Comprender las cláusulas contractuales tipo (CCT) para el cumplimiento del RGPD

Las cláusulas contractuales tipo (CCT) son cláusulas redactadas por la Comisión Europea para ayudar a garantizar el cumplimiento del RGPD cuando se transfieren datos personales fuera del Espacio Económico Europeo (EEE).

Este artículo explica cómo funcionan los CSC, cuándo y cómo utilizarlos, y cómo implementar y supervisar los CSC de su organización de una manera que cumpla con el GDPR.

¿Qué son las cláusulas contractuales tipo?

Las normas de protección de datos del RGPD son de las más estrictas del mundo. Sin embargo, los datos son fluidos, e internet trasciende las fronteras nacionales y las jurisdicciones legales.

El RGPD no exige que los datos personales se almacenen exclusivamente en la UE. Las "transferencias internacionales de datos" son muy comunes. Pero deben cumplir el capítulo V del RGPD.

El capítulo V del RGPD establece varias formas de realizar una transferencia internacional de datos:

1. Si el país de destino cuenta con una "decisión de adecuación" de la Comisión Europea (artículo 45). La Comisión Europea mantiene una lista de países con normas de protección de datos "adecuadas". No es necesario utilizar SCC ni ninguna otra salvaguarda al transferir datos personales a un "país adecuado".
2. Si utiliza uno de los "mecanismos de transferencia" del GDPR (artículo 46), incluidos los SCC.
3. Si se aplicauna"excepción" (artículo 49), por ejemplo si el interesado ha consentido explícitamente la transferencia o si ésta es necesaria para proteger la vida o la salud de alguien. Las excepciones sólo deben utilizarse en situaciones excepcionales.

Los CSC son uno de los "mecanismos de transferencia" establecidos en el artículo 46 del RGPD (punto 2, arriba), y son la forma más común de realizar una transferencia internacional de datos a organizaciones de países sin una decisión de adecuación.

Un contrato que contenga CEC vincula al "importador" de datos (situado fuera del EEE) a los principios, derechos y obligaciones del RGPD. En otras palabras, el importador estará legalmente obligado a respetar las normas de la UE al tratar los datos personales que importe del EEE.

Componentes clave de los SCC modernizados

El último conjunto de CEC de la UE figura en la Decisión de Ejecución (UE) 2021/914 de la Comisión. A continuación le ofrecemos un breve recorrido por la legislación para que sepa a qué se compromete antes de aplicar las CEC.

Sección I: Disposiciones introductorias generales

Las cláusulas de la sección 1 presentan los CEC, explicando aspectos clave como:

• Su finalidad (garantizar el cumplimiento del GDPR)
• Las partes de la transferencia (el exportador y el importador de datos)
• Terceros beneficiarios del contrato (titulares de los datos, que pueden hacer valer los CEC frente a las partes).

La sección 1 también incluye una "cláusula de acoplamiento" opcional (cláusula 7), que permite que nuevas partes se adhieran al contrato después de su firma.

Sección II: Obligaciones de las Partes

La sección II establece los requisitos que deben cumplir el exportador y (lo que es más importante) el importador con respecto a los datos personales que se transfieren.

Los CEC imponen, entre otras, las siguientes obligaciones:

• Minimización de los datos: Ambas partes deben garantizar que los datos personales tratados sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan.
• Transparencia: Los exportadores de datos deben proporcionar información clara y completa sobre la transferencia, incluida su finalidad, las categorías de datos personales implicadas y cómo pueden ejercer sus derechos los interesados.
• Seguridad de los datos: Ambas partes deben aplicar las medidas técnicas y organizativas adecuadas para proteger los datos personales contra la destrucción accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados.
• Subencargados del tratamiento: Los importadores de datos deben obtener previamente una autorización específica o general por escrito del exportador de datos antes de contratar a cualquier subencargado del tratamiento. Además, los subencargados del tratamiento deben estar sujetos a las mismas obligaciones de protección de datos que las estipuladas en los CEC.
• Derechos de los interesados: Las partes deben colaborar para defender los derechos de los interesados.

Esta sección de las CEC es "modular": No todas las cláusulas son pertinentes en todos los supuestos de transferencia, y sólo las cláusulas pertinentes formarán parte del contrato. A continuación analizaremos el carácter modular de los CEC.

Sección III: Legislación local y acceso de las autoridades públicas

Una razón importante para las SCC es proteger los datos personales del acceso de autoridades públicas ajenas al EEE (como las fuerzas de seguridad y los servicios de inteligencia).

Al firmar los CEC, las partes garantizan que no tienen motivos para creer que las autoridades públicas del país del importador les obligarán a incumplirlos.

