Está Vd. en

Documento DOUE-L-2010-80258

Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo [notificada con el número C(2010) 593].

[Disposición derogada]

Publicado en:
«DOUE» núm. 39, de 12 de febrero de 2010, páginas 5 a 18 (14 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-L-2010-80258

TEXTO ORIGINAL

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ( 1 ) y, en particular, su artículo 26, apartado 4,

Previa consulta al Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1) De conformidad con la Directiva 95/46/CE, los Estados miembros dispondrán que la transferencia a un tercer país de datos personales únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección de datos adecuado y las disposiciones de Derecho nacional de los Estados miembros, adoptadas con arreglo a los demás preceptos de la Directiva, se cumplan con anterioridad a la transferencia.

(2) No obstante, el artículo 26, apartado 2, de la Directiva 95/46/CE establece que los Estados miembros podrán autorizar, con sujeción a determinadas garantías, una transferencia o una serie de transferencias de datos personales a terceros países que no garanticen un nivel de protección adecuado. Dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

(3) Con arreglo a la Directiva 95/46/CE, el nivel de protección de los datos debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la serie de transferencias. El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales creado por la Directiva ha emitido directrices que ayudan a realizar la evaluación.

(4) Las cláusulas contractuales tipo solo deberían referirse a la protección de datos. Por lo tanto, el exportador de datos y el importador de datos tienen plena libertad para incluir cualquier otra cláusula sobre cuestiones relacionadas con sus negocios que consideren pertinente para el contrato, siempre que no contradiga las cláusulas contractuales tipo.

(5) La presente Decisión debe entenderse sin perjuicio de las autorizaciones nacionales que puedan conceder los Estados miembros de conformidad con las disposiciones nacionales de aplicación del artículo 26, apartado 2, de la Directiva 95/46/CE. La presente Decisión tendrá como efecto únicamente exigir a los Estados miembros que no se nieguen a reconocer que las cláusulas contractuales tipo establecidas en ella proporcionan las garantías adecuadas, por lo que no afectará de ninguna manera a otras cláusulas contractuales.

(6) La Decisión 2002/16/CE de la Comisión, de 27 de diciembre de 2001, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE ( 2 ) se adoptó para facilitar la transferencia de datos personales de un responsable del tratamiento de datos establecido en la Unión Europea a un encargado del tratamiento de datos establecido en un tercer país que no ofrezca el nivel adecuado de protección.

(7) Se ha acumulado mucha experiencia desde la adopción de la Decisión 2002/16/CE. Además, el informe sobre la aplicación de las Decisiones sobre las cláusulas contractuales tipo para las transferencias de datos personales a terceros países ( 3 ) ha mostrado que cada vez es mayor el interés por promover el uso de las cláusulas contractuales tipo para las transferencias internacionales de datos personales a terceros países que no ofrezcan un nivel adecuado de protección. Además, las partes interesadas han presentado propuestas con objeto de actualizar las cláusulas contractuales tipo establecidas en la Decisión 2002/16/CE para tener en cuenta el ámbito, en rápida expansión, de las actividades de tratamiento de datos en el mundo, y para abordar algunos problemas que no fueron regulados por dicha Decisión ( 4 ).

___________________

( 1 ) DO L 281 de 23.11.1995, p. 31.

( 2 ) DO L 6 de 10.1.2002, p. 52.

( 3 ) SEC (2006) 95 de 20.1.2006.

( 4 ) Cámara Internacional de Comercio (ICC), Japan Business Council in Europe (JBCE), EU Committee of the American Chamber of Commerce in Belgium (Amcham) y Federation of European Direct Marketing Associations (FEDMA).

(8) El ámbito de la presente Decisión se limita a establecer que las cláusulas que contiene pueden ser utilizadas por un responsable del tratamiento de datos establecido en la Unión Europea para ofrecer garantías suficientes a efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a un encargado del tratamiento establecido en un tercer país.

