CLÁUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PERSONALES A LOS ENCARGADOS DEL TRATAMIENTO ESTABLECIDOS EN TERCEROS PAÍSES, DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
Anexo XVII
CLÁUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PERSONALES A LOS ENCARGADOS DEL TRATAMIENTO ESTABLECIDOS EN TERCEROS PAÍSES, DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
Decisión de la comisión de 5 de febrero de 2010 relativa a las [notificada
con el número C(2010) 593]
(Texto pertinente a efectos del EEE) (2010/87/UE)
LA COMISIÓN EUROPEA
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que res- pecta al tratamiento de datos personales y a la libre circulación de estos datos1 y, en particular, su artículo 26, apartado 4, Previa consulta al Supervisor Europeo de Protección de Datos, Considerando lo siguiente:
(1) De conformidad con la Directiva 95/46/CE, los Estados miembros dis- pondrán que la transferencia a un tercer país de datos personales única- mente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección de datos adecuado y las disposiciones de Derecho nacional de los Estados miembros, adoptadas con arreglo a los demás preceptos de la Directiva, se cumplan con anterioridad a la transferencia.
(2) No obstante, el artículo 26, apartado 2, de la Directiva 95/46/CE es- tablece que los Estados miembros podrán autorizar, con sujeción a de- terminadas garantías, una transferencia o una serie de transferencias de datos personales a terceros países que no garanticen un nivel de pro- tección adecuado. Dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.
1 DO L 281 de 23.11.1995, p. 31.
459
460 ANEXO XVII
(3) Con arreglo a la Directiva 95/46/CE2, el nivel de protección de los datos debe apreciarse teniendo en cuenta todas las circunstancias re- lacionadas con la transferencia o la serie de transferencias. El Grupo de trabajo de protección de las personas en lo que respecta al trata- miento de datos personales creado por la Directiva ha emitido direc- trices que ayudan a realizar la evaluación.
(4) Las cláusulas contractuales tipo solo deberían referirse a la protección de datos. Por lo tanto, el exportador de datos y el importador de datos tienen plena libertad para incluir cualquier otra cláusula sobre cues- tiones relacionadas con sus negocios que consideren pertinente para el contrato, siempre que no contradiga las cláusulas contractuales tipo.
(5) La presente Decisión debe entenderse sin perjuicio de las autorizaciones nacionales que puedan conceder los Estados miembros de confor- midad con las disposiciones nacionales de aplicación del artículo 26, apartado 2, de la Directiva 95/46/CE. La presente Decisión tendrá como efecto únicamente exigir a los Estados miembros que no se nieguen a reconocer que las cláusulas contractuales tipo establecidas en ella proporcionan las garantías adecuadas, por lo que no afectará de ninguna manera a otras cláusulas contractuales.
(6) La Decisión 2002/16/CE de la Comisión, de 27 de diciembre de 2001, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE14 se adoptó para facilitar la transferencia de datos personales de un respon- sable del tratamiento de datos establecido en la Unión Europea a un encargado del tratamiento de datos establecido en un tercer país que no ofrezca el nivel adecuado de protección.
(7) Se ha acumulado mucha experiencia desde la adopción de la Decisión 2002/16/CE. Además, el informe sobre la aplicación de las Decisio- nes sobre las cláusulas contractuales tipo para las transferencias de da- tos personales a terceros países3 ha mostrado que cada vez es mayor el interés por promover el uso de las cláusulas contractuales tipo para las transferencias internacionales de datos personales a terceros países que no ofrezcan un nivel adecuado de protección. Además, las par- tes interesadas han presentado propuestas con objeto de actualizar las cláusulas contractuales tipo establecidas en la Decisión 2002/16/
2 DO L 6 de 10.1.2002, p. 52.
3 SEC (2006) 95 de 20.1.2006.
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
461
CE para tener en cuenta el ámbito, en rápida expansión, de las
actividades de tratamiento de datos en el mundo, y para abordar algunos problemas que no fueron regulados por dicha Decisión4. ES 12.2.2010 Diario Oficial de la Unión Europea L 39/5.
