Decision de Ejecucion (UE) 2021/914 de la Comision, de 4 de junio de 2021, relat...uropeo y del Consejo
Decision de Ejecucion (UE...el Consejo

Decision de Ejecucion (UE) 2021/914 de la Comision, de 4 de junio de 2021, relativa a las clausulas contractuales tipo para la transferencia de datos personales a terceros paises de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

Estado: Versión V. Validez desde 08 de Junio de 2021

F. entrada en vigor: 07/06/2021

Órgano emisor: COMISION EUROPEA

Boletín: Diario Oficial de la Unión Europea

F. Publicación: 07/06/2021

Tiempo de lectura: 115 min

Tiempo de lectura: 115 min


DECISIÓN DE EJECUCIÓN (UE) 2021/914 DE LA COMISIÓN

de 4 de junio de 2021

relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (1), y en particular su artículo 28, apartado 7, y su artículo 46, apartado 2, letra c),

Considerando lo siguiente:

(1)

Los avances tecnológicos están facilitando los flujos transfronterizos de datos necesarios para la expansión de la cooperación y el comercio internacionales. Al mismo tiempo, es necesario garantizar que el nivel de protección de las personas físicas garantizado por el Reglamento (UE) 2016/679 no se vea menoscabado al transferir datos personales a terceros países, especialmente en caso de transferencias ulteriores (2). Las disposiciones sobre transferencias de datos del capítulo V del Reglamento (UE) 2016/679 tienen como finalidad garantizar la continuidad de ese elevado nivel de protección cuando se produzca una transferencia de datos personales a un tercer país (3).

(2)

En virtud del artículo 46, apartado 1, del Reglamento (UE) 2016/679, a falta de una decisión de adecuación de la Comisión con arreglo al artículo 45, apartado 3, el responsable o el encargado solo puede transferir datos personales a un tercer país si ha ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones judiciales eficaces. Dichas garantías pueden aportarse por medio de cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el artículo 46, apartado 2, letra c).

(3)

La función de las cláusulas contractuales tipo se limita a asegurar que haya garantías adecuadas de protección de datos en las transferencias internacionales de datos. Por consiguiente, el responsable o el encargado que transfiera los datos personales a un tercer país («exportador de datos») y el responsable o encargado que reciba los datos personales («importador de datos») tienen discrecionalidad para incluir en un contrato más amplio dichas cláusulas contractuales tipo, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo ni perjudiquen los derechos o libertades fundamentales de los interesados. Se alienta a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas contractuales tipo (4). La utilización de las cláusulas contractuales tipo debe entenderse sin perjuicio de las obligaciones contractuales que tengan el exportador y/o el importador de datos de garantizar el respeto de los privilegios e inmunidades que sean de aplicación.

(4)

Además de utilizar cláusulas contractuales tipo para ofrecer garantías adecuadas en las transferencias de conformidad con el artículo 46, apartado 1, del Reglamento (UE) 2016/679, el exportador de datos tiene que cumplir las obligaciones generales que le incumben como responsable o encargado en virtud del Reglamento (UE) 2016/679. Entre estas responsabilidades figuran la obligación del responsable de comunicar a los interesados la intención de transferir sus datos personales a un tercer país de conformidad con el artículo 13, apartado 1, letra f), y el artículo 14, apartado 1, letra f), del Reglamento (UE) 2016/679. En el caso de las transferencias a que se refiere el artículo 46 del Reglamento (UE) 2016/679, se incluye una referencia a las garantías adecuadas, así como a los medios para obtener una copia de las mismas o información cuando se haya proporcionado.

(5)

La Decisión 2001/497/CE de la Comisión (5) y la Decisión 2010/87/UE de la Comisión (6) contienen cláusulas contractuales tipo para facilitar la transferencia de datos personales por parte de un responsable establecido en la Unión a otro responsable o encargado establecido en un tercer país que no ofreciese un nivel de protección adecuado. Dichas Decisiones se basaron en la Directiva 95/46/CE del Parlamento Europeo y del Consejo (7).

(6)

De conformidad con el artículo 46, apartado 5, del Reglamento (UE) 2016/679, la Decisión 2001/497/CE y la Decisión 2010/87/UE, permanecen en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el artículo 46, apartado 2, de dicho Reglamento. Las cláusulas contractuales tipo de las Decisiones mencionadas necesitaban una puesta al día que las armonizase con los nuevos requisitos del Reglamento (UE) 2016/679. Por otra parte, desde la adopción de estas Decisiones, se han producido avances de calado en la economía digital: uso generalizado de operaciones de tratamiento nuevas y más complejas en las que a menudo intervienen múltiples importadores y exportadores de datos, cadenas de tratamiento largas y complejas, así como relaciones comerciales cambiantes. Para reflejar mejor estas realidades es preciso una modernización de las cláusulas contractuales tipo, que abarque situaciones adicionales de tratamiento y transferencia y adopte un planteamiento más flexible y, en particular, en lo que se refiere al número de partes que pueden adherirse al contrato.