(9) La presente Decisión no se aplicará a las transferencias de datos personales realizadas por los responsables del tratamiento establecidos en la Unión Europea a los responsables del tratamiento establecidos fuera de la Unión Europea comprendidas en el ámbito de aplicación de la Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE ( 1 ).

(10) La presente Decisión debe aplicar la obligación impuesta en el artículo 17, apartado 3, de la Directiva 95/46/CE, sin perjuicio del contenido de contratos o actos jurídicos establecidos con arreglo a dicha disposición. Sin embargo, algunas de las cláusulas contractuales tipo, en particular las relativas a las obligaciones del exportador de datos, deberían incluirse para aumentar la claridad de las cláusulas que se inserten en los contratos entre responsables y encargados del tratamiento.

(11) Las autoridades de control de los Estados miembros desempeñan una función esencial en este mecanismo contractual al garantizar la adecuada protección de los datos personales una vez realizada la transferencia. En casos excepcionales en que los exportadores de datos no quieran o no puedan informar adecuadamente a los importadores de datos y exista un riesgo inminente de que los interesados sufran un daño grave, las cláusulas contractuales tipo permitirán a las autoridades de control realizar la auditoría de los importadores de datos y los subencargados del tratamiento de datos y, en su caso, adoptar decisiones vinculantes para estos. Las autoridades de control tendrán la facultad de prohibir o suspender una transferencia o serie de transferencias que se fundamenten en las cláusulas contractuales tipo, en aquellos casos excepcionales en que se demuestre que una transferencia de este género podría tener efectos negativos considerables en las garantías y obligaciones de prestar la adecuada protección al interesado.

(12) Las cláusulas contractuales tipo deben estipular las medidas de seguridad técnicas y organizativas necesarias que han de aplicar los encargados del tratamiento establecidos en un tercer país que no ofrece la protección adecuada, con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse. Las partes estipularán en el contrato aquellas medidas de seguridad técnicas y organizativas que, habida cuenta de la legislación sobre protección de datos aplicable, el estado de la técnica y el coste de su aplicación, resulten necesarias para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, alteración, divulgación o acceso no autorizados o cualquier otra forma ilícita de tratamiento.

(13) Con el fin de facilitar los flujos de datos procedentes de la Unión Europea, es deseable que quienes prestan servicios de tratamiento a varios responsables del tratamiento en la Unión Europea puedan aplicar las mismas medidas de seguridad técnicas y organizativas, independientemente del Estado miembro del que emane la transferencia, especialmente en aquellos casos en que el importador reciba datos para efectuar nuevos tratamientos desde distintos establecimientos del exportador de datos situados en la Unión Europea, en cuyo caso será aplicable la legislación del Estado miembro de establecimiento designado.

(14) Resulta oportuno establecer los detalles mínimos que deberán especificar las partes en el contrato sobre la transferencia. Los Estados miembros deben conservar la capacidad de adaptar la información exigida a las partes.

El funcionamiento de la presente Decisión será revisado a la luz de la experiencia adquirida.

(15) El importador de datos tratará los datos personales transferidos solo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas. En particular, el importador de datos no revelará los datos personales a terceros sin el consentimiento por escrito previo del exportador de datos. El exportador de datos dará instrucciones al importador de datos durante la prestación de los servicios de tratamiento de los datos para que se lleve a cabo de conformidad con sus instrucciones, la legislación de protección de datos aplicable y las obligaciones impuestas en las cláusulas.

(16) El informe sobre la aplicación de las Decisiones relativas a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países recomendó la adopción de cláusulas contractuales tipo apropiadas para las transferencias sucesivas de un encargado del tratamiento de datos establecido en un tercer país a otro encargado (subtratamiento), para tener en cuenta las tendencias y prácticas empresariales de una actividad de tratamiento cada vez más globalizada.

__________________

( 1 ) DO L 181 de 4.7.2001, p. 19.

