nº 992 - 26 de enero de 2023
Transferencias internacionales de datos y las nuevas cláusulas contractuales tipo
Marcos González Calvo. Abogado de Cuatrecasas
La realización de transferencias internacionales de datos es una práctica muy habitual en la actividad diaria de las empresas
El RGPD prevé la firma entre el emisor y el receptor de los datos personales de unas cláusulas contractuales tipo
Las transferencias internacionales de datos personales son siempre una de las cuestiones que más dolores de cabeza suscita a los profesionales a la hora de adaptar una empresa u organización a la normativa de protección de datos. Además, dada la situación de globalización en la que vivimos y las nuevas tecnologías que permiten una economía digital internacional muy fácilmente accesible, la realización de transferencias internacionales de datos es una práctica muy habitual en la actividad diaria de las empresas.
Las transferencias internacionales de datos son flujos de datos personales que salen del territorio español a destinatarios establecidos fuera del Espacio Económico Europeo (EEE). No nos encontraremos, por tanto, ante una transferencia internacional de datos si los datos personales se han remitido, por ejemplo, a Francia o Italia, sino que se exige que los datos personales salgan del EEE.
Para poder llevar a cabo una transferencia internacional de datos personales, sin una autorización expresa de la Agencia Española de Protección de Datos (AEPD), el Reglamento General de Protección de Datos (RGPD) requiere (i) bien que la entidad que va a recibir esos datos personales desde el territorio español se encuentre en un país o territorio que la Comisión Europea haya determinado que su nivel de protección de datos personales es adecuado (artículo 45 RGPD) –por ejemplo, Suiza, Argentina o Japón–, (ii) que se ofrezcan garantías adecuadas (artículo 46 RGPD) o, (iii) en ausencia de todas las anteriores, que se den determinadas situaciones específicas con carácter excepcional (artículo 49 RGPD) como, por ejemplo, cuando la persona interesada haya dado explícitamente su consentimiento o que la transferencia sea necesaria para la celebración o ejecución de un contrato.
Garantías previstas en el artículo 46 RGPD
Nos centraremos ahora en las garantías adecuadas previstas en el artículo 46 RGPD. Pues bien, dentro de estas garantías adecuadas que permiten legitimar las transferencias internacionales de datos personales, el RGPD prevé la firma entre el emisor y el receptor de los datos personales de unas cláusulas contractuales tipo (SCC, por sus siglas en inglés), aprobadas previamente por la Comisión Europea. Este sistema ha sido, en la práctica, el más utilizado para legitimar las transferencias internacionales de datos personales.
Tras la entrada en vigor del RGPD, la Comisión Europea aprobó la actualización de las SCC en fecha 4 de junio de 2021, quedando derogadas las anteriores a partir del 27 de septiembre de 2021. Ahora bien, se concedió un plazo de gracia transitorio de 15 meses para adaptar los contratos firmados con SCC derogadas, que terminó el pasado 27 de diciembre de 2022, no resultando válidos, por tanto, desde esa fecha los contratos que contuvieran los anteriores modelos de SCC.
Es necesario, por tanto, para evitar poder ser sancionado por la AEPD con una infracción muy grave (i) revisar todos los contratos ya firmados que conlleven una transferencia internacional de datos basados en las anteriores SCC y (ii) suscribir una nueva versión de dichos contratos con las nuevas SCC aprobadas por la Comisión.
Esto es especialmente relevante teniendo en cuenta que la sanción prevista para las infracciones muy graves en el RGPD es una multa que puede llegar hasta 20 millones de euros o, tratándose de una empresa, de una cuantía hasta el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, debiendo optar, además, la AEPD por la sanción que resulte de mayor cuantía.
Cláusulas generales modulares
Las nuevas SCC contienen cláusulas generales modulares para contemplar los distintos supuestos de transferencia de datos que puedan existir –ampliando los previstos en las anteriores SCC–, de manera que los responsables y encargados deben seleccionar el módulo aplicable a su situación. En cuanto al contenido, además de incorporar los nuevos principios del RGPD, como el de la responsabilidad proactiva, refuerzan la necesidad de que el exportador de los datos personales, en su caso ayudado por el importador, se asegure de que el nivel de defensa y garantía de los derechos del interesado en materia de protección de datos –por ejemplo, ante un eventual requerimiento de las autoridades– sea en el país de destino equivalente al que se proporciona en el ámbito europeo.
Sentado todo lo anterior, es necesario que, con urgencia, si no queremos que nuestra empresa sea sancionada con importantes multas económicas –y la pérdida reputacional que de su publicidad pueda derivarse–, se identifiquen aquellos contratos que impliquen transferencias internacionales de datos personales que contengan SCC ya derogadas y se adapten a los nuevos modelos aprobados por la Comisión o si antes no se había firmado ningún tipo de SCC ni existe otra causa que legitime las transferencias internacionales, se suscriban los correspondiente contratos incorporando las nuevas SCC. ■