A pesar de que
la sentencia del Tribunal de Justicia Facebook
Ireland y Schrems, C-311/18, EU:C:2020:559, confirmó la validez de la
Decisión de la Comisión 2010/87/UE relativa a las cláusulas contractuales tipo
para la transferencia de datos personales a los encargados del tratamiento
establecidos en terceros países, dejó claro la exigencia de asegurar que las
personas cuyos datos personales son objeto de transferencia a un país tercero
con base en tales cláusulas gozan respecto de los datos transferidos de un
nivel de protección sustancialmente equivalente al garantizado dentro de la
Unión (apdo. 96 de la sentencia). Cabe recordar que en la medida en que con
respecto al tercer Estado destino de una transferencia de datos personales no
exista una decisión de adecuación en virtud del artículo 45 RGPD, las
transferencias solo pueden realizarse si existen garantías adecuadas conforme a
lo previsto en el artículo 46.2 RGPD, como el empleo de cláusulas contractuales
tipo adoptadas por la Comisión o, en su defecto, cuando sea aplicable alguna de
las excepciones para situaciones específicas establecidas en el artículo 49
RGPD. La sentencia Facebook Ireland y
Schrems puso de relieve que el empleo de cláusulas tipo no exime de la
necesidad de valorar si, a la luz de las circunstancias que rodean la transferencia,
las cláusulas tipo de protección de datos no se respetan o no pueden ser
respetadas en el país tercero al que los datos van a ser transferidos, de modo
que no puede garantizarse un nivel de protección equivalente al existente en la
UE. En este contexto, tienen singular interés la presentación por la Comisión
de un Borrador de Decisión sobre cláusulas
contractuales tipo para la transferencia de datos personales a terceros países
en virtud del RGPD (y su Anexo con
el texto de las cláusulas contractuales tipo); así como la previa adopción por
el EDPB de las Recomendaciones 01/2020,
de 10 de noviembre de 2020, sobre medidas que complementan los instrumentos de
transferencia para garantizar el cumplimiento del nivel de protección de los
datos personales de la UE; y la Declaración
conjunta EDPB - EDPS 2/2021 sobre el Borrador de
Decisión de la Comisión (y su Anexo con
ulteriores comentarios al texto de las cláusulas contractuales del documento de
la Comisión).
El Borrador de Decisión pretende sustituir el marco previo, configurado por las varias Decisiones de la Comisión adoptadas con base en el artículo 26.4 Directiva 1995/46, con el propósito de que el acuerdo entre exportador e importador en los términos de las cláusulas ahí previstas aseguraría la exigencia de garantías adecuadas. En particular, se trata de la Decisión 2001/497/CE, modificada por la Decisión de Ejecución 2016/2297 y complementada por la Decisión 2004/915/CE, para las transferencias entre responsables; y la Decisión 2010/87/UE modificada por la Decisión de Ejecución (UE) 2016/2297, relativa a los supuestos de transferencias a encargados de tratamiento. El Borrador contempla la derogación de esas Decisiones y su sustitución por una única Decisión, si bien junto a ciertas cláusulas generales, prevé cuatro grupos de cláusulas en función del tipo de transferencia: entre responsables de tratamiento, de responsable a encargado, entre encargados, y de encargado a responsable.
Precisión
relevante de la Declaración conjunta EDPB - EDPS 2/2021 (apdos. 26 a 30) con
respecto al alcance de la Decisión y de las cláusulas contractuales tipo es que
si bien las transferencias a un importador de datos situado en un tercer Estado
pero sujeto al RGPD conforme al artículo 3.2 respecto de una actividad de
tratamiento determinada quedan al margen, ello no impide apreciar que respecto
de otro tipo de actividades de tratamiento ese mismo importador puede no
encontrarse sometido al RGPD en virtud de su artículo 3.2, lo que justificaría
que respecto de esas actividades de tratamiento sí quede comprendido dentro del
alcance de la Decisión.