(17) La presente Decisión debe contener cláusulas contractuales tipo específicas sobre el subtratamiento por un encargado del tratamiento de datos establecido en un tercer país (el importador de datos) de sus servicios de tratamiento a otros encargados (subencargados del tratamiento de datos) establecidos en terceros países. Además, la presente Decisión debe establecer las condiciones que ha de cumplir el subtratamiento para garantizar que los datos personales que se están transfiriendo sigan protegidos con independencia de la sucesiva transferencia a un subencargado del tratamiento.

(18) Además, el subtratamiento consistirá exclusivamente en las operaciones acordadas en el contrato entre el exportador de datos y el importador de datos por el que se incorporarán las cláusulas contractuales tipo previstas en la presente Decisión y no se referirá a operaciones de tratamiento o finalidades diferentes para respetar así el principio de limitación de la finalidad establecido en la Directiva 95/46/CE. Además, si el subencargado del tratamiento de datos no cumple sus propias obligaciones de tratamiento de datos en virtud del contrato, el importador de datos seguirá siendo responsable frente al exportador de datos. La transferencia de datos personales a encargados del tratamiento establecidos fuera de la Unión Europea se hará sin perjuicio de que las actividades de tratamiento se rijan por la legislación de protección de datos aplicable.

(19) Las cláusulas contractuales tipo deben ser exigibles no solamente por las organizaciones que sean parte en el contrato, sino también por los interesados, en particular cuando estos sufran un daño como consecuencia del incumplimiento del contrato.

(20) El interesado tendrá derecho a emprender acciones y, en su caso, percibir una indemnización del exportador de datos que sea el responsable del tratamiento de los datos personales transferidos. Excepcionalmente, también tendrá derecho a emprender una acción y, en su caso, percibir una indemnización del importador de datos en aquellos casos, surgidos del incumplimiento por el importador de datos o cualquier subencargado de este de cualquiera de sus obligaciones a que se refiere el apartado 2 de la cláusula 3, en que el exportador de datos haya desaparecido de facto, haya cesado de existir jurídicamente o sea insolvente. Excepcionalmente, también tendrá derecho a emprender una acción y, en su caso, percibirá una indemnización del subencargado del tratamiento de datos en aquellas situaciones en que ambos exportador de datos e importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o sean insolventes.

Esta responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas contractuales.

(21) En caso de conflicto que no se resuelva de manera amistosa entre el interesado, que invoca la cláusula de tercero beneficiario, y el importador de datos, este ofrecerá al interesado la elección entre mediación o procedimiento judicial. La amplitud de elección real del interesado dependerá de la disponibilidad de sistemas fiables y reconocidos de mediación. La mediación por parte de las autoridades de control de los Estados miembros debe constituir una opción posible, en caso de que estas presten tal servicio.

(22) El contrato se regirá por la legislación del Estado miembro de establecimiento del exportador de datos que permita al tercero beneficiario exigir el cumplimiento de un contrato. Los interesados podrán ser representados por asociaciones u otros organismos si así lo desean y lo permite la legislación interna. También se regirán por la misma legislación las disposiciones sobre protección de los datos de cualquier contrato con un subencargado del tratamiento de datos para actividades de subtratamiento de los datos personales transferidos por el exportador de datos al importador de datos con arreglo a las cláusulas contractuales.

(23) La presente Decisión solo se aplica a la subcontratación por un encargado del tratamiento establecido en un tercer país de sus servicios de tratamiento a un subencargado establecido en un tercer país, por lo que no se aplicará a la situación en la que un encargado del tratamiento establecido en la Unión Europea y que realice el tratamiento de datos personales en nombre de un responsable del tratamiento establecido en la Unión Europea subcontrate sus operaciones de tratamiento a un subencargado del tratamiento establecido en un tercer país. En tales situaciones, los Estados miembros son libres de tener en cuenta el hecho de que los principios y las garantías de las cláusulas contractuales tipo establecidas en la presente Decisión se hayan utilizado para subcontratar a un subencargado establecido en un tercer país con la intención de prestar la adecuada protección de los derechos de aquellos interesados cuyos datos personales se estén transfiriendo para operaciones de subtratamiento.