(7)

Las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión pueden utilizarlas tanto el responsable como el encargado a fin de ofrecer garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679 en las transferencias de datos personales a un encargado o un responsable establecido en un tercer país, sin perjuicio de la interpretación del concepto de transferencia internacional recogida en el Reglamento (UE) 2016/679. Las cláusulas contractuales tipo pueden utilizarse respecto de tales transferencias solo en la medida en que el tratamiento por parte del importador no entre en el ámbito de aplicación del Reglamento (UE) 2016/679. En este supuesto también se incluye la transferencia de datos personales por parte de un responsable o encargado no establecido en la Unión, en la medida en que el tratamiento esté sujeto al Reglamento (UE) 2016/679 con arreglo a su artículo 3, apartado 2, porque se refiera a la oferta de bienes o servicios a interesados en la Unión o al control de su comportamiento en la medida en que se desarrolle dentro de la Unión.

(8)

Dada la armonización general del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725 (8), las cláusulas contractuales tipo también deben poder utilizarse respecto del contrato contemplado en el artículo 29, apartado 4, del Reglamento (UE) 2018/1725 para la transferencia de datos personales a un subencargado en un tercer país por parte de un encargado que no sea una institución u organismo de la Unión, pero que esté vinculado por el Reglamento (UE) 2016/679 y que trate datos personales por cuenta de una institución u organismo de la Unión de conformidad con el artículo 29 del Reglamento (UE) 2018/1725. Cuando el contrato reproduzca las mismas obligaciones en materia de protección de datos que las establecidas en el contrato u otro acto jurídico entre el responsable y el encargado de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725 y, en particular, ofrezca garantías suficientes en relación con las medidas técnicas y organizativas para asegurar que el tratamiento cumpla los requisitos de dicho Reglamento, se considerará que garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado reproduzcan las cláusulas contractuales tipo de la Decisión de Ejecución de la Comisión en las cláusulas contractuales tipo entre responsables y encargados en los supuestos contemplados en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9).

(9)

Si el tratamiento implica transferencias de datos por parte de responsables sujetos al Reglamento (UE) 2016/679 a encargados fuera de su ámbito territorial de aplicación o por parte de encargados sujetos al Reglamento (UE) 2016/679 a subencargados fuera de su ámbito territorial de aplicación, también se considerará que las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión permiten cumplir los requisitos del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.

(10)

Las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión combinan cláusulas generales con un enfoque modular para tener en cuenta los distintos supuestos de transferencia y la complejidad de las cadenas de tratamiento modernas. Además de las cláusulas generales, los responsables y encargados deben seleccionar el módulo aplicable a su situación, para adaptar las obligaciones derivadas de las cláusulas contractuales tipo a su función y sus responsabilidades en relación con el tratamiento de datos en cuestión. Debe ser posible que más de dos partes se adhieran a las cláusulas contractuales tipo. Por otra parte, debe permitirse que otros responsables y encargados se adhieran a las cláusulas contractuales tipo como exportadores o importadores de datos a lo largo del período de vigencia del contrato del que forman parte.

(11)

A fin de ofrecer garantías adecuadas, las cláusulas contractuales tipo deben asegurar que los datos personales transferidos con arreglo a ellas gocen de un nivel de protección equivalente en lo esencial al garantizado en la Unión (10). Con el objetivo de garantizar la transparencia del tratamiento, los interesados deben recibir una copia de las cláusulas contractuales tipo y deben ser informados, en particular, de las categorías de datos personales tratados, del derecho a recibir una copia de las cláusulas contractuales tipo y de cualquier transferencia ulterior. Las transferencias ulteriores por parte del importador de datos a un tercero en otro tercer país solo deben permitirse si dicho tercero se adhiere a las cláusulas contractuales tipo, si la continuidad de la protección está garantizada de otro modo o en situaciones específicas, como, por ejemplo, si media el consentimiento explícito y con conocimiento de causa del interesado.