(8) El ámbito de la presente Decisión se limita a establecer que las cláu- sulas que contiene pueden ser utilizadas por un responsable del trata- miento de datos establecido en la Unión Europea para ofrecer ga- rantías suficientes a efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a un encargado del tratamiento establecido en un tercer país.
(9) La presente Decisión no se aplicará a las transferencias de datos perso- nales realizadas por los responsables del tratamiento establecidos en la Unión Europea a los responsables del tratamiento establecidos fuera de la Unión Europea comprendidas en el ámbito de aplicación de la Decisión 2001/497/CE de la Comisión, de 15 xx xxxxx de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE155.
(10) La presente Decisión debe aplicar la obligación impuesta en el artí- culo 17, apartado 3, de la Directiva 95/46/CE, sin perjuicio del con- tenido de contratos o actos jurídicos establecidos con arreglo a dicha disposición. Sin embargo, algunas de las cláusulas contractuales tipo, en particular las relativas a las obligaciones del exportador de datos, deberían incluirse para aumentar la claridad de las cláusulas que se in- serten en los contratos entre responsables y encargados del tratamiento.
(11) Las autoridades de control de los Estados miembros desempeñan una función esencial en este mecanismo contractual al garantizar la adecuada protección de los datos personales una vez realizada la transferencia. En casos excepcionales en que los exportadores de datos no quieran o no puedan informar adecuadamente a los importa- dores de datos y exista un riesgo inminente de que los interesados sufran un daño grave, las cláusulas contractuales tipo permitirán a las autoridades de control realizar la auditoría de los importadores de datos y los subencargados del tratamiento de datos y, en su caso, adoptar decisiones vinculantes para estos. Las autoridades de control
4 Cámara Internacional de Comercio (ICC), Japan Business Council in Europe (JBCE), EU Committee of the American Chamber of Commerce in Belgium (Amcham) y Federation of European Direct Marketing Associations (FEDMA).
5 DO L 181 de 4.7.2001, p. 19.
462 ANEXO XVII
tendrán la facultad de prohibir o suspender una transferencia o serie de transferencias que se fundamenten en las cláusulas contractuales tipo, en aquellos casos excepcionales en que se demuestre que una transferencia de este género podría tener efectos negativos considerables en las garantías y obligaciones de prestar la adecuada protección al interesado.
(12) Las cláusulas contractuales tipo deben estipular las medidas de seguri- dad técnicas y organizativas necesarias que han de aplicar los encar- gados del tratamiento establecidos en un tercer país que no ofrece la protección adecuada, con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y la natura- xxxx de los datos que han de protegerse. Las partes estipularán en el contrato aquellas medidas de seguridad técnicas y organizativas que, habida cuenta de la legislación sobre protección de datos aplicable, el estado de la técnica y el coste de su aplicación, resulten necesarias para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, alteración, divulgación o acceso no autorizados o cualquier otra forma ilícita de tratamiento.
(13) Con el fin de facilitar los flujos de datos procedentes de la Unión Eu- ropea, es deseable que quienes prestan servicios de tratamiento a varios responsables del tratamiento en la Unión Europea puedan aplicar las mismas medidas de seguridad técnicas y organizativas, independiente- mente del Estado miembro del que emane la transferencia, especial- mente en aquellos casos en que el importador reciba datos para efectu- ar nuevos tratamientos desde distintos establecimientos del exportador de datos situados en la Unión Europea, en cuyo caso será aplicable la legislación del Estado miembro de establecimiento designado.
(14) Resulta oportuno establecer los detalles mínimos que deberán es- pecificar las partes en el contrato sobre la transferencia. Los Estados miembros deben conservar la capacidad de adaptar la información exigida a las partes. El funcionamiento de la presente Decisión será revisado a la luz de la experiencia adquirida.
(15) El importador de datos tratará los datos personales transferidos solo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas. En particu- lar, el importador de datos no revelará los datos personales a terceros sin el consentimiento por escrito previo del exportador de datos. El ex- portador de datos dará instrucciones al importador de datos durante la prestación de los servicios de tratamiento de los datos para que se lleve a cabo de conformidad con sus instrucciones, la legislación de protección de datos aplicable y las obligaciones impuestas en las cláusulas.
