GUÍA DE IMPLEMENTACIÓN DE
GUÍA DE IMPLEMENTACIÓN DE
CLAÚSULAS CONTRACTUALES MODELO PARA LA TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP)
IF-2023-108581614-APN-DNPDP#AAIP
Página 1 de 109
INDICE
1. INTRODUCCIÓN 2
2. PRECISIONES Y LIMITACIONES 5
3. ANTECEDENTES DE LAS TIDP 8
3.1. Antecedentes internacionales 9
3.2. Red Iberoamericana de Protección de Datos Personales 12
3.3. NORMATIVA IBEROAMERICANA SOBRE TIDP 15
4. PRINCIPALES ACTORES EN LAS TIDP 18
5. REGLA GENERAL EN LAS TIDP. EXCEPCIONES Y MECANISMOS DE TRANSFERENCIA MÁS USADOS 23
5.1. Regla general 24
5.2. Excepciones 25
5.3. Mecanismos de transferencia 26
6. LAS CCM COMO MECANISMO DE RESGUARDO DE LAS TIDP 28
6.1. FINALIDAD DE LAS CCM 29
6.2. VENTAJAS Y BENEFICIOS DE LAS CCM 29
7.CUESTIONES PRÁCTICAS EN LA IMPLEMENTACIÓN Y EJECUCIÓN DE LAS CCM 32
7.1. Aspectos generales 33
7.2. Características de las CCM. Forma de uso 34
7.3. Posición de las partes. Incorporaciones de nuevas partes y uso del CCM con otros acuerdos. Modificaciones 35
7.4. LEY APLICABLE A LAS TIDP 36
7.5. Cumplimiento de las normas generales de protección de datos personales 37
7.6. Transferencias ulteriores 38
7.7. Terceros beneficiarios 38
7.8. Responsabilidad demostrada 39
7.9. Imposibilidad de cumplimiento del Importador 40
GLOSARIO DE LA GUÍA 42
SIGLAS UTILIZADAS 46
DOCUMENTOS CONSULTADOS 00
XXXXX 00
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 1
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
1. INTRODUCCIÓN
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 2
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
El uso de cláusulas contractuales son una alternativa para poder realizar transferencias internacionales de datos personales. En ese sentido, el literal c) del inciso 1 del artículo 36 de los Estándares de protección de datos personales para los Estados Iberoamericanos de la Red Iberoamericana de Protección de Datos (RIPD) dispone que “El responsable y encargado podrán realizar transferencias internacionales de datos personales en cualquiera de los siguientes supuestos: … c. El exportador y destinatario suscriban cláusulas contractuales o cualquier otro instrumento jurídico que ofrezca garantías suficientes y que permita demostrar el alcance del tratamiento de los datos personales, las obligaciones y responsabilidades asumidas por las partes y los derechos de los titulares. La autoridad de control podrá validar cláusulas contractuales o instrumentos jurídicos según se determine en la legislación nacional de los Estados Iberoamericanos aplicable en la materia”.
En línea con lo anterior, la presente guía busca establecer los principales aspectos que deben tenerse en cuenta cuando se realizan transferencias internacionales de datos personales (en adelante, TIDP) mediante el uso de cláusulas contractuales modelo (en adelante CCM). Como tal, esta guía presenta algunas orientaciones para que sean tenidas en cuenta por quienes deben realizar TIDP a jurisdicciones no adecuadas desde los países miembros de la Red Iberoamericana de Protección de Datos Personales (RIPD).
Asimismo, en América Latina no existen CCM aprobadas conjuntamente a nivel regional. Por eso la RIPD presenta como anexo a esta Guía un modelo de contrato de transferencia internacional en dos versiones, uno para transferencias entre Responsables y otro para transferencias de Responsables a Encargados. Se considera que estos dos modelos son un primer paso y se espera más adelante elaborar modelos adicionales para transferencias de Encargado a Encargado y de Encargado a Responsable.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 3
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
El contenido sustancial de ambos modelos sigue los lineamientos de los Estándares de protección de datos personales para los Estados Iberoamericanos de la RIPD1 (“Estándares”).
Las CCM propuestas en el Anexo son además similares en su estructuración con las recientes cláusulas contractuales tipo para la transferencia de datos personales a terceros países aprobadas en junio de 2021 por la Comisión de la Unión Europea (“UE”)2 ya que en su esencia contienen elementos y principios similares.
2 Cfr. DECISIÓN DE EJECUCIÓN (UE) 2021/914 DE LA COMISIÓN de 4 xx xxxxx de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. Disponibles en: xxxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXXX/?xxxxXXXXX:00000X0000&xxxxxXX#xxx0- L_2021199ES.01003701-E0002
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 4
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
2. PRECISIONES Y LIMITACIONES
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 5
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Esta Guía es complementaria de las recomendaciones, documentos y regulación vigente en cada país de Iberoamérica3. Las normativas de protección de datos aplicables en los países de Iberoamérica contienen disposiciones específicas relativas a las TIDP e incluso en varios incluyen una previsión para el uso de cláusulas contractuales. En algunos casos se han desarrollado modelos de cláusulas contractuales propios basados en la legislación nacional (ver punto 3.3. de esta Guía).
Esta Guía no reemplaza a las normativas nacionales ni a las orientaciones o criterios expresados por las distintas autoridades de protección de datos de la región en el ejercicio de sus facultades.
Cabe aclarar también que, en caso de contradicción manifiesta entre este documento y alguna recomendación o guía de la autoridad nacional de protección de datos, se sugiere seguir la recomendación de dicha autoridad en el entendimiento que corresponde a dicha entidad el determinar las reglas para hacer efectiva una TIDP de acuerdo a la legislación aplicable.
En cualquier caso, la aplicación de esta Guía y el uso de los dos modelos contractuales anexos a la presente Guía deberá hacerse en armonía con las recomendaciones, resoluciones y determinaciones de las autoridades de protección de datos locales y, sobre todo, con la legislación local aplicable.
Para la elaboración4 de este documento, así como las de las CCM se tomaron como referencia los Estándares de Protección de Datos Personales para los Estados
3 Por ejemplo, ver las mencionadas en la sección de Documentos consultados de esta Guía.
4 La Red Iberoamericana de Protección de Datos (RIPD) agradece la labor realizada por Xxxxx Xxxxxxx en la elaboración de esta guía y su anexo. La RIPD publicó la versión previa del presente documento para comentarios de la opinión pública. Se recibieron y analizaron las observaciones y sugerencias de las siguientes personas y organizaciones cuya participación agradecemos: (1) SEPD (Supervisor Europeo de Protección de Datos); (2) APEP (Asociación Profesional Española de Privacidad); (3) Xxxxxxx Xxxxx (Instituto de Transparencia, Acceso a la Información Pública y Protección de Datos Personales del Estado de México y Municipios); (4) La Asociación Latinoamericana de Internet (ALAI), (5) Xxxxxx Xxxxxx;
(6) Asociación de Internet MX; (7) Profesora Xxxxxxx Xxxxxxx; (8) Equifax.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 6
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Iberoamericanos de la RIPD5 para establecer los principios, términos, definiciones, obligaciones del Responsable y del Encargado y derechos de los titulares de datos personales. La Guía y las CCM no transcriben textualmente todos los aspectos de los mismos, sino que se tomaron los principios contenidos en los Estándares como fuente de todos los principios legales que corresponde aplicar en caso de una TIDP. Por lo tanto, este documento debe leerse de manera conjunta e integral con los citados Estándares, sin perjuicio de las eventuales adaptaciones que puedan realizarse a nivel nacional.
La presente Guía no es un concepto legal, ni un artículo académico, ni constituye asesoría jurídica de ninguna clase. Tampoco pretende ser un listado exhaustivo de recomendaciones específicas porque ello es un asunto interno que corresponde decidir a cada organización a la luz de los objetivos y la magnitud de cada proyecto que implique transferir datos personales a jurisdicciones no adecuadas.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 7
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
3. ANTECEDENTES DE LAS TIDP
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 8
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
3.1 Antecedentes internacionales
La Directiva de Protección de Datos de la Unión Europea del año 19956 fue la primera norma que implementó a nivel de derecho comunitario europeo reglas aplicables a las TIDP. La citada Directiva ha sido derogada y sustituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante Reglamento General de protección de Datos, RGPD)7.
El RGPD contiene en su capítulo quinto una detallada regulación de las transferencias internacionales de datos personales (arts. 44 a 50, RGPD). El art. 46 inc. 2 del RGPD permite las TIDP cuando se adoptan garantías adecuadas, entre las que se enumeran las cláusulas tipo de protección de datos aprobadas por la Comisión Europea o por alguna autoridad de control.
Mediante la Decisión 2001/497/CE de la Comisión8 y luego mediante la Decisión 2010/87/UE de la Comisión Europea9-, aprobó sendos modelos que contienen cláusulas contractuales tipo para facilitar la transferencia de datos personales por parte de un Responsable establecido en la UE a otro Responsable o Encargado establecido en un tercer
6 Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31). Disponible en xxxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXX%0XX%0X0000%0X000%0XXXX
7 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, DO L 119 de 4.5.2016, p. 1. Disponible en xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXX%0XX%0X0000%0X000%0XXXX 8 Decisión 2001/497/CE de la Comisión, de 15 xx xxxxx de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE. Disponible en xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXX%0XX%0X0000%0X000%0XXXX
9 Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. Disponible en xxxxx://xxx-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXX%0XX%0X0000%0X000%0XXXX
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 9
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
país que no ofreciera un nivel de protección adecuado. Las cláusulas contractuales tipo de las Decisiones mencionadas han sido actualizadas en junio de 2021 para adaptarlas al RGPD, proceso que incluyó una consulta pública10. La nueva decisión11 aprueba un modelo más completo adaptado a los cambios normativos y a los nuevos modos de tratamiento de datos de carácter personal.
Es del caso mencionar también el “Acuerdo sobre comercio electrónico del MERCOSUR”12 (vinculante para la Xxxxxxxxx Xxxxxxxxx, xx Xxxxxxxxx Xxxxxxxxxx xxx Xxxxxx, xx Xxxxxxxxx xxx Xxxxxxxx y la República Oriental del Uruguay) firmado el 28 de enero de 2021.
El art. 6.2 del citado Acuerdo dispone que las partes deberán adoptar o mantener leyes, regulaciones o medidas administrativas para la protección de la información personal de los usuarios que participen en el comercio electrónico. A tales efectos tomarán en consideración los estándares internacionales que existen en esta materia.
Asimismo, por el art. 6.7 del Acuerdo se dispone que las partes se comprometen a aplicar a los datos personales que reciban de otra Parte un nivel de protección adecuado mediante una norma general o regulación específica autónoma o por acuerdos mutuos, generales o específicos, o en xxxxxx internacionales más amplios, admitiéndose para el sector privado la implementación de contratos o autorregulación.
10 Estas nuevas cláusulas contractuales recibieron comentarios, aportes y sugerencias de toda la comunidad internacional y constituyen un texto que refleja los estándares más importantes a nivel internacionales incluidos los últimos desarrollos jurisprudenciales en la materia.
11 DECISIÓN DE EJECUCIÓN (UE) 2021/914 DE LA COMISIÓN de 4 xx xxxxx de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. Disponible en xxxxx://xxx- xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/XXXX/?xxxxXXXXX:00000X0000&xxxxxXX#xxx0- L_2021199ES.01003701-E0002
12 Ver MERCOSUR/CMC/DEC. Nº 15/20, Disponible en xxxxx://xxxxxx.xxxxxxxx.xxx/xxxxxx/xxxxxxxxxx/0000 y xxxxx://xxxxxx.xxxxxxxx.xxx/xxxxxxxx/xxxxxxxxxx/00000_XXX_000- 2020_ES_Acuerdo%20Comercio%20Electronico.pdf
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 10
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
El art. 7 de la normativa del MERCOSUR establece el principio de no discriminación en materia de transferencias internacionales de datos personales.
El 9 xx xxxxx de 2021, el Comité Jurídico Interamericano de la Organización de Estados Americanos aprobó los Principios Actualizados sobre la Privacidad y la Protección de Datos Personales13.
El Principio n. 11 se refiere al Flujo Transfronterizo de Datos y dispone lo siguiente: “Reconociendo su valor para el desarrollo económico y social, los Estados Miembros deberían cooperar entre sí para facilitar el flujo transfronterizo de datos personales a otros Estados cuando éstos confieran un nivel adecuado de protección de los datos de conformidad con estos Principios. Asimismo, los Estados Miembros deberían cooperar en la creación de mecanismos y procedimientos que aseguren que los responsables y encargados del tratamiento de datos que operen en más de una jurisdicción, o los transmitan a una jurisdicción distinta de la suya, puedan garantizar y ser efectivamente hechos responsables por el cumplimiento de estos Principios”.
Por otra parte el Convenio n. 108 del Consejo de Europa con las modificaciones del Protocolo del 200114 dispone en su art. 2 titulado “Transferencia de datos personales a destinatarios no sometidos a la competencia de las Partes del Convenio” que “Cada Parte preverá que la transferencia de datos personales a un destinatario sometido a la competencia de un Estado u organización que no es Parte del Convenio se lleve a cabo únicamente si dicho Estado u organización asegura un adecuado nivel de protección”.
Por su parte el art. 2.2 dispone que “No será de aplicación el párrafo 1 del Artículo 2 del presente Protocolo, pudiendo las Partes autorizar la transferencia de datos personales: …
b) si se prevén las suficientes garantías, que pueden resultar, en particular, de cláusulas
13 OEA, Principios Actualizados sobre la Privacidad y la Protección de Datos Personales, con Anotaciones (CJI/RES. 266 (XCVIII-O/21)).
xxxx://xxx.xxx.xxx/xx/xxx/xxx/xxxxxxxxxx_xxxxx_xxxxxxxxxx_Xxxxxxxx_Xxxxxxxx_XXX.xxx
14 Disponible en xxxxx://xx.xxx.xxx/0000000000
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 11
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
contractuales, por parte del responsable del tratamiento responsable de la transferencia y dichas garantías se estiman adecuadas por las autoridades competentes de conformidad con el derecho interno”.
3.2 Red Iberoamericana de Protección de Datos
La RIPD con fundamento en el artículo 1, inciso a) del Reglamento de la Red Iberoamericana de Datos Personales y con el objetivo de elaborar y contar con normatividades que garanticen el derecho a la protección de datos y privacidad en los países de la región; se ha preocupado por la regulación legal de las TIDP desde sus orígenes. Así, en el marco del III Encuentro Iberoamericano de Protección de Datos celebrado en Cartagena de Indias (Colombia) en el año 200415 los miembros de la RIPD emitieron diversas conclusiones donde se evidenciaba su preocupación por las TIDP.
En ese encuentro los miembros de la RIPD concluyeron que “La transferencia internacional de datos personales debe estar sometida a un régimen de garantías para impedir que los principios que rigen el derecho fundamental a la protección de datos se vean vulnerados por el mero traslado de dichos datos a otro país. La Directiva de Protección de Datos de la Unión Europea ha consagrado este principio y ha otorgado a la Comisión Europea competencias para decidir que un país que ha establecido una legislación de protección de datos acorde con los estándares europeos y ha creado una autoridad de control independiente es un destino seguro para los datos personales provenientes de Estados miembros de la UE”.
