4 de octubre de 2021

Nuevas cláusulas contractuales tipo: aspectos prácticos

El pasado mes de junio la Comisión Europea aprobó dos Decisiones de Ejecución relativas a cláusulas tipo de protección de datos, que ya están en vigor.

En este post revisaremos cuál es el objeto y las principales novedades de las nuevas cláusulas, centrándonos en los aspectos prácticos a tener en cuenta para su aplicación.  

Cláusulas tipo para contratos entre responsables y encargados

Como establece el artículo 28 del RGPD, la relación entre un responsable y un encargado del tratamiento debe formalizarse mediante un contrato u otro acto jurídico, que regule todos los aspectos detallados en sus apartados 3-4. Para ello, las partes pueden optar entre negociar un contrato individual que incluya los elementos obligatorios o adoptar un clausulado estándar que haya preaprobado la Comisión o una autoridad de control.  

Para hacer posible la segunda posibilidad, la Comisión ha aprobado unas cláusulas contractuales tipo mediante la Decisión de Ejecución (UE) 2021/915, cumpliendo la previsión del artículo 28.7 RGPD. Puedes ver el texto completo aquí.

La aplicación de este clausulado tipo supone una garantía de cumplimiento de la normativa a la hora de formalizar la relación entre responsables y encargados. En cambio, estas cláusulas no pueden utilizarse como cláusulas tipo a efectos de la transferencia de datos a un tercer país (ver cláusula 1.f).

En cuanto al contenido de las cláusulas tipo, subrayamos los siguientes aspectos:

  • Se estructura en 2 partes: una primera que incluye un clausulado general y una segunda formada por 4 Anexos, que deberán ser cumplimentados por las partes, en los que se detallan los aspectos particulares de la relación entre el responsable y el encargado: 
    • Anexo I: Identificación de las Partes en el contrato
    • Anexo II: Descripción del tratamiento
    • Anexo III: Medidas técnicas y organizativas para garantizar la seguridad de los datos
    • Anexo IV: Lista de subencargados del tratamiento
  •   Las siguientes cláusulas obligan a elegir entre las Opciones disponibles:
    • Cláusula 1, apdo. a) – Finalidad y ámbito de aplicación
    • Cláusula 7.7, apdo. a) – Recurso a subencargados
    • Cláusula 8, apdo. c.4) – Ayuda al responsable del tratamiento
    • Cláusula 9.1, apdo. b) y c) – Violación de la seguridad de los datos personales tratados por el responsable
    • Cláusula 9.2, último párrafo – Violación de la seguridad de los datos personales tratados por el encargado
  •   Las partes pueden utilizar estas cláusulas como parte de un contrato más amplio e incluso añadir cláusulas adicionales, siempre que no contradigan el clausulado tipo ni perjudiquen los derechos y libertades de las partes. Tampoco cabe modificar el contenido de las cláusulas tipo, salvo para completar los Anexos.
  • Las partes firmantes pueden consentir la adhesión al contrato de otras partes, ya sea como responsables o encargados, mediante la cumplimentación de los anexos y la firma del anexo I.
  • La Decisión entró en vigor el 27/06/2021.

En resumen, conviene subrayar que la suscripción del clausulado tipo en ningún caso debe limitarse a un mero ejercicio formal de copia – pega, dado que:

  • Es necesario completar los Anexos con el detalle necesario para incluir los contenidos exigidos por el artículo 28.3 y 4 RGPD
    • Hay que elegir entre las opciones de texto disponibles en las cláusulas antes señaladas
    • Las partes están sujetas al principio de responsabilidad proactiva, al establecer la cláusula 7.6.a) que:

 “Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas”

Cláusulas tipo para la transferencia de datos personales a terceros países

La Comisión ha adoptado igualmente la Decisión de ejecución (UE) 2021/914, cuyo objeto es aprobar cláusulas contractuales tipo que ofrezcan las garantías adecuadas previstas en el art. 46.1 y 2 RGPD, para la transferencia de datos por un responsable o encargado (exportador) a un responsable o (sub)encargado de un tercer país (importador). Tienes el texto aquí.

Las nuevas cláusulas tipo sustituyen a las aprobadas al amparo de la Directiva 95/46/CE, actualizando su contenido al RGPD y adoptando como novedad un enfoque modular y flexible.