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
463
(16) El informe sobre la aplicación de las Decisiones relativas a las cláu-
sulas contractuales tipo para la transferencia de datos personales a terceros países recomendó la adopción de cláusulas contractuales tipo apropiadas para las transferencias sucesivas de un encargado del tratamiento de datos establecido en un tercer país a otro encargado (subtratamiento), para tener en cuenta las tendencias y prácticas em- presariales de una actividad de tratamiento cada vez más globalizada.
(17) La presente Decisión debe contener cláusulas contractuales tipo es- pecíficas sobre el subtratamiento por un encargado del tratamiento de datos establecido en un tercer país (el importador de datos) de sus servicios de tratamiento a otros encargados (subencargados del tratamiento de datos) establecidos en terceros países. Además, la pre- sente Decisión debe establecer las condiciones que ha de cumplir el subtratamiento para garantizar que los datos personales que se es- tán transfiriendo sigan protegidos con independencia de la sucesiva transferencia a un subencargado del tratamiento.
(18) Además, el subtratamiento consistirá exclusivamente en las opera- ciones acordadas en el contrato entre el exportador de datos y el importador de datos por el que se incorporarán las cláusulas con- tractuales tipo previstas en la presente Decisión y no se referirá a operaciones de tratamiento o finalidades diferentes para respetar así el principio de limitación de la finalidad establecido en la Directiva 95/46/CE. Además, si el subencargado del tratamiento de datos no cumple sus propias obligaciones de tratamiento de datos en virtud del contrato, el importador de datos seguirá siendo responsable frente al exportador de datos. La transferencia de datos personales a encarga- dos del tratamiento establecidos fuera de la Unión Europea se hará sin perjuicio de que las actividades de tratamiento se rijan por la legislación de protección de datos aplicable.
(19) Las cláusulas contractuales tipo deben ser exigibles no solamente por las organizaciones que sean parte en el contrato, sino también por los interesados, en particular cuando estos sufran un daño como consecuencia del incumplimiento del contrato.
(20) El interesado tendrá derecho a emprender acciones y, en su caso, percibir una indemnización del exportador de datos que sea el respon- sable del tratamiento de los datos personales transferidos. Excepcio- nalmente, también tendrá derecho a emprender una acción y, en su caso, percibir una indemnización del importador de datos en aquellos casos, surgidos del incumplimiento por el importador de datos o cual- quier subencargado de este de cualquiera de sus obligaciones a que
464 ANEXO XVII
se refiere el apartado 2 de la cláusula 3, en que el exportador de datos haya desaparecido de facto, haya cesado de existir jurídica- mente o sea insolvente. Excepcionalmente, también tendrá derecho a emprender una acción y, en su caso, percibirá una indemnización del subencargado del tratamiento de datos en aquellas situaciones en que ambos exportador de datos e importador de datos hayan desapare- cido de facto, hayan cesado de existir jurídicamente o sean insolventes. Esta responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arre- glo a las cláusulas contractuales.
(21) En caso de conflicto que no se resuelva de manera amistosa en- tre el interesado, que invoca la cláusula xx xxxxxxx beneficiario, y el importador de datos, este ofrecerá al interesado la elección entre mediación o procedimiento judicial. La amplitud de elección real del interesado dependerá de la disponibilidad de sistemas fiables y reconocidos de mediación. La mediación por parte de las autori- dades de control de los Estados miembros debe constituir una opción posible, en caso de que estas presten tal servicio.
(22) El contrato se regirá por la legislación del Estado miembro de estab- lecimiento del exportador de datos que permita al tercero beneficiario exigir el cumplimiento de un contrato. Los interesados podrán ser representados por asociaciones u otros organismos si así lo desean y lo permite la legislación interna. También se regirán por la misma legislación las disposiciones sobre protección de los datos de cual- quier contrato con un subencargado del tratamiento de datos para actividades de subtratamiento de los datos personales transferidos por el exportador de datos al importador de datos con arreglo a las cláusulas contractuales.