(12)

Con determinadas excepciones y, en particular, en cuanto a determinadas obligaciones que se refieran exclusivamente a la relación entre el exportador y el importador de datos, los interesados deben poder invocar y, en su caso, hacer cumplir las cláusulas contractuales tipo como terceros beneficiarios. Por lo tanto, si bien debe permitirse a las partes elegir el Derecho de uno de los Estados miembros para que rija las cláusulas contractuales tipo, este Derecho debe admitir la existencia de derechos de los terceros beneficiarios. A fin de facilitar el derecho a reparación en casos particulares, las cláusulas contractuales tipo deben exigir al importador de datos que comunique a los interesados los datos de un punto de contacto y que tramite con presteza cualquier reclamación o solicitud. En caso de controversia entre el importador de datos y un interesado que haga valer sus derechos de tercero beneficiario, el interesado debe poder presentar una reclamación ante la autoridad de control competente o ejercitar una acción judicial ante un órgano jurisdiccional competente de la UE.

(13)

Con el objetivo de garantizar la eficacia de la ejecución, el importador de datos debe estar obligado a someterse a la competencia de dicha autoridad o dicho órgano jurisdiccional y a comprometerse a acatar la resolución vinculante que se adopte con arreglo al Derecho aplicable del Estado miembro. En particular, el importador de datos debe comprometerse a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Además, el importador de datos debe tener la opción de brindar a los interesados la posibilidad de acudir a un organismo independiente de resolución de litigios, sin coste alguno. De conformidad con el artículo 80, apartado 1, del Reglamento (UE) 2016/679, debe permitirse que los interesados sean representados por asociaciones u otros organismos en litigios contra el importador de datos si así lo desean.

(14)

Las cláusulas contractuales tipo deben disponer reglas de responsabilidad entre las partes y con respecto a los interesados, así como reglas de indemnización entre las partes. Cuando el interesado sufra daños materiales o inmateriales como consecuencia de una vulneración de los derechos de tercero beneficiario contemplados en las cláusulas contractuales tipo, debe tener derecho a ser indemnizado. Este derecho debe entenderse sin perjuicio de cualquier responsabilidad que pueda derivarse del Reglamento (UE) 2016/679.

(15)

En caso de transferencia a un importador de datos que actúe como encargado o subencargado, deben aplicarse requisitos específicos de conformidad con el artículo 28, apartado 3, del Reglamento (UE) 2016/679. Las cláusulas contractuales tipo deben exigir al importador de datos que proporcione toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en ellas y permitir y contribuir a las auditorías de sus actividades de tratamiento por parte del exportador de datos. Con respecto a la contratación de subencargados por parte del importador de datos, de conformidad con el artículo 28, apartados 2 y 4, del Reglamento (UE) 2016/679, las cláusulas contractuales tipo deben establecer, en particular, el procedimiento de autorización general o específica por parte del exportador de datos, así como exigir que se celebre un contrato por escrito con el subencargado por el que se garantice el mismo nivel de protección que el conferido por las cláusulas.

(16)

Conviene disponer varias garantías en las cláusulas contractuales tipo que abarquen la situación específica de una transferencia de datos personales por parte de un encargado en la Unión a su responsable en un tercer país y que reflejen las limitadas obligaciones autónomas de los encargados que contempla el Reglamento (UE) 2016/679. En particular, las cláusulas contractuales tipo deben exigir al encargado que informe al responsable si no puede seguir instrucciones, especialmente instrucciones que infrinjan el Derecho de la Unión en materia de protección de datos, y que prohíba al responsable obrar de manera que impida al encargado cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679. También deben exigir a las partes que se presten ayuda recíproca para responder a las consultas y solicitudes de los interesados en virtud del Derecho país aplicable al importador de datos o, respecto del tratamiento de datos en la Unión, en virtud del Reglamento (UE) 2016/679. Deben aplicarse requisitos adicionales para corregir el efecto que tenga el Derecho del tercer país de destino sobre el cumplimiento de las cláusulas por parte del responsable y, en particular, el modo de resolver las solicitudes vinculantes de comunicación de los datos personales transferidos presentadas por las autoridades públicas del tercer país cuando el encargado de la Unión combine los datos personales recibidos del responsable en el tercer país con los datos personales recopilados por el encargado en la Unión. En cambio, tales requisitos no están justificados cuando la subcontratación se refiere únicamente al tratamiento y la devolución de los datos personales recibidos del responsable y, en cualquier caso, siempre que esté y siga estando sujeta a la jurisdicción del tercer país de que se trate.

