partes, (iii) una tercera sección sobre obligaciones de análisis de normas locales y acceso a datos por parte de las autoridades, y (iv) una cuarta sección con cláusulas finales como pueden ser, la cláusula de ley aplicable o la de jurisdicción. Asimismo, los escenarios R-R y E-R contienen dos anexos sobre características del tratamiento y medidas técnicas y organizativas, mientras que los escenarios R-E y E-E contienen un anexo adicional para listar a los subencargados del tratamiento.
Adicionalmente, las nuevas SCCs contienen toda la información requerida para la contratación de encargados del tratamiento. Por lo tanto, en la medida en la que aplique, no será necesario firmar un contrato de encargo de tratamiento adicional a las SCCs.
Entrada en vigor
Las nuevas SCCs entran en vigor el 27 de junio de 2021. Por lo tanto, será posible empezar a incorporarlas como mecanismo para garantizar un nivel adecuado de protección de los datos que van a ser transferidos internacionalmente a partir de la mencionada fecha. No obstante, será posible seguir utilizando las SCCs anteriores durante un periodo transitorio de quince (15) meses posteriores a la entrada en vigor de las nuevas SCCs, es decir, hasta el 27 de diciembre de 2022, siempre que (i) el tratamiento sujeto a las SCCs no cambie y (ii) sea posible garantizar un nivel adecuado de protección de los datos personales.
La propuesta inicial de la Comisión europea contemplaba un periodo transitorio de un (1) año. El periodo transitorio final de quince (15) meses supone una ampliación solicitada por gran parte de las respuestas recibidas por la Comisión Europea durante la consulta pública de las nuevas SCCs.
Cambios relevantes
En cuanto al contenido de las nuevas SCCs, destacan las siguientes cláusulas:
Schrems II
A raíz de la Sentencia Schrems II del Tribunal de Justicia de la Unión Europea, las nuevas SCCs incluyen igualmente obligaciones encaminadas a (i) evaluar el impacto de la transferencia internacional, y (ii) saber cómo actuar en caso de recibir una solicitud de acceso a los datos por parte de las autoridades.
Próximos pasos
La publicación de la versión final de las nuevas SCCs conllevan dos grandes consecuencias para toda empresa:
Pedro Méndez de Vigo Asociado
Jorge Monclús Consejero