AZ Alert | Datos Personales: Entendiendo las Standard Contractual Clauses (SCC)

Con fecha de 4 de junio, y como consecuencia del caso Schrems II, la Comisión Europea anunció la adopción de dos nuevas Cláusulas Tipo de Protección de Datos (SCC por sus siglas en inglés) para su uso entre controladores y procesadores (Controller-Processor SCCs) y para la transferencia de datos personales a terceros países (Third Country Transfer SCCs).

Desde AZ queremos entregarles a nuestros clientes un contexto y explicación de las SCC, en el caso que puedan verse enfrentadas a este tipo de cláusulas.

¿Qué son las Cláusulas Contractuales Tipo (CCT) o Standard Contractual Clauses (SCC)?

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), principal regulación europea respecto al tratamiento de datos personales, otorga a la Comisión Europea la facultad para fijar cláusulas tipo de protección de datos tanto para su uso entre controladores y procesadores (art. 28) como para la transferencia de datos personales a terceros países (art. 46), otorgando así cláusulas de protección de datos modelo estandarizadas y preaprobadas que pueden incorporarse a los acuerdos contractuales de forma voluntaria, proveyendo una herramienta fácil de implementar para cumplir con los requisitos de protección de datos.

Gracias a su estandarización y aprobación previa, los Cláusulas Tipo de Protección de Datos brindan a las empresas regidas por el GDPR una plantilla fácil de implementar, otorgándoles a las mismas la seguridad de que cumplen con los requisitos de protección de datos.

Así, las Cláusulas Tipo de Protección de Datos que se proponen son:

  1. Cláusulas contractuales tipo entre responsables y encargados del tratamiento (ambos sujetos al GDPR).
  2. Cláusulas contractuales tipo para la transferencia de datos personales a terceros países.

Dadas las circunstancias e importancias para el mercado nacional, en los siguientes párrafos nos enfocaremos en el segundo tipo de cláusulas.

¿Cuál es el contexto y motivaciones de estas nuevas Cláusulas Contractuales Tipo?

Como señalábamos, estas cláusulas reflejan los nuevos requisitos del reglamento general de protección de datos (GDPR), teniendo en especial consideración que aquel entró en vigor el año 2018, y las cláusulas que se van a derogar datan del 2001 y 2010, contando con garantías menores que las contenidas en la propia norma actual.

Asimismo, las nuevas CCT tienen en cuenta la sentencia Schrems II del Tribunal de Justicia, lo que garantiza un alto nivel de protección de datos para los ciudadanos. Mediante la sentencia del caso Schrems II,  el Tribunal de Justicia de la Unión Europea estableció que no se daba el mismo nivel de protección al usuario por la legislación extranjera (estadounidense), dado que las leyes de EE.UU. permitirían la recopilación de datos personales de ciudadanos no estadounidenses a través de medios electrónicos (como Facebook), los cuales, podrían ser usados por ejemplo por los servicios de inteligencia estatal en casos de seguridad nacional, produciéndose un uso de los mismos más allá de lo estrictamente necesario. En base a lo anterior, estableció que el territorio de destino de los datos debía establecer un nivel de protección equivalente al de Europa.

¿Cuáles son las mayores diferencias con las Cláusulas Contractuales Tipo que habían previamente?

En este sentido, si bien lo anterior sigue siendo relevante debiendo las entidades reguladas por el GDPR realizar de forma previa un análisis de impacto de la transferencia, las Cláusulas Tipo de Protección de Datos implementan las nuevas obligaciones que emanan del GDPR.

Además, ofrecen un enfoque modular expandiendo el ámbito de aplicación, previendo hasta cuatro supuestos o módulos:

  • Responsable–responsable.
  • Responsable– encargado.
  • Encargado–encargado.
  • Encargado exportador–responsable importador.

Así, se entregan medidas específicas para regular la transferencia en cada uno de los casos indicados, pero desde un mismo punto de entrada, otorgando más flexibilidad para cadenas de procesamiento complejas, ofreciendo la posibilidad de que más de dos partes se unan y utilicen las cláusulas.

Asimismo, otorgan un conjunto de herramientas prácticas para cumplir con la sentencia Schrems II, sugiriendo la incorporación de medidas complementarias tales como:

  • Ejemplos de posibles medidas para garantizar la seguridad de los datos, entre las que se incluyen:
    • Medidas de seudonimización y cifrado de los datos personales.
    • Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
    • Medidas para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
    • Procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
    • Medidas para la identificación y autorización del usuario.
    • Medidas para la protección de los datos durante la transmisión.
    • Medidas para la protección de los datos durante el almacenamiento.
    • Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales.
    • Medidas para garantizar el registro de incidentes.
    • Medidas para garantizar la configuración del sistema, en especial la configuración por defecto.
    • Medidas de gobernanza y gestión de la informática y la seguridad informática internas.
    • Medidas para la certificación/garantía de procesos y productos.
    • Medidas para garantizar la minimización de datos.
    • Medidas para garantizar la calidad de los datos.
    • Medidas para garantizar una retención limitada de los datos.
    • Medidas para garantizar la responsabilidad proactiva.
    • Medidas para permitir la portabilidad de los datos y garantizar la supresión.
  • Compás para evaluar y ejecutar la contratación, otorgando diferentes pasos operacionales como son directrices de evaluación del Derecho y las prácticas del receptor, obligación del importador a informar al exportador si tiene motivos para creer que no podrá cumplir las cláusulas contractuales tipo, consideración a los riesgos que entraña la transferencia y tratamiento, etc.
  • Fija controles estrictos sobre las transferencias ulteriores, de modo tal que las partes necesitarán mirar más allá si es que el tratamiento requiere más que una transferencia inicial de los datos.

¿Cuándo pueden verse reflejados estos cambios y cómo podría afectar a la industria nacional?

Si bien ambas decisiones entran en vigor a los 20 días de su publicación, en el caso de las cláusulas de transferencia internacional, las cláusulas contractuales anteriores, del 2001 y 2010, quedarán derogadas a partir del 27 de septiembre de 2021.

No obstante, los contratos celebrados antes de dicha fecha con arreglo a las anteriores decisiones serán válidos hasta el 27 de septiembre de 2022, dando un importante espacio de transición y adaptación, siempre que las operaciones de tratamiento permanezcan inalteradas y las cláusulas contractuales garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas, resguardando la seguridad de los datos personales.

Lo anterior significa que si algún actor de la industria nacional ha firmado acuerdos mediante los cuales se les ha transferido datos personales de personas que se encuentran en Europa, es posible que aquellos deban enfrentar cambios según lo expuesto.

Asimismo, esto pone énfasis en las buenas prácticas que tiene la empresa, ya que las mismas y su reconocimiento por ellas, serán tomadas en cuenta para ser considerados en la contratación con empresas extranjeras, que incluso no siendo europeas, deban aplicar estas normas por verse involucradas con quienes se rigen por el GDPR.

Por lo anterior, desde AZ nos ponemos a entera disposición para acompañar a nuestros clientes de manera integral, contando con distintas soluciones y programas en materia de Datos Personales, orientando el cumplimiento con los estándares que sean necesarios para su adecuado tratamiento.

En caso de cualquier duda o consulta pueden comunicarse con nuestro equipo de TI, privacidad y medios:

Eugenio Gormáz | Socio | egormaz@az.cl

Óscar Molina | Director IP, Tech & Data | omolina@az.cl

Andrea Céspedes | Asociada | acespedes@az.cl