Después de una larga espera, el pasado 5 de Febrero la Comisión Europea aprobó las nuevas cláusulas modelo para contratar prestadores de servicios fuera del espacio económico europeo (EEE) que acceden a datos personales en el contexto de la prestación de tal servicio. Este artículo analiza la principal novedad introducida por las nuevas cláusulas y si éstas cumplen las expectativas generadas durante su proceso de aprobación.
Cláusulas modelo – ¿qué son?
Las legislaciones europeas de protección de datos establecen los requisitos[1] que las compañías responsables del fichero (en adelante, exportadores de datos) deberán cumplir a los efectos de transferir datos personales a un prestador de servicios fuera del espacio económico europeo (en adelante, EEE).
Si el prestador de servicios (en adelante, importador de datos) se encuentra ubicado en un país que no posee una legislación en materia de protección de datos que ofrezca una protección equivalente a la otorgada en Europa, el exportador de datos deberá establecer una base legal en la que fundamentar dicha transferencia.
Muchos exportadores de datos recurren a la firma de contratos elaborados en base a las cláusulas modelo aprobadas por la Comisión Europea[2] para establecer dicha base legal.
En algunos países, los exportadores de datos también deben solicitar la autorización de la transferencia a las autoridades de protección de datos. Sin perjuicio de que el uso de dichas cláusulas modelo no garantiza la autorización, sin duda facilita el proceso de solicitud de la misma.
Contenido de la decisión – principal novedad
La principal novedad es la regulación de la subcontratación, por parte del importador de datos, de otros prestadores de servicios ubicados también fuera del EEE.
En un mercado globalizado con complejos flujos de datos, largas cadenas de subcontratación e importadores de datos que operan cada vez en más jurisdicciones (incluso cambiantes – en el caso de ‘cloud computing') ambos exportadores e importadores de datos han venido reclamando la adopción de un régimen de subcontratación que les permita adoptar soluciones flexibles y conformes a los principios de la protección de datos.
Los principales elementos del régimen de subcontratación establecido por las nuevas cláusulas modelo se pueden resumir en:
- la subcontratación estará sujeta a la autorización por escrito del exportador de datos
- el importador de datos y el subcontratado deberán firmar un contrato por escrito que incluya las mismas obligaciones que las establecidas en las cláusulas modelo y deberá ser enviado al exportador de datos
- el contrato entre el importador de datos y el subcontratado debe ser facilitado a los individuos que lo soliciten
- el exportador de datos deberá mantener una lista de todas las subcontrataciones que deberá ser actualizada anualmente y puesta a disposición de las autoridades de protección de datos
También se introducen otros requisitos que van a dificultar las negociaciones entre exportador e importador de datos como por ejemplo que el importador de datos será responsable ante el exportador de datos por el incumplimiento del contrato por el subcontratado o la posibilidad de que el exportador y/o autoridad de protección de datos auditen las instalaciones del importador y/o tercero subcontratado a la terminación de la prestación de servicios.
¿Cambio para mejor?
La principal ventaja introducida por las nuevas cláusulas es la seguridad jurídica en relación con la subcontratación de terceros por parte del importador de datos. Pero, ¿a qué precio?
Las nuevas cláusulas modelo en lugar de flexibilizar el modo de contratar con importadores de datos y subcontratistas establecen trabas burocráticas de discutible eficacia para proteger la privacidad de los interesados.
Otra desventaja es que las nuevas cláusulas modelo no cubren situaciones en las que el prestador de servicios que desee subcontratar a un tercero fuera de la EEE esté ubicado en Europa. La AEPD se ha manifestado a este respecto[3] pero la falta de regulación de este supuesto en la mayoría de países europeos continua planteando grandes interrogantes sobretodo a importadores de datos globales, especialmente prestadores de servicios tecnológicos como ‘cloud computing', que contratan con clientes europeos a través de sus filiales europeas pero prestan sus servicios desde fuera de la EEE.
Sin duda, las cláusulas modelo continuarán siendo utilizadas – las nuevas sustituyen a las aprobadas en el 2001. De hecho, éstas pueden ser muy útiles en situaciones puntuales en las que la cadena de subcontratación sea corta y la subcontratación acordada con el exportador de datos desde el principio (en tal caso, el tercero subcontratado, importador y exportador de datos pueden firmar un contrato tripartito). Sin embargo, en la mayoría de los casos no se dan estas circunstancias. En mi opinión, con la aprobación de las nuevas cláusulas la Comisión Europea ha desechado una oportunidad de oro de dotar a importadores y exportadores de datos de un instrumento contractual flexible, fácil de aplicar y realista que les permita combinar las exigencias del mercado con el cumplimiento de los requisitos legales a los que están sujetos.
Pero, qué alternativas están a disposición de aquéllos que decidan no utilizar las nuevas cláusulas modelo tal y como han sido aprobadas?
Los exportadores de datos que quieran contratar a compañías fuera del EEE de su mismo grupo posiblemente empezarán a mirar con mejores ojos a las Normas Corporativas Vinculantes (o Binding Corporate Rules – BCRs), otro instrumento para legitimizar transferencias internacionales de datos que, en estos últimos tiempos está cogiendo carrerilla y se está consolidando como opción real y de futuro para gestionar el cumplimiento de regulaciones de protección de datos para compañías con presencia a nivel internacional.
Los exportadores de datos cuyas trasferencias sean a terceros seguramente acabarán adaptando las cláusulas modelo lo cual significará una inversión de tiempo y dinero en negociar las cláusulas modificadas con los importadores de datos y discutirlas con las autoridades de protección de datos.
Los que utilicen las cláusulas tal y como han sido aprobadas ahorrarán tiempo en el momento de solicitar la aprobación de las autoridades de protección de datos pero lo tendrán que invertir en negociar con los importadores de datos y en cumplir las obligaciones formales establecidas por las mismas.
En conclusión, no hay solución perfecta y cada compañía deberá identificar cual es la opción que mejor se adapta a sus necesidades. Mientras tanto, otras soluciones interesantes se perfilan en el horizonte como la creación de las Binding Safe Processor Rules ("Normas Vinculantes de Encargado de Tratamiento Seguro"), un sistema similar a las BCRs a través del cual sería el encargado de tratamiento quien crearía normas internas que serían aprobadas por las autoridades de protección de datos y les convertirían en "importadores de datos seguro".
[1] En España, el régimen aplicable se encuentra regulado en la los artículos 33 y 34 de la LOPD y 65 y siguientes del reglamento de la LOPD.
La Comisión Europea aprobó en el 2001 la primera versión de estas cláusulas