Al
igual que en el modelo previo, continúa siendo esencial la cláusula de terceros
beneficiarios (cláusula 2 de la sección I del Anexo del Borrador), en virtud de
la cual los interesados pueden invocar y exigir el cumplimiento de las
cláusulas contractuales tanto frente al exportador de datos como contra el
importador.
Rasgo
característico de algunas de las principales innovaciones del nuevo modelo es
que hace recaer sobre las partes la realización de ciertas comprobaciones, en
ámbitos en los que pudiera resultar adecuado que la Comisión proporcionara
elementos adicionales de estandarización, en particular, cuando resulta
determinante establecer el contenido y las implicaciones de los ordenamientos
jurídicos de los países terceros destino de las transferencias. Esa exigencia
de realizar comprobaciones adicionales no previstas en el régimen anterior no
puede sorprender, habida cuenta precisamente de algunos aspectos destacados en
la mencionada sentencia Facebook Ireland
y Schrems. A modo de ejemplo, cabe recordar que el Tribunal de Justicia
puso de relieve que no puede quedar amparada en el artículo 46.2 una
transferencia en la medida en que
las carencias de la normativa del tercer Estado destinatario de los datos, por
ejemplo, en lo relativo al ulterior acceso de las autoridades de ese país a los
datos transferidos, puedan tener como consecuencia que el empleo de las
cláusulas tipo entre las partes de la transferencia no resulte suficiente para
asegurar un nivel de protección sustancialmente equivalente al garantizado
dentro de la Unión (apdo. 113 de la sentencia). Destaca en este sentido la cláusula 2 de la sección II del Anexo
al Borrador, relativa a “Local laws affecting compliance with the Clauses”.
Una labor de
precisión adicional por parte de la Comisión resultaría también justificado en
un ámbito muy distinto y referido por el contrario al ordenamiento jurídico de
los Estados miembros (y no de los terceros países destinatarios de los datos).
Se trata de la cuestión que suscita la cláusula 2 de la sección III del Anexo
al Borrador. Esta cláusula tiene por objeto determinar la ley aplicable a las
cláusulas contractuales, y su contenido es el siguiente:
Clause 2
Governing law
[OPTION 1: These Clauses shall be governed by the law of one of the
Member States of the European Union, provided such law allows for third party
beneficiary rights. The Parties agree that this shall be the law of _______
(specify Member State).]
[OPTION 2 (for Module Two and Three): These Clauses shall be governed by
the law of the Member State of the European Union where the data exporter is
established. Where such law does not allow for third party beneficiary rights,
they shall be governed by the law of another Member State of the European Union
that allows for third party beneficiary rights. The Parties agree that this
shall be the law of _______ (specify Member State).]
Si ese es el enfoque
que la Comisión considera necesario, sería mucho más sencillo y evitaría
potenciales problemas prácticos muy significativos que el modelo se limitará a
prever: “These Clauses shall be governed
by the law of….”, exigiendo que las partes seleccionaran el ordenamiento de
uno de los Estados miembros –cabe pensar que con frecuencia será el del
establecimiento del exportador- que cumpla con ese requisito (allows for third party beneficiary rights).
Ahora bien, no debería quedar a la mera valoración de las partes la
circunstancia de qué ordenamientos cumplen ese requisito. Sería deseable que
fuera la propia Comisión la que proporcionara –y eventualmente actualizara- la
lista de Estados miembros que cumplen ese requisito, típicamente en función de
la información facilitada por los propios Estados miembros. No debe perderse de
vista que, además, en defecto de elección valida por las partes, la ley
aplicable deberá determinarse conforme al artículo 4 del Reglamento Roma I que
eventualmente podría llevar a que fuera aplicable la ley de un Estado miembro (cabe pensar que en
muchas situaciones la del establecimiento del exportador) que podría no reunir
ese requisito.
