Hoy la Comisión Europea ha publicado la versión final de las nuevas cláusulas contractuales tipo (SCC) para la transferencia de datos personales a terceros países. Las nuevas cláusulas SCC son esclarecedoras para muchas empresas que transfieren datos personales fuera de Europa, tras la decisión tomada el año pasado por el Tribunal de Justicia de la Unión Europea (TJUE) en el caso Schrems II. Lo más relevante para nuestros clientes es que las nuevas cláusulas permiten a las empresas considerar la ausencia de solicitudes de datos previas procedentes de entes públicos como un factor para determinar la necesidad de protección extra al transferir datos. Este enfoque es conforme al Reglamento General de Protección de Datos (RGPD) en materia de cumplimiento normativo basado en los riesgos y a los requisitos de la sentencia Schrems II del TJUE.
A continuación se explican brevemente las cláusulas SCC, qué representan en el contexto de Schrems II y algunas reflexiones relacionadas con las transferencias transfronterizas de datos.
¿Por qué se han emitido nuevas cláusulas SCC?
En un comunicado de prensa adjunto a las cláusulas SCC, la vicepresidenta de Valores y Transparencia Vera Jourová afirmó:
"En Europa deseamos mantener la apertura y permitir el flujo de datos, siempre y cuando esté protegido. Las cláusulas contractuales tipo modernizadas ayudarán a lograr este objetivo: ofrecen a las empresas una herramienta útil con la que garantizar que cumplen las leyes de protección de datos, tanto en sus actividades dentro de la UE como para transferencias internacionales. Es una solución necesaria en el mundo digital interconectado en el que una transferencia de datos solo requiere un par de clics".
Las cláusulas SCC se actualizaron por última vez en 2004 (cláusulas de transferencias entre responsables de datos) y en 2010 (cláusulas de transferencias de responsables a encargados del tratamiento de datos). Desde entonces el RGPD ha introducido requisitos específicos que deben incluirse en los contratos de procesamiento de datos. Las nuevas cláusulas SCC incorporan los términos requeridos por el RGPD en el mecanismo de transferencia de datos. Además, estas cláusulas reflejan mejor la realidad de las empresas modernas, que a menudo actúan como responsables de los datos y también como encargadas de su tratamiento. Las nuevas cláusulas SCC son de tipo modular, lo que simplifica el proceso de contratación, y también abarcan dos tipos de transferencias adicionales: las de encargados a responsables y las de encargados a encargados.
¿Cuál es la relación entre las nuevas cláusulas SCC y Schrems II?
Tras pronunciarse la sentencia Schrems II, las empresas que transfieren datos personales de la UE a terceros países (como Estados Unidos) deben realizar evaluaciones caso por caso a fin de determinar si se necesitan medidas adicionales para proteger los datos personales que se van a transferir. La evaluación debe tener en cuenta prácticas de vigilancia gubernamentales y derechos individuales en los países a los que se van a transferir los datos. Las nuevas cláusulas SCC reflejan este requisito y contienen medidas de seguridad específicas, entre las que se encuentra el requisito de cuestionar, si procede, solicitudes gubernamentales de acceso a datos, así como mantener informado al exportador de los datos. Somos conscientes de que nuestros clientes y organismos reguladores requieren garantías de que eso se cumple. De acuerdo con nuestros valores fundamentales de integridad y servicio al cliente, Workday publica nuestros principios de acceso gubernamental y un informe sobre la transparencia oficial para nuestros clientes.
¿Qué relación tienen las cláusulas SCC con el código de conducta en la nube europeo recién aprobado?
En mayo, las autoridades de protección de datos en Bélgica anunciaron que habían aprobado el código de conducta en la nube de la UE para proveedores de servicios cloud ("EU Cloud CoC"), el primer código de conducta transnacional desde la entrada en vigor del RGPD. El EU Cloud CoC complementa las cláusulas SCC como mecanismo de cumplimiento normativo bajo el RGPD, pero no actúa como mecanismo de transferencia de datos. En agosto de 2019, Workday fue la primera empresa en adherirse al código EU Cloud CoC.
¿Cuál es el siguiente paso?
Estamos revisando a fondo las nuevas cláusulas SCC y ofreceremos a nuestros clientes estos compromisos contractuales dentro del marco temporal requerido de 18 meses para acuerdos existentes. También podemos decir que a finales de este mes el Comité Europeo de Protección de Datos publicará las recomendaciones finales sobre medidas suplementarias para las transferencias de datos, y creemos que también tendrán en consideración si una empresa ha recibido alguna solicitud formal para proporcionar datos personales a autoridades gubernamentales. Tanto la historia como las declaraciones gubernamentales en este sentido indican que los datos de recursos humanos, finanzas y analytics empresariales son de escaso interés para las autoridades gubernamentales.
Además tenemos la esperanza de que se acuerde un marco sucesor del Privacy Shield durante este año. Entretanto, en Workday hemos renovado nuestra certificación del Privacy Shield existente, mientras mantenemos los compromisos con la Comisión Federal de Comercio estadounidense (FTC) y nuestros clientes acerca del procesamiento de datos personales según los principios del Privacy Shield.
Y lo más importante: queremos recalcar que Workday confía en que los gobiernos de Estados Unidos y la Unión Europea sigan colaborando para permitir las transferencias de datos de un país a otro, y en que la publicación de las cláusulas contractuales tipo renovadas, junto con el esfuerzo continuado de ambos gobiernos, apoye ese objetivo.