La perspectiva de Cyber Academy
Las SCCs son las cláusulas modelo aprobadas por la Comisión Europea para transferir datos personales a terceros países sin una decisión de adecuación. Las SCCs de 2021 sustituyeron a las versiones anteriores y exigen una Evaluación del Impacto de la Transferencia (TIA) desde Schrems II. Documentación obligatoria para cualquier organización que utilice proveedores SaaS fuera de la UE.
Lo que realmente hacen las SCC
Las cláusulas contractuales tipo son un contrato preredactado entre un exportador de datos en la UE y un importador en un país sin decisión de adecuación. Al firmarlas, el importador se compromete a obligaciones de nivel GDPR: limitación de la finalidad, seguridad, controles de transferencias ulteriores, derechos de los interesados y cooperación con la autoridad de control. Como la Comisión Europea ya ha aprobado la redacción, no es necesario negociar ni justificar las cláusulas en sí, motivo por el cual son el mecanismo de transferencia por defecto para casi cualquier relación SaaS, cloud o de subencargado fuera de la UE.
Las cláusulas son modulares. Usted elige el módulo que se ajusta a la relación real: responsable a responsable, responsable a encargado, encargado a encargado, o encargado a responsable. Equivocarse de módulo es el error de redacción más común, porque las obligaciones y los puntos de acoplamiento para los subencargados difieren entre ellos. Las SCC también incluyen una cláusula de acoplamiento que permite que nuevas partes se incorporen a un conjunto existente, lo que mantiene manejables las largas cadenas de subencargados.
Por qué la TIA cambió las reglas del juego
Antes de la sentencia Schrems II de 2020, firmar las SCC se consideraba suficiente por sí solo. El Tribunal de Justicia puso fin a ello. Dictaminó que los compromisos contractuales no pueden vincular a un gobierno extranjero, de modo que el exportador debe evaluar si el importador puede honrar genuinamente las cláusulas a la luz de la legislación local de vigilancia y acceso. Esa evaluación es la evaluación de impacto de la transferencia. En la práctica, se documenta el país de destino, las leyes que podrían obligar a la divulgación, la naturaleza y la sensibilidad de los datos, y si medidas complementarias como un cifrado robusto, la seudonimización o el procesamiento dividido cierran cualquier brecha que se detecte.
Si la TIA concluye que el importador no puede cumplir los compromisos de las SCC y ninguna medida complementaria lo resuelve, la transferencia no debería realizarse sobre la base de las SCC. Aquí es donde las SCC difieren marcadamente de una decisión de adecuación: la adecuación es una constatación de la Comisión que elimina la carga caso por caso, mientras que las SCC trasladan esa carga a usted en cada transferencia. El EU-US Data Privacy Framework ofrece ahora una vía de adecuación para los importadores estadounidenses certificados, pero las SCC siguen siendo la herramienta de referencia para cualquier otro tercer país y para los proveedores estadounidenses que no están certificados.
Lo que realmente hacen los profesionales
Un proceso de SCC que funciona es repetible, no un ejercicio jurídico puntual. El patrón en el que se asienta la mayoría de los equipos es el siguiente.
- Mapear la transferencia: identificar al exportador, al importador, las categorías de datos y el módulo correcto antes de tocar la plantilla.
- Completar los anexos: las partes, la descripción del tratamiento y las medidas de seguridad técnicas y organizativas. Los anexos vagos son la parte que los reguladores cuestionan primero.
- Ejecutar y documentar la TIA, incluyendo cualquier medida complementaria, y conservarla junto con las cláusulas firmadas.
- Integrar las SCC en la incorporación de proveedores para que se firmen antes de que fluyan los datos, no de forma retroactiva después de que una auditoría detecte la brecha.
- Revisar de nuevo cuando el proveedor cambie de subencargados, cuando el país de destino o sus leyes cambien, o con una cadencia fija.
Las SCC se sitúan dentro de su narrativa más amplia de responsabilidad proactiva del GDPR. Remiten a los registros de las actividades de tratamiento, a la DPIA cuando es necesaria y a los controles de seguridad que usted ya se ha comprometido a aplicar. Tratadas como documentos vivos en lugar de como una firma recogida una sola vez, son la diferencia entre una transferencia que puede defender y otra que se derrumba en el momento en que un regulador o un interesado pregunta cómo protege los datos que salen de la UE.
Frequently asked questions
01¿Cuándo necesitamos SCC en lugar de apoyarnos en una decisión de adecuación?
Necesita SCC siempre que datos personales vayan a un tercer país que la Comisión Europea no haya declarado adecuado, o a un importador no cubierto por un mecanismo de adecuación como el EU-US Data Privacy Framework. Si existe una vía de adecuación válida para esa transferencia concreta, no necesita SCC para ella.
02¿Son las SCC de 2021 distintas de las antiguas?
Sí. Las SCC modulares de 2021 sustituyeron a los conjuntos anteriores de la época de 2010. Cubren cuatro escenarios de tratamiento en un solo documento, añaden la cláusula de acoplamiento para nuevas partes y reflejan el requisito de Schrems II de que la mera firma no es suficiente.
03¿Es obligatoria una evaluación de impacto de la transferencia con las SCC?
En la práctica, sí. Desde Schrems II debe evaluar si el importador puede honrar realmente las cláusulas a la luz de la legislación local, y documentar ese análisis junto con cualquier medida complementaria. Las SCC sin una TIA se consideran ampliamente incompletas.
04¿Qué módulo de SCC deberíamos usar?
Elija el módulo que se ajusta a la relación real: responsable a responsable, responsable a encargado, encargado a encargado, o encargado a responsable. Elegir el módulo equivocado es un error común porque cada uno conlleva obligaciones y reglas de subencargados diferentes.
05¿Sustituyen las SCC a un acuerdo de tratamiento de datos?
No exactamente. Las SCC abordan la transferencia internacional, mientras que los módulos relativos al encargado también satisfacen las condiciones esenciales de tratamiento del artículo 28. Muchas organizaciones los combinan para que un único instrumento cubra tanto la transferencia como la relación de tratamiento.