EU│ La Comisión Europea arroja luz sobre el uso de las cláusulas contractuales tipo

La Comisión Europea responde a las cuestiones planteadas por distintos actores en relación con las Cláusulas Contractuales Tipo de protección de datos

EU│ La Comisión Europea arroja luz sobre el uso de las cláusulas contractuales tipo
23 de junio de 2022

El pasado 4 de junio de 2021, la Comisión Europea adoptó nuevos conjuntos de Cláusulas Contractuales Tipo (Standard Contractual Clauses o “SCC”), de los que ya hablamos en nuestro blog, para posibilitar la transferencia de datos personales fuera del Espacio Económico Europeo.

A raíz de la implementación de las nuevas Cláusulas Contractuales Tipo, la Comisión Europea ha publicado una guía, que adopta un modelo “pregunta-respuesta” (Q&A), y que ha sido preparada a partir de los comentarios y opiniones que ha recibido la Comisión Europea por parte de responsables y encargados del tratamiento, tras el uso de estas desde su adopción y consiguiente publicación.

La guía, que se ha dividido en tres secciones, contiene un total de 44 preguntas, de entre las que hemos considerado destacar las siguientes cuestiones:

  •  La Comisión Europea pone énfasis (pregunta 7) en que el contenido de las SCC no se puede alterar y únicamente podrá hacerse para (i) seleccionar los módulos y/o opciones ofrecidas en el texto, (ii) completar el texto de las SCC cuando sea necesario, (iii) completar los anexos o (iv) para añadir garantías adicionales que incrementen el nivel de protección de los datos personales. En este sentido, la Comisión Europea puntualiza que, en el caso de modificarse el contenido o el redactado de las SCC, las cláusulas modificadas ya no podrán utilizarse como base para transferencias de datos a terceros países, a menos que estén aprobadas por una autoridad nacional de protección de datos como "cláusulas ad hoc" (de conformidad con el artículo 46.3(a) del RGPD). En cualquier caso, lo que sí se puede hacer es complementar las SCC (pregunta 8) con cláusulas adicionales, siempre y cuando éstas no contradigan lo dispuesto en las SCC.
  • Se aclara cómo funciona la “docking clause” (pregunta 12), que es una cláusula por la cual las partes firmantes de las SCC pueden acordar qué partes adicionales pueden unirse al contrato en el futuro, lo que proporciona a las partes una flexibilidad adicional en caso de cambios con respecto a las partes que suscriben las SCC. La “docking clause” podría utilizarse, por ejemplo, en el caso de que sea necesario incluir un sub-encargado del tratamiento. La adhesión de esta nueva entidad que formará parte del contrato deberá realizarse con el consentimiento de todas las partes que inicialmente hayan suscrito las SCC. La formalización de dicho consentimiento no está regulada en las SCC, pero según indica la Comisión Europea, deberá formalizarse dicho consentimiento de conformidad con lo dispuesto en la normativa nacional que gobierne las SCC.
  • En la pregunta 29 se resuelve la cuestión acerca de cómo se puede cumplir con el artículo 28 del GDPR cuando se transfieren datos de un encargado de tratamiento a un sub-encargado de tratamiento fuera del EEE. En particular, indica la Comisión Europea que los requisitos del citado artículo 28 se han incorporado en el Módulo 2 (que cubre las transferencias de un responsable a un encargado) y en el Módulo 3 (transferencias de un encargado a u encargado) de las SCC. Mediante el uso de dichos módulos, los responsables y encargados del tratamiento no necesitan celebrar un contrato de encargado de tratamiento por separado.
  • Por otra parte, se indica qué acciones puede llevar a cabo un sujeto cuando entiende que sus datos personales han sido objeto de tratamiento sin respetar lo dispuesto en las SCC. En tal caso, indica la CE (pregunta 33) que el sujeto dispone de distintas opciones como, por ejemplo, presentar una queja directamente contra el importador de datos (Cláusula 11(a) de las SCC) o presentar una queja ante la autoridad de protección de datos competente (Cláusula 11(c) de las SCC), o bien iniciar las acciones que crea oportunas ante el tribunal correspondiente (Cláusula 12 de las SCC). Hay que destacar que, tal y como se indica en el Q&A, serán de aplicación reglas especiales en el caso de que los datos hayan sido transferidos a un prestador de servicios situado en el EEE pero que actúa en nombre y representación de una entidad fuera del EEE. En tal caso, la CE indica que o bien se podrá presentar una queja directamente contra el importador de los datos o, si estuviera disponible, ante un organismo independiente de resolución de disputas (Módulo 4, Cláusula 11).

Por último, es importante destacar que, tal y como se indica en la guía, el objetivo es que esta sea “dinámica” de tal forma que se irán incluyendo nuevas preguntas y respuestas a medida que vayan surgiendo tras el uso de estas, por lo que estaremos atentos a las nuevas cuestiones que se puedan incluir. 

23 de junio de 2022