(23) La presente Decisión solo se aplica a la subcontratación por un en- cargado del tratamiento establecido en un tercer país de sus servicios de tratamiento a un subencargado establecido en un tercer país, por lo que no se aplicará a la situación en la que un encargado del trata- miento establecido en la Unión Europea y que realice el tratamiento de datos personales en nombre de un responsable del tratamiento establecido en la Unión Europea subcontrate sus operaciones de tratamiento a un subencargado del tratamiento establecido en un tercer país. En tales situaciones, los Estados miembros son libres de tener en cuenta el hecho de que los principios y las garantías de las cláusulas contrac- tuales tipo establecidas en la presente Decisión se hayan utilizado para subcontratar a un subencargado establecido en un tercer país
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
465
con la intención de prestar la adecuada protección de los derechos
de aquellos interesados cuyos datos personales se estén transfiriendo para operaciones de subtratamiento.
(24) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen sobre el nivel de pro- tección que ofrecen las cláusulas contractuales tipo incluidas en el anexo, dictamen que se ha tenido en cuenta para la preparación de la presente Decisión.
(25) La Decisión 2002/16/CE debe ser derogada.
(26) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado de conformidad con el artículo 31 de la Directiva 95/46/CE.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1 Se considera que las cláusulas contractuales tipo incluidas en el an- exo ofrecen las garantías adecuadas con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las per- sonas, así como respecto al ejercicio de los correspondientes derechos, según exige el artículo 26, apartado 2, de la Directiva 95/46/CE.
Artículo 2 La presente Decisión aborda únicamente la adecuación de la pro- tección otorgada por las cláusulas contractuales tipo establecidas en el anexo para la transferencia de datos personales a los encargados del tratamiento. No afecta a la aplicación de otras disposiciones nacio- nales por las que se aplique la Directiva 95/46/CE, relacionadas con el tratamiento de datos personales en los Estados miembros. La pre- sente Decisión se aplicará a la transferencia de datos personales por responsables del tratamiento establecidos en la Unión Europea a des- tinatarios establecidos fuera del territorio de la Unión Europea que actúen solamente como encargados del tratamiento.
Artículo 3 A efectos de la presente Decisión, serán aplicables las siguientes definiciones:
a) «categorías especiales de datos»: los datos a que se refiere el artí- culo 8 de la Directiva 95/46/CE;
b) «autoridad de control»: la autoridad contemplada en el artículo 28 de la Directiva 95/46/CE;
466 ANEXO XVII
c) «exportador de datos»: el responsable del tratamiento que trans- fiera los datos personales;
d) «importador de datos»: el encargado del tratamiento establecido en un tercer país que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y los términos de la presente Decisión, y que no esté sujeto al sistema de un tercer país que garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
e) «subencargado del tratamiento»: cualquier encargado del trata- miento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importa- dor de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del ex- portador de datos, de conformidad con sus instrucciones, las cláusulas contractuales tipo establecidas en el anexo y los tér- minos del contrato que se haya concluido por escrito para el subtratamiento;
f) «legislación de protección de datos aplicable»: la legislación que protege los derechos y libertades fundamentales de las perso- nas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;
g) «medidas de seguridad técnicas y organizativas»: las destinadas a proteger los datos personales contra su destrucción acciden- tal o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.
Artículo 4
1. Las autoridades competentes de los Estados miembros, sin per- juicio de su facultad para iniciar acciones destinadas a garantizar el cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a los capítulos II, III, V y VI de la Directiva 95/46/CE, podrán ejercer sus facultades para prohibir o suspender los flujos
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
467
de datos hacia terceros países con objeto de proteger a las personas
físicas en relación con el tratamiento de sus datos personales en los casos siguientes:
a) si se determina que la legislación a la que está sujeto el importador de datos o un subencargado del tratamiento le impone desviaciones de la legislación de protección de datos aplicable que vayan más allá de las restricciones necesarias en una sociedad democrática, como establece el artículo 13 de la Directiva 95/46/CE, cuando tales exigencias puedan tener un importante efecto negativo sobre las garantías proporcionadas por las cláusulas contractuales tipo, o
b) si una autoridad competente decide que el importador de datos o un subencargado del tratamiento no ha respetado las cláusulas contractuales tipo del anexo, o
c) si existe la probabilidad sustancial de que las cláusulas contractuales tipo contenidas en el anexo no se estén respetando, o no se respe- ten en el futuro, y la continuación de la transferencia provoque un riesgo inminente de daños graves para los interesados.
2. La prohibición o suspensión con xxxxxxx xx xxxxxxxx 0 se levantará tan pron- to como desaparezcan las razones para dicha prohibición o suspensión.
3. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1 y 2, informarán inmediatamente de ello a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 5 La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su adopción. Informará de los resultados al Comité creado en virtud del artículo 31 de la Directiva 95/46/CE. Incluirá cualquier prueba que pudiera afectar a la evaluación relativa a la adecuación de las cláusulas contractuales tipo del anexo y cualquier prueba de que la presente Decisión se esté aplicando de manera discriminatoria.
Artículo 6 La presente Decisión se aplicará a partir del 15 xx xxxx de 2010.
Artículo 7 1. La Decisión 2002/16/CE queda derogada con efectos a par- tir del 15 xx xxxx de 2010. 2. Un contrato concluido entre un ex- portador de datos y un importador de datos de conformidad con la Decisión 2002/16/CE antes del 15 xx xxxx de 2010 seguirá en vigor y producirá todos sus efectos jurídicos mientras permanezcan sin cambios las transferencias y operaciones de tratamiento de datos
468 ANEXO XVII
que son objeto del contrato y sigan transfiriéndose entre las partes datos personales a los que se refiere la presente Decisión.
Si las partes contratantes deciden realizar cambios a este respecto o subcontratar las operaciones de tratamiento que son objeto del con- trato, estarán obligadas a concluir un nuevo contrato que cumpla las cláusulas contractuales tipo establecidas en el anexo.
Artículo 8 Los destinatarios de la presente Decisión serán los Estados miem- bros.
Hecho en Bruselas, el 5 de febrero de 2010. Por la Comisión Xxxxxxx XXXXXX Vicepresidente ES 12.2.2010
Diario Oficial de la Unión Europea L 39/9
ANEXO
CLÁUSULAS CONTRACTUALES TIPO («ENCARGADOS DEL TRATAMIENTO»)
A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la trans- ferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos.
Nombre de la entidad exportadora de los datos: . Dirección.......................................................................................................
Tel. ............................; Fax ................ correo electrónico: ..............................
Otros datos necesarios para identificar a la enttidad......................................
(en lo sucesivo, el exportador de datos) y
Nombre de la entidad importadora de los datos: ...........................................
Dirección: ........................................................................................................
Tel. .......................; Fax .......................; correo electrónico:…………………
Otros datos necesarios para identificar a la entidad........................................
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
(en lo sucesivo, el importador de datos)
469
Cada una de ellas «la parte»; conjuntamente «las partes» ACUERDAN las siguientes cláusulas contractuales (en lo sucesivo, las «cláusulas») con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el apéndice 1.
Cláusula 1
Definiciones A los efectos de las presentes cláusulas:
a) «datos personales», «categorías especiales de datos», «tratamiento»,
«responsable del tratamiento», «encargado del tratamiento», «inte- resado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos6,
b) por «exportador de datos» se entenderá el responsable del trata- miento que transfiera los datos personales;
c) por «importador de datos» se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su pos- terior tratamiento en nombre de este, de conformidad con sus instruc- ciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
d) por «subencargado del tratamiento» se entenderá cualquier encar- gado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del im- portador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de trata- miento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláu- sulas y los términos del contrato que se haya concluido por escrito;
e) por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de
6 Las partes podrán reproducir en esta cláusula las definiciones y significados de la Directiva 95/46/CE si consideran que ello beneficia a la autonomía del contrato.
