Está Vd. en

Documento DOUE-L-2016-82427

Decisión de Ejecución (UE) 2016/2297 de la Comisión, de 16 de diciembre de 2016, por la que se modifican las Decisiones 2001/497/CE y 2010/87/UE, relativas a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo [notificada con el número C(2016) 8471].

[Disposición derogada]

Publicado en:
«DOUE» núm. 344, de 17 de diciembre de 2016, páginas 100 a 101 (2 págs.)
Departamento:
Unión Europea
Referencia:
DOUE-L-2016-82427

TEXTO ORIGINAL

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y en particular su artículo 26, apartado 4,

Previa consulta al Supervisor Europeo de Protección de Datos,

Considerando lo siguiente:

(1)

En su sentencia de 6 de octubre de 2015 en el asunto C-362/14, Maximillian Schrems/Data Protection Commissioner (2), el Tribunal de Justicia de la Unión Europea consideró que, al adoptar el artículo 3 de la Decisión 2000/520/CE (3), la Comisión excedió los límites de la competencia que le atribuye el artículo 25, apartado 6, de la Directiva 95/46/CE, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, y declaró inválido el artículo 3 de dicha Decisión.

(2)

El artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520/CE establece condiciones restrictivas en las que las autoridades nacionales de supervisión podrían ejercer su facultad de suspender los flujos de datos hacia una entidad de los Estados Unidos de América que haya autocertificado su adhesión a los principios y su cumplimiento, a pesar de la decisión de adecuación de la Comisión.

(3)

En la sentencia Schrems, el Tribunal de Justicia aclaró que las autoridades nacionales de supervisión siguen siendo competentes para supervisar las transferencias de datos personales a un tercer país que haya sido objeto de una decisión de adecuación de la Comisión, y que la Comisión no tiene competencia para restringir las facultades que les confiere el artículo 28 de la Directiva 95/46/CE. Con arreglo a dicho artículo, estas autoridades disponen, en particular, de facultades de investigación, como la de recabar toda la información necesaria para el cumplimiento de su misión de control, y de facultades efectivas de intervención, como la de prohibir provisional o definitivamente el tratamiento de determinados datos o la de emprender acciones judiciales (4).

(4)

Por otro lado, el Tribunal de Justicia observó que, de conformidad con el artículo 25, apartado 6, párrafo segundo, de la Directiva 95/46/CE, los Estados miembros y sus órganos deben adoptar las medidas necesarias para dar cumplimiento a los actos de las instituciones de la Unión, los cuales disfrutan, en principio, de una presunción de legalidad y producen, por tanto, efectos jurídicos mientras no hayan sido revocados, anulados en virtud de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad.

(5)

Mutatis mutandis, una decisión de la Comisión adoptada de conformidad con el artículo 26, apartado 4, de la Directiva 95/46/CE es vinculante para todos los órganos de los Estados miembros a los que se dirige, incluidas sus autoridades de supervisión independientes, en la medida en que tiene el efecto de reconocer que las transferencias realizadas sobre la base de cláusulas contractuales tipo como las contempladas en dicha Directiva ofrecen garantías suficientes según lo establecido en su artículo 26, apartado 2. Ello no impide que una autoridad de supervisión nacional ejerza sus facultades para supervisar los flujos de datos, incluida la facultad de prohibir o suspender una transferencia de datos personales cuando constate que la transferencia se está realizando en infracción del Derecho de la Unión o de la legislación nacional en materia de protección de datos, como ocurre, por ejemplo, cuando el importador de datos no respeta las cláusulas contractuales tipo.

(6)

Las Decisiones 2001/497/CE (5) y 2010/87/UE (6) de la Comisión contienen una limitación de las facultades de las autoridades nacionales de supervisión comparable a la contemplada en el artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520/CE, que el Tribunal de Justicia considera inválida.

(7)

A la luz de la sentencia Schrems y de conformidad con el artículo 266 del Tratado, debe, por lo tanto, procederse a la sustitución de las disposiciones de esas Decisiones que limitan las facultades de las autoridades nacionales de supervisión.

(8)

A fin de facilitar el control eficaz del funcionamiento de las decisiones relativas a las cláusulas contractuales tipo actualmente en vigor, los Estados miembros deberían informar a la Comisión sobre las medidas relevantes adoptadas por las autoridades nacionales de supervisión.

(9)

El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen que ha sido tenido en cuenta a la hora de redactar la presente Decisión.

(10)

Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado en virtud del artículo 31, apartado 1, de la Directiva 95/46/CE.

(11)

Procede, por lo tanto, modificar en consecuencia las Decisiones 2001/497/CE y 2010/87/UE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

El artículo 4 de la Decisión 2001/497/CE se sustituye por el texto siguiente:

«Artículo 4

Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia terceros países con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.».

Artículo 2

El artículo 4 de la Decisión 2010/87/UE se sustituye por el texto siguiente:

«Artículo 4

Cuando las autoridades competentes de los Estados miembros ejerzan sus facultades con arreglo al artículo 28, apartado 3, de la Directiva 95/46/CE, y ello dé lugar a la suspensión o la prohibición definitiva de los flujos de datos hacia terceros países con el fin de proteger a las personas en lo que respecta al tratamiento de sus datos personales, el Estado miembro afectado informará inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.».

Artículo 3

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 16 de diciembre de 2016.

Por la Comisión

Věra JOUROVÁ

Miembro de la Comisión

_____________________________

(1) DO L 281 de 23.11.1995, p. 31.

(2) ECLI:EU:C:2015:650.

(3) Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América (DO L 215 de 25.8.2000, p. 7).

(4) Sentencia Schrems, apartados 40 y siguientes, y 101 a 103.

(5) Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE (DO L 181 de 4.7.2001, p. 19).

(6) Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO L 39 de 12.2.2010, p. 5).

ANÁLISIS

Referencias anteriores
Materias
  • Acceso a la información
  • Bases de datos
  • Consumidores y usuarios
  • Contratos
  • Protección de datos personales

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid