Comprendiendo las Cláusulas Contractuales Estándar (SCCs) para el Cumplimiento del GDPR

Las Cláusulas Contractuales Estándar (SCCs) son cláusulas redactadas por la Comisión Europea para ayudar a garantizar el cumplimiento del GDPR al transferir datos personales fuera del Área Económica Europea (EEA).

Este artículo explica cómo funcionan las SCCs, cuándo y cómo usarlas, y cómo implementar y monitorear las SCCs de su organización de manera compatible con el GDPR.

¿Qué son las Cláusulas Contractuales Estándar (SCCs)?

Los estándares de protección de datos del GDPR están entre los más fuertes del mundo. Sin embargo, los datos son fluidos y el internet trasciende fronteras nacionales y jurisdicciones legales.

El GDPR no requiere que los datos personales se almacenen exclusivamente en la UE. Las “transferencias internacionales de datos” son muy comunes. Pero deben cumplir con el Capítulo V del GDPR.

El Capítulo V del GDPR proporciona varias formas de realizar una transferencia internacional de datos:

Si el país de destino tiene una “decisión de adecuación” de la Comisión Europea (Artículo 45). La Comisión Europea mantiene una lista de países con estándares de protección de datos “adecuados”. No necesita usar SCCs ni ninguna otra salvaguarda al transferir datos personales a un “país adecuado”.
Si utiliza uno de los “mecanismos de transferencia” del GDPR (Artículo 46), incluidas las SCCs.
Si se aplica una “derogación” (excepción) (Artículo 49), por ejemplo, si el sujeto de los datos ha consentido explícitamente la transferencia o si la transferencia es necesaria para proteger la vida o la salud de alguien. Las derogaciones solo deben usarse en situaciones excepcionales.

Las SCCs son uno de los “mecanismos de transferencia” establecidos en el Artículo 46 del GDPR (punto 2, arriba), y son la forma más común de realizar una transferencia internacional de datos a organizaciones en países sin una decisión de adecuación.

Un contrato que contiene SCCs obliga al “importador” de datos (ubicado fuera del EEA) a los principios, derechos y obligaciones del GDPR. En otras palabras, el importador estará legalmente obligado a mantener los estándares de la UE al procesar los datos personales que importan del EEA.

Componentes Clave de las SCCs Modernizadas

El último conjunto de SCCs de la UE aparece en la Decisión de Ejecución (UE) 2021/914 de la Comisión. Aquí hay un recorrido rápido por la legislación para que sepa a qué se está comprometiendo antes de implementar las SCCs.

Sección I: Disposiciones Introductorias Generales

Las cláusulas de la Sección 1 introducen las SCCs, explicando aspectos clave como:

Su propósito (garantizar el cumplimiento del GDPR)
Las partes de la transferencia (el exportador e importador de datos)
Beneficiarios terceros del contrato (sujetos de datos, quienes pueden hacer cumplir las SCCs contra las partes)

La Sección 1 también incluye una “cláusula de adhesión” opcional (Cláusula 7), que permite que nuevas partes se unan al contrato después de que se haya firmado.

Sección II: Obligaciones de las Partes

La Sección II establece los requisitos para el exportador y (más significativamente) el importador con respecto a los datos personales que se transfieren.

Las SCCs imponen las siguientes obligaciones, entre otras:

Minimización de datos: Ambas partes deben asegurar que los datos personales procesados sean adecuados, relevantes y limitados a lo necesario en relación con los propósitos para los cuales se procesan.
Transparencia: Los exportadores de datos deben proporcionar información clara y completa sobre la transferencia, incluyendo su propósito, las categorías de datos personales involucrados y cómo los sujetos de datos pueden ejercer sus derechos.
Seguridad de los datos: Ambas partes deben implementar medidas técnicas y organizacionales apropiadas para proteger los datos personales contra destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso.
Subprocesadores: Los importadores de datos deben obtener autorización previa específica o general por escrito del exportador de datos antes de contratar a cualquier subprocesador. Además, los subprocesadores deben estar sujetos a las mismas obligaciones de protección de datos que las estipuladas en las SCCs.
Derechos de los sujetos de datos: Las partes deben trabajar juntas para mantener los derechos de los sujetos de datos.

Esta sección de las SCCs es “modular”: No todas las cláusulas son relevantes para cada escenario de transferencia, y solo las cláusulas relevantes formarán parte del contrato. Analizaremos la naturaleza modular de las SCCs a continuación.

Sección III: Leyes Locales y Acceso por Autoridades Públicas

Una razón importante para las SCCs es proteger los datos personales del acceso por autoridades públicas no pertenecientes al EEA (como agencias de aplicación de la ley y de inteligencia).