Por ejemplo, los CEC pueden prohibir al importador que dé acceso a las fuerzas policiales locales a los datos personales sin una orden judicial. En algunos países, el importador puede rechazar tal orden. En otros, rechazar dicha orden podría ser legal o prácticamente imposible.

Antes de firmar los CEC y garantizar que tal escenario no se producirá, las partes deben considerar:

• Las circunstancias específicas de la transferencia (por ejemplo, de qué tipos de datos se trata y qué tecnologías se utilizan para compartir los datos).
• Las leyes y prácticas del tercer país (por ejemplo, leyes que permiten a las autoridades públicas interceptar datos, y si las autoridades públicas obedecen dichas leyes en la realidad).
• Las "garantías contractuales, técnicas y organizativas" establecidas para impedir que las autoridades públicas accedan a los datos.

El proceso para considerar estos factores se conoce como "evaluación del impacto de la transferencia" (EIT). Según la Junta Europea de Protección de Datos (JEPD), los exportadores e importadores deben realizar una EIT antes de confiar en los CEC para asegurarse de que protegerán eficazmente los datos personales en cuestión. 

Al final de este artículo se ofrecen algunos recursos sobre los AIT.

La sección III de las CEC también exige al importador de datos que notifique al exportador de datos si una autoridad pública solicita acceso a los datos y que impugne cualquier solicitud que infrinja las CEC, cuando proceda.

Sección IV: Incumplimiento, rescisión y legislación aplicable

La sección IV de las CEC explica qué ocurre si alguna de las partes incumple las CEC o si el importador descubre que no puede cumplir sus obligaciones en virtud de las CEC. El exportador de datos puede rescindir el contrato anticipadamente si el importador incumple una orden de un regulador con sede en el EEE.

Esta sección también permite a las partes acordar qué leyes del país regirán la interpretación de las CEC y gestionar cualquier disputa legal derivada de la transferencia.

Comprender los cuatro módulos de los SCC

Como ya se ha dicho, los CEC son "modulares". Esto significa que algunas transferencias están cubiertas por algunas partes de los CEC, pero no otras.

Hay cuatro módulos SCC que cubren cuatro escenarios distintos, dependiendo de qué parte es un controlador y cuál es un procesador. He aquí algunos ejemplos de cuándo es apropiado cada módulo.

Módulo 1: De controlador a controlador (C2C)

El módulo 1 es para transferencias de un controlador a otro controlador. Por ejemplo:

• Exportador: Consultoría alemana
• Importador: empresa estadounidense de estudios de mercado

Una consultora alemana recoge las opiniones de sus clientes mediante encuestas y analiza los datos para sus propios fines. 

Cuando cuenta con el consentimiento de sus usuarios, la empresa alemana comparte datos con una empresa estadounidense de estudios de mercado, que los utiliza para sus propios fines.

Ambas empresas son responsables del tratamiento y utilizan SCC del módulo 1 para facilitar la transferencia de datos.

Módulo 2: De controlador a procesador (C2P)

El módulo 2 se aplica cuando un responsable del tratamiento transfiere datos a un encargado del tratamiento. Por ejemplo:

• Exportador: Minorista polaco
• Importador: empresa brasileña de análisis

Un minorista polaco quiere analizar la actividad de los usuarios en su sitio web. El minorista contrata a un proveedor de análisis brasileño para que analice los datos en su nombre.

El minorista polaco es un responsable del tratamiento y la empresa brasileña de análisis es un encargado del tratamiento. Las empresas utilizan SCC del módulo 2 para facilitar la transferencia de datos.

Módulo 3: de procesador a procesador (P2P)

El módulo 3 se aplicacuando un procesador transfiere datos a otro procesador (o a un subprocesador). Por ejemplo:

• Exportador: Empresa española de email marketing
• Importador: proveedor sudafricano de seguridad de datos

Una empresa española de marketing por correo electrónico gestiona listas de correo electrónico en nombre de sus clientes. La empresa española contrata a un proveedor sudafricano de seguridad de datos para proteger las listas de correo electrónico contra incidentes de ciberseguridad.

La empresa española de marketing por correo electrónico es un procesador, y el proveedor sudafricano de seguridad de datos es su subprocesador. Las empresas utilizan SCC del módulo 3 para facilitar la transferencia de datos.

Módulo 4: De procesador a controlador (P2C)

El módulo 4 cubre un escenario ligeramente oscuro: Un encargado del tratamiento basado en el EEE obtiene datos personales de un responsable del tratamiento no basado en el EEE y devuelve los datos personales al responsable del tratamiento. Por ejemplo:

• Exportador: proveedor italiano de análisis de datos
• Importador: Minorista egipcio

Un minorista egipcio contrata a un proveedor italiano de análisis de datos para analizar el comportamiento de los compradores en su tienda online. El minorista egipcio exporta datos personales a la empresa italiana para su análisis. 