Resumimos algunos aspectos destacables de su contenido:

  •    Las cláusulas se estructuran en un clausulado general, un apéndice y los Anexos siguientes: 
    • Anexo I-A: Lista de partes
    • Anexo I-B: Descripción de la transferencia
    • Anexo I-C: Autoridad de control competente
    • Anexo II: Medidas técnicas y organizativas para garantizar la seguridad de los datos
    • Anexo III: Lista de subencargados del tratamiento

Estos Anexos deberán ser rellenados por las partes con el debido detalle, cuando sea aplicable al correspondiente módulo de transferencia.

  • Se combinan cláusulas generales con un enfoque modular, considerando las distintas modalidades de transferencia y la complejidad de las posibles cadenas de tratamiento. Los módulos previstos son: 
    • Módulo 1: transferencia de responsable a responsable
    • Módulo 2: transferencia de responsable a encargado
    • Módulo 3: transferencia de encargado a encargado
    • Módulo 4: transferencia de encargado a responsable

Por tanto, las partes firmantes de las cláusulas deben ajustar su contenido mediante la selección del módulo aplicable a su situación, de manera que las obligaciones derivadas de las cláusulas se correspondan con la función y responsabilidades de dichas partes en el tratamiento de datos de que se trate.

En concreto, la selección del módulo aplicable debe realizarse en las cláusulas 8-18, además de en los Anexos.

  • Las siguientes cláusulas obligan a elegir entre las Opciones disponibles:
    • Cláusula 9 (Módulos 2 y 3) – Recurso a subencargados
    • Cláusula 11.a) – Reparación
    • Cláusula 13.a) – Supervisión
    • Cláusula 17 – Derecho aplicable
  •    Las siguientes cláusulas deben completarse por las partes:
    • Cláusula 9 (Módulos 2 y 3, apdo. a) – Recurso a subencargados
    • Cláusula 17 – Derecho aplicable
    • Cláusula 18 – Elección del foro y jurisdicción
  • Este clausulado también admite flexibilidad, en el sentido de poder completarlo con otras cláusulas no contradictorias o mediante su incorporación a contratos más amplios. Igualmente, se contempla que otros intervinientes puedan adherirse al contrato, previo consentimiento de todas las partes.
  • Las partes deben poder demostrar el cumplimiento de las cláusulas tipo (proactividad).
  • La Decisión entró en vigor el 27/09/2021. Por tanto, a partir de esa fecha toda nueva transferencia de datos a un tercer país basada en las cláusulas tipo previstas en el artículo 46.2.c) del RGPD, deberá aplicar el nuevo estándar de cláusulas contractuales. 

A su vez, con efectos 27/09/2021 quedan derogadas la Decisión 2001/497/CE y la Decisión 2010/87/UE. No obstante, se considerará que las transferencias a un tercer país realizadas antes del 27/09/2021 de acuerdo a dichas Decisiones, ofrecen garantías adecuadas hasta el 27/12/2022, siempre que las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas y que las cláusulas contractuales tipo garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Pasos a dar

 Cara a la aplicación de los nuevos modelos de cláusulas, conviene que todo operador evalúe su situación mediante los pasos siguientes: 

  1. Identificar todas las transferencias de datos que se realicen a un tercer país.
  2. Determinar en qué mecanismo de los previstos en el RGPD se basa cada transferencia.
  3. Cuando la transferencia se base en cláusulas tipo y se haya realizado antes del 27/09/2021, deberá verificar que se suscribe un nuevo contrato que integre las nuevas cláusulas tipo antes del 27/12/2022.
  4. Tanto en el caso anterior como si se trata de una transferencia realizada tras la entrada en vigor de la Decisión de ejecución (UE) 2021/914, habrá que comprobar si el contrato suscrito o las condiciones de contratación de adhesión incorporan de forma efectiva el nuevo modelo de cláusulas. Esto supondrá, a su vez, verificar los siguientes elementos:
    • Que se haya elegido el Módulo adecuado al tipo de transferencia realizada, en todas las cláusulas/Anexos necesarios;
    • Que se seleccionen las Opciones que corresponda en las cláusulas que lo requieran;
    • Que se rellenen adecuadamente las cláusulas que precisen completarse.

Para terminar, no olvidemos que como efecto de la Sentencia Schrems II del Tribunal de Justicia de la Unión Europea, puede ser necesario que el exportador de los datos tenga que aplicar medidas adicionales adecuadas, que complementen las garantías de las cláusulas contractuales tipo, especialmente si la legislación o la práctica del tercer país afectan a la eficacia de dichas garantías. Para ello, deberá realizar y documentar un estudio caso por caso, siguiendo la metodología y los ejemplos de garantías adicionales propuestos por el Comité Europeo de Protección de Datos en sus Recomendaciones 01/2020.