En el mismo documento los miembros de la RIPD aclararon que “En el caso que no exista este reconocimiento, es posible, entre otras opciones, la utilización de las cláusulas contractuales tipo […] Su utilización permite establecer las garantías necesarias que suplan
15 RIPD, Declaración xx Xxxxxxxxx de Indias, mayo de 2004, punto III - “Las transferencias internacionales de datos. Perspectivas europeas e iberoamericanas” en xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/xxxxxx-xxxxx/xxxxxxxxxxx_0000_XXX_xxxxxxxxx_xx.xxx
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 12
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
la carencia de una legislación adecuada en el país de destino al otorgar a los titulares cuyos datos se transfieren la posibilidad de exigir el cumplimiento de las cláusulas del contrato que les afectan así como una reparación en el caso de que se les causen perjuicios por no respetarse”.
La Declaración xx Xxxxxxxxx de Indias concluye señalando que “Por lo tanto, los participantes en el III Encuentro Iberoamericano de Protección de Datos hacen votos para que en los países iberoamericanos se promulguen regulaciones sobre protección de datos y se establezcan mecanismos de control independientes que promuevan una efectiva implantación del derecho fundamental a la protección de datos personales que, al mismo tiempo, faciliten el libre flujo de datos personales entre los países”.
En el marco del XVIII Encuentro Iberoamericano de Protección de Datos16 celebrado en línea el 0 xx xxxxxxxxx xx 0000 xx Xxxxxxxxxx (Xxxxxxx), los miembros de la RIPD establecieron en su Declaración Final (conclusión punto 7) que: “[…] el tratamiento de datos personales como impulsor de la economía mundial requiere reglas claras y transparentes que permitan flujos internacionales de datos seguros, basados en la consideración del nivel de protección que brindan los países u organizaciones destinatarias de dichos flujos, en tratados internacionales, o en normas contractuales entre emisor y receptor que garanticen la vigencia de los principios en protección de datos, el ejercicio de los derechos por parte de los titulares, y el cumplimiento de las obligaciones correspondientes a responsables, encargados de tratamiento y otros terceros”.
En conclusión, resulta natural que en el desarrollo de documentos adicionales a los Estándares y a las Declaraciones de la RIPD se busque elaborar guías y modelos que
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 13
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
faciliten el libre flujo de datos, pero manteniendo una protección adecuada de los datos personales de los titulares tales como las CCM o los códigos corporativos vinculantes.
En el año 2017 los miembros de la RIPD aprobaron los Estándares de Protección de Datos Personales para los Estados Iberoamericanos.
Los Estándares Iberoamericanos buscan establecer un conjunto de principios y derechos comunes de protección de datos personales que los Estados Iberoamericanos puedan adoptar y desarrollar en su legislación nacional, con la finalidad de contar con reglas homogéneas en la región. Por otra parte, los Estándares Iberoamericanos incluyen las mejores prácticas nacionales e internacionales en la materia al momento de su dictado. Entre los objetivos de los Estándares Iberoamericanos se encuentran los siguientes que de alguna forma justifican adoptar CCM para la región: (i) facilitar el flujo de los datos personales entre los Estados Iberoamericanos y más allá de sus fronteras, con la finalidad de coadyuvar al crecimiento económico y social de la región y (ii) favorecer la cooperación internacional entre las autoridades de control de los Estados Iberoamericanos, con otras autoridades de control no pertenecientes a la región y autoridades y organismos internacionales en la materia.
El art. 36 inc. 1, letra “c” de los Estándares dispone que “El responsable y encargado podrán realizar transferencias internacionales de datos personales en cualquiera de los siguientes supuestos: … c. El exportador y destinatario suscriban cláusulas contractuales o cualquier otro instrumento jurídico que ofrezca garantías suficientes y que permita demostrar el alcance del tratamiento de los datos personales, las obligaciones y responsabilidades asumidas por las partes y los derechos de los titulares. La autoridad de control podrá validar cláusulas contractuales o instrumentos jurídicos según se determine en la legislación nacional de los Estados Iberoamericanos aplicable en la materia”.
De los Estándares Iberoamericanos surge lo siguiente:
• El Exportador y el Importador pueden suscribir cláusulas contractuales.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 14
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
• Estas cláusulas contractuales deben ofrecer garantías suficientes, que permitan demostrar: (i) el alcance del tratamiento de los datos personales, (ii) las obligaciones y responsabilidades asumidas por las partes y (iii) los derechos de los Titulares.
• La autoridad de control respectiva podrá validar cláusulas contractuales o instrumentos jurídicos según se determine en la legislación nacional de los Estados Iberoamericanos aplicable en la materia.
3.3. Normativa Iberoamericana sobre TIDP
En consonancia con la normativa internacional antes citada y con los Estándares, gran parte de los países iberoamericanos regulan la transferencia internacional de datos personales, en ausencia de una continuidad en el nivel de protección.
Este es el caso de los siguientes países:
• Argentina (art. 12 ley n. 25.326 de protección de datos personales, art. 12 del decreto reglamentario n. 1558/2001 y Disposición 60).
• Brasil (arts. 33 a 35 de la Ley general de Proteccion de Datos).
• Cabo Verde (art. 20, Ley nº 41/VIII/2013, de 17 de septiembre, de Protección de Datos Personales de las Personas Físicas).
• Colombia (Art. 26 de la Ley 1581 de 2012).
• Ecuador (arts. 55 a 61 de la Ley Orgánica de Protección de Datos Personales).
• México (arts. artículos 65-71 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y arts. 36 y 37 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares).
• Nicaragua (art.14 de la Ley nº 787, Ley de Protección de Datos Personales).
• Panamá (arts. 5 y 33, Ley nº 81, de 26 xx xxxxx de 2019, sobre Protección de Datos Personales y arts. 51 a 53 del Decreto ejecutivo n. 285 del 28 xx xxxx de 2021).
• Perú (arts. 11 y 15 de la ley 29.733, Ley de Protección de Datos Personales).
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 15
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
• República Democrática de Xxxxx Xxxx y Príncipe (arts. 19 y 20, Ley 3/2016, de 2 xx xxxx de Protección de Datos Personales de las Personas Físicas).
• República Dominicana (art. 80 de la Ley Nº 172-13, de 13 de diciembre de 2013, sobre Protección de Datos de Carácter Personal).
• Uruguay (art. 23 de la Ley N° 18.331 de Protección de Datos Personales, Resolución N° 4/019, de 12 xx xxxxx de 2019 y Resolución N° 41/021, de 8 de setiembre de 2021).
La mayor parte de las legislaciones antes citadas también establecen ciertas excepciones para permitir las TIDP a destinos no adecuados (cuando existen por ejemplo tratados internacionales). Por otra parte, es también posible recurrir a otras herramientas para la transferencia internacional. Por ejemplo, las normas de Argentina, Colombia17, México18, Panamá19, Perú20 y Uruguay contemplan o recomiendan la posibilidad de usar CCM.
17 Colombia: En su nueva versión del año 2021 la Guía emitida por la autoridad colombiana de protección de datos personales se dan lineamientos sobre la TIDP y el uso de CCM. Ver Colombia, SIC, Guía para la implementación del principio de responsabilidad demostrada en las transferencias internacionales de datos personales, pág. 17 donde se recomienda el uso de cláusulas contractuales para las TIDP como forma de demostrar accountability por parte del Encargado del tratamiento de datos personales. Disponible en xxxxx://xxx.xxx.xxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxx/0000/0000%00Xx%X0%XXxx%00xxxx%00xxxxxxxxxx ci%C3%B3n%20del%20principio%20de%20responsabilidad%20demostrada%202021.pdf
18 México, Artículo 75 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), sugiere las cláusulas contractuales, al disponer “A tal efecto, el responsable que transfiera los datos personales podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales”. Por otra parte, el artículo 66 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, que a la letra establece que “Toda transferencia deberá formalizarse mediante la suscripción de cláusulas contractuales, convenios de colaboración o cualquier otro instrumento jurídico, de conformidad con la normatividad que le resulte aplicable al responsable, que permita demostrar el alcance del tratamiento de los datos personales, así como las obligaciones y responsabilidades asumidas por las partes”. Cabe aclarar que en México se cuenta con una Ley aplicable a particulares y otra para Sujetos Obligados, que de manera puntual son aquellas instituciones de carácter público.
20 Perú, Artículo 25 del Reglamento de la LPDP, considera también a las cláusulas contractuales, cuando señala que “… el emisor o exportador podrá valerse de cláusulas contractuales u otros instrumentos
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 16
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Por su parte algunas autoridades de protección de datos como es el caso de Uruguay y de Argentina, han emitido normas donde aprueban directrices o modelos de CCM21.
jurídicos en los que se establezcan cuando menos las mismas obligaciones a las que se encuentra sujeto, así como las condiciones en las que el titular consintió el tratamiento de sus datos personales”.
21 Uruguay: Xxxxxxxxxx Xx 00/000, xx 0 xx xxxxxxxxx xx 0000. Disponible en xxxxx://xxx.xxx.xx/xxxxxx-xxxxxxxxxx-xxxxxxx-xxxxx-xxxxxxxxxx/xxxxxxxxxxxx/xxxxxxxx/xxxxxxx- regimen-transferencias-internacionales-datos-uruguay y Argentina: Disposición 60/2016 de la Dirección Nacional de Protección de Datos Personales. Disponible en xxxx://xxxxxxxxx.xxxxxxx.xxx.xx/xxxxxxxXxxxxxxx/xxxxxx/000000-000000/000000/xxxxxx.xxx
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 17
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
4. PRINCIPALES ACTORES EN LAS TIDP
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 18
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
A continuación, se presentan los principales actores involucrados en las TIDP. Esto ayuda a comprender el interés de cada parte en una TIDP.
Las TIDP tienen lugar en una gran cantidad de situaciones como: transferencias bancarias, reservas de pasajes aéreos y de hoteles, servicios de computación en la nube, centralización de recursos humanos, operaciones de comercio exterior tradicionales y de comercio electrónico, entre muchos otros casos.
En el escenario típico de una TIDP (cualquier sea el motivo de la misma) tenemos los siguientes elementos y actores:
• Una entidad que desea enviar datos al exterior denominada: Exportador de datos.
• Una entidad que desea recibir esos datos denominada: Importador de datos, localizada en otra jurisdicción.
• El Importador recibe los datos para tratarlos con una determinada finalidad. Pero la TIDP es por sí un procesamiento de datos: se parte de la base de que toda transferencia internacional de datos personales TIPD implica un tratamiento de datos según la definición dada por los Estándares22.
• El Titular del dato personal es la “persona física a quien le conciernen los datos personales”23 cuya información debe ser tratada debidamente. Todos los derechos del Titular deben garantizarse cuando el tratamiento se efectúe mediante una TIDP a una jurisdicción caracterizada como no adecuada. En el caso de los Estándares, los derechos a garantizar se encuentran mencionados en los artículos 24 a 32. Una forma de garantizar estos derechos es a través del uso de CCM.
22 Cfr. literal i del art. 2 de los Estándares de protección de datos personales para los Estados Iberoamericanos (2017).
23 Cfr. Literal h) del artículo 2.1 de los Estándares de protección de datos personales para los Estados Iberoamericanos (2017).
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 19
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
• A su vez el Titular es un Tercero Beneficiario en las CCM. Esto significa que el Titular tiene derechos que derivan no sólo de la ley de protección de datos personales de la jurisdicción del Exportador de datos, sino también del propio contrato de transferencia internacional firmado entre las partes (ver punto 7 de esta Guía).
• Una jurisdicción no adecuada donde está localizado el Importador de datos. Esta jurisdicción es caracterizada como no adecuada a los fines de la TIDP según la normativa del país del Exportador de datos o la interpretación de la Autoridad competente. La falta de adecuación de la jurisdicción de destino obliga a las partes a adoptar resguardos que proporcionen garantías adecuadas para proteger los datos objeto de la TIDP, por ejemplo, a través de la firma de las CCM.
• Autoridad de protección de datos (Autoridad de Control)24 debe vigilar que quienes realizan TIDP realicen dicha actividad observando lo que dispone la regulación sobre dicho tema.
• Ley aplicable: Las regulaciones sobre transferencia internacional de datos o “flujo transfronterizo de datos” procuran garantizar que el nivel de protección de los datos personales de los ciudadanos de un país no disminuya o desaparezca cuando estos deben ser exportados o transferidos a otro u otros países25. Como consecuencia de la necesidad de tutelar los datos personales transferidos a una jurisdicción no adecuada, es necesario que los mismos queden sujetos a una protección similar a la existente al momento de su recolección.
Veamos un ejemplo con el escenario del tratamiento de datos mediante servicios de computación en la nube según las guías aprobadas por la RIPD sobre el tema.
24 En el capítulo VII de los Estándares se establecen los principales aspectos sobre las autoridades de control y supervisión en materia de protección de datos.
25 Ver RIPD, Recomendaciones para el tratamiento de datos personales mediante servicios de computación en la nube. Disponible en xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/0000- 06/recomendaciones-tratamiento-datos-personales-servicios-nube.pdf
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 20
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
En el mes xx xxxxx del año 2020 la RIPD publicó las “Recomendaciones para el tratamiento de datos personales mediante servicios de computación en la nube”26. En este documento la RIPD concluyó que el procesamiento de datos personales en la nube puede implicar la transferencia internacional de datos personales27. Las recomendaciones contienen sugerencias para que los proveedores de servicios de computación en la nube (PSCEN) puedan prestar sus servicios respetando los derechos de datos personales de los Titulares y las reglas de las TIDP.
En sus Recomendaciones, la RIPD señala lo siguiente: “Si los “data center” o los equipos de almacenamiento de los PSCEN están ubicados fuera del país en donde se encuentra el contratante de los servicios de computación en la nube (CEN), los datos personales serán remitidos o exportados desde un país a empresas y organizaciones PSCEN ubicadas en un territorio diferente al del país de envío. Se trata de un proceso de exportación de datos personales”.
Luego de esta explicación, el documento precisa: “En este caso, la empresa contratante de los servicios de CEN será el Exportador y el PSCEN obrará como el destinatario de dicha exportación de datos. Los Estándares definen al Exportador como la “persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en territorio de un Estado que efectúe transferencias internacionales de datos personales, conforme a lo dispuesto en los presentes Estándares”. Así las cosas, el contratante de los servicios de CEN debe observar las reglas locales de la transferencia internacional de datos”.
Las citadas Recomendaciones de la RIPD concluyen que “Es importante que el contratante de los servicios de CEN sea plenamente consciente y en su caso, pueda aceptar o limitar,
26 Ver RIPD, Recomendaciones para el tratamiento de datos personales mediante servicios de computación en la nube. Disponible en xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/0000- 06/recomendaciones-tratamiento-datos-personales-servicios-nube.pdf
27 RIPD, Recomendaciones para el tratamiento de datos personales mediante servicios de computación en la nube, p. 15.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 21
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
los países en los que van a estar alojados los servidores, además de estar informado de las garantías adecuadas que se adopten”.
Todo esto se explica con el fundamento de las TIDP: “Las regulaciones sobre transferencia internacional de datos o “flujo transfronterizo de datos” procuran garantizar que el nivel de protección de los datos personales de los ciudadanos de un país no disminuya o desaparezca cuando estos deben ser exportados o transferidos a otro u otros países. Esta regla se conoce como el principio de continuidad de la protección de datos, el cual se fundamenta en que la transferencia internacional de datos no debe afectar la protección de los interesados por lo que respecta al tratamiento de sus datos personales. La exportación de información personal no puede convertirse en un escenario reductor del nivel de protección que se le confiere al titular del dato en el país desde donde se exportan datos personales. Dichas actividades no deben facilitar, permitir ni tolerar la vulneración de los derechos de las personas ni la disminución de las garantías con que cuentan en el país exportador. En ese sentido, se deben cumplir las reglas de transferencias internacionales que rigen en el país del contratante de los servicios de CEN. En el caso de los Estándares, en el artículo 36 se prevén las alternativas permitidas para exportar los datos”.
En el caso concreto analizado, la empresa contratante de los servicios de CEN será el Exportador de datos y el PSCEN será el Importador de Datos. Ambas partes podrían firmar un contrato basado en las CCM donde el Importador de datos actúa como Encargado usando el modelo respectivo de CCM.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 22
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
5. REGLA GENERAL EN LAS TIDP. EXCEPCIONES Y MECANISMOS DE TRANSFERENCIA MÁS USADOS
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 23
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
5.1. Regla general
Las disposiciones sobre TIDP que se encuentran en las leyes de protección de datos de los países iberoamericanos tienen como finalidad garantizar la continuidad del nivel de protección provisto en sus leyes cuando se produce una transferencia de datos personales a un tercer país que se considere no adecuado o que tenga un nivel distinto de protección de datos personales.
Los países pueden reconocer a otras jurisdicciones como “adecuadas” a su legislación de datos personales en función del nivel de protección que garantice la legislación aplicable. En virtud del principio general de prohibición de TIDP, a falta de una decisión de adecuación o referencia específica en el país exportador de datos, el Responsable o el Encargado solo pueden transferir datos personales a un tercer país si se han ofrecido garantías adecuadas y a condición de que los Titulares cuenten con derechos exigibles y acciones judiciales eficaces para tutelar sus derechos. Dichas garantías pueden aportarse, entre otros medios, por normas corporativas vinculantes (NCV)28 o por CCM.
En términos generales, se considera que un país es adecuado cuando tiene ciertos elementos en su sistema jurídico que permita concluir que los datos personales son amparados adecuadamente. Por ejemplo, bajo las normas de la Unión Europea, los siguientes elementos suelen son evaluados para determinar el nivel de adecuación:
• El “Estado de Derecho”, el respeto de los derechos humanos y los derechos fundamentales en ese sistema jurídico.
• La legislación vigente tanto general como sectorial sobre datos personales.
• Las medidas de seguridad aplicadas.
28 Las normas corporativas vinculantes son una de las garantías adecuadas que reconoce el RGPD y que se definen como “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencia o conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta” (art. 4. 20) RGPD).
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 24
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
• Las normas sobre Transferencias ulteriores de datos personales a otro tercer país u organización internacional observadas en ese país.
• Derechos reconocidos a los titulares de datos personales mediante recursos administrativos y acciones judiciales que sean efectivos.
• La existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país.
• Los compromisos internacionales asumidos por el tercer país u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular en relación con la protección de los datos personales.
• El acceso de las autoridades públicas del país de destino a los datos transferidos y en forma más general, el régimen de excepciones a las reglas de protección de datos personales aplicable en el país de destino.
5.2. Excepciones
Los Estándares disponen en el art. 36.2 que la legislación nacional de los Estados Iberoamericanos aplicable en la materia podrá establecer expresamente límites a las transferencias internacionales de categorías de datos personales por razones de seguridad nacional, seguridad pública, protección de la salud pública, protección de los derechos y libertades de terceros, así como por cuestiones de interés público.
Numerosas normas contienen excepciones a la regla que prohíbe la TIDP a países o jurisdicciones no adecuadas. Las normas de jurisdicciones iberoamericanas que se han mencionado en el punto 3.3 de esta Guía contienen excepciones individuales basadas en estos principios mencionados en los Estándares. Así, por ejemplo, son excepciones el consentimiento del Titular, el interés público, la ejecución o celebración de un contrato o los intereses vitales del interesado.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 25
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Un punto importante a tener en cuenta es que estas excepciones a las TIDP no pueden aplicarse en forma continua para todo tipo de transferencias, sino que, debido a su naturaleza excepcional, se deben destinar para una transferencia específica y concreta.
5.3. Mecanismos de transferencia
Si el país de destino de la TIDP no tiene reconocido un nivel adecuado de protección, entonces la TIDP se pueden realizar mediante un mecanismo de transferencia que otorgue garantías adecuadas, o mediante la aplicación de alguna de las excepciones previstas en la normativa local.
• Los mecanismos de TIDP que otorgan garantías adecuadas suelen ser los siguientes:
• Cláusulas contractuales modelo (CCM).
• Normas corporativas vinculantes (NCV).
• Código de conducta aprobado con arreglo a la ley aplicable.
• Mecanismo de certificación.
• Instrumentos jurídicamente vinculantes y exigibles entre las autoridades u organismos públicos.
La función de las CCM tipo es asegurar que haya garantías adecuadas de protección de datos en las transferencias internacionales de datos a jurisdicciones que no tengan reconocido un nivel adecuado de protección. El Exportador de datos que transfiera los datos personales a un tercer país y el Importador de datos que reciba los datos personales pueden firmar un acuerdo con el fin de garantizar los derechos de los titulares a través de las CCM.
Si bien las CCM deberán emplearse en principio para las transferencias a jurisdicciones no adecuadas, la RIPD recomienda su aplicación a todo tipo de transferencia internacional,
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 26
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
en lo pertinente para asegurar el cumplimiento de los principios de protección de datos personales.
Finalmente, resulta importante señalar que el uso de CCM no implica, en todos los casos, el cumplimiento total de la legislación o normatividad en protección de datos personales de las jurisdicciones afectadas por la transferencia, por lo cual, habría de estarse a los requerimientos específicos29.
29 Por ejemplo, en el caso del sector público de México, cuando se lleven a cabo transferencias de datos personales que no cuenten con un nivel de protección adecuado, deberán presentarse previamente una Evaluación de impacto en la protección de datos personales.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 27
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
6. LAS CCM COMO MECANISMO DE RESGUARDO DE LAS TIDP
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 28
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
6.1. Finalidad de las CCM
La finalidad de las CCM es garantizar y facilitar el cumplimiento de los requisitos previstos por la ley de protección de datos del país del Exportador de datos para la transferencia de datos personales a un tercer país que no haya sido reconocido con un nivel adecuado de protección. La idea es que la protección inicialmente otorgada a los datos personales siga presente con independencia del lugar donde estos datos se encuentren.
Es por eso que también se regulan las Transferencias ulteriores con recaudos para evitar la disminución del nivel de protección. Se da intervención a los Titulares a través de un concepto universal del derecho de los contratos denominado Tercero beneficiario. Y se regula el acceso por parte de autoridades públicas en la jurisdicción del Importador de datos que puedan afectar derechos del Titular.
6.2. Ventajas y beneficios de las CCM
El uso de cláusulas contractuales modelo puede ayudar a superar las posibles limitaciones a las transferencias de datos que se deriven de las diferencias existentes en el nivel de protección entre los diferentes países. El instituto del contrato está presente en todos los ordenamientos jurídicos iberoamericanos y sirve para comprometer al Importador de datos a respetar los datos personales del Titular una vez que los datos personales están en la jurisdicción de destino.
En otras palabras: las cláusulas modelo o cláusulas tipo contribuyen a construir la convergencia a nivel contractual, creando un régimen de protección de datos autónomo, sin necesariamente requerir convergencia a nivel de país (en esto, pueden ir más allá del nivel de protección en ciertos países).
Al mismo tiempo, la expansión de principios de protección de datos personales a través de redes de contratos internacionales tiene un fuerte impacto en la convergencia general en la región, ya que establecen estándares comunes con los que las empresas se
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 29
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
familiarizan. Esto facilita en el futuro la alineación de la legislación nacional con las normas y estándares internacionales de protección de datos personales.
Por otra parte, el uso de CCM sirve para garantizar los principios y deberes en la protección de datos personales. Esto a su vez lleva a la transparencia, la seguridad jurídica y, por tanto, la previsibilidad ya que:
(i) a través de su naturaleza vinculante y exigible como parte de un contrato, pueden garantizar la continuidad de la protección cuando los datos viajan al extranjero, y hacerlo de una manera que brinde seguridad jurídica;
(ii) al hacerlo de manera clara y transparente, ayudan a generar confianza, lo que a su vez brinda a las empresas que utilizan tales cláusulas una ventaja competitiva respecto a aquellas que tienen que recurrir a otros métodos.
Las CCM sirven para proteger a la parte "más débil", que, por supuesto son las personas físicas cuyos datos personales, en el marco de las TIDP, son procesados tanto por el Exportador de datos como por el Importador de datos.
Por último, el uso de las CCM permite también una solución particularmente económica al problema de las TIDP; el motivo es que las empresas no tienen que negociar acuerdos en cada caso individual con el coste económico que ello implica en representación legal y en tiempo. La existencia de las CCM les permite confiar en el modelo pre-aprobado por la Autoridad de control competente, sabiendo que al hacerlo cumplen con sus obligaciones legales en materia de cesión internacional de datos personales con una solución sencilla y práctica. Esta es una gran diferencia con otras herramientas como, por ejemplo, los mecanismos de certificación o las NCV, que requieren un proceso de certificación a menudo largo y costoso.
En comparación con esos mecanismos, las CCM son un instrumento "listo para usar" y "listo para ejecutar". Esto es particularmente importante para las pequeñas y medianas
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 30
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
empresas que no pueden permitirse otras opciones más costosas y que requieren más tiempo de implementación.
Es por ello que las CCM son el mecanismo legal más accesible y utilizado hoy en día para la TIDP a jurisdicciones no adecuadas. Se calcula que cerca del 80 al 90% de empresas que implementan mecanismos de TIDP utilizan como solución a las CCM30. Por supuesto esto implica que las Partes de una TIDP que usan una CCM no deben limitarse al requisito formal de su firma, sino que siempre deben estar preparadas para “rendir cuentas” del tratamiento que realicen de los datos personales a la Autoridad de control competente y a los Titulares y poder demostrar el acabado cumplimiento de la ley aplicable y de las obligaciones impuestas en las CCM.
30 Un estudio realizado calcula que cerca del 85% usa como mecanismos de TIDP a las CCM. Ver Xxxxx Xxxx, Xxxxxxx Xxxx, Xxxxxx Xxxxxx, The Role and Value of Standard Contractual Clauses in EU-U.S. Digital Trade, ITIF, December 17, 2020. Disponible en xxxxx://xxxx.xxx/xxxxxxxxxxxx/0000/00/00/xxxx-xxx-xxxxx- standard-contractual-clauses-eu-us-digital-trade . En igual sentido: Xxxxx Xxxxxxxx, Xxxxx Xxxx, Xxxxxxxx Xxxxxxx, Standard contractual clauses for cross-border transfers of health data after Xxxxxxx XX, publicado en Journal of Law and the Biosciences, Volume 8, Issue 1, January-June 2021, xxxxx://xxx.xxx/00.0000/xxx/xxxx000.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 31
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
7.CUESTIONES PRÁCTICAS EN LA IMPLEMENTACIÓN Y EJECUCIÓN DE LAS CCM
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 32
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
7.1. Aspectos generales
Dada la multiplicidad xx xxxxx existentes en Iberoamérica, esta Guía se basa en los Estándares aprobados en el XV Encuentro de esta Red, que tuvo lugar en Santiago de Chile, Chile, el 22 xx xxxxx de 2017. También se han tenido en cuenta los trabajos realizados con el CIJ de la OEA para la modernización de los principios de privacidad elaborados por la citada organización, así como el RGPD y el Convenio 108 modernizado.
Las definiciones de las CCM están tomadas de los Estándares. Lo mismo puede decirse de las obligaciones sustantivas que dimanan de las CCM. Asimismo, se han consultado las cláusulas contractuales modelo aprobadas por la UE, así como los modelos propuestos por las autoridades de Nueva Zelanda.
A continuación, se indican las fuentes en las que se basan las cláusulas de las CCM:
Xxxxxxxx | Xxxxxx |
Cláusula 1.4 - Definiciones de las CCM | Art. 2 de los Estándares. La definición de anonimización se basa en el art. 4.3.b de los Estándares. Las definiciones de Importador de datos, de Transferencia Ulterior, xx Xxx Aplicable y xxx Xxxxxxx beneficiario no están en los Estándares. Se elaboró con base del contenido de las cláusulas modelo. |
Cláusula 6.1 - Principio de responsabilidad | Artículo 20 de los Estándares |
Cláusula 6.2 - Principio de finalidad | Artículo 17 de los Estándares |
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 33
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Cláusula 6.3 - Principio de Transparencia | Artículo 19 de los Estándares |
Cláusula 6.6 y 6.7 Principios de seguridad y confidencialidad | Clausula 8.7 de las CCM de la UE |
Cláusula 6.9 - Transferencias ulteriores | Clausula 8.7 de las CCM de la UE |
Cláusula 7 – Derechos del Titular | Artículos 24 a 28 de los Estándares |
Derecho a la indemnización | Artículo 44 de los Estándares |
Cláusula de acceso por parte de autoridades publicas | Cláusula contractual modelo de Nueva Zelanda |
Cláusula 6.1. del modelo Responsable- Encargado | Artículo 34 de los Estándares |
En consecuencia, como un primer paso recomendable para la adopción de las CCM, se sugiere confrontar los requerimientos establecidos en los Estándares con la normativa de cada Estado Miembro, ya que en caso de que esta última prevea requisitos adicionales, deberán incluirse previsiones complementarias en las CCM.
7.2. Características de las CCM. Forma de uso.
Los dos modelos de las CCM incluidas en el Anexo de esta Guía se caracterizan por lo siguiente:
• La CCM del Anexo contiene dos modelos para los distintos supuestos de TIDP de:
i) Responsable a Responsable y ii) de Responsable a Encargado.
• Se incluye una primera hoja o carátula donde se insertan todos los datos de las partes y del contrato y sus domicilios. La idea es que en principio no sea necesario modificar para nada el texto de las CCM.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 34
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
• Las CCM tienen varios anexos para identificar a las nuevas partes que se suman al contrato con posterioridad a su firma inicial por Importador y Exportador de datos (Anexo A), los datos personales involucrados en las transferencias y sus finalidades (Anexo B) las medidas de seguridad (Anexo C), el listado de sub encargados del tratamiento para el caso del segundo modelo (Anexo D) y la documentación legal adicional que las partes quieran incluir tales como avisos de privacidad o políticas de privacidad (Anexo E).
• Respecto al Anexo A, cada Parte nueva que se incorpora a las CCM debe firmar por separado un Anexo e indicar el tipo de actividad que realizará respecto a las TIDP.
• Respecto al anexo B, se debe poder distinguir claramente la información aplicable a cada transferencia o categoría de transferencias.
• Respecto al anexo C, se deben detallar las medidas de seguridad en forma precisa. No es posible incluir generalidades.
• Respecto al anexo D, se debe mencionar a los sub encargados para el caso que se haya optado por listarlos en forma previa.
Adicionalmente, se considera importante señalar que para el uso de las CCM deberán verificarse previamente los requisitos de la transferencia en el caso concreto, y, las características de las entidades o personas que las realizan, puesto que eventualmente las CCM podrían incorporar elementos adicionales dependiendo de dichos supuestos y los requerimientos regulatorios aplicables en cada uno de los países donde se lleve a cabo dicho tratamiento.
7.3. Posición de las partes. Incorporaciones de nuevas partes y uso del CCM con otros acuerdos. Modificaciones.
Si bien usualmente se hace alusión a cláusulas contractuales tipo o CCM, el término se refiere a un modelo completo de contrato que puede ser usado como está o modificado
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 35
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
en aspectos secundarios en tanto no se altere su esencia que es la protección de los derechos del Titular en conformidad con la normativa aplicable. Es posible entonces agregar estas CCM como anexo a un contrato que las partes vayan a firmar o hayan firmado, pero luego deberán ejecutar dichos modelos en forma efectiva para que sean válidos y tengan efecto.
Las Partes tienen discrecionalidad para incluir en un contrato más amplio dichas cláusulas contractuales tipo, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, alteren o modifiquen, directa o indirectamente, las cláusulas contractuales tipo ni perjudiquen los derechos fundamentales de los Titulares.
7.4. Ley aplicable a las TIDP
La implementación de las CCM tiene lugar cuando una entidad debe transferir datos a otra entidad que está localizada en otro país que no ha sido reconocido como país con nivel adecuado de protección por el país de origen. Las cláusulas contractuales tipo pueden utilizarse respecto de tales transferencias en la medida en que el Importador de datos esté en un país tercero distinto al del Exportador de datos.
En una situación normal, cada parte estaría sujeta en el procesamiento que hacen de los datos personales transferidos a las leyes de su respectivo país. Sin embargo, en materia de TIDP mediante CCM, la ley que resulta aplicable (definida en la CCM como “Ley aplicable”) es la xxx xxx xxxx o jurisdicción del Exportador de datos.
La exportación de información personal no puede convertirse en un escenario reductor del nivel de protección que se le confiere al Titular del dato en el país desde donde se exportan datos personales. Las TIDP no deben facilitar ni permitir la vulneración de los derechos de los Titulares ni la disminución de las garantías con que cuentan los Titulares
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 36
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
en el país exportador31. Esto se basa en la lógica que los datos son recopilados y procesados bajo la ley del Exportador de datos y cuando son transferidos al exterior a un país que ha sido reconocido como de nivel adecuado, resulta necesario preservar el nivel de tutela que los datos personales tienen en el país de origen.
7.5. Cumplimiento de las normas generales de protección de datos personales
Además de utilizar CCM para ofrecer garantías adecuadas en las transferencias internacionales de datos personales, el Exportador de datos tiene que cumplir las obligaciones generales que le incumben como Responsable o Encargado en virtud de la ley de protección de datos personales vigente en su jurisdicción.
Entre estas responsabilidades figuran la obligación del responsable de comunicar con claridad a los Titulares en su política de privacidad, la existencia de transferencias internacionales de sus datos personales a un tercer país que no tiene reconocido un nivel adecuado de protección.
Adicionalmente, es importante tomar en consideración que, en cumplimiento de deberes y principios y obligaciones en materia de protección de datos personales en el marco normativo de cada país, pueden existir requerimientos complementarios, como en el caso de México, que existe la obligación de comunicar el aviso de privacidad. Por lo que dichos requisitos que no se consideren en las CCM, deberán agregarse en los anexos correspondientes. Con la finalidad de cumplir con los principios de información y transparencia del tratamiento de los datos personales.
31 RIPD, Recomendaciones para el tratamiento de datos personales mediante servicios de computación en la nube, p. 15.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 37
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
7.6. Transferencias ulteriores
Si el Importador necesita transferir los Datos personales a otra entidad luego de recibir los datos del Exportador entonces se produce una Transferencia ulterior y resulta necesario continuar amparando los datos personales.
Las Transferencias ulteriores por parte del Importador de datos a un tercero en otro tercer país solo deben permitirse si dicho tercero se adhiere a las CCM de similar tenor y si la continuidad de la protección está garantizada de otro modo o en situaciones específicas contempladas en las CCM.
Vale la pena recordar que cada vez que se produce una Transferencia Ulterior en el sentido definido más arriba, se actualiza el supuesto de participación de un tercer actor que, al ser parte del tratamiento, adquiere responsabilidades en materia de protección de datos personales. En tal supuesto, la adición a las Cláusulas Contractuales Modelo sería necesaria, ya sea signando una nueva CCM en lo particular con el Importador de datos o mediante algún instrumento jurídico específico.
7.7. Terceros beneficiarios
En las CCM, el Titular es un Tercero beneficiario del contrato modelo firmado por las Partes. En caso de incumplimiento de los deberes contractuales por parte del Importador de datos, el Titular puede, en su carácter xx xxxxxxx beneficiario, reclamar al Importador o al Exportador de datos por dicho incumplimiento. Ello es así porque ambas Partes realizan una estipulación a favor del Titular32.
El principio xxx Xxxxxxx beneficiario está contemplado en la mayoría de los códigos de derecho privado de Iberoamérica. Así, entre otros, lo encontramos en los códigos civiles
32 La estipulación o contrato a favor xx xxxxxxx es un acuerdo por el cual un sujeto (denominado promitente) se obliga frente a otro (el llamado estipulante) a darle algo a un tercero (o beneficiario) o a hacer o no hacer algo a favor de dicho tercero, quien, aunque ajeno a este contrato, adquiere por el mismo los derechos allí mencionados.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 38
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
de Xxxxxxxxx (xxx. 0000 xxx Xxxxxx Xxxxx x Xxxxxxxxx xx xx Xxxxxx), Xxxxxxx (arts. 000 x 000 xxx Xxxxxx Xxxxx), Xxxxxx (arts. 000 x 000 xxx Xxxxxx Xxxxx), Xxxxx (art. Art. 1449 Código Civil), Colombia (art. 1506 del Código Civil), Xxxxx Xxxx (xxx. 0000 xxx Xxxxxx Xxxxx xx Xxxxx Xxxx), Xxxxxxx (art. 1465 Código Civil), Xx Xxxxxxxx (xxx. 0000 Xxxxxx Xxxxx), Xxxxxxxxx (art. 1531 Código Civil), Honduras (art. 740 Código de Comercio), México (arts. 1868-1871 del Código Civil Federal), Nicaragua (art. 1875 Código Civil), Xxxxxxxx (xxx. 000 xxx Xxxxxx Xxxxx), Xxxx (arts. 1457-1459 del Código Civil) y Uruguay (art. 1256 del Código Civil).
7.8. Responsabilidad demostrada
El art. 20 de los Estándares33 establece el principio de responsabilidad demostrada (“accountability”). La norma dispone que el responsable implementará los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en los Estándares, así como para rendir cuentas sobre el tratamiento de datos personales en su posesión al titular y a la autoridad de control, para lo cual podrá valerse de estándares, mejores prácticas nacionales o internacionales, esquemas de autorregulación, sistemas de certificación o cualquier otro mecanismo que determine adecuado para tales fines.
Entre los mecanismos que una de las partes del contrato podrá adoptar para cumplir con el principio de responsabilidad demostrada se encuentran, de manera enunciativa más no limitativa, los siguientes:
a. Destinar recursos para la instrumentación de programas y políticas de protección de datos personales.
b. Implementar sistemas de administración de riesgos asociados al tratamiento de datos personales.
c. Elaborar políticas y programas de protección de datos personales obligatorios y exigibles al interior de la organización del Importador.
33 Artículo 20 de los Estándares de protección de datos personales para los Estados Iberoamericanos (2017).
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 39
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
d. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones en materia de protección de datos personales.
e. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.
f. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales.
g. Establecer procedimientos para recibir y responder dudas y quejas de los titulares.
Lo anterior, aplicará cuando los datos personales sean tratados por parte de un Encargado a nombre y por cuenta del Responsable, así como al momento de realizar TIDP. La norma citada luego enumera una serie de mecanismos que tanto el Responsable como el Encargado, según el caso, deben implementar. Este principio de responsabilidad demostrada se aplica también a las transferencias internacionales de datos personales.
En igual sentido, las CCM establecen que las partes deben poder demostrar el cumplimiento de las cláusulas contractuales tipo. En particular, las CCM requieren al importador de datos que conserve la documentación que corresponda para las actividades de tratamiento bajo su responsabilidad y que informe al Exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las cláusulas.
7.9. Imposibilidad de cumplimiento del Importador
El Importador de datos debe informar al Exportador de datos si, tras haber suscripto las CCM, tiene motivos para creer que no podrá cumplir las cláusulas contractuales tipo. Si el Exportador de datos recibe tal comunicación o descubre de otro modo que el Importador de datos ya no puede cumplir las cláusulas contractuales tipo, debe determinar las medidas adecuadas para hacer frente a la situación, consultando, en su caso, a la autoridad de control competente.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 40
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Dichas medidas pueden consistir en medidas complementarias adoptadas por el Exportador y/o el Importador de datos, como medidas administrativas, físicas y técnicas para garantizar la seguridad y la confidencialidad. También podrá exigir al Exportador de datos que suspenda la transferencia si considera que no hay garantías adecuadas o si así lo dispone la Autoridad de control competente. Esta facultad está expresamente prevista en las CCM.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 41
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
GLOSARIO DE LA GUÍA
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 42
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
• Anonimización: la aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o re-identificación de una persona física sin esfuerzos desproporcionados.
• Autoridad de control competente: Autoridad de protección de datos personales del país del Exportador o del Importador de datos personales.
• Computación en la nube: modelo para habilitar el acceso a un conjunto de servicios computacionales (e.g. Redes, servidores, almacenamiento, aplicaciones y servicios) de manera conveniente y por demanda, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción con el proveedor del servicio.
• Consentimiento: manifestación de la voluntad, libre, específica, inequívoca e informada, del titular a través de la cual acepta y autoriza el tratamiento de los datos personales que le conciernen.
• Datos Personales: cualquier información concerniente a una persona física identificada o identificable, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.
• Datos personales sensibles: aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y xxxxxxx; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 43
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
• Decisiones ind0ividuales automatizadas: Decisiones que produzcan efectos jurídicos al Titular o le afecten de manera significativa y que se basen únicamente en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
• Encargado: prestador de servicios que, con el carácter de persona física o jurídica o autoridad pública, ajena a la organización del Responsable, trata datos personales a nombre y por cuenta de éste.
• Estándares: Estándares de Protección de Datos Personales para los Estados Iberoamericanos aprobados por la RIPD en 2017.
• Exportador de datos: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en territorio de un Estado que efectúe transferencias internacionales de datos personales, conforme a lo dispuesto en los presentes Estándares.
• Importador de datos: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en un tercer país que recibe datos personales de un Exportador de datos mediante una transferencia internacional de datos personales.
• Ley Aplicable: es la ley de protección de datos personales de la jurisdicción del Exportador de datos.
• Medidas administrativas, físicas y técnicas: medidas destinadas a evitar el daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los Datos personales aun cuando ocurra de manera accidental, suficientes para garantizar la confidencialidad, integridad y disponibilidad de los Datos personales.
• Responsable: persona física o jurídica de carácter privado, autoridad pública, servicios u organismo que, solo o en conjunto con otros, determina los fines,
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 44
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
medios, alcance y demás cuestiones relacionadas con un tratamiento de datos personales.
• Sub encargado: cuando un Encargado del tratamiento recurre a otro Encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable.
• Terceros beneficiarios: Titular cuyos datos personales son objeto de una transferencia internacional en virtud del presente Acuerdo. El Titular es un tercero beneficiario de los derechos dispuestos en su favor en las CCM y por ende puede ejercer los derechos que las CCM le reconoce, aunque no haya suscripto el contrato modelo entre las partes.
• Titular: persona física a quien le conciernen los datos personales.
• Transferencia ulterior: Transferencia de datos realizada por el Importador de datos a un tercero situados fuera de la jurisdicción del Exportador de datos que cumple las garantías establecidas en las CCM.
• Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos físicos o automatizados realizadas sobre datos personales, relacionadas, de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.
• Vulneración de la seguridad de datos personales: cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 45
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
SIGLAS UTILIZADAS
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 46
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
APD Autoridad de Protección de Datos o Autoridad de Control.
Estándares Estándares de Protección de Datos Personales para los Estados Iberoamericanos aprobados por la RIPD en 2017.
CEN Computación en la nube.
CIJ Comité Jurídico Interamericano.
CCM Cláusulas contractuales modelo.
OEA Organización de Estados Americanos.
NCV Normas corporativas vinculantes.
RGPD Reglamento General de Protección de Datos o RGPD REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 xx xxxxx de
2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
RIPD Red Iberoamericana de Protección de Datos. PSCEN Proveedor de servicios de computación en la nube. TDP Tratamiento de datos personales.