Al firmar las SCCs, las partes garantizan que no tienen razón para creer que las autoridades públicas en el país del importador los obligarán a violar las SCCs.

Por ejemplo, las SCCs pueden prohibir al importador dar acceso a la policía local a los datos personales sin una orden judicial. En algunos países, el importador puede rechazar tal orden. En otros, rechazar tal orden podría ser legal o prácticamente imposible.

Antes de firmar las SCCs y garantizar que tal escenario no ocurrirá, las partes deben considerar:

Las circunstancias específicas de la transferencia (por ejemplo, qué tipos de datos están involucrados y qué tecnologías se utilizan para compartir los datos).
Las leyes y prácticas del tercer país (por ejemplo, leyes que permiten a las autoridades públicas interceptar datos, y si las autoridades públicas obedecen tales leyes en la realidad).
Las “salvaguardias contractuales, técnicas y organizacionales” implementadas para evitar que las autoridades públicas accedan a los datos.

El proceso para considerar estos factores se conoce como una “Evaluación de Impacto de Transferencia” (TIA). Según el Comité Europeo de Protección de Datos (EDPB), los exportadores e importadores deben realizar una TIA antes de confiar en las SCCs para asegurar que protegerán eficazmente los datos personales en cuestión.

Proporcionaremos algunos recursos sobre TIAs hacia el final de este artículo.

La Sección III de las SCCs también requiere que el importador de datos notifique al exportador de datos si una autoridad pública solicita acceso a los datos y desafíe cualquier solicitud que violaría las SCCs, cuando sea apropiado.

Sección IV: Incumplimiento, Terminación y Ley Aplicable

La Sección IV de las SCCs explica qué sucede si alguna de las partes viola las SCCs o si el importador descubre que no puede cumplir con sus obligaciones bajo las SCCs. El exportador de datos puede terminar el contrato anticipadamente si el importador no cumple con una orden de un regulador con sede en el EEA.

Esta sección también permite a las partes acordar qué leyes del país regirán la interpretación de las SCCs y manejarán cualquier disputa legal que surja de la transferencia.

Comprendiendo los Cuatro Módulos de las SCCs

Como se señaló, las SCCs son “modulares”. Esto significa que algunas transferencias están cubiertas por algunas partes de las SCCs pero no por otras.

Hay cuatro módulos de SCCs que cubren cuatro escenarios distintos, dependiendo de cuál parte es un controlador y cuál es un procesador. Aquí hay algunos ejemplos de cuándo cada módulo es apropiado.

Módulo 1: Controlador a Controlador (C2C)

El Módulo 1 es para transferencias de un controlador a otro controlador. Por ejemplo:

Exportador: Consultoría alemana
Importador: Empresa de investigación de mercado de EE.UU.

Una consultoría alemana recopila comentarios de sus clientes a través de encuestas y analiza los datos para sus propios propósitos.

Donde tiene el consentimiento de sus usuarios, la empresa alemana comparte datos con una empresa de investigación de mercado de EE.UU., que utiliza los datos para sus propios propósitos.

Ambas empresas son controladores y utilizan las SCCs del Módulo 1 para facilitar la transferencia de datos.

Módulo 2: Controlador a Procesador (C2P)

El Módulo 2 se aplica cuando un controlador transfiere datos a un procesador. Por ejemplo:

Exportador: Minorista polaco
Importador: Empresa de análisis brasileña

Un minorista polaco quiere analizar la actividad de los usuarios en su sitio web. El minorista contrata a un proveedor de análisis brasileño para analizar los datos en su nombre.

El minorista polaco es un controlador y la empresa de análisis brasileña es un procesador. Las empresas utilizan las SCCs del Módulo 2 para facilitar la transferencia de datos.

Módulo 3: Procesador a Procesador (P2P)

El Módulo 3 se aplica cuando un procesador transfiere datos a otro procesador (o un subprocesador). Por ejemplo:

Exportador: Empresa española de marketing por correo electrónico
Importador: Proveedor sudafricano de seguridad de datos

Una empresa española de marketing por correo electrónico gestiona listas de correo en nombre de sus clientes. La empresa española contrata a un proveedor sudafricano de seguridad de datos para asegurar las listas de correo contra incidentes de ciberseguridad.

La empresa española de marketing por correo electrónico es un procesador, y el proveedor sudafricano de seguridad de datos es su subprocesador. Las empresas utilizan las SCCs del Módulo 3 para facilitar la transferencia de datos.