(17)

Las partes deben poder demostrar el cumplimiento de las cláusulas contractuales tipo. En particular, debe exigirse al importador de datos que conserve la documentación que corresponda para las actividades de tratamiento bajo su responsabilidad y que informe al exportador de datos con presteza en caso de que, por cualquier motivo, no pueda cumplir las cláusulas. A su vez, el exportador de datos debe suspender la transferencia y, en casos especialmente graves, estar facultado para resolver el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de cláusulas contractuales tipo, cuando el importador de datos infrinja o no pueda cumplir las cláusulas contractuales tipo. Deben aplicarse reglas específicas cuando la normativa doméstica afecte al cumplimiento de las cláusulas. Los datos personales que ya se hubieran transferido antes de la resolución del contrato y cualquier copia de los mismos deben, a elección del exportador de datos, devolverse al exportador de datos o destruirse en su totalidad.

(18)

Las cláusulas contractuales tipo deben disponer garantías específicas, especialmente en vista de la jurisprudencia reciente del Tribunal de Justicia (11), para corregir los efectos que pueda tener el Derecho del tercer país de destino sobre el cumplimiento de las cláusulas por parte del importador de datos y, en particular, el modo de resolver las solicitudes vinculantes de comunicación de los datos personales transferidos presentadas por las autoridades públicas del tercer país.

(19)

La transferencia y el tratamiento de datos personales en virtud de cláusulas contractuales tipo no deben producirse si el Derecho y las prácticas del tercer país de destino impiden que el importador de datos cumpla dichas cláusulas. A este respecto, no se considera que se opongan a las cláusulas contractuales tipo la normativa y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679. Las partes deben garantizar que, en el momento de someterse a las cláusulas contractuales tipo, no tienen motivos para creer que el Derecho y las prácticas aplicables al importador de datos no se ajustan a estos requisitos.

(20)

Las partes deben tener en cuenta, en particular, las circunstancias específicas de la transferencia (como el contenido y la duración del contrato, la naturaleza de los datos transferidos, el tipo de destinatario y la finalidad del tratamiento), el Derecho y las prácticas del tercer país de destino que sean de aplicación dadas las circunstancias de la transferencia y las garantías establecidas para complementar las garantías contempladas en las cláusulas contractuales tipo (como medidas contractuales, técnicas y organizativas pertinentes que sean de aplicación a la transferencia y al tratamiento de los datos personales en el país de destino). Por lo que se refiere al efecto del Derecho y prácticas mencionados sobre el cumplimiento de las cláusulas contractuales tipo, pueden valorarse diferentes elementos en una evaluación global; por ejemplo, información fiable sobre la aplicación del Derecho en la práctica (jurisprudencia, informes de organismos de supervisión independientes, etc.), la existencia o ausencia de solicitudes en el mismo sector y, en condiciones estrictas, la experiencia práctica documentada del exportador y/o el importador de datos.

(21)

El importador de datos debe informar al exportador de datos si, tras haberse sometido a las cláusulas, tiene motivos para creer que no podrá cumplir las cláusulas contractuales tipo. Si el exportador de datos recibe tal comunicación o descubre de otro modo que el importador de datos ya no puede cumplir las cláusulas contractuales tipo, debe determinar las medidas adecuadas para hacer frente a la situación, consultando, en su caso, a la autoridad de control competente. Dichas medidas pueden consistir en medidas complementarias adoptadas por el exportador y/o el importador de datos, como medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad. Debe exigirse al exportador de datos que suspenda la transferencia si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente.

(22)

Cuando sea posible, el importador de datos debe informar al exportador de datos y al interesado si recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo a las cláusulas contractuales tipo presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino. De forma análoga, debe informarlos si tiene conocimiento de que las autoridades públicas han tenido acceso a dichos datos personales en virtud del Derecho del tercer país de destino. Si, a pesar de haber hecho todo lo posible, el importador de datos no puede informar al exportador de datos y/o al interesado de las solicitudes de comunicación específicas, debe proporcionar al exportador de datos la mayor cantidad posible de información pertinente sobre las solicitudes. Además, el importador de datos debe proporcionar al exportador de datos información agregada a intervalos regulares. También debe exigirse al importador de datos que documente cualquier solicitud de comunicación recibida y la respuesta dada y que ponga dicha información a disposición del exportador de datos, de la autoridad de control competente o de ambos, previa solicitud. Si, tras un control de la legalidad de dicha solicitud con arreglo al Derecho del país de destino, el importador de datos llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo al Derecho del tercer país de destino, debe impugnarla, agotando, en su caso, todas las vías de recurso. En cualquier caso, si el importador de datos ya no puede cumplir las cláusulas contractuales tipo, debe comunicarlo al exportador de datos, incluso cuando sea consecuencia de una solicitud de comunicación.