(24) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen sobre el nivel de protección que ofrecen las cláusulas contractuales tipo incluidas en el anexo, dictamen que se ha tenido en cuenta para la preparación de la presente Decisión.

(25) La Decisión 2002/16/CE debe ser derogada.

(26) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado de conformidad con el artículo 31 de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Se considera que las cláusulas contractuales tipo incluidas en el anexo ofrecen las garantías adecuadas con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los correspondientes derechos, según exige el artículo 26, apartado 2, de la Directiva 95/46/CE.

Artículo 2

La presente Decisión aborda únicamente la adecuación de la protección otorgada por las cláusulas contractuales tipo establecidas en el anexo para la transferencia de datos personales a los encargados del tratamiento. No afecta a la aplicación de otras disposiciones nacionales por las que se aplique la Directiva 95/46/CE, relacionadas con el tratamiento de datos personales en los Estados miembros.

La presente Decisión se aplicará a la transferencia de datos personales por responsables del tratamiento establecidos en la Unión Europea a destinatarios establecidos fuera del territorio de la Unión Europea que actúen solamente como encargados del tratamiento.

Artículo 3

A efectos de la presente Decisión, serán aplicables las siguientes definiciones:

a) «categorías especiales de datos»: los datos a que se refiere el artículo 8 de la Directiva 95/46/CE;

b) «autoridad de control»: la autoridad contemplada en el artículo 28 de la Directiva 95/46/CE;

c) «exportador de datos»: el responsable del tratamiento que transfiera los datos personales;

d) «importador de datos»: el encargado del tratamiento establecido en un tercer país que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y los términos de la presente Decisión, y que no esté sujeto al sistema de un tercer país que garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;

e) «subencargado del tratamiento»: cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, las cláusulas contractuales tipo establecidas en el anexo y los términos del contrato que se haya concluido por escrito para el subtratamiento;

f) «legislación de protección de datos aplicable»: la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;

g) «medidas de seguridad técnicas y organizativas»: las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.

Artículo 4

1. Las autoridades competentes de los Estados miembros, sin perjuicio de su facultad para iniciar acciones destinadas a garantizar el cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a los capítulos II, III, V y VI de la Directiva 95/46/CE, podrán ejercer sus facultades para prohibir o suspender los flujos de datos hacia terceros países con objeto de proteger a las personas físicas en relación con el tratamiento de sus datos personales en los casos siguientes:

a) si se determina que la legislación a la que está sujeto el importador de datos o un subencargado del tratamiento le impone desviaciones de la legislación de protección de datos aplicable que vayan más allá de las restricciones necesarias en una sociedad democrática, como establece el artículo 13 de la Directiva 95/46/CE, cuando tales exigencias puedan tener un importante efecto negativo sobre las garantías proporcionadas por las cláusulas contractuales tipo, o

b) si una autoridad competente decide que el importador de datos o un subencargado del tratamiento no ha respetado las cláusulas contractuales tipo del anexo, o c) si existe la probabilidad sustancial de que las cláusulas contractuales tipo contenidas en el anexo no se estén respetando, o no se respeten en el futuro, y la continuación de la transferencia provoque un riesgo inminente de daños graves para los interesados.

2. La prohibición o suspensión con arreglo al apartado 1 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.

3. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1 y 2, informarán inmediatamente de ello a la Comisión, que remitirá la información a los demás Estados miembros.

Artículo 5

La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su adopción. Informará de los resultados al Comité creado en virtud del artículo 31 de la Directiva 95/46/CE. Incluirá cualquier prueba que pudiera afectar a la evaluación relativa a la adecuación de las cláusulas contractuales tipo del anexo y cualquier prueba de que la presente Decisión se esté aplicando de manera discriminatoria.