El minorista egipcio es un responsable del tratamiento. El proveedor italiano de análisis es un encargado del tratamiento, pero sigue estando cubierto por el RGPD, por lo que debe cumplir el capítulo V del RGPD al transferir los datos personales analizados al minorista egipcio. Las empresas utilizan CSC del módulo 4 para facilitar la transferencia.

Nota: Aunque la versión británica del GDPR es prácticamente idéntica a la de la UE, el regulador británico no reconoce este escenario como una transferencia internacional de datos. Sólo los sujetos al GDPR de la UE necesitan utilizar CSC en este escenario. Más información en nuestro artículo sobre Acuerdos internacionales de transferencia de datos (IDTA) del Reino Unido.

Cómo aplicar las cláusulas contractuales tipo (CCT)

Ya hemos visto qué son los SCC y cómo funcionan. A continuación, te damos algunos consejos para poner en marcha los SCC.

Identifique y asigne sus transferencias de datos

Antes de implantar los SCC, debe determinar si está realizando una transferencia internacional de datos y trazar los destinos de los datos personales (incluido si el importador realizará "transferencias ulteriores" a otro tercer país).

Como se ha señalado, una transferencia internacional de datos requiere dos partes: un importador (con sede en el EEE y sujeto al GDPR) y un importador (fuera del EEE). 

Debe mantener un mapa exhaustivo de todas las transferencias internacionales de datos relevantes para su organización.

Evaluar la eficacia de los SCC

Esta parte del proceso de transferencia internacional de datos es posiblemente la más difícil y se conoce como "Evaluación del Impacto de la Transferencia" (EIT).

Es necesario un AIT antes de realizar una transferencia internacional de datos porque los CEC no son más que un contrato:no siempre impiden que las autoridades de fuera del EEE exijan u obtengan los datos personales y vulneren los derechos de protección de datos de las personas.

Como tal, el exportador (idealmente con la ayuda del importador) debe evaluar las leyes y prácticas de la jurisdicción del importador para asegurarse de que esto no ocurrirá de manera que socave los derechos de protección de datos de las personas.

Por ejemplo: ¿Permite la legislación del país importador que los servicios de inteligencia intercepten datos de cables submarinos? Si no es así, ¿interceptan los servicios de inteligencia los datos de todos modos? ¿O pueden las autoridades policiales exigir datos personales a las empresas sin la debida supervisión judicial?

Adoptar medidas complementarias

A continuación, el exportador debe considerar la posibilidad de aplicar "medidas técnicas u organizativas"para garantizar la protección efectiva de los datos personales transferidos.

• Una medida técnica podría consistir en cifrar los datos personales para garantizar que el importador no pueda revelarlos a las autoridades policiales. 
• Una medida organizativa podría consistir en garantizar que el importador dispone de formación, políticas o certificaciones adecuadas en materia de protección de datos.

Si no es posible adoptar medidas técnicas u organizativas eficaces, es posible que tenga que plantearse si puede realizar legalmente la transferencia internacional de datos.

Negociar y firmar los CEC

Los CEC forman parte de un contrato entre el exportador y el importador:el contrato debe acordarse y firmarse antes de que tenga lugar la transferencia.

Las partes no pueden modificar ni excluir ninguna de las cláusulas obligatorias de las CEC. Sin embargo, algunos elementos de las CEC son opcionales (como la "cláusula de acoplamiento"), y el importador y el exportador pueden negociar los controles de seguridad o los aspectos comerciales de la transferencia.

Reevaluar a intervalos apropiados

Como ocurre con la mayoría de las actividades de cumplimiento en materia de protección de datos, la aplicación de las cláusulas de confidencialidad no es un ejercicio "de una vez por todas": debe revisar el acuerdo de transferencia internacional de datos a "intervalos apropiados" y asegurarse de que las cláusulas de confidencialidad siguen siendo una herramienta eficaz de protección de datos.

Si la legislación cambia en la jurisdicción del importador, un gobierno autoritario toma el poder o una nueva tecnología socava las salvaguardias técnicas acordadas, las CEC podrían dejar de ser eficaces o apropiadas. Mantener las CEC bajo revisión ayudará a evitar tales eventualidades.

Las partes pueden acordar formalmente un periodo de revisión, o el exportador puede decidir revisar sus CEC periódicamente (por ejemplo, una vez al año). Las transferencias de datos más arriesgadas requieren una reevaluación más frecuente.