(23)

Dado que las necesidades de las partes interesadas, la tecnología y las operaciones de tratamiento pueden cambiar, la Comisión debe evaluar el funcionamiento de las cláusulas contractuales tipo a la luz de la experiencia adquirida como parte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679.

(24)

La Decisión 2001/497/CE y la Decisión 2010/87/UE deben ser derogadas a los tres meses de la entrada en vigor de la presente Decisión. Durante dicho período, los exportadores e importadores de datos deben poder, a efectos del artículo 46, apartado 1, del Reglamento (UE) 2016/679, seguir utilizando las cláusulas contractuales tipo establecidas en las Decisiones 2001/497/CE y 2010/87/UE. Durante un período adicional de quince meses, los importadores y exportadores de datos deben poder, a efectos del artículo 46, apartado 1, del Reglamento (UE) 2016/679, seguir utilizando las cláusulas contractuales tipo establecidas en las Decisiones 2001/497/CE y 2010/87/UE para la ejecución de contratos celebrados entre ellos antes de la fecha de derogación de las Decisiones siempre que las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas y que las cláusulas garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679. En caso de modificaciones importantes del contrato, debe exigirse al exportador de datos que se sirva de un nuevo motivo para las transferencias de datos en virtud del contrato; en concreto, debe sustituir la cláusula contractual tipo existente por las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión. Lo mismo debe ser de aplicación cuando se subcontraten a (sub)encargados operaciones de tratamiento reguladas por el contrato.

(25)

El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos fueron consultados de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725 y emitieron un dictamen conjunto el 14 de enero de 2021 (12), que se ha tenido en cuenta en la elaboración de la presente Decisión.

(26)

Las medidas previstas en la presente Decisión se ajustan al dictamen del comité creado en virtud del artículo 93 del Reglamento (UE) 2016/679.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

1. Se considera que las cláusulas contractuales tipo establecidas en el anexo ofrecen garantías adecuadas en el sentido del artículo 46, apartado 1 y apartado 2, letra c), del Reglamento (UE) 2016/679 para la transferencia de datos personales por parte de un responsable o encargado del tratamiento sujeto a dicho Reglamento (exportador de datos) a un responsable o (sub)encargado cuyo tratamiento de datos no esté sujeto a dicho Reglamento (importador de datos).

2. Las cláusulas contractuales tipo también establecen los derechos y obligaciones de los responsables y encargados del tratamiento con respecto a las cuestiones a que se refiere el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos personales por parte de un responsable a un encargado, o de un encargado a un subencargado.

Artículo 2

Cuando las autoridades competentes de los Estados miembros ejercieren las potestades correctivas que contempla el artículo 58 del Reglamento (UE) 2016/679 respecto de un importador de datos que esté o haya estado sujeto en el tercer país de destino a normativa o prácticas que le impidan cumplir las cláusulas contractuales tipo que figuran en el anexo, y ello dé lugar a la suspensión o prohibición de las transferencias de datos a terceros países, el Estado miembro de que se trate informará sin demora a la Comisión, que transmitirá la información a los demás Estados miembros.

Artículo 3

La Comisión evaluará la aplicación en la práctica de las cláusulas contractuales tipo que figuran en el anexo basándose en toda la información de que disponga, como parte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679.

Artículo 4

1. La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2. Queda derogada la Decisión 2001/497/CE con efecto a partir del 27 de septiembre de 2021.

3. Queda derogada la Decisión 2010/87/UE con efecto a partir del 27 de septiembre de 2021.

4. Se considerará que los contratos celebrados antes del 27 de septiembre de 2021 con arreglo a la Decisión 2001/497/CE o la Decisión 2010/87/UE ofrecen garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679 hasta el 27 de diciembre de 2022 siempre que las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas y que las cláusulas contractuales tipo garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Hecho en Bruselas, el 4 de junio de 2021.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1) DO L 119 de 4.5.2016, p. 1.

(2) Artículo 44 del Reglamento (UE) 2016/679.

(3) Véase la sentencia del Tribunal de Justicia de jueves, 16 de julio de 2020 en el asunto C-311/18, Data Protection Commissioner/Facebook Ireland Ltd y Maximillian Schrems («Schrems II»), ECLI:EU:C:2020:559, apartado 93.

(4) Considerando 109 del Reglamento (UE) 2016/679.

(5) Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE(DO L 181 de 4.7.2001, p. 19).

(6) Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo(DO L 39 de 12.2.2010, p. 5).

(7) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(8) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39); véase el considerando 5.

(9) C(2021) 3701.

(10) Schrems II, apartados 96 y 103. Véanse también los considerandos 108 y 114 del Reglamento (UE) 2016/679.

(11) Schrems II.