Artículo 6

La presente Decisión se aplicará a partir del 15 de mayo de 2010.

Artículo 7

1. La Decisión 2002/16/CE queda derogada con efectos a partir del 15 de mayo de 2010.

2. Un contrato concluido entre un exportador de datos y un importador de datos de conformidad con la Decisión 2002/16/CE antes del 15 de mayo de 2010 seguirá en vigor y producirá todos sus efectos jurídicos mientras permanezcan sin cambios las transferencias y operaciones de tratamiento de datos que son objeto del contrato y sigan transfiriéndose entre las partes datos personales a los que se refiere la presente Decisión.

Si las partes contratantes deciden realizar cambios a este respecto o subcontratar las operaciones de tratamiento que son objeto del contrato, estarán obligadas a concluir un nuevo contrato que cumpla las cláusulas contractuales tipo establecidas en el anexo.

Artículo 8

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 5 de febrero de 2010.

Por la Comisión

Jacques BARROT

Vicepresidente

ANEXO

CLÁUSULAS CONTRACTUALES TIPO («ENCARGADOS DEL TRATAMIENTO»)

A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos.

Nombre de la entidad exportadora de los datos: ......................................................................................................................................

Dirección: .............................................................................................................................................................................................................

Tel. ........................................................; Fax ........................................................; correo electrónico: ........................................................

Otros datos necesarios para identificar a la entidad ................................................................................................................................

(en lo sucesivo, el exportador de datos) y

Nombre de la entidad importadora de los datos: ..................................................................................................................................

Dirección: .............................................................................................................................................................................................................

Tel. ........................................................; Fax ........................................................; correo electrónico: ........................................................

Otros datos necesarios para identificar a la entidad:

...............................................................................................................................................................................................................................

(en lo sucesivo, el importador de datos) cada una de ellas «la parte»; conjuntamente «las partes» ACUERDAN las siguientes cláusulas contractuales (en lo sucesivo, las «cláusulas») con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el apéndice 1.

Cláusula 1

Definiciones

A los efectos de las presentes cláusulas:

a) «datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento», «encargado del tratamiento », «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ( 1 );

b) por «exportador de datos» se entenderá el responsable del tratamiento que transfiera los datos personales;

c) por «importador de datos» se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;

_________________

( 1 ) Las partes podrán reproducir en esta cláusula las definiciones y significados de la Directiva 95/46/CE si consideran que ello beneficia a la autonomía del contrato.

d) por «subencargado del tratamiento» se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito;

e) por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;

f) por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.

2. Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.

3. Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.

Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.

4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza lo siguiente:

a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;

b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;

c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;

d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;

e) asegurará que dichas medidas se lleven a la práctica;

f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;

g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;

h) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

i) que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y

j) que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.

Cláusula 5

Obligaciones del importador de datos ( 1 ) El importador de datos acuerda y garantiza lo siguiente:

a) tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;

b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;

c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;

_____________________

( 1 ) Las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses recogidos en el artículo 13, apartado 1, de la Directiva 95/46/CE, es decir, si dichas obligaciones constituyen una medida necesaria para la salvaguardia de la seguridad del Estado; la defensa; la seguridad pública; la prevención, investigación, detección y enjuiciamiento de delitos o infracciones de la deontología en las profesiones reguladas; un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de otras personas, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de obligaciones que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otras, las sanciones reconocidas en el ámbito internacional, las obligaciones de notificación en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.

d) notificará sin demora al exportador de datos sobre:

i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación levada a cabo por una de dichas autoridades,

ii) todo acceso accidental o no autorizado,

iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;

e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;

g) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos;

h) que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;

i) que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;

j) enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con arreglo a las cláusulas.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.

2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad.

El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.

3. En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencargado del tratamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad.

La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.

Cláusula 7

Mediación y jurisdicción

1. El importador de datos acuerda que, si el interesado invoca en su contra derechos de tercero beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:

a) someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control;

b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.

2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control

1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.

2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.

