Por Pablo Tena
La Comisión Europea, tras la publicación el 4 de junio de 2021 de las cláusulas contractuales tipo (en adelante, las “Cláusulas Contractuales Tipo” o “CCT”) entre responsables y encargados del tratamiento [1] ("CCT del Responsable del Tratamiento") y para la transferencia de datos a terceros países [2] ("CCT de Transferencia de Datos"), publicó el pasado 25 de mayo de 2022 la guía “Las nuevas cláusulas contractuales tipo – Preguntas y respuestas [3]” (la “Guía”) que pretende dar respuesta a algunas de las cuestiones surgidas en el uso de las CCT.
La Guía se ha redactado con la ayuda de los comentarios recibidos por diversas partes interesadas tras su adopción por la Comisión Europea. La intención de la Comisión Europea es que la Guía sea una fuente de información “dinámica” que se vaya actualizando a medida que surjan nuevas cuestiones futuras.
La Guía contiene un total de 44 cuestiones divididas en tres secciones. La primera de ellas se refiere a cuestiones generales sobre las Cláusulas Contractuales Tipo y, las dos últimas están dedicadas a cada conjunto de Cláusulas Contractuales Tipo aprobadas.
La primera parte (cuestiones 1 a 13 de la Guía), responde a cuestiones generales como qué son las Cláusulas Contractuales Tipo, cuáles son las ventajas derivadas de su uso, la posibilidad de modificar o no el texto aprobado por la Comisión Europea, cómo incorporar las Cláusulas Contractuales Tipo a contratos comerciales, aspectos técnicos en torno a la firma, y cómo funciona la denominada “docking clause”.
Una de las cuestiones más relevantes de esta primera sección es la relativa a la posibilidad de modificar las Cláusulas Contractuales Tipo (pregunta número 7 de la Guía). La Comisión Europea aclara, en la cuestión 6 de la Guía, que las CCT no pueden verse modificadas excepto:
(i) para seleccionar los módulos y/o las opciones específicas ofrecidas en el texto,
(ii) completar el texto cuando sea necesario (indicado con corchetes), por ejemplo, para indicar los tribunales competentes y la autoridad de control, y para especificar los plazos,
(iii) para rellenar los Anexos, o
(iv) para añadir garantías adicionales que aumenten el nivel de protección de los datos.
Además, respecto a las CCT de Transferencia de Datos, en la Guía se señala que si las partes modifican el texto (es decir, más allá de elegir los módulos y/u opciones pertinentes y rellenar los corchetes y los anexos), las cláusulas modificadas no podrán utilizarse como base para las transferencias de datos a terceros países, a menos que sean aprobadas por una autoridad nacional de protección de datos como “cláusulas ad hoc” (de conformidad con el artículo 46, apartado 3, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (“RGPD”).
No obstante lo anterior, la cuestión 7 aclara que “The parties may supplement the SCCs with additional clauses or incorporate them into a broader commercial contract, as long as the other contractual provisions do not contradict the SCCs, either directly or indirectly, or prejudice the rights of data subjects”.
Por último, como se mencionaba más arriba, este primer bloque de cuestiones generales aclara la finalidad y puesta en práctica de la llamada “docking clause”, que en esencia es una cláusula opcional por la que las partes de las CCT pueden optar por acordar que futuras terceras partes puedan unirse al contrato. Este mecanismo proporciona una flexibilidad adicional en caso de que se produzcan cambios con respecto a las entidades que participan en el acuerdo de tratamiento de datos a lo largo del ciclo de vida del contrato (por ejemplo, para incluir nuevos sub-encargados del tratamiento).
En este sentido, la Comisión Europea aclara que:
“Once this authorisation is formalised, the new party will need to complete the Annexes and sign Annex I of the SCCs in order to make such accession effective. Amending the main agreement to which the SCCs are annexed, by adding parties to that agreement, is not sufficient to add parties to the SCCs”
La segunda de las secciones contenidas en la Guía (cuestiones 14 a 19 de la Guía), relativa a las CCT entre responsables y encargados del tratamiento, analiza cuestiones relevantes para completar correctamente las CCT.
En primer lugar, si bien es cierto que las CCT no aclaran cómo debe dar las instrucciones el responsable del tratamiento al encargado, sí que se especifica que debe ser de forma documentada (cláusula 7.1 de las CCT). En este sentido, la Comisión Europea aclara que el responsable del tratamiento puede decidir proporcionar esas instrucciones de la forma que considere adecuada (por ejemplo, por escrito u oralmente, a través de herramientas en línea y señales técnicas), pero con la condición de que las instrucciones estén documentadas.
Por último, en relación con el periodo para informar al responsable del tratamiento de una brecha de seguridad del encargado, la Guía no fija un plazo concreto y se remite a lo señalado en el artículo 9.1 de las CCT que señala que debe hacerse “sin demora indebida”. Por tanto, corresponde a las partes determinar este plazo teniendo en cuenta las circunstancias particulares del tratamiento de datos en cuestión.
La tercera, y última sección de la Guía, está dividida en 5 subapartados (a) motivos para la renovación y principales novedades; (b) ámbito y escenarios de transferencias; (c) Particulares: sus derechos cuando sus datos se transfieren basándose en las CCT; (d) obligaciones de los exportadores e importadores de datos, y; (e) Legislación local y acceso del gobierno.
El primero de los subapartados, como se ha señalado, trata temas generales como el por qué de unas nuevas CCT, cuáles son las novedades más significativas respecto a las CCT previamente aprobadas, o si, para el caso en el que se firmasen las anteriores CCT, los responsables y encargados deben actualizar sus acuerdos.
Respecto a este último punto la Guía aclara que aquellos acuerdos de transferencias de datos firmados antes del 27 de septiembre de 2021 deben estar basados en las CCT. No obstante, aquellas entidades que celebraron un acuerdo de transferencia antes del 27 de septiembre de 2021 y, por tanto, basado en las anteriores CCT, cuentan con un período transitorio (hasta el 27 de diciembre de 2022) para adoptar las nuevas CCT.
Por otro lado, en relación con el ámbito y escenarios de transferencias, en la cuestión 23 de la Guía se aclara que las CCT pueden ser utilizadas por los responsables o encargados del tratamiento que estén sujetos al RGPD para transferir datos personales a responsables o encargados del tratamiento fuera del Espacio Económico Europeo (“EEE”) cuyas actividades no estén sujetas al RGPD.
Por el contrario, la Comisión Europea entiende (cuestión 24) que las CCT no pueden ser utilizadas para transferencias de datos a responsables o encargados cuyos tratamientos estén sujetos a la aplicación del RGPD:
“They do not work for importers whose processing operations are subject to the GDPR pursuant to Article 3, as they would duplicate and, in part, deviate from the obligations that already follow directly from the GDPR”
Al final de esta cuestión, se menciona que la Comisión Europea está en proceso de desarrollar un set adicional de cláusulas contractuales tipo para este escenario concreto.
En relación con los diferentes módulos que se incluyen en las CCT (explicados en la cuestión 27), la cuestión 28 señala que las partes pueden incluir varios de estos módulos en sus acuerdos siempre y cuando sean de aplicación para el caso concreto:
“the parties have to choose the module(s) that correspond to their situation. It may occur that the parties assume different roles for different data transfers taking place between them as part of their overall contractual relationship. If this is the case, they should use the appropriate module for each such transfer”
La cuestión 32, que se incluye en el subapartado tercero, relativo a los derechos de los interesados, se indica que si el interesado solicita una copia de las CCT las partes deben entregársela (con los anexos incluidos).
En este sentido, al facilitarle al interesado una copia de las CCT las partes sólo pueden eliminar la información que se refiera a secretos comerciales u otra información confidencial (por ejemplo, datos personales de otros individuos, firmas, etc.), pero tienen que explicar por qué se ha eliminado. Si el texto restante resulta demasiado difícil de entender, las partes deberán proporcionar un resumen significativo de lo firmado entre las partes de las CCT.
Por su lado, el subapartado cuarto responde a dos cuestiones relevantes de las CCT, que son la limitación de la responsabilidad de las partes en el acuerdo comercial y la legislación aplicable. Por lo que respecta a la limitación de la responsabilidad, la cuestión 35 señala que la responsabilidad de las partes incluida en las CCT solo aplica por infracciones de estas cláusulas y, en ningún caso, la responsabilidad fijada en el acuerdo comercial alcanzado entre las partes debe contradecir este régimen de responsabilidad:
“Other clauses in the broader (commercial) contract (e.g. special rules on the distribution of liability, liability caps in the relationship between the parties) may not contradict or undermine these liability schemes of the SCCs”
Por su lado, respecto a la elección de la normativa aplicable en el contrato, la cuestión 37 de la Guía señala que para los módulos 1, 2 y 3 siempre debe fijarse una la ley de uno de los Estados Miembros de la Unión Europea o de un país del EEE. No obstante, en lo que respecta al módulo 4 de las CCT, se señala en la Guía que se puede fijar ser la legislación de un país no perteneciente al EEE. En cualquier caso, la Guía señala que:
“For all modules, this must be a domestic legal regime that allows for “third party-beneficiary rights” within the meaning of Clause 3. This means that the chosen law must allow private parties to create contractually rights that can be invoked by the individuals concerned, i.e. the data subjects whose personal data will be transferred based on the SCCs.”
Con relación a la elección de la autoridad competente, la cuestión 38 señala que si el exportador de datos tiene un establecimiento en el EEE se deberá fijar aquella autoridad que sea competente para supervisar el cumplimiento del RGPD por parte del exportador de datos. No obstante, si el exportador de datos no está establecido en el EEE, pero está directamente sujeto al RGPD, la autoridad de protección de datos competente será (i) la autoridad de protección de datos del país del EEE en el que esté establecido el representante; (ii) la autoridad de protección de datos del país del EEE en el que se encuentran los interesados cuyos datos se transfieren.
Por lo que se refiere a los anexos de las CCT, la cuestión 39 de la Guía aclara cómo deben completarse y en qué grado de detalle. En este sentido, se indica que las partes debe clarificar qué transferencias de datos específicas pretenden aplicar las CCT, en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren. Del mismo modo, respecto a las medidas de seguridad las partes no están obligadas a enumerar cada una de estas medidas, sino que deben describir las medidas que realmente aplica el importador de datos para garantizar un nivel de seguridad adecuado.
El último de los subapartados da respuesta a cuestiones sobre las leyes locales y el acceso del gobierno con la finalidad de aclarar las obligaciones de las partes contratantes en virtud de la Cláusula 14 de las CCT de transferencia de datos en relación con la sentencia del Tribunal de Justicia de la Unión Europea en el asunto Comisario de protección de datos contra Facebook Irlanda. Limitado, Maximillian Schrems, C-311/18 [4] (el llamado “Caso Schrems II”).
En particular, las preguntas y respuestas aclaran, entre otras cosas, que con respecto al impacto en el cumplimiento de las CCT de Transferencia de Datos, las partes pueden considerar diferentes elementos como parte de una evaluación general, como información confiable sobre la aplicación de la ley en la práctica (como jurisprudencia e informes de órganos de control independientes), la existencia o ausencia de solicitudes en el mismo sector y, bajo estrictas condiciones, la experiencia práctica documentada del exportador y/o importador de datos. En este sentido, las preguntas y respuestas destacan que la Cláusula 14 de las CCT de transferencia de datos no debe leerse de forma aislada, sino que debe utilizarse junto con las Recomendaciones 01/2020 del Consejo Europeo de Protección de Datos sobre medidas que complementan las herramientas de transferencia [5].
El pasado 13 de mayo de 2022, la AEPD publicó una nueva resolución sancionadora a Mercadona, S.A. (en adelante, “Mercadona” o “la denunciada”), en este caso, por no atender el derecho de acceso solicitado por una cliente a las grabaciones de videovigilancia realizadas en el interior de una de sus instalaciones.
La investigación de la AEPD se originó en la denuncia presentada en diciembre de 2020 por una clienta que, tras sufrir un accidente dentro de las instalaciones de Mercadona, solicitó, en menos de un mes desde la fecha del accidente, el acceso a las grabaciones de las cámaras de videovigilancia de las instalaciones de la demanda. La denunciante presento esta solicitud por medio del formulario de Atención al Cliente puesto a disposición de los usuarios en la página web de Mercadona. Sin embargo, tal y como ha presentado la denunciada en su escrito de alegaciones a la apertura del procedimiento sancionador, esta solicitud no fue trasladada a su Delegado de Protección de Datos (en adelante, “DPD”), por lo que no fue tramitada.
En concreto, Mercadona comunicó a la AEPD que el motivo de la falta de respuesta a la solicitud presentada por la demandante se debió a una incidencia en la gestión interna de la solicitud de derecho de acceso. En concreto, la denunciada explicó en su escrito de alegaciones que la solicitud nunca llegó al DPD de la entidad debido a un error humano en la sección del procedimiento interno de gestión de derechos que se realizaba de forma manual, debido a lo cual, la denunciada considera que no puede apreciarse concurrencia de culpa y, por tanto, no se puede imponer sanción alguna en el caso analizado.
Adicionalmente, Mercadona alega que, una vez ha tenido conocimiento del caso, se ha puesto en contacto con la representación de la denunciante y ha alcanzado un acuerdo con la misma para reparar los daños y perjuicios sufridos, tanto por el accidente, como por la falta de atención del derecho de acceso ejercitado. Por este motivo, Mercadona considera que no procede la apertura de un procedimiento sancionador en el caso analizado, ya que este se fundamenta únicamente en la falta de atención del ejercicio de derechos, y la denunciada ya ha resarcido a la interesada por los perjuicios sufridos.
Dicho esto, el procedimiento sancionador iniciado por la AEPD finaliza con la resolución PS/00267/2021 [6], en la que se impone a la denunciada, dos sanciones por incumplimiento de los artículos 6 y 12 del RGPD que, conjuntamente ascienden a 170.000 €. A continuación, analizaremos los motivos por los que la AEPD sanciona a la denunciada:
Como avanzábamos, Mercadona, en su respuesta a la apertura del procedimiento sancionador, alegó que cuenta con un procedimiento de gestión de ejercicios de derechos que funciona correctamente, siendo el caso analizado una anomalía del procedimiento debida a un error humano en una parte del procedimiento de gestión no automatizada. En atención a esta circunstancia, la demandada considera que no se cumplen los requisitos de tipo subjetivo de la infracción y que, por tanto, no es posible atribuirle responsabilidad alguna por el error cometido.
En este sentido, la AEPD no ha discutido que lo ocurrido en el presente caso se deba a un incidente puntual dentro de un sistema que, en circunstancias generales, funciona de correctamente y que ha sido tenido en cuenta como circunstancia atenuante a la hora de determinar la cuantía de la sanción. Dicho esto, la AEPD ha dejado claro que, el nivel de cumplimiento general no es suficiente para justificar una actuación diligente en la gestión de solicitudes de derechos, sino que esta diligencia debe demostrarse en el caso concreto.
La AEPD recurre a la jurisprudencia reiterada del Tribunal Supremo y de la Audiencia Nacional para aclarar que, en aquellos casos en los que la legislación establece un especial deber de diligencia, la actuación culposa o negligente es suficiente para que concurra el elemento subjetivo del tipo sancionador, no siendo necesario que se haya realizado una acción voluntaria o deliberada por parte del responsable o sus trabajadores.
Por lo tanto, en la resolución analizada, la AEPD equipara el fallo en el procedimiento de gestión a no dar trámite a la solicitud, quedando enmarcado lo ocurrido en el caso analizado dentro del ámbito de responsabilidad de Mercadona, cuyo deber de cumplimiento y atención de los ejercicios de derechos presentados por el interesado se establece en el artículo 12 del RGPD. Llegando a concluir que, “No exigir responsabilidad a Mercadona por estos hechos sería tanto como vaciar de contenido las normas que regulan el ejercicio de derechos en materia de protección de datos personales”.
En atención a lo expuesto, la AEPD impone una sanción a Mercadona de 70.000€ por la infracción del artículo 12 del RGPD. La fijación de esta cuantía se establece teniendo en cuenta la concurrencia, entre otras, de las siguientes agravantes: la intencionalidad o negligencia en la infracción, las categorías de datos afectados en la infracción o la vinculación de la actividad del infractor con la realización de tratamientos de datos personales.
En segundo lugar, la AEPD sancionó a Mercadona por la supresión de las imágenes del accidente sufrido por la denunciante en sus instalaciones y captadas por el sistema de videovigilancia, a las que se había solicitado el acceso.
Mercadona alegó que no se pudo facilitar el acceso a las grabaciones ya que, en cumplimiento de los plazos de conservación establecidos en la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras [7] (“Instrucción 1/2006”), se había procedido al borrado de las mismas al haber transcurrido un mes desde su grabación. Sin embargo, en la resolución analizada, la AEPD recuerda que este plazo no es de aplicación en “aquellos supuestos en los que se deban conservar las imágenes para acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”.
En el presente caso, la denunciante puso en conocimiento de Mercadona en dos ocasiones la necesidad de conservar las imágenes de su accidente. Inicialmente, mediante una reclamación interpuesta a los cuatro días del accidente, en la que la denunciante reclamaba el pago de una indemnización por los daños sufridos a causa del accidente y, posteriormente, mediante la solicitud de acceso a las grabaciones. A este respecto, Mercadona justificó la eliminación de las grabaciones en la falta de claridad de la solicitud presentada por la denunciante ante el servicio de Atención al Cliente que, según la denunciada no identificaba claramente que se trataba de un derecho de acceso.
En cambio, la AEPD considera que la presentación de ambas reclamaciones a través del sistema de Atención al Cliente se debe considerar indicativo suficiente que las imágenes debían ser conservadas por un plazo superior a un mes con el objetivo de preservar el derecho a la tutela judicial efectiva (art. 24 CE) de la denunciante. La AEPD entiende que, una vez presentada la primera reclamación referente al accidente, Mercadona debiera de haber identificado la importancia de las grabaciones para un posible procedimiento relacionado con el accidente y haber evitado su eliminación.
La AEPD deja claro que no se impone una obligación a la entidad de revisar todas las imágenes captadas con el objetivo de identificar aquellas que deban conservarse por un periodo superior a los 30 días establecidos en la Instrucción 1/2006, sino que, en el caso analizado, las acciones de la denunciante fueron suficientes para poner de manifiesto la necesidad de conservar las grabaciones, por lo menos, hasta que estas le fueran facilitadas a la misma.
De acuerdo con lo anterior, y teniendo en cuenta que la eliminación de las grabaciones por si sola constituye un tratamiento de datos personales, la AEPD ha concluido que, la eliminación de las grabaciones se realizó sin que concurriera una base de legitimación para el tratamiento. Circunstancia que, adicionalmente, limita la capacidad de la denunciada a ejercer el control sobre sus datos personales y su derecho a la tutela judicial efectiva. En atención a lo expuesto, la AEPD impone una sanción de 100.000€ por la infracción del artículo 6 del RGPD.
Por último, queremos resaltar el fundamento jurídico II de la resolución. En este fundamento, la AEPD expone los motivos por los que el acuerdo alcanzado entre la denunciante y Mercadona para resarcir los daños causados por el accidente y por no atender adecuadamente su derecho de acceso, no justifican el archivo del procedimiento sancionador. En concreto, la AEPD se remite a al artículo 63.1 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y, al artículo 64.2 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, para aclarar que, el procedimiento sancionador, una vez adoptado el acuerdo de inicio, no requiere del impulso de la denunciante para continuar. No siendo, por tanto, un argumento válido para archivar el procedimiento sancionador que se haya alcanzado un acuerdo con la denunciante para la retirada de la denuncia o la existencia de un acuerdo entre las partes para resarcirle por los daños, lo que en ningún caso afectaría a la continuidad del procedimiento.
Links
[1] https://ec.europa.eu/info/law/law-topic/data-protection/publications/standard-contractual-clauses-controllers-and-processors
[2] https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en
[3] https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf
[4] https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/statement-court-justice-european-union-judgment-case-c_es
[5] https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf
[6] https://www.aepd.es/es/documento/ps-00267-2021.pdf
[7] https://www.boe.es/buscar/act.php?id=BOE-A-2006-21648
[8] https://www.ramonycajalabogados.com/es/noticias/la-comision-europea-publica-sus-faqs-sobre-las-clausulas-contractuales-tipo