Módulo 4: Procesador a Controlador (P2C)

El Módulo 4 cubre un escenario ligeramente oscuro: Un procesador con sede en el EEA obtiene datos personales de un controlador fuera del EEA y devuelve los datos personales al controlador. Por ejemplo:

Exportador: Proveedor italiano de análisis de datos
Importador: Minorista egipcio

Un proveedor italiano de análisis de datos es contratado por un minorista egipcio para analizar el comportamiento de los compradores en su tienda en línea. El minorista egipcio exporta datos personales a la empresa italiana para su análisis.

El minorista egipcio es un controlador. El proveedor italiano de análisis es un procesador, pero aún está cubierto por el GDPR, por lo que debe cumplir con el Capítulo V del GDPR al transferir los datos personales analizados de vuelta al minorista egipcio. Las empresas utilizan las SCCs del Módulo 4 para facilitar la transferencia.

Nota: Aunque la versión del GDPR del Reino Unido es prácticamente idéntica a la de la UE, el regulador del Reino Unido no reconoce este escenario como una transferencia internacional de datos. Solo los sujetos al GDPR de la UE necesitan usar SCCs en este escenario. Lea más en nuestro artículo sobre Acuerdos de Transferencia Internacional de Datos del Reino Unido (IDTAs).

Cómo Implementar las Cláusulas Contractuales Estándar (SCCs)

Hemos visto qué son las SCCs y cómo funcionan. A continuación, aquí hay algunos consejos para ayudarle a implementar las SCCs.

Identifique y mapee sus transferencias de datos

Antes de implementar las SCCs, debe identificar si está realizando una transferencia internacional de datos y mapear los destinos de los datos personales (incluyendo si el importador realizará “transferencias posteriores” a otro tercer país).

Como se señaló, una transferencia internacional de datos requiere dos partes: un exportador (basado en el EEA y sujeto al GDPR) y un importador (fuera del EEA).

Debe mantener un mapa completo de cada transferencia internacional de datos relevante para su organización.

Evalúe si las SCCs son efectivas

Esta parte del proceso de transferencia internacional de datos es posiblemente la más desafiante y se conoce como una “Evaluación de Impacto de Transferencia” (TIA).

Se requiere una TIA antes de realizar una transferencia internacional de datos porque las SCCs son solo un contrato: no siempre evitan que las autoridades no pertenecientes al EEA exijan u obtengan los datos personales y violen los derechos de protección de datos de las personas.

Como tal, el exportador (idealmente con la asistencia del importador) debe evaluar las leyes y prácticas de la jurisdicción del importador para asegurar que esto no suceda de una manera que socave los derechos de protección de datos de las personas.

Por ejemplo: ¿Permite la ley del país importador que los servicios de inteligencia intercepten datos de cables submarinos? Si no, ¿los servicios de inteligencia interceptan datos de todos modos? ¿O pueden las autoridades policiales exigir datos personales de las empresas sin la supervisión adecuada de un tribunal?

Adopte medidas suplementarias

A continuación, el exportador debe considerar implementar “medidas técnicas u organizacionales” para asegurar la protección efectiva de los datos personales que se transfieren.

Una medida técnica podría implicar cifrar los datos personales para asegurar que el importador no pueda divulgarlos a las autoridades policiales.
Una medida organizacional podría implicar asegurar que el importador tenga capacitación, políticas o certificaciones adecuadas de protección de datos.

Si no son posibles medidas técnicas u organizacionales efectivas, podría necesitar considerar si puede realizar legalmente la transferencia internacional de datos.

¿Qué son las Cláusulas Contractuales Estándar (SCCs)?

Comprendiendo las Cláusulas Contractuales Estándar (SCCs) para el Cumplimiento del GDPR

¿Qué son las Cláusulas Contractuales Estándar (SCCs)?

Componentes Clave de las SCCs Modernizadas

Sección I: Disposiciones Introductorias Generales

Sección II: Obligaciones de las Partes

Sección III: Leyes Locales y Acceso por Autoridades Públicas

Sección IV: Incumplimiento, Terminación y Ley Aplicable

Comprendiendo los Cuatro Módulos de las SCCs

Módulo 1: Controlador a Controlador (C2C)

Módulo 2: Controlador a Procesador (C2P)

Módulo 3: Procesador a Procesador (P2P)

Módulo 4: Procesador a Controlador (P2C)

Cómo Implementar las Cláusulas Contractuales Estándar (SCCs)

Identifique y mapee sus transferencias de datos

Evalúe si las SCCs son efectivas

Adopte medidas suplementarias

Negocie y firme las SCCs

Artículos relacionados

Sube tus documentos. Nosotros nos encargamos del resto.

Por Qué Están Cayendo las Tasas de Finalización de RFP y Qué Hacer al Respecto

¿Qué es un Sub-Procesador?

Alternativas a Loopio para respuestas a RFP