TIDP Transferencia internacional de datos personales. UE Unión Europea.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 47
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
DOCUMENTOS CONSULTADOS
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 48
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Referencia de países (orden alfabético)
▪ Argentina
x Xxx 25.326, Art. 12 ley n. 25.326 de protección de datos personales, art. 12 del decreto reglamentario n. 1558/2001
o Disposición 60/2016 de la Dirección Nacional de Protección de Datos Personales. Disponible en: xxxx://xxxxxxxxx.xxxxxxx.xxx.xx/xxxxxxxXxxxxxxx/xxxxxx/000000- 269999/267922/texact.htm
▪ Brasil
o Arts. 33 a 35 de la LGPD.
o xxxx://xxx.xxxxxxxx.xxx.xx/xxxxxx_00/_xxx0000- 2018/2018/lei/L13709compilado.htm
▪ Cabo Verde
o Art. 20, Ley nº 41/VIII/2013, de 17 de septiembre, de Protección de Datos Personales de las Personas Físicas.
o xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/0000-00/Xxx-x-00-XXXX-0000- regime-juridico-geral-de-proteccao-de-dados-pessoais-das-pessoas- singulares.pdf
▪ Colombia
o Art. 26 de la Ley Estatutaria 1581 de 2012.
o Art 25 del Decreto 1377 de 2013 (Contrato de transmisión de datos personales)
o xxxxx://xxxxxxxxxx.xxxxxx.xxx.xx/xxxxxx/xxxx/xxx_0000_0000.xxx
o SIC, Guía para la implementación del principio de responsabilidad demostrada en las transferencias internacionales de datos personales
o Disponible en
https://xxx.xxx.xxx.xx/sites/default/files/files/2021/2021%20Gu%C3%A
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 49
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Das%20para%20implementaci%C3%B3n%20del%20principio%20de%20r esponsabilidad%20demostrada%202021.pdf
o SIC, Guía para la Implementación del Principio de Responsabilidad Demostrada (Accountability)
o Disponible en:
o xxxxx://xxx.xxx.xxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxx/Xxxxxxxxxxxxx/Xxxx- Accountability.pdf
▪ Ecuador
o Arts. 55 a 61 de la Ley Orgánica de Protección de Datos Personales.
o xxxxx://xxx.xxxxxxxxxxxxxxxxxx.xxx.xx/xx- content/uploads/2021/06/Ley-Organica-de-Datos-Personales.pdf
▪ México
o Arts. 36 y 37 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Publicada en el Diario Oficial de la Federación el 5 de julio de 2010 disponible en el siguiente vínculo electrónico: xxxx://xxx.xxx.xx/xxxx_xxxxxxx.xxx?xxxxxxx0000000&xxxxxx00/00/000 0, sin reformas; texto consolidado en formato de documento portable, pdf por sus siglas en inglés, por parte de la Cámara de Diputados del H. Congreso de la Unión, en el siguiente vínculo electrónico: xxxx://xxx.xxxxxxxxx.xxx.xx/XxxxxXxxxxx/xxx/XXXXXXX.xxx.).
o Arts. 67 al 76 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Publicado en el Diario Oficial de la Federación el 21 de diciembre de 2011, disponible en el siguiente vínculo electrónico: xxxx://xxx.xxx.xx/xxxx_xxxxxxx.xxx?xxxxxxx0000000&xxxxxx00/00/000 1; sin reformas; texto consolidado en formato de documento portable, pdf por sus siglas en inglés, por la Cámara de Diputados del H. Congreso de la Unión, disponible en el vínculo siguiente:
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 50
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
xxxx://xxx.xxxxxxxxx.xxx.xx/XxxxxXxxxxx/xxxxxx/Xxx_XXXXXXX.xxx; enlaces consultados por última vez el 06/10/2021).
o Arts. 65 al 71 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados(Publicada en el Diario Oficial de la Federación el 26 de enero de 2017, disponible en el siguiente vínculo electrónico: xxxx://xxx.xxx.xx/xxxx_xxxxxxx.xxx?xxxxxxx0000000&xxxxxx00/00/000 7 , sin reformas; texto consolidado en formato de documento portable, pdf por sus siglas en inglés, por parte de la Cámara de Diputados del H. Congreso de la Unión, en el vínculo siguiente: xxxx://xxx.xxxxxxxxx.xxx.xx/XxxxxXxxxxx/xxx/XXXXXXXX.xxx).
o Artículos 108 al 118 de los Lineamientos Generales de Protección de Datos Personales para el Sector Público (Publicados en el Diario Oficial de la Federación el 26 de enero de 2018 disponible en los siguientes vínculos electrónicos: xxxxx://xxx.xxx.xxx.xx/xxxx_xxxxxxx.xxx?xxxxxxx0000000&xxxxxx00/ 01/2018 y xxxx://xxxxxx.xxxx.xxx.xx/XxxxxxxxXxxXxxxx/XXX-XXX-00-00- 2017.10.pdf, modificados por última vez el 25 de noviembre de 2020, disponible en el vínculo electrónico: xxxxx://xxx.xxx.xxx.xx/xxxx_xxxxxxx.xxx?xxxxxxx0000000&xxxxxx00/ 11/2020, xxx.xxx.xxx.xx/0000/XXXX/XXX-XXX-00-00-0000-00.xxx, xxxxx://xxxx.xxxx.xxx.xx/xx- content/documentos/AcuerdosDelPleno/ACT-PUB-11-11-2020.05.pdf).
Nota: Se incorporan las disposiciones legales específicas en torno a transferencias, no obstante, a fin de señalar el contexto completo de los requerimientos de transferencias en protección de datos personales la referencia debería ampliarse con artículos adicionales y normatividad complementaria.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 51
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
▪ Nicaragua
o Art.14 de la Ley nº 787, Ley de Protección de Datos Personales.
o xxxx://xxxxxxxxxxx.xxxxxxxx.xxx.xx/Xxxxxxxx.xxx/xxXxxxx.xxx?xxxxxx ntId=E5D37E9B4827FC06062579ED0076CE1D&action=openDocument
▪ Nueva Zelanda
o Comisionado de privacidad de Nueva Zelanda, Model contract clauses for sending personal information overseas. Disponible en xxxxx://xxx.xxxxxxx.xxx.xx/xxxxxxxxxxxxxxxx/xxxxxxxxxx-xxxxxxxx- information-outside-new-zealand/
▪ Panamá
o Arts. 5 y 33, Ley nº 81, de 26 xx xxxxx de 2019, sobre Protección de Datos Personales.
o Arts. 51 a 53 del Decreto ejecutivo n. 285 del 18 xx xxxx de 2021, (disponible en
xxxxx://xxx.xxxxxxxxxxxxx.xxx.xx/xxxXxxx/00000_X/XxxxxxXx_00000x
_20210528.pdf).
▪ Perú
o Art. 15 de la Ley N° 29.733. Ley de Protección de Datos Personales. Publicada en Julio de 2011.
o xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/xxxxxx-xxxxx/Xxx-00000.xxx
▪ República Democrática de Xxxxx Xxxx y Príncipe
o Arts. 19 y 20, Ley 3/2016, de 2 xx xxxx de Protección de Datos Personales de las Personas Físicas.
o xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/0000-00/xxx-0-0000- proteccao-de-dados-pessoais.pdf
▪ República Dominicana
o Art. 80 de la Ley Nº 172-13, de 13 de diciembre de 2013, sobre Protección de Datos de Carácter Personal.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 52
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
o xxxxx://xxxxxxx.xxx.xx/xxxxx/0000/xxx_000_00.xxx
▪ Xxxxx Unido
o Standard Contractual Clauses (SCCs) after the transition period ends, disponible en xxxxx://xxx.xxx.xx/xxx-xxxxxxxxxxxxx/xxxxx-xx-xxxx- protection/guide-to-the-general-data-protection-regulation- gdpr/international-transfers-after-uk-exit/sccs-after-transition-period/
o UK Standard contractual clauses
o xxxxx://xxx.xxx.xx/xxxxx/xxx-xxxxxxxxxxxxx/xxxxxxxxx/0000000/xx-xxxx- c-p-202107.docx
o xxxxx://xxx.xxx.xx/xxxxx/xxx-xxxxxxxxxxxxx/xxxxxxxxx/0000000/xx-xxxx- c-c-202107.docx
▪ Uruguay
o Art. 23 de la Ley N° 18.331 de Protección de Datos Personales
o Resolución N° 4/019, de 12 xx xxxxx de 2019.
o Resolución N° 41/021, de 8 de setiembre de 2021. Disponible en xxxxx://xxx.xxx.xx/xxxxxx-xxxxxxxxxx-xxxxxxx-xxxxx- personales/comunicacion/noticias/cambios-regimen-transferencias- internacionales-datos-uruguay
Referencia de algunas organizaciones (orden alfabético)
▪ Consejo de Europa
Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 53
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
▪ Comité Europeo de Protección de Datos (EDPB)
Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data Adopted on 10 November 2020. Disponible en
xxxxx://xxxx.xxxxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxxxxxxxx/xxxx_xxxxxxxxxxxxxxx_00 2001_supplementarymeasurestransferstools_en.pdf
▪ MERCOSUR
MERCOSUR/CMC/DEC. Nº 15/20, Disponible en xxxxx://xxxxxx.xxxxxxxx.xxx/xxxxxx/xxxxxxxxxx/0000 xxxxx://xxxxxx.xxxxxxxx.xxx/xxxxxxxx/xxxxxxxxxx/00000_XXX_000- 2020_ES_Acuerdo%20Comercio%20Electronico.pdf
▪ Organización de Estados Americanos
o OEA, Principios Actualizados sobre la Privacidad y la Protección de Datos Personales, con Anotaciones (CJI/RES. 266 (XCVIII-O/21)).
o xxxx://xxx.xxx.xxx/xx/xxx/xxx/xxxxxxxxxx_xxxxx_xxxxxxxxxx_Xxxxxxxx_Xxxx ales_CJI.asp
▪ Red Iberoamericana de Protección de Datos
o Red Iberoamericana de Protección de Datos -RIPD- (2017). Estándares de protección de datos personales para los Estados Iberoamericanos. Disponibles en:
xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/xxxxxx- files/Estandares_Esp_Con_logo_RIPD.pdf
o RIPD, Declaración xx Xxxxxxxxx de Indias, mayo de 2004, punto III - “Las transferencias internacionales de datos. Perspectivas europeas e iberoamericanas” en
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 54
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/xxxxxx- files/declaracion_2004_III_encuentro_es.pdf
o RIPD, XVIII Encuentro Iberoamericano de Protección de Datos, xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/0000-00/xxxxxxxxxxx-xxxxx-xxxxx- encuentro.pdf
o RIPD, Reglamento de la Red Iberoamericana de Datos Personales, xxxxx://xxx.xxxxxx.xxx/xxxxx/xxxxxxx/xxxxx/0000-00/xxxxxxxxxx-xxxx.xxx
▪ Unión Europea
o Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L
281 de 23.11.1995, p. 31). Disponible en xxxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/ES/TXT/?uri=OJ%3AL%3A1995%3A281%3ATOC
o Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, DO L 119 de 4.5.2016, p. 1. Disponible en:
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/ES/TXT/?uri=OJ%3AL%3A2016%3A119%3ATOC
o DECISIÓN DE EJECUCIÓN (UE) 2021/914 DE LA COMISIÓN de 4 xx xxxxx de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. Disponibles en:
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 55
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
xxxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/ES/TXT/HTML/?uri=CELEX:32021D0914&from=EN#ntr2-
L_2021199ES.01003701-E0002
o Decisión 2001/497/CE de la Comisión, de 15 xx xxxxx de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo. Disponible en xxxxx://xxx-xxx.xxxxxx.xx/xxxxx- content/ES/TXT/?uri=OJ%3AL%3A2010%3A039%3ATOC
o DECISIÓN DE EJECUCIÓN (UE) 2021/914 DE LA COMISIÓN de 4 xx xxxxx de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. Disponible en xxxxx://xxx- xxx.xxxxxx.xx/xxxxx- content/ES/TXT/HTML/?uri=CELEX:32021D0914&from=EN#ntr2-
L_2021199ES.01003701-E0002
o Sentencia del Tribunal de Justicia de la UE, sentencia del 16 de julio de 2020 en el asunto C-311/18, Data Protection Commissioner/Facebook Ireland Ltd y Xxxxxxxxxxx Xxxxxxx (“Xxxxxxx II”), ECLI:EU:C:2020:559.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 56
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
ANEXOS
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 57
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
MODELOS DE CLÁUSULAS CONTRACTUALES
Contenido
Pág. | |
• Acuerdo modelo de transferencia internacional de datos personales entre responsable y responsable | 58 |
• Acuerdo modelo de transferencia internacional de datos personales entre responsable y encargado | 85 |
NOTA: La utilización de estas cláusulas modelo requiere previamente leer la Guía explicativa respectiva a fin de identificar su uso sugerido y alcance del documento. Es exclusiva responsabilidad de quien realiza el tratamiento de datos personales el acreditar el cumplimiento de los requisitos regulatorios respectivos o acudir con la autoridad o autoridades de protección de datos personales que resulten competentes para confirmar su uso adecuado.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 58
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
ACUERDO MODELO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES ENTRE RESPONSABLE Y RESPONSABLE
CARÁTULA
Las Partes del Contrato han acordado el presente Acuerdo basado en cláusulas contractuales modelo (en lo sucesivo, “cláusulas contractuales modelo” el “Acuerdo”).
Exportador de datos
Nombre completo: [Nombre del Exportador de datos] Domicilio: [Domicilio del Exportador de datos] Contacto: [Datos de contacto del Exportador de datos]
Ley Aplicable: [Ley vigente de protección de datos del país Exportador de datos]
Autoridad de control competente: [Autoridad de protección de Datos personales del país del Exportador de datos]
Importador de datos
Nombre completo: [Nombre del Importador de datos] Domicilio: [Domicilio del Importador de datos] Contacto: [Datos de contacto del Importador de datos]
Fecha de firma: Firmado en [Ciudad, País], el [MM/DD/AAAA]
Firma del Exportador de datos: Firma del Importador de datos:
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 59
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
ACUERDO MODELO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES ENTRE RESPONSABLE Y RESPONSABLE
Las Partes del Contrato han acordado el presente Acuerdo basado en cláusulas contractuales modelo:
SECCIÓN I: CUESTIONES GENERALES
Cláusula 1. Finalidad, partes, ámbito de aplicación y definiciones
1.1. Finalidad
La finalidad de las presentes cláusulas contractuales modelo es garantizar y facilitar el cumplimiento de los requisitos previstos por la Ley aplicable para la transferencia internacional de Datos personales, a fin de cumplir los principios y deberes en la protección de los Datos personales y los derechos de los Titulares.
a) Cualquier interpretación del presente Acuerdo deberá tener en cuenta estos fines.
1.2. Partes del contrato
a) Las Partes del contrato son el Exportador de datos y el Importador de datos.
b) El presente Acuerdo permite la incorporación de importadores o exportadores adicionales como Partes mediante el formulario del Anexo A siguiendo el procedimiento previsto en la cláusula 5.
1.3. Ámbito de aplicación
a) El presente Acuerdo se aplicará a las transferencias internacionales de Datos personales realizadas entre el Exportador de datos y el Importador de datos de conformidad con las especificaciones del Anexo B.
b) Todos los anexos forman parte del presente Acuerdo.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 60
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
1.4. Definiciones
a) Los términos definidos se identifican en este Acuerdo con su inicial en mayúscula.
b) A los fines del presente Acuerdo se entenderá por:
▪ Acuerdo: el presente contrato de transferencia internacional de Datos personales basado en las cláusulas contractuales modelo junto con su caratula y sus anexos.
▪ Anonimización: la aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o re-identificación de una persona física sin esfuerzos desproporcionados.
▪ Autoridad de control competente: Autoridad de protección de datos personales del país del Exportador o del Importador de datos personales.
▪ Computación en la nube: modelo para habilitar el acceso a un conjunto de servicios computacionales (e.g. Redes, servidores, almacenamiento, aplicaciones y servicios) de manera conveniente y por demanda, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción con el proveedor del servicio.
▪ Consentimiento: manifestación de la voluntad, libre, específica, inequívoca e informada, del titular a través de la cual acepta y autoriza el tratamiento de los datos personales que le conciernen.
▪ Datos Personales: cualquier información concerniente a una persona física identificada o identificable, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.
▪ Datos personales sensibles: aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico;
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 61
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
creencias o convicciones religiosas, filosóficas y xxxxxxx; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.
▪ Decisiones individuales automatizadas: Decisiones que produzcan efectos jurídicos al Titular o le afecten de manera significativa y que se basen únicamente en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
▪ Encargado: prestador de servicios que, con el carácter de persona física o jurídica o autoridad pública, ajena a la organización del Responsable, trata datos personales a nombre y por cuenta de éste.
▪ Estándares: Estándares de Protección de Datos Personales para los Estados Iberoamericanos aprobados por la RIPD en 2017.
▪ Exportador de datos: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en territorio de un Estado que efectúe transferencias internacionales de datos personales, conforme a lo dispuesto en los presentes Estándares.
▪ Importador de datos: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en un tercer país que recibe datos personales de un Exportador de datos mediante una transferencia internacional de datos personales.
▪ Ley Aplicable: es la ley de protección de datos personales de la jurisdicción del Exportador de datos.
▪ Medidas administrativas, físicas y técnicas: medidas destinadas a evitar el daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los Datos personales aun cuando ocurra de manera accidental,
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 62
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
suficientes para garantizar la confidencialidad, integridad y disponibilidad de los Datos personales.
▪ Responsable: persona física o jurídica de carácter privado, autoridad pública, servicios u organismo que, solo o en conjunto con otros, determina los fines, medios, alcance y demás cuestiones relacionadas con un tratamiento de datos personales.
▪ Sub encargado: cuando un Encargado del tratamiento recurre a otro Encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable.
▪ Terceros beneficiarios: Titular cuyos datos personales son objeto de una transferencia internacional en virtud del presente Acuerdo. El Titular es un tercero beneficiario de los derechos dispuestos en su favor en las CCM y por ende puede ejercer los derechos que las CCM le reconoce, aunque no haya suscripto el contrato modelo entre las partes.
▪ Titular: persona física a quien le conciernen los datos personales.
▪ Transferencia ulterior: Transferencia de datos realizada por el Importador de datos a un tercero situados fuera de la jurisdicción del Exportador de datos que cumple las garantías establecidas en las CCM.
▪ Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos físicos o automatizados realizadas sobre datos personales, relacionadas, de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.
▪ Vulneración de la seguridad de datos personales: cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 63
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Cláusula 2. Efectos e invariabilidad de las cláusulas
2.1. Modificación de las cláusulas modelo. Límites
El presente Acuerdo basado en cláusulas contractuales modelo establece garantías adecuadas para el Titular en relación con las transferencias de sus datos, de Responsable(s) a Responsable(s), siempre que las Cláusulas no se modifiquen en su esencia respecto al modelo original, salvo para completar la carátula y los anexos. Esto no es óbice para que las Partes incluyan en un contrato más amplio las cláusulas contractuales modelo, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, a las presentes cláusulas contractuales modelo ni perjudiquen los derechos del Titular
2.2. Jerarquía con la Ley Aplicable. Interpretación
a) El presente Acuerdo deberá leerse e interpretarse con arreglo a las disposiciones de la Ley aplicable.
b) Las Partes podrán añadir nuevas definiciones de términos, resguardos y garantías adicionales en las presentes cláusulas modelo cuando ello resulte necesario para cumplir con la Ley aplicable y siempre y cuando ello no suponga un detrimento a las protecciones otorgadas por las cláusulas modelo.
c) El presente Acuerdo no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en la Ley aplicable.
d) El presente Acuerdo se entiende sin perjuicio de las obligaciones a las que esté sujeto el Exportador de datos en virtud de su legislación o de la Ley aplicable.
2.3. Jerarquía con otros acuerdos
En caso de contradicción entre el presente Acuerdo y las disposiciones de acuerdos conexos entre las Partes se establece que las cláusulas del presente Acuerdo prevalecerán.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 64
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Cláusula 3. Terceros beneficiarios
Los Titulares podrán invocar, como Terceros beneficiarios, las cláusulas del presente Acuerdo contra el Exportador de datos y/o el Importador de datos y exigirles su cumplimiento.
Cláusula 4. Descripción de la transferencia o transferencias, y sus finalidades
Los detalles y características de la transferencia o las transferencias y, en particular, las categorías de Datos personales que se transfieren y las finalidades para los que se transfieren se detallan en el Anexo B del presente Acuerdo.
Cláusula 5. Cláusula de incorporación
a) Las Partes aceptan que cualquier entidad que no sea parte en el presente Acuerdo podrá, previo consentimiento de todas las Partes intervinientes, adherirse al presente Acuerdo en cualquier momento, ya sea como Exportador de datos o como Importador de datos, firmando el modelo del Anexo A, y completando los demás Anexos si corresponde.
b) Cuando haya firmado el Anexo A y completado los demás anexos en caso de que corresponda, la entidad que se adhiera se considerará Parte del presente Acuerdo y tendrá los derechos y obligaciones de un Exportador de datos o un Importador de datos, según la categoría en la que se haya adherido al Acuerdo según lo indicado en el Anexo A.
c) La entidad que se sume al Acuerdo no adquirirá derechos y obligaciones del presente Acuerdo derivados del período anterior a su adhesión.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 65
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
SECCIÓN II: OBLIGACIONES DE LAS PARTES
Cláusula 6. Garantías en materia de protección de datos
6.1. Principio de responsabilidad
a) El Exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el Importador de datos puede, aplicando Medidas administrativas, físicas y técnicas adecuadas, cumplir las obligaciones que le atribuye el presente Acuerdo.
b) El Importador de datos implementará los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en el presente Acuerdo, así como rendirá cuentas sobre el tratamiento de Datos personales en su posesión al Titular y a la Autoridad de control competente
c) El Importador de datos revisará y evaluará permanentemente los mecanismos que para tal afecto adopte voluntariamente para cumplir con el principio de responsabilidad, con el objeto de medir su nivel de eficacia en cuanto al cumplimiento del presente Acuerdo.
6.2. Principio de finalidad
a) El Importador de datos no podrá tratar los Datos personales objeto de este Acuerdo para finalidades distintas a aquéllas indicadas en el Anexo B.
b) Solo podrá tratar los Datos personales con otros fines:
• cuando haya recabado el consentimiento previo del Titular
• cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos
▪ cuando el tratamiento sea necesario para proteger intereses vitales del Titular o de otra persona física.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 66
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
6.3. Transparencia
a) A fin de que los Titulares puedan ejercer de forma eficaz los derechos que les otorga este Acuerdo, el Importador de datos les informará, directamente o a través del Exportador de datos:
i) de su identidad y datos de contacto;
ii) de las categorías de Datos personales procesados y sus finalidades;
iii) del derecho a solicitar en forma gratuita una copia del presente Acuerdo;
iv) cuando tenga la intención de realizar Transferencias ulteriores de los Datos personales a terceros, del destinatario o de las categorías de destinatarios y su finalidad.
b) Lo dispuesto no será de aplicación cuando el Titular ya disponga de la información o cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado para el Importador de datos.
c) En caso de que se solicite una copia del Acuerdo, las Partes podrán excluir aquellas secciones o anexos del Acuerdo que tengan secretos comerciales u otro tipo de información confidencial tales como Datos personales de terceros o información reservada en términos de la normatividad de las Partes.
6.4. Exactitud y minimización de datos
a) Las Partes se asegurarán de que los Datos personales sean exactos y, cuando proceda, estén actualizados. El Importador de datos adoptará todas las medidas razonables para que se supriman o rectifiquen sin dilación los Datos personales que sean inexactos con respecto a los fines para los que se tratan.
b) Si una de las Partes tiene conocimiento de que los Datos personales que ha transferido o recibido son inexactos o han quedado obsoletos, informará de ello a la otra parte sin dilación indebida.
c) El Importador de datos se asegurará de que los Datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 67
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
6.5. Limitación del plazo de conservación
a) El Importador de datos no conservará los Datos personales más tiempo del necesario para los fines para los que se procesen.
b) El Importador de datos establecerá las medidas administrativas, físicas y técnicas adecuadas para garantizar el cumplimiento de esta obligación, tales como la supresión o Anonimización de los datos y de todas las copias de seguridad al finalizar el período de conservación.
6.6. Principio de Seguridad
a) El Importador de datos y, durante la transferencia, también el Exportador de datos establecerán y mantendrán Medidas de carácter administrativo, físico y técnico suficientes para garantizar la confidencialidad, integridad y disponibilidad de los Datos personales objeto de este Acuerdo.
Para la determinación de las medidas de seguridad, el Importador de datos considerará los siguientes factores:
i) El riesgo para los derechos y libertades de los Titulares. en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los Datos personales tratados para una tercera persona no autorizada para su posesión.
ii) El estado de la técnica.
iii) Los costos de aplicación.
iv) La naturaleza de los Datos personales tratados, en especial si se trata de Datos personales sensibles.
v) El al4cance, contexto y las finalidades del tratamiento.
vi) Las posibles consecuencias que se derivarían de una vulneración para los titulares.
vii) Las vulneraciones previas ocurridas en el tratamiento de Datos personales.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 68
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
b) Las Partes han acordado las Medidas administrativas, físicas y técnicas que figuran en el Anexo C al presente Acuerdo para los Datos personales objeto de la transferencia internacional.
c) El Importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
6.7. Vulneración a la seguridad de los datos personales
a) En caso de Vulneración de la seguridad de los datos personales tratados por el Importador de datos en virtud del presente Acuerdo, el Importador de datos adoptará las medidas adecuadas para ponerle remedio y para mitigar los posibles efectos negativos.
b) El Importador de datos documentará todos los hechos pertinentes relacionados con la vulneración de la seguridad de los datos personales, como sus efectos y las medidas correctivas adoptadas, y llevará un registro de las mismas.
c) Cuando alguna de las Partes tenga conocimiento de una Vulneración de seguridad de datos, notificará a la otra Parte, a la Autoridad de control competente y a los Titulares afectados dicho acontecimiento, sin dilación alguna y a mas tardar dentro de un plazo no mayor a cinco (5) días.
d) La notificación que se realice en virtud del párrafo anterior estará redactada en un lenguaje claro y sencillo. La referida notificación contendrá, al menos, la siguiente información:
i) La naturaleza del incidente.
ii) Los Datos personales comprometidos.
iii) Las acciones correctivas realizadas de forma inmediata.
iv) En el caso de la notificación al Titular, las recomendaciones a estos sobre las medidas que éste pueda adoptar para proteger sus intereses.
v) Los medios disponibles al Titular para obtener mayor información al respecto.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 69
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
e) En la medida en que el Importador de datos no pueda proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin más dilaciones indebidas.
f) La notificación a los Titulares no será necesaria cuando dicha notificación suponga un esfuerzo desproporcionado. En este caso, el Importador de datos realizará una comunicación pública o adoptará una medida semejante para informar al público de la Vulneración de seguridad de dato.
6.8. Tratamiento bajo la autoridad del Importador de datos y principio de confidencialidad
a) El Importador de datos se asegurará de que las personas que actúen bajo su autoridad solo traten los datos siguiendo instrucciones del Importador de datos, y establecerá controles o mecanismos para que quienes intervengan en cualquier fase del tratamiento de los datos personales mantengan y respeten la confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el Exportador de datos.
b) El Importador de datos garantizará que las personas autorizadas para tratar los Datos personales se hayan comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza legal.
6.8. Tratamiento de Datos personales sensibles
a) En la medida que la transferencia incluya Datos personales sensibles, el Importador de datos aplicará restricciones específicas y garantías adicionales adaptadas a la naturaleza específica de los datos y el riesgo especial de que se trate.
b) Estas medidas pueden consistir en, por ejemplo, la reducción del personal autorizado a acceder a los Datos personales, acuerdos de confidencialidad
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 70
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
especiales, medidas de seguridad adicionales (como la Anonimización) y/o restricciones adicionales con respecto a la comunicación ulterior.
c) En la medida que la transferencia incluya Datos personales concernientes a niñas, niños y adolescentes, las Partes privilegiarán la protección del interés superior de éstos, conforme a la Convención sobre los Derechos del Niño y demás instrumentos internacionales.
6.9. Transferencias ulteriores
a) El Importador de datos solo podrá comunicar los Datos personales a terceros situados fuera de la jurisdicción del Exportador de datos si el tercero está vinculado por el presente Acuerdo o consiente someterse a este. De no ser así, el Importador de datos solo podrá efectuar una Transferencia ulterior solamente si:
(i) Para el caso que la Ley Aplicable así lo disponga, esta transferencia ulterior va dirigida a un país que ha sido objeto de una declaración de adecuación de su nivel de protección de datos personales con arreglo a lo dispuesto en la Ley Aplicable, siempre que tal declaración cubra la Transferencia ulterior;
(ii) el tercero destinatario de la Transferencia ulterior aporta de algún modo garantías adecuadas, con arreglo a lo dispuesto en la Ley aplicable, respecto a los Datos personales sujetos a la Transferencia ulterior;
(iii) el tercero suscribe un instrumento vinculante con el Importador de datos que garantice el mismo nivel de protección de datos que el del presente Acuerdo, y el Importador de datos entrega una copia de estas garantías al Exportador de datos;
(iv) la Transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 71
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
(v) si es necesario para proteger intereses vitales del Titular o de otra persona física; o
(vi) de no concurrir las demás condiciones, el Importador de datos ha recabado el Consentimiento expreso del Titular para una Transferencia ulterior en una situación específica, tras haberle informado de su finalidad, de la identidad del destinatario y de los posibles riesgos de dicha transferencia para el Titular debido a la falta de garantías adecuadas en materia de protección de datos. En este caso, el Importador de datos informará al Exportador de datos y, a pedido de éste, le remitirá una copia de la información proporcionada al Titular.
b) Toda Transferencia ulterior estará sujeta a que el Importador de datos adopte las demás garantías previstas en el presente Acuerdo y, en particular cumpla con el principio de finalidad.
6.10. Documentación y cumplimiento
a) Las Partes deberán poder demostrar el cumplimiento de las obligaciones derivadas del presente Acuerdo.
b) En particular, el Importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen bajo su responsabilidad, que pondrán a disposición del Exportador de Datos y en su caso de la Autoridad de control competente previa solicitud.
Cláusula 7. Derechos del Titular
a) El Importador de datos, en su caso con la asistencia del Exportador de datos, tramitará, de forma gratuita y sin dilación indebida y a más tardar en un plazo de quince días hábiles, salvo que la normatividad aplicable señale un tiempo menor, desde la recepción de la consulta o solicitud, las consultas y solicitudes que reciba
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 72
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
de Titulares en relación con el tratamiento de sus Datos personales y el ejercicio de los derechos que les otorga el presente Acuerdo.
b) El Importador de datos adoptará medidas adecuadas para facilitar dichas consultas y solicitudes y el ejercicio de los derechos de los Titulares. Toda la información que se proporcione a los Titulares deberá ser inteligible y de fácil acceso, con un lenguaje claro y sencillo.
c) En particular, el Titular tendrá derecho a:
(i) solicitar confirmación de la existencia del tratamiento de sus Datos personales, acceder a sus Datos personales que obren en posesión del Importador de datos, incluyendo copia completa de estos, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento, incluyendo entre otras información sobre las categorías de datos procesados, la finalidad del tratamiento, el período de retención de los datos (o el criterio para determinarlo), las Transferencias ulteriores, incluyendo los destinatarios y la finalidad de las mismas, e información sobre el derecho a presentar un reclamo ante la Autoridad de control competente;
(ii) obtener del Importador de datos la rectificación o corrección de sus Datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados;
(iii) solicitar la cancelación o supresión de sus Datos personales de los archivos, registros, expedientes y sistemas del Importador de datos, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este último, cuando los datos han sido tratados en contravención de los derechos de Terceros beneficiarios que deriven de este Acuerdo, o si el Titular retira el consentimiento en que se basa el tratamiento;
(iv) oponerse al tratamiento de sus Datos personales cuando el tratamiento de sus Datos personales tenga por objeto la mercadotecnia directa,
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 73
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
incluida la elaboración de perfiles, en la medida que esté relacionada con dicha actividad.
(v) solicitar y acceder al Acuerdo firmado entre el Importador de Datos y el Exportador de Datos, eliminando la información confidencial de terceros ajenos y reservada de acuerdo con la normativa del Importador de Datos.
7.1 Limitaciones en el ejercicio de derechos
a) El Importador de datos podrá denegar la solicitud de un Titular cuando ello esté permitido con arreglo al derecho del país de destino y sea necesario y proporcionado en una sociedad democrática para salvaguardar importantes objetivos de interés público general o los derechos y libertades de las personas.
b) Si el Importador de datos pretende denegar la solicitud de un Titular, le informará de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la Autoridad de control competente o de ejercitar una acción judicial.
7.2 Derecho a no ser objeto de Decisiones individuales automatizadas
a) El Importador de datos no tomará una Decisión individual automatizada con respecto a los Datos personales transferidos.
b) Lo dispuesto en el párrafo anterior no resultará aplicable cuando (i) esté autorizado por la xxx xx xxxx del Importador de datos que garantice medidas adecuadas para la salvaguarda de los derechos del Titular, o (ii) se base en el consentimiento demostrable del Titular.
c) Cuando el tratamiento de datos esté autorizado por una norma legal o el Titular hubiere manifestado su consentimiento, el Titular tendrá derecho a (i) recibir una explicación sobre la decisión tomada; (ii) ser oído y expresar su punto de vista e impugnar la decisión, y (iii) obtener la intervención humana.
d) El responsable no podrá llevar a cabo tratamientos automatizados de datos personales que tengan como efecto la discriminación de los titulares por su origen
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 74
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
racial o étnico; creencias o convicciones religiosas, filosóficas y xxxxxxx; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, así como datos genéticos o datos biométricos.
Cláusula 8. Reclamaciones
a) El Importador de datos informará a los Titulares, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará las reclamaciones que reciba de los Titulares con la mayor brevedad. [OPCIÓN: El Importador de datos se aviene a que los Titulares también puedan presentar una reclamación ante un organismo independiente de resolución de litigios sin coste alguno para el Titular. El Importador de datos informará a los Titulares, en la forma establecida en este párrafo, de este mecanismo de reparación y de que no están obligados a recurrir a este ni a seguir una secuencia concreta de vías de reparación.]
b) En caso de litigio entre un Titular y una de las Partes en relación con el cumplimiento del presente Acuerdo, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las Partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán de buena fe para resolverlos.
c) El Importador de datos se compromete a aceptar y no controvertir, cuando el Titular invoque un derecho xx Xxxxxxx beneficiario que deriven de este Acuerdo, la decisión del Titular de:
(i) presentar una reclamación ante la Autoridad de control del Estado de su residencia habitual o su lugar de trabajo o ante la Autoridad de control competente;
(ii) ejercitar una acción judicial sobre sus Datos personales de conformidad con lo dispuesto en la cláusula 14 de este Acuerdo.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 75
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
d) El Importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo a la Ley aplicable o el derecho de que se trate.
Cláusula 9. Responsabilidad civil
a) Cada Parte será responsable ante la otra de cualquier daño y perjuicio que le cause por la vulneración de los derechos y obligaciones establecidos en el presente Acuerdo.
b) Cada Parte será responsable ante el Titular. El Titular tendrá derecho a ser indemnizado por los daños y perjuicios materiales o inmateriales que alguna de las Partes ocasione al Titular por vulnerar los derechos de Terceros beneficiarios que deriven del presente Acuerdo. Xxxx se entiende sin perjuicio de la responsabilidad que le atribuye la Ley aplicable al Exportador de datos.
c) Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al Titular como consecuencia de una vulneración del presente Acuerdo, todas las partes responsables serán responsables solidariamente.
d) Las Partes acuerdan que, si una parte es considerada responsable con arreglo al presente, estará legitimada para exigir a la otra parte la indemnización correspondiente a su responsabilidad por el daño o perjuicio.
Cláusula 10. Supervisión de la Autoridad de control competente
a) El Importador de datos acepta someterse a la jurisdicción de la Autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente Acuerdo.
b) En particular, el Importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la Autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la Autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 76
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
c) Asimismo, el Importador de datos acepta someterse a las facultades de la Autoridad de control competente respecto a la suspensión de transferencias, suspensión de contratos y las demás medidas correspondientes que esta estime aplicar.
Cláusula 11. Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
a) Las Partes confirman que, al momento de celebrar este Acuerdo, han realizado esfuerzos razonables para identificar si los datos transferidos están cubiertos por alguna ley o práctica local de la jurisdicción del Importador de datos que va mas allá de lo que es necesario y proporcional en una sociedad democrática para salvaguardar importantes objetivos de interés público y puede razonablemente esperarse que afecte las protecciones, derechos y garantías otorgadas bajo este Acuerdo al Titular. En base a lo expuesto las Partes confirman que no están al tanto que dicha práctica o norma exista o afecte adversamente las protecciones específicas bajo este Acuerdo.
b) El Importador de datos se compromete a notificar en forma inmediata al Exportador de datos si alguna de estas leyes se le aplica en el futuro. De realizarse dicha notificación o si el Exportador de datos tiene motivos para creer que el Importador de datos ya no puede cumplir con las obligaciones de este Acuerdo, el Exportador de datos identificará las medidas apropiadas (por ejemplo, medidas administrativas, físicas y técnicas para garantizar la seguridad) para remediar la situación.
c) Asimismo, podrá suspender las transferencias objeto de este Acuerdo si considera que no pueden garantizarse las garantías adecuadas. En este caso, el Exportador de datos tendrá derecho a rescindir este Acuerdo de conformidad con lo dispuesto en la cláusula 12.
d) Si un tribunal o una agencia gubernamental requiere que el Importador de datos divulgue o utilice los datos transferidos de una manera que de otro modo no
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 77
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
estaría permitida por este Acuerdo, el Importador de datos revisará la legalidad de dicha solicitud y la impugnará si, después de una evaluación legal cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal según la legislación local y afecta los derechos garantizados por este Acuerdo. En la medida en que esto esté permitido por la ley local, también deberá informar de inmediato al Exportador de datos que ha recibido dicha solicitud. Si el Importador de datos tiene prohibido notificar al Exportador de datos según la ley local, hará todo lo posible para obtener una exención de la prohibición.
SECCIÓN III: DISPOSICIONES FINALES
Cláusula 12. Incumplimiento de las cláusulas y resolución del contrato
a) El Importador de datos informará inmediatamente al Exportador de datos en caso de que no pueda dar cumplimiento a alguna de las cláusulas de este Acuerdo por cualquier motivo.
b) En caso de que el Importador de datos incumpla las obligaciones que le atribuye el presente Acuerdo, el Exportador de datos suspenderá la transferencia de Datos personales al Importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato.
c) El Exportador de datos estará facultado para resolver este Acuerdo cuando:
(i) el Exportador de datos haya suspendido la transferencia de Datos personales al Importador de datos con arreglo al párrafo anterior y no se vuelva a dar cumplimiento al presente Acuerdo en un plazo razonable y, en cualquier caso, en un plazo de treinta (30) días hábiles a contar desde la suspensión;
(ii) el Importador de datos vulnere de manera sustancial o persistente el presente Acuerdo; o
(iii) el Importador de datos incumpla una resolución vinculante de un 4órgano jurisdiccional o Autoridad de control competente en relación
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 78
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
con las obligaciones que le atribuye el presente Acuerdo. En este supuesto, informará a la Autoridad de control competente de su incumplimiento.
d) Los Datos personales que se hayan transferido antes de la resolución del contrato deberán, a elección del Exportador de datos, devolverse inmediatamente al Exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos. El Importador de datos acreditará la destrucción de los datos al Exportador de datos. Hasta que se destruyan o devuelvan los datos, el Importador de datos seguirá garantizando el cumplimiento con el presente Acuerdo. Si el derecho del país aplicable al Importador de datos prohíbe la devolución o la destrucción de los Datos personales transferidos, el Importador de datos se compromete a seguir garantizando el cumplimiento del presente Acuerdo y solo tratará los datos en la medida y durante el tiempo que exija el derecho del país.
Cláusula 13. Derecho aplicable
El presente Acuerdo se regirá por la Ley aplicable.
Cláusula 14. Elección del foro y jurisdicción
a) Cualquier controversia derivada del presente Acuerdo será resuelta judicialmente en los tribunales de la jurisdicción del Exportador de datos.
b) Los Titulares también podrán ejercer acciones judiciales contra el Exportador de datos y/o el Importador de datos, las que podrán ser iniciadas, a elección del Titular, en el país del Exportador de datos, o en el que el Titular tenga su residencia. Con respecto al Importador de datos, también podrán ejercer acciones judiciales en el país del Importador de datos.
c) Las Partes acuerdan someterse a la jurisdicción prevista en esta cláusula.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 79
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
1. ANEXO A. FORMULARIO DE ADHESIÓN DE NUEVAS PARTES
Adhesión del Exportador de datos
Nombre completo: [Nombre del Exportador de datos] Domicilio: [Domicilio del Exportador de datos] Contacto: [Datos de contacto del Exportador de datos]
Actividades relacionadas con los datos transferidos en virtud del presente Acuerdo: […] Ley Aplicable: [Ley vigente de protección de datos del país Exportador de datos]
Autoridad de control competente: [Autoridad de protección de Datos personales del país del Exportador de datos]
Adhesión del Importador de datos
Nombre completo: [Nombre del Importador de datos] Domicilio: [Domicilio del Importador de datos] Contacto: [Datos de contacto del Importador de datos]
Fecha de firma: Firmado en [Ciudad, País], el [MM/DD/AAAA]
Firma del Exportador de datos: Firma del Importador de datos:
Consentimiento de las Partes: [ ]
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 80
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
2. ANEXO B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de Titulares cuyos Datos personales se transfieren: […].
Categorías de Datos personales transferidos: […].
Datos personales sensibles transferidos (si procede) y restricciones o garantías aplicadas: […].
Frecuencia de la transferencia: [por ejemplo, si los datos se transfieren de una vez o de forma periódica].
Finalidad(es) de la transferencia y posterior tratamiento de los datos: […]
Plazo: [El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo].
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 81
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
3. ANEXO C. MEDIDAS ADMINISTRATIVAS, FISICAS Y TÉCNICAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
NOTA ACLARATORIA: [En este anexo las partes deben establecer en detalle las Medidas administrativas, físicas y técnicas específicas que acuerden con el fin de garantizar la seguridad de los datos transferidos bajo el Acuerdo. Los ejemplos de tales medidas incluyen, entre otras, medidas de anonimización y cifrado de los datos personales, medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, medidas para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas administrativas, físicas y técnicas para garantizar la seguridad del tratamiento, medidas para la identificación y autorización del usuario, medidas para la protección de los datos durante la transmisión, medidas para la protección de los datos durante el almacenamiento, medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales, medidas para garantizar el registro de incidentes, medidas para garantizar la configuración del sistema, en especial la configuración por defecto, medidas de gobernanza y gestión de la informática y la seguridad informática internas, medidas para la certificación/garantía de procesos y productos, medidas para garantizar la minimización de datos, medidas para garantizar la calidad de los datos, medidas para garantizar la responsabilidad proactiva y medidas para garantizar una retención limitada de los datos. Esta enunciación no reemplaza la especificación real de las medidas administrativas, físicas y técnicas que las Partes deben adoptar e implementar. Las Medidas administrativas, físicas y técnicas deben describirse de manera concreta y no de manera genérica].
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 82
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
4. ANEXO D. DOCUMENTACIÓN ADICIONAL
En el presente apartado se deberán incluir los documentos que las normatividades de las Partes consideres obligatorios para el tratamiento de datos personales como pueden ser: Avisos de privacidad o políticas de privacidad.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 83
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
ACUERDO MODELO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES ENTRE RESPONSABLE Y ENCARGADO
CARÁTULA
Las Partes del Contrato han acordado el presente Acuerdo basado en cláusulas contractuales modelo (en lo sucesivo, “cláusulas contractuales modelo” o el “Acuerdo”):
Exportador de datos
Nombre completo: [Nombre del Exportador de datos] Domicilio: [Domicilio del Exportador de datos] Contacto: [Datos de contacto del Exportador de datos]
Ley Aplicable: [Ley vigente de protección de datos del país Exportador de datos]
Autoridad de control competente: [Autoridad de protección de Datos personales del país del Exportador de datos]
Importador de datos
Nombre completo: [Nombre del Importador de datos] Domicilio: [Domicilio del Importador de datos] Contacto: [Datos de contacto del Importador de datos]
Fecha de firma: Firmado en [Ciudad, País], el [MM/DD/AAAA]
Firma del Exportador de datos: Firma del Importador de datos:
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 84
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
ACUERDO MODELO DE TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
ENTRE RESPONSABLE Y ENCARGADO
Las Partes del Contrato han acordado el presente Acuerdo basado en cláusulas contractuales modelo:
SECCIÓN I: CUESTIONES GENERALES
Cláusula 1. Finalidad, partes, ámbito de aplicación y definiciones
1.1. Finalidad
a) La finalidad de las presentes cláusulas contractuales modelo es garantizar y facilitar el cumplimiento de los requisitos previstos por la Ley aplicable para la transferencia internacional de Datos personales, a fin de cumplir los principios y deberes en la protección de los Datos personales.
b) Cualquier interpretación del presente Acuerdo deberá tener en cuenta estos fines.
1.2. Partes del contrato
a) Las Partes del contrato son el Exportador de datos y el Importador de datos.
b) El presente Acuerdo permite la incorporación de importadores o exportadores adicionales como Partes, mediante el formulario del Anexo A siguiendo el procedimiento previsto en la cláusula 5.
1.3. Ámbito de aplicación
El presente Acuerdo se aplicará a las transferencias internacionales de Datos personales realizadas entre el Exportador de datos y el Importador de datos de conformidad con las especificaciones del Anexo B. Todos los anexos forman parte del presente Acuerdo.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 85
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
1.4. Definiciones
Los términos definidos se identifican en este Acuerdo con sus iniciales en mayúscula. A los fines del presente Acuerdo se entenderá por:
▪ Acuerdo: el presente contrato de transferencia internacional de Datos personales basado en las cláusulas contractuales modelo junto con su caratula y sus anexos.
▪ Anonimización: la aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o re-identificación de una persona física sin esfuerzos desproporcionados.
▪ Autoridad de control competente: Autoridad de protección de datos personales del país del Exportador o del Importador de datos personales.
▪ Computación en la nube: modelo para habilitar el acceso a un conjunto de servicios computacionales (e.g. Redes, servidores, almacenamiento, aplicaciones y servicios) de manera conveniente y por demanda, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo administrativo y una interacción con el proveedor del servicio.
▪ Consentimiento: manifestación de la voluntad, libre, específica, inequívoca e informada, del titular a través de la cual acepta y autoriza el tratamiento de los datos personales que le conciernen.
▪ Datos Personales: cualquier información concerniente a una persona física identificada o identificable, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.
▪ Datos personales sensibles: aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa, se consideran sensibles los
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 86
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y xxxxxxx; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.
▪ Decisiones individuales automatizadas: Decisiones que produzcan efectos jurídicos al Titular o le afecten de manera significativa y que se basen únicamente en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.
▪ Encargado: prestador de servicios que, con el carácter de persona física o jurídica o autoridad pública, ajena a la organización del Responsable, trata datos personales a nombre y por cuenta de éste.
▪ Estándares: Estándares de Protección de Datos Personales para los Estados Iberoamericanos aprobados por la RIPD en 2017.
▪ Exportador de datos: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en territorio de un Estado que efectúe transferencias internacionales de datos personales, conforme a lo dispuesto en los presentes Estándares.
▪ Importador de datos: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en un tercer país que recibe datos personales de un Exportador de datos mediante una transferencia internacional de datos personales.
▪ Ley Aplicable: es la ley de protección de datos personales de la jurisdicción del Exportador de datos.
▪ Medidas administrativas, físicas y técnicas: medidas destinadas a evitar el daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 87
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
autorizado de los Datos personales aun cuando ocurra de manera accidental, suficientes para garantizar la confidencialidad, integridad y disponibilidad de los Datos personales.
▪ Responsable: persona física o jurídica de carácter privado, autoridad pública, servicios u organismo que, solo o en conjunto con otros, determina los fines, medios, alcance y demás cuestiones relacionadas con un tratamiento de datos personales.
▪ Sub encargado: cuando un Encargado del tratamiento recurre a otro Encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Responsable.
▪ Terceros beneficiarios: Titular cuyos datos personales son objeto de una transferencia internacional en virtud del presente Acuerdo. El Titular es un tercero beneficiario de los derechos dispuestos en su favor en las CCM y por ende puede ejercer los derechos que las CCM le reconoce, aunque no haya suscripto el contrato modelo entre las partes.
▪ Titular: persona física a quien le conciernen los datos personales.
▪ Transferencia ulterior: Transferencia de datos realizada por el Importador de datos a un tercero situados fuera de la jurisdicción del Exportador de datos que cumple las garantías establecidas en las CCM.
▪ Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos físicos o automatizados realizadas sobre datos personales, relacionadas, de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 88
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
▪ Vulneración de la seguridad de datos personales: cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental.
Cláusula 2. Efectos e invariabilidad de las cláusulas
2.1. Modificación de las cláusulas modelo. Límites
El presente Acuerdo basado en cláusulas modelo establece garantías adecuadas para el Titular en relación con las transferencias de datos de Responsables a Encargados, siempre que las Cláusulas no se modifiquen en su esencia respecto al modelo original, salvo para completar la carátula y los anexos. Esto no es óbice para que las Partes incluyan en un contrato más amplio las cláusulas contractuales modelo, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, a las presentes cláusulas contractuales modelo ni perjudiquen los derechos del Titular.
2.2. Jerarquía con la Ley Aplicable. Interpretación
a) El presente Acuerdo deberá leerse e interpretarse con arreglo a las disposiciones de la Ley Aplicable.
b) Las Partes podrán añadir nuevas definiciones de términos, resguardos y garantías adicionales en las presentes cláusulas modelo cuando ello resulte necesario para cumplir con la Ley aplicable y siempre y cuando ello no suponga un detrimento a las protecciones otorgadas por las cláusulas modelo.
c) El presente Acuerdo no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en la Ley aplicable.
d) El presente Acuerdo se entiende sin perjuicio de las obligaciones a las que esté sujeto el Exportador de datos en virtud de su legislación o de la Ley aplicable.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 89
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
2.3. Jerarquía con otros acuerdos
En caso de contradicción entre el presente Acuerdo y las disposiciones de acuerdos conexos entre las Partes se establece que las cláusulas del presente Acuerdo prevalecerán.
Cláusula 3. Terceros beneficiarios
Los Titulares podrán invocar, como Terceros beneficiarios, las cláusulas del presente Acuerdo contra el Exportador de datos y/o el Importador de datos y exigirles su cumplimiento.
Cláusula 4. Descripción de la transferencia o transferencias, y sus finalidades
Los detalles y características de la transferencia o las transferencias y, en particular, las categorías de Datos personales que se transfieren y las finalidades para los que se transfieren se detallan en el Anexo B del presente Acuerdo.
Cláusula 5. Cláusula de incorporación
a) Las Partes aceptan que cualquier entidad que no sea parte en el presente Acuerdo podrá, previo consentimiento de todas las Partes intervinientes, adherirse al presente Acuerdo en cualquier momento, ya sea como Exportador de datos o como Importador de datos firmando el modelo del anexo A, y completando los demás Anexos si corresponde.
b) Cuando haya firmado el Anexo A y completado los demás anexos en caso de que corresponda, la entidad que se adhiera se considerará Parte del presente Acuerdo y tendrá los derechos y obligaciones de un Exportador de datos o un Importador de datos, según la categoría en la que se haya adherido al Acuerdo según lo indicado en el Anexo A.
c) La entidad que se sume al Acuerdo no adquirirá derechos y obligaciones del presente Acuerdo derivados del período anterior a su adhesión.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 90
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
SECCIÓN II: OBLIGACIONES DE LAS PARTES
Cláusula 6. Garantías en materia de protección de datos
6.1. Instrucciones
El Importador de datos realizará las actividades de tratamiento de los Datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo, así como limitará sus actuaciones a los términos e instrucciones fijados por el Exportador de datos.
6.2. Principio de responsabilidad
a) El Exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el Importador de datos puede, aplicando medidas técnicas, legales y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente Acuerdo.
b) El Importador de datos implementará los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en el presente Acuerdo, así como rendirá cuentas sobre el tratamiento de Datos personales en su posesión al Titular y a la Autoridad de control competente.
c) El Importador de datos revisará y evaluará permanentemente los mecanismos que para tal afecto adopte voluntariamente para cumplir con el principio de responsabilidad, con el objeto de medir su nivel de eficacia en cuanto al cumplimiento presente Acuerdo.
6.3. Principio de finalidad
El Importador de datos no podrá tratar los Datos personales objeto de este Acuerdo para finalidades distintas a aquéllas indicadas en el Anexo B, salvo cuando siga instrucciones adicionales del Exportador de datos.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 91
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
6.4. Transparencia
a) Previa solicitud, las Partes pondrán gratuitamente a disposición del Titular una copia del presente Acuerdo. En cualquier caso, el Importador de datos asume de oficio la responsabilidad de informar de su existencia. Podrán excluirse aquellas secciones o anexos del Acuerdo que tengan secretos comerciales u otro tipo de información confidencial tales como Datos personales de terceros o información reservada en términos de la normativa aplicable a las Partes.
b) La presente cláusula se entiende sin perjuicio de las obligaciones que la Ley aplicable atribuyen al Exportador de datos.
6.5. Exactitud y minimización de datos
a) Si el Importador de datos tiene conocimiento de que los Datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al Exportador de datos sin dilación indebida.
b) En este caso, el Importador de datos colaborará con el Exportador de datos para suprimir o rectificar los datos.
6.6. Principio de Seguridad
a) El Importador de datos y, durante la transferencia, también el Exportador de datos establecerán y mantendrán Medidas de carácter administrativo, físico y técnico suficientes para garantizar la confidencialidad, integridad y disponibilidad de los Datos personales objeto de este Acuerdo; en particular, la protección contra Vulneración de la seguridad de datos personales. A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los Titulares. Al cumplir las obligaciones que le impone el presente párrafo, el Importador de datos aplicará, al menos, las Medidas administrativas, físicas y técnicas que figuran en el
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 92
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Anexo C del presente Acuerdo. El Importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
b) En caso de Vulneración de la seguridad de datos personales tratados por el Importador de datos en virtud del presente Acuerdo, el Importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos.
c) El Importador de datos también notificará al Exportador de datos dentro del plazo de setenta y dos (72) horas una vez tenga conocimiento de la Vulneración de la seguridad. Dicha notificación incluirá una descripción de la naturaleza de la Vulneración (en la que figuren, cuando sea posible, las categorías y el número aproximado de Titulares y registros de Datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la Vulneración de la seguridad, y especialmente, en su caso, medidas para mitigar sus posibles efectos negativos.
d) Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
e) El Importador de datos deberá colaborar con el Exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye la Ley aplicable, especialmente en cuanto a la notificación a la Autoridad de control competente y a los Titulares afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el Importador de datos.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 93
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
6.7. Tratamiento bajo la autoridad del Importador de datos y principio de confidencialidad
a) El Importador de datos se asegurará de que las personas que actúen bajo su autoridad solo traten los datos siguiendo sus instrucciones, y solo concederá acceso a los Datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del Acuerdo.
b) El Importador de datos garantizará que las personas autorizadas para tratar los Datos personales mantengan y respeten la confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el Exportador de datos.
6.8. Tratamiento de Datos personales sensibles
a) En la medida en que la transferencia incluya Datos personales sensibles, el Importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el Anexo C de este Acuerdo.
b) En la medida que la transferencia incluya Datos personales concernientes a niñas, niños y adolescentes, el Importador deberá privilegiar la protección del interés superior de éstos, conforme a la Convención sobre los Derechos del Niño y demás instrumentos internacionales.
6.9. Transferencias ulteriores
a) El Importador de datos solo comunicará los Datos personales a un tercero siguiendo instrucciones documentadas del Exportador de datos.
b) Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la jurisdicción del Exportador si el tercero está vinculado por el presente Acuerdo o consiente a someterse a este. De no ser así, el Importador de datos solo podrá efectuar una Transferencia ulterior solamente si:
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 94
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
i) Para el caso que la Ley Aplicable así lo disponga, esta transferencia ulterior va dirigida a un país que ha sido objeto de una declaración de adecuación de su nivel de protección de datos personales con arreglo a lo dispuesto en la Ley Aplicable, siempre que tal declaración cubra la Transferencia ulterior;
ii) el tercero destinatario de la Transferencia ulterior aporta de algún modo garantías adecuadas, con arreglo a lo dispuesto en la Ley aplicable, respecto a los Datos personales sujetos a la Transferencia ulterior;
iii) la Transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;
iv) si es necesario para proteger intereses vitales del Titular o de otra persona física.
c) Toda Transferencia ulterior estará sujeta a que el Importador de datos adopte las demás garantías previstas en el presente Acuerdo y, en particular cumpla con el principio de finalidad.
6.10. Documentación y cumplimiento
a) Las Partes deberán poder demostrar el cumplimiento de las obligaciones derivadas del presente Acuerdo. En particular, el Importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen bajo instrucciones del Exportador, que pondrán a disposición del Exportador de datos y de la Autoridad de control competente previa solicitud.
b) El Importador de datos resolverá con presteza y de forma adecuada las consultas del Exportador de datos relacionadas con el tratamiento con arreglo al presente Acuerdo.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 95
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
c) El Importador de datos pondrá a disposición del Exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente Acuerdo y, a instancia del Exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente Acuerdo, a intervalos razonables o si existen indicios de incumplimiento. El Exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.
d) Las Partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren los párrafos anteriores y, en particular, los resultados de las auditorías.
6.11. Duración del tratamiento y supresión o devolución de los datos
a) El tratamiento por parte del Importador de datos solo se realizará durante el período especificado en el Anexo B de este Acuerdo.
b) Una vez se hayan prestado los servicios de tratamiento, el Importador de datos suprimirá en forma segura, a petición del Exportador de datos, todos los Datos personales tratados por cuenta del Exportador de datos y acreditará al Exportador de datos que lo ha hecho, o devolverá al Exportador de datos todos los datos y suprimirá de forma segura las copias existentes, si el Exportador de datos optare por esta última opción. Hasta que se destruyan o devuelvan los Datos personales, el Importador de datos seguirá garantizando el cumplimiento con el presente Acuerdo. Si el derecho del país aplicable al Importador de datos prohíbe la devolución o la destrucción de los Datos personales, el Importador de datos se compromete a seguir garantizando el cumplimiento del presente Acuerdo y solo tratará los datos en la medida y durante el tiempo que exija el derecho del país del Importador de datos.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 96
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
Cláusula 7. Recurso a subencargados
7.1. Forma de autorización del subencargado
[OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA]: a) El Importador de datos solo podrá subcontratar a un Subencargado las actividades de tratamiento que realice por cuenta del Exportador de datos en virtud del presente Acuerdo con la autorización previa específica por escrito del Exportador de datos. El Importador de datos presentará la solicitud de autorización específica al menos dentro de los 15 días hábiles antes de la contratación del Subencargado de que se trate, junto con la información necesaria para que el Exportador de datos pueda resolver la solicitud. La lista de subencargados ya autorizados por el Exportador de datos figura en el Anexo D del presente Acuerdo. Las Partes mantendrán actualizado el Anexo D.
[OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO]: a) El Importador de datos cuenta con una autorización general del Exportador de datos para contratar a subencargados que figuren en una lista acordada. El Importador de datos informará al Exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos 15 días hábiles de antelación, de modo que el Exportador de datos tenga tiempo suficiente para formular una objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El Importador de datos proporcionará al Exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeciones.
7.2. Contrato con el subencargado
a) Cuando el Importador de datos recurra a un Subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del Exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al Importador de datos en virtud del presente Acuerdo, especialmente en lo que se refiere a los
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 97
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP
derechos de los Titulares en cuanto sean Terceros beneficiarios. Las Partes convienen que, al cumplir el presente Acuerdo, el Importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula relativa a Transferencias ulteriores. El Importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente Acuerdo.
b) El Importador de datos proporcionará al Exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger información confidencial, como Datos personales, el Importador de datos podrá proteger esa información antes de compartir la copia.
c) El Importador de datos seguirá siendo plenamente responsable ante el Exportador de datos del cumplimiento de las obligaciones que imponga al Subencargado su contrato con el importador de datos. El Importador de datos notificará al Exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.
Cláusula 8. Derechos de los Titulares
a) El Importador de datos notificará con presteza al Exportador de datos las solicitudes que reciba del Titular. No responderá a dicha solicitud por sí mismo, a menos que el Exportador de datos le haya autorizado a hacerlo.
b) El Importador de datos ayudará al Exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que la Ley aplicable atribuye a los Titulares. A este respecto, las Partes establecerán en el anexo C sobre medidas administrativas, físicas y técnicas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al Exportador a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.
GUÍA DE IMPLEMENTACIÓN DE CLAÚSULAS CONTRACTUALES MODELO PARA LA 98
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (TIDP).
IF-2023-108581614-APN-DNPDP#AAIP