¿Quieres contactar con nosotros?
Introducción y antecedentes
Las Cláusulas Contractuales Tipo (en adelante, “SCC” por sus siglas en inglés) son modelos de cláusulas de protección de datos que los exportadores de datos de la UE pueden incorporar en sus contratos para transferir datos personales a importadores de datos en terceros países, de acuerdo con los requisitos del Reglamento General de Protección de Datos (RGPD).
El 4 de junio de 2021, la Comisión Europea adoptó dos conjuntos de SCC para regular las transferencias internacionales de datos: uno para el uso entre responsables del tratamiento y encargados del tratamiento dentro del Espacio Económico Europeo (“EEE”) y otro para la transferencia de datos personales a países fuera del EEE.
Estas cláusulas contractuales tipo están destinadas a ser utilizadas por responsables o encargados del tratamiento sujetos al RGPD para transferir datos personales a responsables o encargados del tratamiento fuera del EEE cuyas actividades no estén sujetas al RGPD.
A pesar de ello, la propia Comisión aclaraba en sus FAQs (publicadas para facilitar la aplicación de las SCCs) que estas cláusulas no eran de aplicación para transferencias de datos personales llevadas a cabo por responsables o encargados cuyos tratamientos de datos estén sujetos al RGPD, en virtud del art. 3.2 del Reglamento. El argumento de la Comisión para determinar que en estos casos no era posible hacer uso de estas SCC es que la inclusión de estas clausulas significaría la duplicidad y, en parte, la desviación de las obligaciones que ya venían directamente previstas en el RGPD. A su vez, la Comisión informaba que estaba en proceso de desarrollar unas SCCs adicionales específicamente aplicables en este escenario, es decir, para transferencias internacionales de datos personales llevadas a cabo por responsables y encargados ubicados en terceros países sujetos al RGPD.
Sanción por transferir datos a EE.UU. sin protección adecuada
A finales de agosto de este mismo año, la Autoridad Supervisora de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens, en adelante “AP”), en colaboración con la autoridad de supervisión francesa, impuso una multa significativa de 290 millones de euros a una conocida empresa de VTC. Esta sanción se debió a las irregularidades detectadas en la transferencia de datos personales de los conductores europeos hacia Estados Unidos, incumpliendo las normativas de protección de datos del RGPD.
La AP descubrió que la empresa de VTC había estado recopilando una variedad de datos sensibles de sus conductores europeos, incluyendo detalles como cuentas y licencias de taxi, ubicaciones, fotos, detalles de pagos, documentos de identidad e incluso, en algunos casos, antecedentes penales y médicos de los conductores. Estos datos fueron almacenados en servidores ubicados en Estados Unidos, lo que plantea serias preocupaciones sobre la seguridad y el tratamiento adecuado de la información personal en una jurisdicción fuera del Espacio Económico Europeo (EEE).
El punto central de la infracción radica en que, entre 2020 y 2023, la empresa transfirió estos datos sin cumplir con los estándares de protección de datos exigidos por el RGPD ni con las directrices de la Comisión Europea. Esta situación se vio agravada por el hecho de que en 2020, el Tribunal de Justicia de la Unión Europea (TJUE) había invalidado el acuerdo del Privacy Shield entre la UE y Estados Unidos, que anteriormente había permitido la transferencia de datos personales entre ambas regiones bajo ciertas condiciones. Con la invalidez del Privacy Shield, las empresas que deseaban transferir datos fuera de la UE tenían que recurrir a otras herramientas legales, como las Cláusulas Contractuales Tipo, para asegurar un nivel adecuado de protección de los datos.
Sin embargo, la empresa de VTC no adoptó ninguna de estas herramientas válidas para proteger los datos durante las transferencias, lo que resultó en una violación clara del RGPD. Aunque las Cláusulas Contractuales Tipo habrían podido ofrecer una base legal para la transferencia, el RGPD exige que las empresas garanticen que los datos transferidos estén igualmente protegidos en la práctica, algo que la empresa no hizo.
Cabe destacar que la sanción de 290 millones de euros impuesta a la empresa de VTC es una de las más altas jamás registradas bajo el RGPD, lo que subraya la gravedad de las violaciones cometidas.
El problema en este caso surge porque la empresa argumentó que no había adoptado las SCC de la Comisión Europea porque su compañía ubicada en EE. UU. estaba directamente sujeta al RGPD en virtud del artículo 3.2., siguiendo el razonamiento de la Comisión en sus FAQs sobre la aplicabilidad de las SCC. De tal modo, la decisión de la autoridad holandesa parece contradecir la orientación de la Comisión, lo que ha generado una gran confusión para las organizaciones que transfieren datos fuera del EEE.
Conclusiones sobre las nuevas Cláusulas Contractuales Tipo
Después de más de tres años de incertidumbre (y una multa de 290 millones de euros para la empresa de VTC que ha evidenciado el problema), la Comisión Europea ha acelerado la redacción de las SCC aplicables a las transferencias a empresas no pertenecientes a la UE, pero que están directamente sujetas al RGPD. Este nuevo conjunto de SCC abordará un vacío legal importante: el escenario en el que el importador de datos esté ubicado en un tercer país, pero esté directamente sujeto al RGPD.
La Comisión Europea ha anunciado que abrirá una consulta pública en el cuarto trimestre de 2024, permitiendo a empresas, profesionales de la privacidad y otras partes interesadas proporcionar sus comentarios sobre la legislación propuesta. Se prevé que el nuevo conjunto de SCC esté listo para ser aplicado durante el segundo trimestre de 2025, impactando la mayoría de las transferencias que dependen de estas cláusulas. Esto no solo cubrirá un vacío crucial en el marco legal, sino que también proporcionará mayor claridad a las organizaciones que operan a nivel global y que han estado enfrentando incertidumbre normativa en los últimos años.
Artículo elaborado por Samanta Murillo Geiser, manager de Regulación Digital de PwC Tax & Legal y Lucía Etxe Rivas, Associate de Regulación Digital de PwC Tax & Legal.
Contacta con nosotros