470 ANEXO XVII
las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el ex- portador de datos;
f) por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divul- gación o acceso no autorizados, especialmente cuando el trata- miento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.
Cláusula 3
Cláusula xx xxxxxxx beneficiario
1. Los interesados podrán exigir al exportador de datos el cumplimien- to de la presente cláusula, las letras b) a i) de la cláusula 4, las letras
a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.
2. Los interesados podrán exigir al importador de datos el cumplimien- to de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.
3. Los interesados podrán exigir al subencargado del tratamiento de da- tos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
471
de datos y el importador de datos, hayan desaparecido de facto o
hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados po- drán exigirlos a dicha entidad. Dicha responsabilidad civil del suben- cargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.
4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
a) el tratamiento de los datos personales, incluida la propia transferen- cia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;
b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;
c) el importador de datos ofrecerá garantías suficientes en lo que respec- ta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;
d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pér- dida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a
472 ANEXO XVII
los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
e) asegurará que dichas medidas se lleven a la práctica;
f) si la transferencia incluye categorías especiales de datos, se habrá in- formado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transfe- ridos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;
g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;
h) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cual- quier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
i) que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de pro- tección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y
j) que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.
Cláusula 5
Obligaciones del importador de datos7
El importador de datos acuerda y garantiza lo siguiente:
a) tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
473
b) no tiene motivos para creer que la legislación que le es de aplicación le
impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligacio- nes estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
c) ha puesto en práctica las medidas de seguridad técnicas y organizati- vas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;
d) notificará sin demora al exportador de datos sobre:
I. toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la apli- cación xx xxx a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una inves- tigación levada a cabo por una de dichas autoridades,
II. todo acceso accidental o no autorizado,
III. toda solicitud sin respuesta recibida directamente de los intere- sados, a menos que se le autorice;
e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;
f) ofrecerá a petición del exportador de datos sus instalaciones de trata- miento de datos para que se lleve a cabo la auditoría de las activi- dades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, com-
7 Las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses recogidos en el artículo 13, apartado 1, de la Directiva 95/46/CE, es decir, si dichas obligaciones constituyen una medida necesaria para la salvaguardia de la seguridad del Estado; la defensa; la seguridad pública; la prevención, investigación, detección y enjuiciamiento de delitos o infracciones de la deontología en las profesiones reguladas; un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de otras personas, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de obligaciones que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otras, las sanciones reconocidas en el ámbito internacional, las obligaciones de notifi- cación en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.
474 ANEXO XVII
puesto por miembros independientes con las cualificaciones profesio- nales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;
g) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el con- trato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directa- mente del exportador de datos;
h) que, en caso de subtratamiento de los datos, habrá informado previa- mente al exportador de datos y obtenido previamente su consentimiento por escrito;
i) que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;
j) enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con ar- reglo a las cláusulas.
Cláusula 6 Responsabilidad
1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencar- gado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.
2. En caso de que el interesado no pueda interponer contra el expor- tador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
475
contrato o por ministerio de la ley, en cuyo caso los interesados po-
drán exigir sus derechos a dicha entidad.
El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.
3. En caso de que el interesado no pueda interponer contra el expor- tador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencar- gado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencarga- do del tratamiento de datos acepta que el interesado pueda de- mandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.
Cláusula 7
Mediación y jurisdicción
1. El importador de datos acuerda que, si el interesado invoca en su contra derechos xx xxxxxxx beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la de- cisión del interesado de:
a) someter el conflicto a mediación por parte de una persona in- dependiente o, si procede, por parte de la autoridad de control;
b) someter el conflicto a los tribunales del Estado miembro de es- tablecimiento del exportador de datos.
2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.
476 ANEXO XVII
Cláusula 8
Cooperación con las autoridades de control
1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depó- sito es exigido por la legislación de protección de datos aplicable.
2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con xxxxxxx xx xxxxxxxx 0. En tal caso, el importa- dor de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.
Cláusula 9 Legislación aplicable
Las cláusulas se regirán por la legislación del Estado miembro de esta- blecimiento del exportador de datos, a saber ...............................................
......................................................................................................................
Cláusula 10
Variación del contrato
Las partes se comprometen a no variar o modificar las presentes cláu- sulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.
Cláusula 11 Subtratamiento de datos
1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento ll evadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
477
escrito del exportador de datos. Si el importador de datos subcon-
trata sus obligaciones con arreglo a las cláusulas, con el consenti- miento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas8 . En los casos en que el subencargado del tratamiento de datos no pueda cum- plir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arre- glo a dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el su- bencargado del tratamiento contendrá asimismo una cláusula xx xxxxxxx beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del impor- tador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas
3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se re- fiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber .....................
........................................................................... ............. .............
4. El exportador de datos conservará la lista de los acuerdos de sub- tratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lis- ta estará a disposición de la autoridad de control de protección de datos del exportador de datos.
8 Este requisito puede verse satisfecho si el subencargado es cosignatario del contrato acor- dado entre el exportador de datos y el importador de datos con arreglo a la presente Decisión.
478 ANEXO XVII
Cláusula 12
Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales
1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcial- mente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.
2. El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado
1. En nombre del exportador de datos: Nombre (completo): ........................
..................................................................................................
Cargo...............................................................................................................
Dirección:.........................................................................................................
Otros datos necesarios con vistas a la obligatoriedad del contrato (en caso de existir):…....................................................
(sello de la entidad) Firma .............................................................................
En nombre del importador de los datos:
Nombre (completo): .......................................................................................
Cargo:...............................................................................................................
Dirección:.........................................................................................................
Otros datos necesarios con vistas a la obligatoriedad del contrato
(en caso de existir): …………………………………………………………
(sello de la entidad)
Firma:
CLAUSULAS CONTRACTUALES TIPO PARA LA TRANSFERENCIA DE DATOS PER- SONALES DE CONFORMIDAD CON LA DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
Apéndice
Apéndice 1
A las cláusulas contractuales tipo
479
El presente apéndice forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.
Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente apéndice.
Exportador de datos
El exportador de datos es (especifique brevemente sus actividades corres- pondientes a la transferencia):
........................................................................................................................
............................................................................... ..........................................
Importador de datos
El importador de datos es (especifique brevemente sus actividades co- rrespondientes a la transferencia):
................................................................................................................
......................................................................................................................
Interesados
Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquense):
................................................................................................................
.............................................. .......................................................................
Categorías de datos
Los datos personales transferidos se refieren a las siguientes categorías de datos (especifíquense):
................................................................................................................
......................................................................................................................
Categorías especiales de datos (si es pertinente)
Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifíquense):
........................................................................................................................
..........................................................................................................................
Operaciones de tratamiento
Los datos personales transferidos serán sometidos a las operaciones básicas de tratamiento siguientes (especifíquense):
.........................................................................................................................
.........................................................................................................................
480 ANEXO XVII
Exportador De Datos
Nombre: ..................................................………………................................
Firma autorizada..............................................................................................
Importador De Datos
Nombre: ..........................................................................................................
Firma autorizada.............................................................................................
Apéndice 2 A las cláusulas contractuales tipo
El presente Xxxxxxxx forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.
Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de conformidad con la letra d) de la cláusula 4 y la letra c) de la cláusula 5 (o documento o legislación adjuntos):
.........................................................................................................................
................................. ................................................................................... CLÁUSULA DE INDEMNIZACIÓN ILUSTRATIVA (OPCIONAL)
Responsabilidad
Las partes acuerdan que si una de ellas es responsable de un incumpli- miento de las cláusulas cometido por la otra parte, esta indemnizará en la medida de su responsabilidad a la primera parte por cualquier coste, carga, perjuicio, gasto o pérdida en que haya incurrido.
La indemnización estará supeditada a que:
a) el exportador de datos notifique sin demora al importador de datos la reclamación, y
b) el importador de datos tenga la posibilidad de colaborar con el ex- portador de datos en la defensa y satisfacción de la reclamación.