(12) Dictamen Conjunto 2/2021 del CEPD-SEPD, sobre la Decisión de Ejecución de la Comisión Europea relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países para los asuntos a que se refiere el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679.

ANEXO

CLÁUSULAS CONTRACTUALES TIPO

SECCIÓN I

Cláusula 1

Finalidad y ámbito de aplicación

a)

La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.

b)

Las partes:

i)

la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «exportador de datos»), y

ii)

la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»),

han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).

c)

El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo I.B.

d)

El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del pliego.

Cláusula 2

Efecto e invariabilidad de las cláusulas

a)

El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

b)

El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

a)

Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.

i)

Cláusulas 1, 2, 3, 6 y 7.

ii)

Cláusula 8: [módulo uno] cláusula 8.5, letra e), y cláusula 8.9, letra b); [módulo dos] cláusula 8.1, letra b), y cláusula 8.9, letras a), c), d) y e); [módulo tres] cláusula 8.1, letras a), c) y d), y cláusula 8.9, letras a), c), d), e), f) y g); [módulo cuatro] cláusula 8.1, letra b), y cláusula 8.3, letra b).

iii)

Cláusula 9: [módulo dos] cláusula 9, letras a), c), d) y e); [módulo tres] cláusula 9, letras a), c), d) y e).

iv)

Cláusula 12: [módulo uno] cláusula 12, letras a) y d); [módulos dos y tres] cláusula 12, letras a), d) y f).

v)

Cláusula 13.

vi)

Cláusula 15.1, letras c), d) y e).

vii)

Cláusula 16, letra e).

viii)

Cláusula 18: [módulos uno, dos y tres] cláusula 18, letras a) y b); [módulo cuatro] cláusula 18.

b)

Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.

Cláusula 4

Interpretación

a)

Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.

b)

El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.

c)

El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6

Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.

Cláusula 7 (opcional)

Cláusula de incorporación

a)

Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el anexo I.A.

b)

Una vez haya cumplimentado el apéndice y firmado el anexo I.A, la entidad que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en el anexo I.A.

c)

La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.

SECCIÓN II: OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.

MÓDULO UNO: transferencia de responsable a responsable

8.1. Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B. Solo podrá tratar los datos personales con otros fines:

i)

cuando haya recabado el consentimiento previo del interesado;

ii)

cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;

iii)

cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física.

8.2. Transparencia

a)

A fin de que los interesados puedan ejercer de forma eficaz los derechos que les otorga la cláusula 10, el importador de datos les informará, directamente o a través del exportador de datos:

i)

de su identidad y datos de contacto;

ii)

de las categorías de datos personales tratados;

iii)

del derecho a solicitar una copia del presente pliego de cláusulas;

iv)

cuando tenga la intención de realizar transferencias ulteriores de los datos personales a terceros, del destinatario o de las categorías de destinatarios (según proceda con el fin de proporcionar información significativa), la finalidad de dicha transferencia ulterior y el motivo de la misma con arreglo a la cláusula 8.7.

b)

Lo dispuesto en la letra a) no será de aplicación cuando el interesado ya disponga de la información (por ejemplo, si el exportador de datos ya ha proporcionado dicha información) o cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos hará pública la información en la medida de lo posible.

c)

Previa solicitud, las partes pondrán gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, las partes podrán expurgar el texto del apéndice antes de compartir una copia, pero deberán aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.

d)

Lo dispuesto en las letras a) a c) se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.

8.3. Exactitud y minimización de datos

a)

Cada parte se asegurará de que los datos personales sean exactos y, cuando proceda, estén actualizados. El importador de datos adoptará todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

b)

Si una de las partes tiene conocimiento de que los datos personales que ha transferido o recibido son inexactos o han quedado obsoletos, informará de ello a la otra parte sin dilación indebida.

c)

El importador de datos se asegurará de que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

8.4. Limitación del plazo de conservación

El importador de datos no conservará los datos personales más tiempo del necesario para los fines para los que se traten. Establecerá las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, como la supresión o anonimización (2) de los datos y de todas las copias de seguridad al finalizar el período de conservación.

8.5. Seguridad del tratamiento

a)

El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento.

b)

Las partes han pactado las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

c)

El importador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

d)

En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los posibles efectos negativos.

e)

En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas, el importador de datos lo notificará sin dilación indebida tanto al exportador de datos como a la autoridad de control competente con arreglo a la cláusula 13. Dicha notificación contendrá i) una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), ii) las consecuencias probables, iii) las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad y iv) los datos de un punto de contacto en el que pueda obtenerse más información. En la medida en que el importador de datos no pueda proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin más dilaciones indebidas.

f)

En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo elevado para los derechos y libertades de las personas físicas, el importador de datos también notificará sin dilación indebida a los interesados la violación de la seguridad de los datos personales y su naturaleza -en caso necesario con la colaboración del exportador de datos- junto con la información a que se refiere la letra e), incisos ii) a iv), a menos que dicha notificación suponga un esfuerzo desproporcionado o que el importador de datos haya aplicado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas. En este último caso, el importador de datos realizará una comunicación pública o adoptará una medida semejante para informar al público de la violación de la seguridad de los datos personales.

g)

El importador de datos documentará todos los hechos pertinentes relacionados con la violación de la seguridad de los datos personales, como sus efectos y las medidas correctivas adoptadas, y llevará un registro de las mismas.

8.6. Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas o infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o garantías adicionales adaptadas a la naturaleza específica de los datos y el riesgo de que se trate. Una de estas puede ser, por ejemplo, la reducción del personal autorizado a acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a la comunicación ulterior.

8.7. Transferencias ulteriores

El importador de datos no comunicará los datos personales a terceros situados fuera de la Unión Europea (3) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») a menos que el tercero esté vinculado por el presente pliego de cláusulas o consienta a someterse a este, con elección del módulo correspondiente. De no ser así, el importador de datos solo podrá efectuar una transferencia ulterior si:

i)

esta va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

ii)

el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;

iii)

el tercero suscribe un instrumento vinculante con el importador de datos que garantice el mismo nivel de protección de datos que el del presente pliego de cláusulas, y el importador de datos entrega una copia de estas garantías al exportador de datos;

iv)

si es necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;

v)

si es necesario para proteger intereses vitales del interesado o de otra persona física; o

vi)

de no concurrir las demás condiciones, el importador de datos ha recabado el consentimiento expreso del interesado para una transferencia ulterior en una situación específica, tras haberle informado de su finalidad, de la identidad del destinatario y de los posibles riesgos de dicha transferencia para el interesado debido a la falta de garantías adecuadas en materia de protección de datos. En este caso, el importador de datos informará al exportador de datos y, a petición de este, le remitirá una copia de la información proporcionada al interesado.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.8. Tratamiento bajo la autoridad del importador de datos

El importador de datos se asegurará de que las personas que actúen bajo su autoridad, especialmente el encargado, solo trate los datos siguiendo instrucciones del importador de datos.

8.9. Documentación y cumplimiento

a)

Las partes deberán poder demostrar el cumplimiento de las obligaciones derivadas del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen bajo su responsabilidad.

b)

El importador de datos pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.

MÓDULO DOS: transferencia de responsable a encargado

8.1. Instrucciones

a)

El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato.

b)

El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones.

8.2. Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del exportador de datos.

8.3. Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el anexo II y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.

8.4. Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5. Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6. Seguridad del tratamiento

a)

El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

b)

El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

c)

En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

d)

El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7. Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8. Transferencias ulteriores

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (4) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:

i)

la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

ii)

el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;

iii)

si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o

iv)

si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9. Documentación y cumplimiento

a)

El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.

b)

Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos.

c)

El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

d)

El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.

e)

Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.

MÓDULO TRES: transferencia de encargado a encargado

8.1. Instrucciones

a)

El exportador de datos ha informado al importador de datos de que actúa como encargado del tratamiento siguiendo las instrucciones de su responsable o responsables, que el exportador de datos deberá poner a disposición del importador de datos antes del tratamiento.

b)

El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, comunicadas al importador por el exportador de datos, así como instrucciones documentadas adicionales del exportador de datos. Dichas instrucciones adicionales no podrán estar en conflicto con las instrucciones del responsable. El responsable o el exportador de datos podrán dar instrucciones documentadas adicionales sobre el tratamiento de datos durante todo el período de vigencia del contrato.

c)

El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones. Si el importador de datos no puede seguir las instrucciones del responsable, el exportador de datos lo notificará inmediatamente al responsable.

d)

El exportador de datos asegura que ha impuesto al importador de datos las obligaciones en materia de protección de datos establecidas en el contrato u otro acto jurídico con arreglo al Derecho de la Unión o del Estado miembro entre el responsable y el exportador de datos (5).

8.2. Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del responsable, comunicadas al importador de datos por el exportador de datos, o del exportador de datos.

8.3. Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el exportador de datos podrá expurgar el texto del apéndice antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.