Preguntas frecuentes sobre las cláusulas contractuales tipo

¿Cuáles son las sanciones por no utilizar los CEC para las transferencias internacionales de datos?

No aplicar los CSC puede infringir las normas sobre transferencia internacional de datos del RGPD y acarrear el nivel más alto de sanciones: Hasta el 4 % de la facturación anual global o hasta 20 millones de euros (la cantidad que sea mayor).

En agosto de 2024, Uber recibió una multa de 290 millones de euros de la Autoridad Holandesa de Protección de Datos (DPA ) tras transferir datos personales entre sus entidades de la UE y Estados Unidos sin que existieran SCC (ni ningún otro mecanismo de transferencia).

¿Pueden utilizarse los CEC para transferencias de datos dentro de un mismo país?

Sí, en algunas circunstancias. El considerando 111 se refiere a la posibilidad de "transferencias ulteriores de datos personales desde el tercer país... a responsables o encargados del tratamiento en el mismo país o en otro tercer país".

Por ejemplo:

• Un minorista francés transfiere datos personales a un proveedor brasileño de análisis utilizando SCC.
• El proveedor brasileño de análisis desea compartir los datos con una empresa brasileña de marketing por correo electrónico.

Este acuerdo podría constituir una "transferencia ulterior" para la que las CEC podrían proporcionar una salvaguardia adecuada, a pesar de que ambas empresas se encuentren en Brasil.

¿Con qué frecuencia deben revisarse y actualizarse los SCC?

El RGPD y las directrices normativas que lo acompañan no establecen un plazo definitivo para la revisión de los CEC. Como se ha señalado, las partes pueden acordar un período de revisión periódica al negociar los CEC. En general, las transferencias de datos más arriesgadas que impliquen datos sensibles requerirán revisiones más frecuentes.

¿Cuál es la diferencia entre las SCC y las Normas Corporativas Vinculantes (BCR)?

Mientras que cualquier organización sujeta al RGPD puede considerar el uso de las SCC para facilitar una transferencia internacional de datos, las normas corporativas vinculantes (BCR) son utilizadas exclusivamente por empresas internacionales que transfieren datos personales entre entidades jurídicas dentro de un grupo corporativo.

Las BCR también requieren la aprobación de una Autoridad de Protección de Datos (APD), un proceso que puede ser caro y largo.

Por ello, las BCR suelen ser apropiadas para empresas grandes y bien dotadas de recursos, mientras que las organizaciones de cualquier tamaño pueden recurrir a las SCC.

Buenas prácticas para un uso eficaz de los SCC

Adopte las siguientes medidas para garantizar un uso eficaz de los SCC:

• Conozca sus transferencias: Asegúrese de que todas las personas relevantes de su equipo puedan reconocer una transferencia internacional de datos que requiera la implantación de CSC.
• Evalúe si los SCC "funcionan": Antes de implantar los SCC, asegúrese de que pueden proteger adecuadamente los datos que está transfiriendo. Si no es así, considere otras opciones, como no realizar la transferencia.
• Aplique medidas complementarias: Más allá de las protecciones contractuales proporcionadas a través de los CSC, ponga en marcha "medidas técnicas y organizativas" para salvaguardar los datos personales.
• Utilice los módulos correctos: Considere qué módulo del SCC es el adecuado en función de las circunstancias y asegúrese de que el contrato incluye todas las cláusulas necesarias.
• Revise los CEC: Establezca un periodo de revisión periódica para garantizar que sus SCC sigan siendo eficaces y estén actualizados a la luz de las circunstancias cambiantes y los requisitos legales.

Otras lecturas y recursos sobre las cláusulas contractuales tipo

• Cláusulas contractuales tipo para transferencias internacionales: ¿Busca las cláusulas reales para copiarlas en su contrato? Esta página del sitio web de la Comisión Europea contiene las CEC en varios formatos.
• Decisiones de adecuación: Antes de considerar la posibilidad de recurrir a las CEC o a cualquier otro mecanismo de transferencia de datos, consulte la lista de "decisiones de adecuación" de la Comisión Europea: es posible que no necesite utilizar las CEC en absoluto.
• Recomendaciones 01/2020 del EDPB: Adoptadas después de que el caso Schrems II interrumpiera los flujos de datos de Europa a Estados Unidos, las recomendaciones de la EDPB desglosan el proceso de transferencia de datos en seis pasos esenciales.
• Transferencias de datos personales a terceros países u organizaciones internacionales: Este artículo de la Comisión Irlandesa de Protección de Datos (DPC) ofrece algunas orientaciones oficiales relativamente sencillas sobre el uso de los CSC y otros mecanismos de transferencia.