3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con arreglo al apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.

Cláusula 9

Legislación aplicable

Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber ...................................................................................................................................................................................................................

Cláusula 10

Variación del contrato

Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.

Cláusula 11

Subtratamiento de datos

1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas ( 1 ). En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho acuerdo.

2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas 3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber .......................................................................................................................................................................

_________________

( 1 ) Este requisito puede verse satisfecho si el subencargado es cosignatario del contrato acordado entre el exportador de datos y el importador de datos con arreglo a la presente Decisión.

4. El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.

Cláusula 12

Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales

1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos.

En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.

2. El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1.

En nombre del exportador de datos:

Nombre (completo): .......................................................................................................................................................................................

Cargo: ...................................................................................................................................................................................................................

Dirección: .............................................................................................................................................................................................................

Otros datos necesarios con vistas a la obligatoriedad del contrato (en caso de existir):… (sello de la entidad)

Firma ................................................................................................

En nombre del importador de los datos:

Nombre (completo): .......................................................................................................................................................................................

Cargo: ...................................................................................................................................................................................................................

Dirección: .............................................................................................................................................................................................................

Otros datos necesarios con vistas a la obligatoriedad del contrato (en caso de existir):

(sello de la entidad)

Firma ................................................................................................

Apéndice 1

A las cláusulas contractuales tipo

El presente apéndice forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.

Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente apéndice.

Exportador de datos

El exportador de datos es (especifique brevemente sus actividades correspondientes a la transferencia):

...............................................................................................................................................................................................................................

Importador de datos

El importador de datos es (especifique brevemente sus actividades correspondientes a la transferencia):

...............................................................................................................................................................................................................................

Interesados

Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquense):

...............................................................................................................................................................................................................................

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos (especifíquense):

...............................................................................................................................................................................................................................

Categorías especiales de datos (si es pertinente) Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifíquense):

...............................................................................................................................................................................................................................

Los datos personales transferidos serán sometidos a las operaciones básicas de tratamiento siguientes (especifíquense):

...............................................................................................................................................................................................................................

EXPORTADOR DE DATOS

Nombre: ..................................................................................................................

Firma autorizada .................................................................................................

IMPORTADOR DE DATOS

Nombre: ..................................................................................................................

Firma autorizada .................................................................................................

Apéndice 2

A las cláusulas contractuales tipo

El presente Apéndice forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.

Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de conformidad con la letra d) de la cláusula 4 y la letra c) de la cláusula 5 (o documento o legislación adjuntos):

...............................................................................................................................................................................................................................

CLÁUSULA DE INDEMNIZACIÓN ILUSTRATIVA (OPCIONAL)

Responsabilidad

Las partes acuerdan que si una de ellas es responsable de un incumplimiento de las cláusulas cometido por la otra parte, esta indemnizará en la medida de su responsabilidad a la primera parte por cualquier coste, carga, perjuicio, gasto o pérdida en que haya incurrido.

La indemnización estará supeditada a que:

a) el exportador de datos notifique sin demora al importador de datos la reclamación, y b) el importador de datos tenga la posibilidad de colaborar con el exportador de datos en la defensa y satisfacción de la reclamación ( 1 ).

______________

( 1 ) El apartado relativo a las responsabilidades es opcional.

ANÁLISIS

  • Rango: Decisión
  • Fecha de disposición: 05/02/2010
  • Fecha de publicación: 12/02/2010
  • Fecha de derogación: 27/09/2021
Referencias posteriores

Criterio de ordenación:

  • SE DEROGA con efectos de 27 de septiembre de 2021, por Decisión 2021/914, de 4 de junio (Ref. DOUE-L-2021-80739).
  • SE SUSTITUYE el art. 4, por Decisión 2016/2297, de 16 de diciembre (Ref. DOUE-L-2016-82427).
Referencias anteriores
Materias
  • Bases de datos
  • Consumidores y usuarios
  • Contratos
  • Protección de datos personales

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid