Cláusulas contractuales estándar (SCCs) para transferencia internacional de datos

Cuando datos personales necesitan cruzar fronteras — hacia un servidor en la nube en Estados Unidos, hacia un socio comercial en Europa, hacia un sistema de RRHH global — la pregunta que el delegado de datos y el jurídico deben responder es: ¿cuál es la salvaguarda jurídica que autoriza esa transferencia?

En ausencia de una decisión de adecuación que cubra el país de destino, las cláusulas contractuales estándar (del inglés Standard Contractual Clauses — SCCs) son el mecanismo más utilizado globalmente para legalizar transferencias internacionales de datos. Este artículo explica qué son, cómo funcionan en el contexto de la Ley 21.719 y del RGPD, y qué deben hacer las organizaciones chilenas en la práctica.

Qué son las cláusulas contractuales estándar

Las SCCs son contratos preaprobados por una autoridad regulatoria que establecen obligaciones de protección de datos entre las partes de una transferencia internacional. La lógica es simple: aunque el país de destino no tenga una ley de protección de datos equivalente, si las partes se comprometen contractualmente a cumplir los estándares exigidos por la ley de origen, la transferencia puede considerarse adecuadamente protegida.

Se denominan "estándar" porque:

El texto es preaprobado por la autoridad regulatoria (APDP en Chile, Comisión Europea en el contexto del RGPD)
Las partes no pueden modificar las cláusulas sustantivas — solo pueden completar las variables previstas (partes, finalidad, categorías de datos, etc.)
La aprobación previa elimina la necesidad de análisis individual de cada contrato por parte de la autoridad

SCCs en el contexto de la Ley 21.719

La Ley 21.719 establece que la transferencia internacional de datos personales solo puede realizarse cuando el responsable del tratamiento ofrece garantías adecuadas de protección, equivalentes a las exigidas por la ley chilena. Los mecanismos previstos incluyen:

Decisión de adecuación de la APDP: cuando la autoridad chilena declara que el país de destino ofrece un nivel de protección equivalente al de Chile
Cláusulas contractuales: acuerdo entre el responsable y el destinatario que establece obligaciones de protección equivalentes — el mecanismo que aborda este artículo
Normas corporativas vinculantes (BCRs): para transferencias dentro de grupos empresariales multinacionales
Otras salvaguardas reconocidas por la APDP

La distinción práctica relevante es entre cláusulas negociadas caso a caso (personalizadas para la relación específica) y cláusulas estándar preaprobadas (texto aprobado por la APDP, que las partes solo completan con sus datos particulares).

El escenario actual: la APDP aún no ha publicado SCCs chilenas

La APDP — Agencia de Protección de Datos Personales — entrará en plena operación con la entrada en vigor de la Ley 21.719 el 1 de diciembre de 2026. Hasta entonces, la agencia está en proceso de constitución y no ha publicado cláusulas contractuales estándar propias.

¿Qué deben hacer las organizaciones chilenas hasta que la APDP publique SCCs?

Cláusulas contractuales específicas (negociadas): redactar y acordar con el destinatario cláusulas que reflejen las obligaciones de la Ley 21.719. Es el mecanismo disponible hoy.
Adaptación de las SCCs del RGPD como referencia: muchas organizaciones chilenas que trabajan con proveedores europeos ya firman las SCCs europeas para cumplir con el RGPD del lado europeo. Estas cláusulas pueden servir como modelo de buenas prácticas — aunque formalmente se rigen por el RGPD, no por la Ley 21.719.
Documentar el mecanismo utilizado: independientemente del instrumento elegido, documentar la decisión y las garantías ofrecidas es fundamental para demostrar cumplimiento ante la APDP cuando esta inicie operaciones.

Cuando la APDP publique sus SCCs, las organizaciones deberán revisar sus contratos de transferencia para incorporarlas, de forma similar al proceso que siguieron las organizaciones europeas en 2021-2022 con las nuevas SCCs de la Comisión Europea.

SCCs en el contexto del RGPD: el modelo de referencia global

El RGPD europeo tiene un sistema de SCCs más maduro y consolidado. En junio de 2021, la Comisión Europea publicó nuevas SCCs — Decisión de Ejecución (UE) 2021/914 — reemplazando los modelos anteriores de 2001 y 2004. El período de transición cerró en diciembre de 2022, haciendo obligatorio el uso de las nuevas SCCs para transferencias fuera de la UE/EEE.

Para las organizaciones chilenas que trabajan con proveedores o socios europeos, este modelo es relevante en dos sentidos: (1) el proveedor europeo exigirá las SCCs del RGPD para el tratamiento en su territorio, y (2) la estructura modular y los requisitos sustantivos de las SCCs europeas ofrecen una referencia de mejores prácticas que Chile probablemente adoptará en su propio modelo.

Los 4 módulos de las SCCs europeas

La innovación central de las SCCs de 2021 fue la estructura modular, que cubre los distintos escenarios de transferencia:

Módulo	Relación	Descripción
Módulo 1	Responsable → Responsable	Empresa europea exporta datos a empresa en el exterior que los usa para sus propias finalidades
Módulo 2	Responsable → Encargado	Empresa europea exporta datos a proveedor en el exterior que los procesa en su nombre
Módulo 3	Encargado → Encargado	Proveedor europeo subcontrata a otro proveedor en el exterior para procesar datos del mismo responsable
Módulo 4	Encargado → Responsable	Proveedor en el exterior procesa datos y los retorna al responsable europeo

La flexibilidad modular permite que un único instrumento SCC cubra relaciones complejas — una empresa puede firmar SCCs con múltiples módulos para distintos tipos de transferencia con el mismo socio.

Qué exigen las SCCs del RGPD a las partes

Más allá de las cláusulas sustantivas de protección de datos, las SCCs de 2021 introdujeron obligaciones adicionales:

Evaluación de transferencia (TIA — Transfer Impact Assessment): antes de firmar las SCCs, las partes deben evaluar si la legislación del país de destino no compromete las garantías ofrecidas por las cláusulas — exigencia derivada de la sentencia Schrems II
Transparencia: el importador debe informar al exportador sobre cualquier solicitud de acceso de autoridades gubernamentales que pueda afectar los datos transferidos
Derechos de los titulares: el importador debe cooperar para que los titulares puedan ejercer sus derechos ante el exportador original

La Transfer Impact Assessment (TIA): qué es y cuándo es obligatoria

La Transfer Impact Assessment — o evaluación de impacto de la transferencia — es un análisis que las partes deben realizar antes de confiar en las SCCs como salvaguarda. El objetivo es verificar si el derecho del país de destino (especialmente leyes de vigilancia, acceso gubernamental a datos privados) compromete en la práctica las garantías que las cláusulas prometen en el papel.

La TIA se volvió obligatoria en el RGPD como consecuencia de la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (julio de 2020), que invalidó el mecanismo anterior (Privacy Shield UE-EE.UU.) y determinó que las SCCs por sí solas no son suficientes — es necesario verificar el contexto del país de destino.

El Comité Europeo de Protección de Datos (EDPB) publicó recomendaciones (Recomendaciones 01/2020) con un proceso en 6 pasos para conducir la TIA. Para países con legislación de vigilancia agresiva (ej.: China, Rusia, y históricamente EE.UU. antes del Data Privacy Framework), la TIA puede revelar que las SCCs no son salvaguarda suficiente y que medidas técnicas adicionales (como cifrado con claves mantenidas en Chile o la UE) son necesarias.

En el contexto de la Ley 21.719: aunque la ley chilena aún no regula explícitamente la TIA, el principio de responsabilidad proactiva y la lógica de las "garantías adecuadas" sugieren que un análisis del contexto del país de destino es buena práctica — y probablemente lo que la APDP esperará verificar en una fiscalización. Organizaciones que documentan esta evaluación hoy construyen evidencia de diligencia desde el inicio.

Cómo implementar SCCs en la práctica: paso a paso

1. Identificar todas las transferencias internacionales

Mapear en el registro de tratamientos qué actividades involucran transferencia a otros países — incluyendo transferencias "invisibles" como el uso de plataformas SaaS con servidores en el exterior. Una transferencia ocurre siempre que datos personales de titulares chilenos son procesados en infraestructura ubicada fuera de Chile, independientemente de que el proveedor tenga oficina local.

2. Clasificar cada transferencia por mecanismo aplicable

Para cada transferencia, determinar:

¿El país de destino tiene decisión de adecuación de la APDP? → Mecanismo más simple (cuando esté disponible)
¿Es posible usar cláusulas contractuales (negociadas o, cuando estén disponibles, SCCs de la APDP)?
¿Hay BCRs aprobadas para el grupo empresarial?
¿La transferencia encaja en alguna excepción prevista en la Ley 21.719 (consentimiento explícito, necesidad contractual, interés vital, etc.)?

3. Elegir el instrumento contractual

En el escenario actual (APDP aún no operativa):

Para transferencias en general: utilizar cláusulas contractuales negociadas caso a caso, incorporando las obligaciones de la Ley 21.719 como referencia
Para relaciones con entidades europeas: las SCCs del RGPD (Decisión 2021/914) también serán requeridas del lado europeo — las obligaciones de ambas regulaciones deben cumplirse simultáneamente
Cuando la APDP publique sus SCCs: revisar todos los contratos de transferencia para incorporarlas

4. Conducir evaluación del país de destino

Verificar si la legislación del país de destino compromete las garantías ofrecidas. Para países con riesgo elevado de acceso gubernamental, considerar medidas técnicas complementares: cifrado con gestión de claves en Chile, pseudonimización antes de la transferencia, minimización de datos transferidos.

5. Documentar y revisar periódicamente

Las cláusulas y la evaluación de transferencia deben documentarse — y revisarse cuando haya cambio relevante en la legislación del país de destino, en el alcance de la transferencia o en las regulaciones chilenas.

Limitaciones de las SCCs: lo que no cubren

Las SCCs son una herramienta contractual — y tienen limitaciones importantes:

No protegen contra acceso gubernamental legítimo: si la autoridad del país de destino puede legalmente exigir acceso a los datos, las SCCs no lo impiden
Dependen del cumplimiento efectivo: una cláusula contractual solo es eficaz si hay mecanismo de verificación (auditoría, certificación)
No reemplazan medidas técnicas: para transferencias de alto riesgo, las SCCs deben combinarse con cifrado, seudonimización y otras medidas técnicas
No eliminan la responsabilidad del exportador: el responsable exportador sigue siendo responsable de verificar que el importador cumple las obligaciones

Conclusión

Las cláusulas contractuales — tanto las SCCs europeas para transferencias con entidades del EEE como los instrumentos contractuales específicos para otros destinos — son el mecanismo más práctico para transferencias internacionales de datos que no cuentan con decisión de adecuación. La Ley 21.719 reconoce este mecanismo, y aunque la APDP aún no ha publicado cláusulas estándar propias, las organizaciones chilenas pueden y deben estructurar sus contratos de transferencia hoy, usando las mejores prácticas disponibles como referencia.

La eficacia de cualquier instrumento contractual depende de implementación correcta: identificación de todas las transferencias, elección del mecanismo adecuado para cada relación, evaluación del contexto del país de destino y monitoreo continuo.

Para delegados de datos y equipos jurídicos que necesitan estructurar el programa de transferencia internacional, la documentación adecuada de cada mecanismo utilizado es fundamental — y constituye evidencia de diligencia ante la APDP desde el primer día de operación de la agencia.

Confidata incluye en su módulo de actividades de tratamiento el registro de transferencias internacionales con identificación del mecanismo de salvaguarda utilizado por cada actividad, facilitando el inventario y la documentación exigidos por la Ley 21.719.