8.4. Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5. Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del responsable y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6. Seguridad del tratamiento

a)

El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos o del responsable. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

b)

El importador de datos solo concederá acceso a los datos a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

c)

En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también notificará sin dilación indebida al exportador de datos y, cuando proceda y sea viable, al responsable cuando tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

d)

El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación al responsable para que este luego lo notifique a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7. Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8. Transferencias ulteriores

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del responsable, tal y como las haya comunicado el exportador de datos al importador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (6) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:

i)

la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

ii)

el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679;

iii)

si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o

iv)

si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9. Documentación y cumplimiento

a)

El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos o del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.

b)

Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del responsable.

c)

El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente pliego de cláusulas; el exportador de datos luego la proporcionará al responsable.

d)

El importador de datos permitirá y contribuirá a las auditorías que realice el exportador de datos sobre las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Lo mismo se aplicará cuando el exportador de datos solicite una auditoría siguiendo instrucciones del responsable. Al decidir si se realiza una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

e)

Cuando la auditoría se realice siguiendo instrucciones del responsable del tratamiento, el exportador de datos pondrá los resultados a disposición del responsable.

f)

El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.

g)

Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.

MÓDULO CUATRO: transferencia de encargado a responsable

8.1. Instrucciones

a)

El exportador de datos solo tratará los datos personales siguiendo instrucciones documentadas del importador de datos que actúe como su responsable.

b)

El exportador de datos informará inmediatamente al importador de datos si no puede seguir dichas instrucciones, especialmente si dichas instrucciones infringen el Reglamento (UE) 2016/679 u otro instrumento normativo del Derecho de la Unión o del Estado miembro en materia de protección de datos.

c)

El importador de datos no obrará de forma que pueda impedir al exportador de datos cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679 y, en particular, en el marco del subtratamiento o de la cooperación con las autoridades de control competentes.

d)

Una vez se hayan prestado los servicios de tratamiento, el exportador de datos suprimirá, a petición del importador de datos, todos los datos personales tratados por cuenta del importador de datos y acreditará al importador de datos que lo ha hecho, o devolverá al importador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes.

8.2. Seguridad del tratamiento

a)

Las partes aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, especialmente durante la transferencia; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza de los datos personales (7), la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados, y considerarán, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento.

b)

El exportador de datos ayudará al importador de datos a garantizar una seguridad adecuada de los datos de conformidad con la letra a). En caso de violación de la seguridad de los datos personales tratados por el exportador de datos en virtud del presente pliego de cláusulas, el exportador de datos lo notificará sin dilación indebida al importador de datos, una vez que tenga conocimiento de ello, y le ayudará a poner remedio a la violación de la seguridad.

c)

El exportador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

8.3. Documentación y cumplimiento

a)

Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas.

b)

El exportador de datos pondrá a disposición del importador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones que le atribuye el presente pliego de cláusulas y permitirá y contribuirá a las auditorías.

Cláusula 9

Recurso a subencargados

MÓDULO DOS: transferencia de responsable a encargado

a)

OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA: El importador de datos solo podrá subcontratar a un subencargado las actividades de tratamiento que realice por cuenta del exportador de datos en virtud del presente pliego de cláusulas con la autorización previa específica por escrito del exportador de datos. El importador de datos presentará la solicitud de autorización específica al menos [especificar período de tiempo] antes de la contratación del subencargado de que se trate, junto con la información necesaria para que el exportador de datos pueda resolver la solicitud. La lista de subencargados ya autorizados por el exportador de datos figura en el anexo III. Las partes mantendrán actualizado el anexo III.

OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO: El importador de datos cuenta con una autorización general del exportador de datos para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [especificar período de tiempo] de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeción.

b)

Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios (8). Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

c)

El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

d)

El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.

e)

El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

MÓDULO TRES: transferencia de encargado a encargado

a)

OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA: El importador de datos solo podrá subcontratar a un subencargado las actividades de tratamiento que realice por cuenta del exportador de datos en virtud del presente pliego de cláusulas con la autorización previa específica por escrito del responsable. El importador de datos presentará la solicitud de autorización específica al menos [especificar período de tiempo] antes de la contratación del subencargado de que se trate, junto con la información necesaria para que el responsable pueda resolver la solicitud. Informará de dicha subcontratación al exportador de datos. La lista de subencargados ya autorizados por el responsable figura en el anexo III. Las partes mantendrán actualizado el anexo III.

OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO: El importador de datos cuenta con una autorización general del responsable para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [especificar período de tiempo] de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción. El importador de datos informará al exportador de datos de la contratación del subencargado o subencargados.

b)

Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del responsable), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios (9). Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

c)

El importador de datos proporcionará al exportador de datos o al responsable, a instancia del exportador de datos o el responsable, respectivamente, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

d)

El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.

e)

El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente,