7.6.2021   

ES

Diario Oficial de la Unión Europea

L 199/31


DECISIÓN DE EJECUCIÓN (UE) 2021/914 DE LA COMISIÓN

de 4 de junio de 2021

relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo

(Texto pertinente a efectos del EEE)

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (1), y en particular su artículo 28, apartado 7, y su artículo 46, apartado 2, letra c),

Considerando lo siguiente:

(1)

Los avances tecnológicos están facilitando los flujos transfronterizos de datos necesarios para la expansión de la cooperación y el comercio internacionales. Al mismo tiempo, es necesario garantizar que el nivel de protección de las personas físicas garantizado por el Reglamento (UE) 2016/679 no se vea menoscabado al transferir datos personales a terceros países, especialmente en caso de transferencias ulteriores (2). Las disposiciones sobre transferencias de datos del capítulo V del Reglamento (UE) 2016/679 tienen como finalidad garantizar la continuidad de ese elevado nivel de protección cuando se produzca una transferencia de datos personales a un tercer país (3).

(2)

En virtud del artículo 46, apartado 1, del Reglamento (UE) 2016/679, a falta de una decisión de adecuación de la Comisión con arreglo al artículo 45, apartado 3, el responsable o el encargado solo puede transferir datos personales a un tercer país si ha ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones judiciales eficaces. Dichas garantías pueden aportarse por medio de cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el artículo 46, apartado 2, letra c).

(3)

La función de las cláusulas contractuales tipo se limita a asegurar que haya garantías adecuadas de protección de datos en las transferencias internacionales de datos. Por consiguiente, el responsable o el encargado que transfiera los datos personales a un tercer país («exportador de datos») y el responsable o encargado que reciba los datos personales («importador de datos») tienen discrecionalidad para incluir en un contrato más amplio dichas cláusulas contractuales tipo, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo ni perjudiquen los derechos o libertades fundamentales de los interesados. Se alienta a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas contractuales tipo (4). La utilización de las cláusulas contractuales tipo debe entenderse sin perjuicio de las obligaciones contractuales que tengan el exportador y/o el importador de datos de garantizar el respeto de los privilegios e inmunidades que sean de aplicación.

(4)

Además de utilizar cláusulas contractuales tipo para ofrecer garantías adecuadas en las transferencias de conformidad con el artículo 46, apartado 1, del Reglamento (UE) 2016/679, el exportador de datos tiene que cumplir las obligaciones generales que le incumben como responsable o encargado en virtud del Reglamento (UE) 2016/679. Entre estas responsabilidades figuran la obligación del responsable de comunicar a los interesados la intención de transferir sus datos personales a un tercer país de conformidad con el artículo 13, apartado 1, letra f), y el artículo 14, apartado 1, letra f), del Reglamento (UE) 2016/679. En el caso de las transferencias a que se refiere el artículo 46 del Reglamento (UE) 2016/679, se incluye una referencia a las garantías adecuadas, así como a los medios para obtener una copia de las mismas o información cuando se haya proporcionado.

(5)

La Decisión 2001/497/CE de la Comisión (5) y la Decisión 2010/87/UE de la Comisión (6) contienen cláusulas contractuales tipo para facilitar la transferencia de datos personales por parte de un responsable establecido en la Unión a otro responsable o encargado establecido en un tercer país que no ofreciese un nivel de protección adecuado. Dichas Decisiones se basaron en la Directiva 95/46/CE del Parlamento Europeo y del Consejo (7).

(6)

De conformidad con el artículo 46, apartado 5, del Reglamento (UE) 2016/679, la Decisión 2001/497/CE y la Decisión 2010/87/UE, permanecen en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el artículo 46, apartado 2, de dicho Reglamento. Las cláusulas contractuales tipo de las Decisiones mencionadas necesitaban una puesta al día que las armonizase con los nuevos requisitos del Reglamento (UE) 2016/679. Por otra parte, desde la adopción de estas Decisiones, se han producido avances de calado en la economía digital: uso generalizado de operaciones de tratamiento nuevas y más complejas en las que a menudo intervienen múltiples importadores y exportadores de datos, cadenas de tratamiento largas y complejas, así como relaciones comerciales cambiantes. Para reflejar mejor estas realidades es preciso una modernización de las cláusulas contractuales tipo, que abarque situaciones adicionales de tratamiento y transferencia y adopte un planteamiento más flexible y, en particular, en lo que se refiere al número de partes que pueden adherirse al contrato.

(7)

Las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión pueden utilizarlas tanto el responsable como el encargado a fin de ofrecer garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679 en las transferencias de datos personales a un encargado o un responsable establecido en un tercer país, sin perjuicio de la interpretación del concepto de transferencia internacional recogida en el Reglamento (UE) 2016/679. Las cláusulas contractuales tipo pueden utilizarse respecto de tales transferencias solo en la medida en que el tratamiento por parte del importador no entre en el ámbito de aplicación del Reglamento (UE) 2016/679. En este supuesto también se incluye la transferencia de datos personales por parte de un responsable o encargado no establecido en la Unión, en la medida en que el tratamiento esté sujeto al Reglamento (UE) 2016/679 con arreglo a su artículo 3, apartado 2, porque se refiera a la oferta de bienes o servicios a interesados en la Unión o al control de su comportamiento en la medida en que se desarrolle dentro de la Unión.

(8)

Dada la armonización general del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725 (8), las cláusulas contractuales tipo también deben poder utilizarse respecto del contrato contemplado en el artículo 29, apartado 4, del Reglamento (UE) 2018/1725 para la transferencia de datos personales a un subencargado en un tercer país por parte de un encargado que no sea una institución u organismo de la Unión, pero que esté vinculado por el Reglamento (UE) 2016/679 y que trate datos personales por cuenta de una institución u organismo de la Unión de conformidad con el artículo 29 del Reglamento (UE) 2018/1725. Cuando el contrato reproduzca las mismas obligaciones en materia de protección de datos que las establecidas en el contrato u otro acto jurídico entre el responsable y el encargado de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725 y, en particular, ofrezca garantías suficientes en relación con las medidas técnicas y organizativas para asegurar que el tratamiento cumpla los requisitos de dicho Reglamento, se considerará que garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado reproduzcan las cláusulas contractuales tipo de la Decisión de Ejecución de la Comisión en las cláusulas contractuales tipo entre responsables y encargados en los supuestos contemplados en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9).

(9)

Si el tratamiento implica transferencias de datos por parte de responsables sujetos al Reglamento (UE) 2016/679 a encargados fuera de su ámbito territorial de aplicación o por parte de encargados sujetos al Reglamento (UE) 2016/679 a subencargados fuera de su ámbito territorial de aplicación, también se considerará que las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión permiten cumplir los requisitos del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.

(10)

Las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión combinan cláusulas generales con un enfoque modular para tener en cuenta los distintos supuestos de transferencia y la complejidad de las cadenas de tratamiento modernas. Además de las cláusulas generales, los responsables y encargados deben seleccionar el módulo aplicable a su situación, para adaptar las obligaciones derivadas de las cláusulas contractuales tipo a su función y sus responsabilidades en relación con el tratamiento de datos en cuestión. Debe ser posible que más de dos partes se adhieran a las cláusulas contractuales tipo. Por otra parte, debe permitirse que otros responsables y encargados se adhieran a las cláusulas contractuales tipo como exportadores o importadores de datos a lo largo del período de vigencia del contrato del que forman parte.

(11)

A fin de ofrecer garantías adecuadas, las cláusulas contractuales tipo deben asegurar que los datos personales transferidos con arreglo a ellas gocen de un nivel de protección equivalente en lo esencial al garantizado en la Unión (10). Con el objetivo de garantizar la transparencia del tratamiento, los interesados deben recibir una copia de las cláusulas contractuales tipo y deben ser informados, en particular, de las categorías de datos personales tratados, del derecho a recibir una copia de las cláusulas contractuales tipo y de cualquier transferencia ulterior. Las transferencias ulteriores por parte del importador de datos a un tercero en otro tercer país solo deben permitirse si dicho tercero se adhiere a las cláusulas contractuales tipo, si la continuidad de la protección está garantizada de otro modo o en situaciones específicas, como, por ejemplo, si media el consentimiento explícito y con conocimiento de causa del interesado.

(12)

Con determinadas excepciones y, en particular, en cuanto a determinadas obligaciones que se refieran exclusivamente a la relación entre el exportador y el importador de datos, los interesados deben poder invocar y, en su caso, hacer cumplir las cláusulas contractuales tipo como terceros beneficiarios. Por lo tanto, si bien debe permitirse a las partes elegir el Derecho de uno de los Estados miembros para que rija las cláusulas contractuales tipo, este Derecho debe admitir la existencia de derechos de los terceros beneficiarios. A fin de facilitar el derecho a reparación en casos particulares, las cláusulas contractuales tipo deben exigir al importador de datos que comunique a los interesados los datos de un punto de contacto y que tramite con presteza cualquier reclamación o solicitud. En caso de controversia entre el importador de datos y un interesado que haga valer sus derechos de tercero beneficiario, el interesado debe poder presentar una reclamación ante la autoridad de control competente o ejercitar una acción judicial ante un órgano jurisdiccional competente de la UE.

(13)

Con el objetivo de garantizar la eficacia de la ejecución, el importador de datos debe estar obligado a someterse a la competencia de dicha autoridad o dicho órgano jurisdiccional y a comprometerse a acatar la resolución vinculante que se adopte con arreglo al Derecho aplicable del Estado miembro. En particular, el importador de datos debe comprometerse a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Además, el importador de datos debe tener la opción de brindar a los interesados la posibilidad de acudir a un organismo independiente de resolución de litigios, sin coste alguno. De conformidad con el artículo 80, apartado 1, del Reglamento (UE) 2016/679, debe permitirse que los interesados sean representados por asociaciones u otros organismos en litigios contra el importador de datos si así lo desean.

(14)

Las cláusulas contractuales tipo deben disponer reglas de responsabilidad entre las partes y con respecto a los interesados, así como reglas de indemnización entre las partes. Cuando el interesado sufra daños materiales o inmateriales como consecuencia de una vulneración de los derechos de tercero beneficiario contemplados en las cláusulas contractuales tipo, debe tener derecho a ser indemnizado. Este derecho debe entenderse sin perjuicio de cualquier responsabilidad que pueda derivarse del Reglamento (UE) 2016/679.

(15)

En caso de transferencia a un importador de datos que actúe como encargado o subencargado, deben aplicarse requisitos específicos de conformidad con el artículo 28, apartado 3, del Reglamento (UE) 2016/679. Las cláusulas contractuales tipo deben exigir al importador de datos que proporcione toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en ellas y permitir y contribuir a las auditorías de sus actividades de tratamiento por parte del exportador de datos. Con respecto a la contratación de subencargados por parte del importador de datos, de conformidad con el artículo 28, apartados 2 y 4, del Reglamento (UE) 2016/679, las cláusulas contractuales tipo deben establecer, en particular, el procedimiento de autorización general o específica por parte del exportador de datos, así como exigir que se celebre un contrato por escrito con el subencargado por el que se garantice el mismo nivel de protección que el conferido por las cláusulas.

(16)

Conviene disponer varias garantías en las cláusulas contractuales tipo que abarquen la situación específica de una transferencia de datos personales por parte de un encargado en la Unión a su responsable en un tercer país y que reflejen las limitadas obligaciones autónomas de los encargados que contempla el Reglamento (UE) 2016/679. En particular, las cláusulas contractuales tipo deben exigir al encargado que informe al responsable si no puede seguir instrucciones, especialmente instrucciones que infrinjan el Derecho de la Unión en materia de protección de datos, y que prohíba al responsable obrar de manera que impida al encargado cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679. También deben exigir a las partes que se presten ayuda recíproca para responder a las consultas y solicitudes de los interesados en virtud del Derecho país aplicable al importador de datos o, respecto del tratamiento de datos en la Unión, en virtud del Reglamento (UE) 2016/679. Deben aplicarse requisitos adicionales para corregir el efecto que tenga el Derecho del tercer país de destino sobre el cumplimiento de las cláusulas por parte del responsable y, en particular, el modo de resolver las solicitudes vinculantes de comunicación de los datos personales transferidos presentadas por las autoridades públicas del tercer país cuando el encargado de la Unión combine los datos personales recibidos del responsable en el tercer país con los datos personales recopilados por el encargado en la Unión. En cambio, tales requisitos no están justificados cuando la subcontratación se refiere únicamente al tratamiento y la devolución de los datos personales recibidos del responsable y, en cualquier caso, siempre que esté y siga estando sujeta a la jurisdicción del tercer país de que se trate.

(17)

Las partes deben poder demostrar el cumplimiento de las cláusulas contractuales tipo. En particular, debe exigirse al importador de datos que conserve la documentación que corresponda para las actividades de tratamiento bajo su responsabilidad y que informe al exportador de datos con presteza en caso de que, por cualquier motivo, no pueda cumplir las cláusulas. A su vez, el exportador de datos debe suspender la transferencia y, en casos especialmente graves, estar facultado para resolver el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de cláusulas contractuales tipo, cuando el importador de datos infrinja o no pueda cumplir las cláusulas contractuales tipo. Deben aplicarse reglas específicas cuando la normativa doméstica afecte al cumplimiento de las cláusulas. Los datos personales que ya se hubieran transferido antes de la resolución del contrato y cualquier copia de los mismos deben, a elección del exportador de datos, devolverse al exportador de datos o destruirse en su totalidad.

(18)

Las cláusulas contractuales tipo deben disponer garantías específicas, especialmente en vista de la jurisprudencia reciente del Tribunal de Justicia (11), para corregir los efectos que pueda tener el Derecho del tercer país de destino sobre el cumplimiento de las cláusulas por parte del importador de datos y, en particular, el modo de resolver las solicitudes vinculantes de comunicación de los datos personales transferidos presentadas por las autoridades públicas del tercer país.

(19)

La transferencia y el tratamiento de datos personales en virtud de cláusulas contractuales tipo no deben producirse si el Derecho y las prácticas del tercer país de destino impiden que el importador de datos cumpla dichas cláusulas. A este respecto, no se considera que se opongan a las cláusulas contractuales tipo la normativa y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679. Las partes deben garantizar que, en el momento de someterse a las cláusulas contractuales tipo, no tienen motivos para creer que el Derecho y las prácticas aplicables al importador de datos no se ajustan a estos requisitos.

(20)

Las partes deben tener en cuenta, en particular, las circunstancias específicas de la transferencia (como el contenido y la duración del contrato, la naturaleza de los datos transferidos, el tipo de destinatario y la finalidad del tratamiento), el Derecho y las prácticas del tercer país de destino que sean de aplicación dadas las circunstancias de la transferencia y las garantías establecidas para complementar las garantías contempladas en las cláusulas contractuales tipo (como medidas contractuales, técnicas y organizativas pertinentes que sean de aplicación a la transferencia y al tratamiento de los datos personales en el país de destino). Por lo que se refiere al efecto del Derecho y prácticas mencionados sobre el cumplimiento de las cláusulas contractuales tipo, pueden valorarse diferentes elementos en una evaluación global; por ejemplo, información fiable sobre la aplicación del Derecho en la práctica (jurisprudencia, informes de organismos de supervisión independientes, etc.), la existencia o ausencia de solicitudes en el mismo sector y, en condiciones estrictas, la experiencia práctica documentada del exportador y/o el importador de datos.

(21)

El importador de datos debe informar al exportador de datos si, tras haberse sometido a las cláusulas, tiene motivos para creer que no podrá cumplir las cláusulas contractuales tipo. Si el exportador de datos recibe tal comunicación o descubre de otro modo que el importador de datos ya no puede cumplir las cláusulas contractuales tipo, debe determinar las medidas adecuadas para hacer frente a la situación, consultando, en su caso, a la autoridad de control competente. Dichas medidas pueden consistir en medidas complementarias adoptadas por el exportador y/o el importador de datos, como medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad. Debe exigirse al exportador de datos que suspenda la transferencia si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente.

(22)

Cuando sea posible, el importador de datos debe informar al exportador de datos y al interesado si recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo a las cláusulas contractuales tipo presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino. De forma análoga, debe informarlos si tiene conocimiento de que las autoridades públicas han tenido acceso a dichos datos personales en virtud del Derecho del tercer país de destino. Si, a pesar de haber hecho todo lo posible, el importador de datos no puede informar al exportador de datos y/o al interesado de las solicitudes de comunicación específicas, debe proporcionar al exportador de datos la mayor cantidad posible de información pertinente sobre las solicitudes. Además, el importador de datos debe proporcionar al exportador de datos información agregada a intervalos regulares. También debe exigirse al importador de datos que documente cualquier solicitud de comunicación recibida y la respuesta dada y que ponga dicha información a disposición del exportador de datos, de la autoridad de control competente o de ambos, previa solicitud. Si, tras un control de la legalidad de dicha solicitud con arreglo al Derecho del país de destino, el importador de datos llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo al Derecho del tercer país de destino, debe impugnarla, agotando, en su caso, todas las vías de recurso. En cualquier caso, si el importador de datos ya no puede cumplir las cláusulas contractuales tipo, debe comunicarlo al exportador de datos, incluso cuando sea consecuencia de una solicitud de comunicación.

(23)

Dado que las necesidades de las partes interesadas, la tecnología y las operaciones de tratamiento pueden cambiar, la Comisión debe evaluar el funcionamiento de las cláusulas contractuales tipo a la luz de la experiencia adquirida como parte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679.

(24)

La Decisión 2001/497/CE y la Decisión 2010/87/UE deben ser derogadas a los tres meses de la entrada en vigor de la presente Decisión. Durante dicho período, los exportadores e importadores de datos deben poder, a efectos del artículo 46, apartado 1, del Reglamento (UE) 2016/679, seguir utilizando las cláusulas contractuales tipo establecidas en las Decisiones 2001/497/CE y 2010/87/UE. Durante un período adicional de quince meses, los importadores y exportadores de datos deben poder, a efectos del artículo 46, apartado 1, del Reglamento (UE) 2016/679, seguir utilizando las cláusulas contractuales tipo establecidas en las Decisiones 2001/497/CE y 2010/87/UE para la ejecución de contratos celebrados entre ellos antes de la fecha de derogación de las Decisiones siempre que las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas y que las cláusulas garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679. En caso de modificaciones importantes del contrato, debe exigirse al exportador de datos que se sirva de un nuevo motivo para las transferencias de datos en virtud del contrato; en concreto, debe sustituir la cláusula contractual tipo existente por las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión. Lo mismo debe ser de aplicación cuando se subcontraten a (sub)encargados operaciones de tratamiento reguladas por el contrato.

(25)

El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos fueron consultados de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725 y emitieron un dictamen conjunto el 14 de enero de 2021 (12), que se ha tenido en cuenta en la elaboración de la presente Decisión.

(26)

Las medidas previstas en la presente Decisión se ajustan al dictamen del comité creado en virtud del artículo 93 del Reglamento (UE) 2016/679.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

1.   Se considera que las cláusulas contractuales tipo establecidas en el anexo ofrecen garantías adecuadas en el sentido del artículo 46, apartado 1 y apartado 2, letra c), del Reglamento (UE) 2016/679 para la transferencia de datos personales por parte de un responsable o encargado del tratamiento sujeto a dicho Reglamento (exportador de datos) a un responsable o (sub)encargado cuyo tratamiento de datos no esté sujeto a dicho Reglamento (importador de datos).

2.   Las cláusulas contractuales tipo también establecen los derechos y obligaciones de los responsables y encargados del tratamiento con respecto a las cuestiones a que se refiere el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos personales por parte de un responsable a un encargado, o de un encargado a un subencargado.

Artículo 2

Cuando las autoridades competentes de los Estados miembros ejercieren las potestades correctivas que contempla el artículo 58 del Reglamento (UE) 2016/679 respecto de un importador de datos que esté o haya estado sujeto en el tercer país de destino a normativa o prácticas que le impidan cumplir las cláusulas contractuales tipo que figuran en el anexo, y ello dé lugar a la suspensión o prohibición de las transferencias de datos a terceros países, el Estado miembro de que se trate informará sin demora a la Comisión, que transmitirá la información a los demás Estados miembros.

Artículo 3

La Comisión evaluará la aplicación en la práctica de las cláusulas contractuales tipo que figuran en el anexo basándose en toda la información de que disponga, como parte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679.

Artículo 4

1.   La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2.   Queda derogada la Decisión 2001/497/CE con efecto a partir del 27 de septiembre de 2021.

3.   Queda derogada la Decisión 2010/87/UE con efecto a partir del 27 de septiembre de 2021.

4.   Se considerará que los contratos celebrados antes del 27 de septiembre de 2021 con arreglo a la Decisión 2001/497/CE o la Decisión 2010/87/UE ofrecen garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679 hasta el 27 de diciembre de 2022 siempre que las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas y que las cláusulas contractuales tipo garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.

Hecho en Bruselas, el 4 de junio de 2021.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN


(1)  DO L 119 de 4.5.2016, p. 1.

(2)  Artículo 44 del Reglamento (UE) 2016/679.

(3)  Véase la sentencia del Tribunal de Justicia de jueves, 16 de julio de 2020 en el asunto C-311/18, Data Protection Commissioner/Facebook Ireland Ltd y Maximillian Schrems («Schrems II»), ECLI:EU:C:2020:559, apartado 93.

(4)  Considerando 109 del Reglamento (UE) 2016/679.

(5)  Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE(DO L 181 de 4.7.2001, p. 19).

(6)  Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo(DO L 39 de 12.2.2010, p. 5).

(7)  Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(8)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39); véase el considerando 5.

(9)  C(2021) 3701.

(10)  Schrems II, apartados 96 y 103. Véanse también los considerandos 108 y 114 del Reglamento (UE) 2016/679.

(11)  Schrems II.

(12)  Dictamen Conjunto 2/2021 del CEPD-SEPD, sobre la Decisión de Ejecución de la Comisión Europea relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países para los asuntos a que se refiere el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679.


ANEXO

CLÁUSULAS CONTRACTUALES TIPO

SECCIÓN I

Cláusula 1

Finalidad y ámbito de aplicación

a)

La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.

b)

Las partes:

i)

la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «exportador de datos»), y

ii)

la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»),

han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).

c)

El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo I.B.

d)

El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del pliego.

Cláusula 2

Efecto e invariabilidad de las cláusulas

a)

El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

b)

El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

a)

Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.

i)

Cláusulas 1, 2, 3, 6 y 7.

ii)

Cláusula 8: [módulo uno] cláusula 8.5, letra e), y cláusula 8.9, letra b); [módulo dos] cláusula 8.1, letra b), y cláusula 8.9, letras a), c), d) y e); [módulo tres] cláusula 8.1, letras a), c) y d), y cláusula 8.9, letras a), c), d), e), f) y g); [módulo cuatro] cláusula 8.1, letra b), y cláusula 8.3, letra b).

iii)

Cláusula 9: [módulo dos] cláusula 9, letras a), c), d) y e); [módulo tres] cláusula 9, letras a), c), d) y e).

iv)

Cláusula 12: [módulo uno] cláusula 12, letras a) y d); [módulos dos y tres] cláusula 12, letras a), d) y f).

v)

Cláusula 13.

vi)

Cláusula 15.1, letras c), d) y e).

vii)

Cláusula 16, letra e).

viii)

Cláusula 18: [módulos uno, dos y tres] cláusula 18, letras a) y b); [módulo cuatro] cláusula 18.

b)

Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.

Cláusula 4

Interpretación

a)

Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.

b)

El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.

c)

El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6

Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.

Cláusula 7 (opcional)

Cláusula de incorporación

a)

Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el anexo I.A.

b)

Una vez haya cumplimentado el apéndice y firmado el anexo I.A, la entidad que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en el anexo I.A.

c)

La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.

SECCIÓN II: OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.

MÓDULO UNO: transferencia de responsable a responsable

8.1.   Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B. Solo podrá tratar los datos personales con otros fines:

i)

cuando haya recabado el consentimiento previo del interesado;

ii)

cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;

iii)

cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física.

8.2.   Transparencia

a)

A fin de que los interesados puedan ejercer de forma eficaz los derechos que les otorga la cláusula 10, el importador de datos les informará, directamente o a través del exportador de datos:

i)

de su identidad y datos de contacto;

ii)

de las categorías de datos personales tratados;

iii)

del derecho a solicitar una copia del presente pliego de cláusulas;

iv)

cuando tenga la intención de realizar transferencias ulteriores de los datos personales a terceros, del destinatario o de las categorías de destinatarios (según proceda con el fin de proporcionar información significativa), la finalidad de dicha transferencia ulterior y el motivo de la misma con arreglo a la cláusula 8.7.

b)

Lo dispuesto en la letra a) no será de aplicación cuando el interesado ya disponga de la información (por ejemplo, si el exportador de datos ya ha proporcionado dicha información) o cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos hará pública la información en la medida de lo posible.

c)

Previa solicitud, las partes pondrán gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, las partes podrán expurgar el texto del apéndice antes de compartir una copia, pero deberán aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.

d)

Lo dispuesto en las letras a) a c) se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.

8.3.   Exactitud y minimización de datos

a)

Cada parte se asegurará de que los datos personales sean exactos y, cuando proceda, estén actualizados. El importador de datos adoptará todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

b)

Si una de las partes tiene conocimiento de que los datos personales que ha transferido o recibido son inexactos o han quedado obsoletos, informará de ello a la otra parte sin dilación indebida.

c)

El importador de datos se asegurará de que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

8.4.   Limitación del plazo de conservación

El importador de datos no conservará los datos personales más tiempo del necesario para los fines para los que se traten. Establecerá las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, como la supresión o anonimización (2) de los datos y de todas las copias de seguridad al finalizar el período de conservación.

8.5.   Seguridad del tratamiento

a)

El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento.

b)

Las partes han pactado las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

c)

El importador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

d)

En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los posibles efectos negativos.

e)

En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas, el importador de datos lo notificará sin dilación indebida tanto al exportador de datos como a la autoridad de control competente con arreglo a la cláusula 13. Dicha notificación contendrá i) una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), ii) las consecuencias probables, iii) las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad y iv) los datos de un punto de contacto en el que pueda obtenerse más información. En la medida en que el importador de datos no pueda proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin más dilaciones indebidas.

f)

En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo elevado para los derechos y libertades de las personas físicas, el importador de datos también notificará sin dilación indebida a los interesados la violación de la seguridad de los datos personales y su naturaleza —en caso necesario con la colaboración del exportador de datos— junto con la información a que se refiere la letra e), incisos ii) a iv), a menos que dicha notificación suponga un esfuerzo desproporcionado o que el importador de datos haya aplicado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas. En este último caso, el importador de datos realizará una comunicación pública o adoptará una medida semejante para informar al público de la violación de la seguridad de los datos personales.

g)

El importador de datos documentará todos los hechos pertinentes relacionados con la violación de la seguridad de los datos personales, como sus efectos y las medidas correctivas adoptadas, y llevará un registro de las mismas.

8.6.   Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas o infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o garantías adicionales adaptadas a la naturaleza específica de los datos y el riesgo de que se trate. Una de estas puede ser, por ejemplo, la reducción del personal autorizado a acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a la comunicación ulterior.

8.7.   Transferencias ulteriores

El importador de datos no comunicará los datos personales a terceros situados fuera de la Unión Europea (3) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») a menos que el tercero esté vinculado por el presente pliego de cláusulas o consienta a someterse a este, con elección del módulo correspondiente. De no ser así, el importador de datos solo podrá efectuar una transferencia ulterior si:

i)

esta va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

ii)

el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;

iii)

el tercero suscribe un instrumento vinculante con el importador de datos que garantice el mismo nivel de protección de datos que el del presente pliego de cláusulas, y el importador de datos entrega una copia de estas garantías al exportador de datos;

iv)

si es necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;

v)

si es necesario para proteger intereses vitales del interesado o de otra persona física; o

vi)

de no concurrir las demás condiciones, el importador de datos ha recabado el consentimiento expreso del interesado para una transferencia ulterior en una situación específica, tras haberle informado de su finalidad, de la identidad del destinatario y de los posibles riesgos de dicha transferencia para el interesado debido a la falta de garantías adecuadas en materia de protección de datos. En este caso, el importador de datos informará al exportador de datos y, a petición de este, le remitirá una copia de la información proporcionada al interesado.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.8.   Tratamiento bajo la autoridad del importador de datos

El importador de datos se asegurará de que las personas que actúen bajo su autoridad, especialmente el encargado, solo trate los datos siguiendo instrucciones del importador de datos.

8.9.   Documentación y cumplimiento

a)

Las partes deberán poder demostrar el cumplimiento de las obligaciones derivadas del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen bajo su responsabilidad.

b)

El importador de datos pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.

MÓDULO DOS: transferencia de responsable a encargado

8.1.   Instrucciones

a)

El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato.

b)

El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones.

8.2.   Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del exportador de datos.

8.3.   Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el anexo II y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.

8.4.   Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5.   Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6.   Seguridad del tratamiento

a)

El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

b)

El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

c)

En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

d)

El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7.   Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8.   Transferencias ulteriores

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (4) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:

i)

la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

ii)

el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;

iii)

si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o

iv)

si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9.   Documentación y cumplimiento

a)

El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.

b)

Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos.

c)

El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

d)

El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.

e)

Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.

MÓDULO TRES: transferencia de encargado a encargado

8.1.   Instrucciones

a)

El exportador de datos ha informado al importador de datos de que actúa como encargado del tratamiento siguiendo las instrucciones de su responsable o responsables, que el exportador de datos deberá poner a disposición del importador de datos antes del tratamiento.

b)

El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, comunicadas al importador por el exportador de datos, así como instrucciones documentadas adicionales del exportador de datos. Dichas instrucciones adicionales no podrán estar en conflicto con las instrucciones del responsable. El responsable o el exportador de datos podrán dar instrucciones documentadas adicionales sobre el tratamiento de datos durante todo el período de vigencia del contrato.

c)

El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones. Si el importador de datos no puede seguir las instrucciones del responsable, el exportador de datos lo notificará inmediatamente al responsable.

d)

El exportador de datos asegura que ha impuesto al importador de datos las obligaciones en materia de protección de datos establecidas en el contrato u otro acto jurídico con arreglo al Derecho de la Unión o del Estado miembro entre el responsable y el exportador de datos (5).

8.2.   Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del responsable, comunicadas al importador de datos por el exportador de datos, o del exportador de datos.

8.3.   Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el exportador de datos podrá expurgar el texto del apéndice antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.

8.4.   Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5.   Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del responsable y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6.   Seguridad del tratamiento

a)

El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos o del responsable. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

b)

El importador de datos solo concederá acceso a los datos a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

c)

En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también notificará sin dilación indebida al exportador de datos y, cuando proceda y sea viable, al responsable cuando tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

d)

El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación al responsable para que este luego lo notifique a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7.   Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8.   Transferencias ulteriores

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del responsable, tal y como las haya comunicado el exportador de datos al importador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (6) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:

i)

la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

ii)

el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679;

iii)

si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o

iv)

si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9.   Documentación y cumplimiento

a)

El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos o del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.

b)

Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del responsable.

c)

El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente pliego de cláusulas; el exportador de datos luego la proporcionará al responsable.

d)

El importador de datos permitirá y contribuirá a las auditorías que realice el exportador de datos sobre las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Lo mismo se aplicará cuando el exportador de datos solicite una auditoría siguiendo instrucciones del responsable. Al decidir si se realiza una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

e)

Cuando la auditoría se realice siguiendo instrucciones del responsable del tratamiento, el exportador de datos pondrá los resultados a disposición del responsable.

f)

El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.

g)

Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.

MÓDULO CUATRO: transferencia de encargado a responsable

8.1.   Instrucciones

a)

El exportador de datos solo tratará los datos personales siguiendo instrucciones documentadas del importador de datos que actúe como su responsable.

b)

El exportador de datos informará inmediatamente al importador de datos si no puede seguir dichas instrucciones, especialmente si dichas instrucciones infringen el Reglamento (UE) 2016/679 u otro instrumento normativo del Derecho de la Unión o del Estado miembro en materia de protección de datos.

c)

El importador de datos no obrará de forma que pueda impedir al exportador de datos cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679 y, en particular, en el marco del subtratamiento o de la cooperación con las autoridades de control competentes.

d)

Una vez se hayan prestado los servicios de tratamiento, el exportador de datos suprimirá, a petición del importador de datos, todos los datos personales tratados por cuenta del importador de datos y acreditará al importador de datos que lo ha hecho, o devolverá al importador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes.

8.2.   Seguridad del tratamiento

a)

Las partes aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, especialmente durante la transferencia; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza de los datos personales (7), la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados, y considerarán, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento.

b)

El exportador de datos ayudará al importador de datos a garantizar una seguridad adecuada de los datos de conformidad con la letra a). En caso de violación de la seguridad de los datos personales tratados por el exportador de datos en virtud del presente pliego de cláusulas, el exportador de datos lo notificará sin dilación indebida al importador de datos, una vez que tenga conocimiento de ello, y le ayudará a poner remedio a la violación de la seguridad.

c)

El exportador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

8.3.   Documentación y cumplimiento

a)

Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas.

b)

El exportador de datos pondrá a disposición del importador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones que le atribuye el presente pliego de cláusulas y permitirá y contribuirá a las auditorías.

Cláusula 9

Recurso a subencargados

MÓDULO DOS: transferencia de responsable a encargado

a)

OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA: El importador de datos solo podrá subcontratar a un subencargado las actividades de tratamiento que realice por cuenta del exportador de datos en virtud del presente pliego de cláusulas con la autorización previa específica por escrito del exportador de datos. El importador de datos presentará la solicitud de autorización específica al menos [especificar período de tiempo] antes de la contratación del subencargado de que se trate, junto con la información necesaria para que el exportador de datos pueda resolver la solicitud. La lista de subencargados ya autorizados por el exportador de datos figura en el anexo III. Las partes mantendrán actualizado el anexo III.

OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO: El importador de datos cuenta con una autorización general del exportador de datos para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [especificar período de tiempo] de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeción.

b)

Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios (8). Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

c)

El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

d)

El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.

e)

El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

MÓDULO TRES: transferencia de encargado a encargado

a)

OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA: El importador de datos solo podrá subcontratar a un subencargado las actividades de tratamiento que realice por cuenta del exportador de datos en virtud del presente pliego de cláusulas con la autorización previa específica por escrito del responsable. El importador de datos presentará la solicitud de autorización específica al menos [especificar período de tiempo] antes de la contratación del subencargado de que se trate, junto con la información necesaria para que el responsable pueda resolver la solicitud. Informará de dicha subcontratación al exportador de datos. La lista de subencargados ya autorizados por el responsable figura en el anexo III. Las partes mantendrán actualizado el anexo III.

OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO: El importador de datos cuenta con una autorización general del responsable para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [especificar período de tiempo] de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción. El importador de datos informará al exportador de datos de la contratación del subencargado o subencargados.

b)

Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del responsable), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios (9). Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

c)

El importador de datos proporcionará al exportador de datos o al responsable, a instancia del exportador de datos o el responsable, respectivamente, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

d)

El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.

e)

El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

Cláusula 10

Derechos del interesado

MÓDULO UNO: transferencia de responsable a responsable

a)

El importador de datos, en su caso con la asistencia del exportador de datos, tramitará, sin dilación indebida y como tarde en un plazo de un mes desde la recepción de la consulta o solicitud, las consultas y solicitudes que reciba de interesados en relación con el tratamiento de sus datos personales y el ejercicio de los derechos que les otorga el presente pliego de cláusulas (10). El importador de datos adoptará medidas adecuadas para facilitar dichas consultas y solicitudes y el ejercicio de los derechos de los interesados. Toda la información que se proporcione a los interesados deberá ser inteligible y de fácil acceso, con un lenguaje claro y sencillo.

b)

En particular, el importador de datos deberá, a petición del interesado y de forma gratuita:

i)

confirmar al interesado si se están tratando datos personales que le conciernan y, en su caso, proporcionar una copia de los datos que le conciernan, así como la información que figura en el anexo I; si los datos personales han sido o serán ulteriormente transferidos, información sobre los destinatarios o las categorías de destinatarios (según proceda, con vistas a proporcionar información significativa) a los que se haya realizado o vaya realizarse la transferencia ulterior de los datos personales, la finalidad de dichas transferencias ulteriores y su motivo de conformidad con la cláusula 8.7; e información sobre el derecho a presentar una reclamación ante una autoridad de control en virtud de la cláusula 12, letra c), inciso i);

ii)

rectificar los datos inexactos o incompletos relativos al interesado;

iii)

suprimir los datos personales relativos al interesado si dichos datos se están tratando o han sido tratados en contravención de cualquiera de las cláusulas que garantizan los derechos de terceros beneficiarios o si el interesado retira el consentimiento en que se basa el tratamiento.

c)

Cuando el importador de datos trate los datos personales con fines de mercadotecnia directa, dejará de tratarlos para tales fines si el interesado se opone a ello.

d)

El importador de datos no tomará una decisión, basándose únicamente en el tratamiento automatizado de los datos personales transferidos («decisión automatizada»), que produzca efectos jurídicos para el interesado o le afecte de forma igualmente significativa, salvo con el consentimiento expreso del interesado o si así lo autoriza el Derecho del país de destino, siempre que dicho Derecho disponga medidas adecuadas para garantizar los intereses legítimos y los derechos del interesado. En este caso, el importador de datos, con la colaboración del exportador de datos cuando sea necesario:

i)

informará al interesado de la decisión automatizada prevista y de las consecuencias previstas, así como de la lógica aplicada; y

ii)

aplicará garantías adecuadas, como mínimo permitiendo al interesado impugnar la decisión, expresar su punto de vista y solicitar una revisión por parte de un ser humano.

e)

Cuando las solicitudes de un interesado sean excesivas, especialmente debido a su carácter repetitivo, el importador de datos podrá establecer una tasa razonable en función del coste administrativo que implique la concesión de la solicitud o negarse a actuar respecto de la solicitud.

f)

El importador de datos podrá denegar la solicitud de un interesado cuando ello esté permitido con arreglo al Derecho del país de destino y sea necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.

g)

Si el importador de datos pretende denegar la solicitud de un interesado, le informará de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad de control competente o de ejercitar una acción judicial.

MÓDULO DOS: transferencia de responsable a encargado

a)

El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo.

b)

El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

c)

En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del exportador de datos.

MÓDULO TRES: transferencia de encargado a encargado

a)

El importador de datos notificará con presteza al exportador de datos y, en su caso, al responsable toda solicitud que reciba de un interesado, sin responder a dicha solicitud, a menos que haya sido autorizado a hacerlo por el responsable.

b)

El importador de datos ayudará al exportador de datos, cuando proceda con la colaboración del exportador de datos, a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725 atribuyen a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

c)

En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del responsable, comunicadas por el exportador de datos.

MÓDULO CUATRO: transferencia de encargado a responsable

Las partes se prestarán ayuda recíproca para responder a las consultas y solicitudes de los interesados en virtud del Derecho doméstico aplicable al importador de datos o, respecto del tratamiento de datos por parte del exportador de datos en la Unión, en virtud del Reglamento (UE) 2016/679.

Cláusula 11

Reparación

a)

El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.

[OPCIÓN: El importador de datos se aviene a que los interesados también puedan presentar una reclamación ante un organismo independiente de resolución de litigios (11) sin coste alguno para el interesado. Informará a los interesados, en la forma establecida en la letra a), de este mecanismo de reparación y de que no están obligados a recurrir a este ni a seguir una secuencia concreta de vías de reparación.]

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

b)

En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.

c)

El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de:

i)

presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 13;

ii)

ejercitar una acción judicial en el sentido de la cláusula 18.

d)

Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

e)

El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.

f)

El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.

Cláusula 12

Responsabilidad

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO CUATRO: transferencia de encargado a responsable

a)

Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.

b)

Cada parte será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que la parte ocasione al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Ello se entiende sin perjuicio de la responsabilidad que le atribuye el Reglamento (UE) 2016/679 al exportador de datos.

c)

Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.

d)

Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra c), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.

e)

El importador de datos no puede alegar la conducta de un encargado o subencargado del tratamiento para eludir su propia responsabilidad.

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

a)

Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.

b)

El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas.

c)

A pesar de lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación.

d)

Las partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra c), de los daños o perjuicios causados por el importador de datos (o su subencargado), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos.

e)

Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.

f)

Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.

g)

El importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Cláusula 13

Supervisión

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

a)

[Cuando el exportador de datos esté establecido en un Estado miembro de la UE:] La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente.

[Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679, de conformidad con el artículo 3, apartado 2, y haya nombrado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679:] La autoridad de control del Estado miembro en que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, indicada en el anexo I.C, actuará como autoridad de control competente.

[Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de la Comisión, de conformidad con el artículo 3, apartado 2, y no haya nombrado a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679 de la Comisión:] La autoridad de control de uno de los Estado miembros en que estén situados los interesados cuyos datos personales se transfieran en virtud del presente pliego de cláusulas en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado, indicada en el anexo I.C, actuará como autoridad de control competente.

b)

El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III: DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Derecho y prácticas del país que afectan al cumplimiento de las cláusulas

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

MÓDULO CUATRO: transferencia de encargado a responsable (solo si el encargado de la UE combina los datos personales recibidos del responsable del tercer país con los datos personales recopilados por el encargado en la UE)

a)

Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.

b)

Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:

i)

las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;

ii)

el Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables (12);

iii)

las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.

c)

El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.

d)

Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud.

e)

El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a). [Módulo tres: El exportador de datos notificará al responsable.]

f)

De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación [módulo tres:, si procede, tras consultar al responsable]. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone [módulo tres: el responsable o] la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e).

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

MÓDULO CUATRO: transferencia de encargado a responsable (solo si el encargado de la UE combina los datos personales recibidos del responsable del tercer país con los datos personales recopilados por el encargado en la UE)

15.1.   Notificación

a)

El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:

i)

recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o

ii)

tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.

[Módulo tres: El exportador de datos notificará al responsable.]

b)

Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos.

c)

En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.). [Módulo tres: El exportador de datos remitirá la información al responsable.]

d)

El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.

e)

Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.

15.2.   Control de la legalidad y minimización de datos

a)

El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos.

b)

El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud. [Módulo tres: El exportador de datos pondrá la valoración a disposición del responsable.]

c)

El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV: DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las cláusulas y resolución del contrato

a)

El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.

b)

En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f).

c)

El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:

i)

el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;

ii)

el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o

iii)

el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.

En este supuesto, informará a la autoridad de supervisión competente [módulo tres: y al responsable] de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.

d)

[Módulos uno, dos y tres: Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos.] [Módulo cuatro: Los datos personales recopilados por el exportador de datos en la UE que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán destruirse en su totalidad inmediatamente, así como cualquier copia de estos.] El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.

e)

Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Derecho aplicable

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

[OPCIÓN 1: El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de los terceros beneficiarios. Las partes acuerdan que sea el Derecho de ___ (especifíquese el Estado miembro).]

[OPCIÓN 2 (módulos dos y tres): El presente pliego de cláusulas se regirá por el Derecho del Estado miembro de la Unión Europea en que esté establecido el exportador de datos. Cuando dicho Derecho no admita la existencia de derechos de los terceros beneficiarios, se regirá por el Derecho de otro Estado miembro de la Unión Europea que sí la admita. Las partes acuerdan que sea el Derecho de ___ (especifíquese el Estado miembro).]

MÓDULO CUATRO: transferencia de encargado a responsable

El presente pliego de cláusulas se regirá por el Derecho de un país que contemple los derechos de los terceros beneficiarios. Las partes acuerdan que sea el Derecho de ___ (especifíquese el país).

Cláusula 18

Elección del foro y jurisdicción

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

a)

Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.

b)

Las partes acuerdan que sean los órganos jurisdiccionales de ___ (especifíquese el Estado miembro).

c)

Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual.

d)

Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.

MÓDULO CUATRO: transferencia de encargado a responsable

 

Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en ______ (especifíquese el país).


(1)  Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe por cuenta de una institución u organismo de la Unión como responsable del tratamiento, se considera que la utilización del presente pliego de cláusulas al recurrir a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estén armonizados el presente pliego de cláusulas y las obligaciones en materia de protección de datos que imponga el contrato u otro acto jurídico celebrado entre el responsable y el encargado con arreglo al artículo 29, apartado 3, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915.

(2)  Para ello es necesario anonimizar los datos de tal manera que nadie pueda identificar a la persona, de conformidad con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso sea irreversible.

(3)  El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.

(4)  El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.

(5)  Véase el artículo 28, apartado 4, del Reglamento (UE) 2016/679 y, cuando el responsable sea una institución u organismo de la UE, el artículo 29, apartado 4, del Reglamento (UE) 2018/1725.

(6)  El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.

(7)  En concreto, si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales.

(8)  Este requisito podrá satisfacerse si el subencargado se adhiere al presente pliego de cláusulas, con elección del módulo correspondiente, con arreglo a la cláusula 7.

(9)  Este requisito podrá satisfacerse si el subencargado se adhiere al presente pliego de cláusulas, con elección del módulo correspondiente, con arreglo a la cláusula 7.

(10)  Dicho plazo podrá prorrogarse por un máximo de dos meses adicionales en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El importador de datos informará debidamente y con prontitud al interesado de cualquier prórroga de este tipo.

(11)  El importador de datos solo podrá ofrecer una resolución independiente de los litigios a través de un órgano de arbitraje si está establecido en un país que haya ratificado el Convenio de Nueva York sobre la ejecución de laudos arbitrales.

(12)  Por lo que se refiere al efecto de dicho Derecho y prácticas en el cumplimiento del presente pliego de cláusulas, a la hora de realizar una valoración integral de esta cuestión pueden tenerse en cuenta distintos aspectos. Uno de estos aspectos puede ser que haya experiencia práctica pertinente y documentada en casos anteriores de solicitudes de comunicación por parte de las autoridades públicas, o la ausencia de tales solicitudes, en un período suficientemente representativo. Con esto se quiere decir, en particular, los registros internos u otra documentación elaborados de forma continua con la diligencia debida y certificados en los niveles más altos de la dirección siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir el presente pliego de cláusulas, deberá estar respaldada por otros elementos pertinentes y objetivos; corresponde a las partes valorar minuciosamente si la suma de estos factores es suficientemente determinante, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las partes deben tener en cuenta si su experiencia práctica está corroborada y no se ve desmentida, por información que sea fiable y de dominio público o accesible de cualquier otro modo acerca de la existencia o ausencia de solicitudes en el mismo sector o acerca de la aplicación de la normativa de que se trate en la práctica, como jurisprudencia e informes de organismos de supervisión independientes.


APÉNDICE

NOTA ACLARATORIA:

Se debe poder distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, por tanto, determinar la función o funciones respectivas de las partes en cuanto exportador(as) de datos y/o importador(as) de datos. No es imprescindible cumplimentar y firmar apéndices separados por cada transferencia o categoría de transferencias y/o relación contractual si se puede lograr un nivel de transparencia equivalente cumplimentando un solo apéndice. No obstante, cuando sea necesario para garantizar claridad suficiente, deben utilizarse apéndices separados.


ANEXO I

A.   LISTA DE PARTES

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

MÓDULO CUATRO: transferencia de encargado a responsable

Exportador(es) de datos: [Identidad y datos de contacto del exportador o exportadores de datos y, en su caso, del delegado de protección de datos de este o estos y/o del representante en la Unión Europea]

1.

Nombre: …

Dirección: …

Nombre, cargo y datos de contacto de la persona de contacto: ……

Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: …

Firma y fecha: …

Función (responsable/encargado): …

2.

Importador(es) de datos: [Identidad y datos de contacto del importador o importadores de datos, incluida cualquier persona de contacto responsable de la protección de los datos]

1.

Nombre: …

Dirección: …

Nombre, cargo y datos de contacto de la persona de contacto: …

Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: …

Firma y fecha: …

Función (responsable/encargado): …

2.

B.   DESCRIPCIÓN DE LA TRANSFERENCIA

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

MÓDULO CUATRO: transferencia de encargado a responsable

Categorías de interesados cuyos datos personales se transfieren

Categorías de datos personales transferidos

Datos sensibles transferidos (si procede) y restricciones o garantías aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya hecho un curso especializado), un registro del acceso a los datos, restricciones a transferencias ulteriores o medidas de seguridad adicionales.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de una vez o de forma periódica).

Naturaleza del tratamiento

Finalidad(es) de la transferencia y posterior tratamiento de los datos

El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo

En caso de transferencia a (sub)encargados, especifíquese también el objeto, la naturaleza y la duración del tratamiento

C.   AUTORIDAD DE CONTROL COMPETENTE

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

Indíquese la autoridad o autoridades de control competentes de conformidad con la cláusula 13


ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, EN ESPECIAL MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

MÓDULO UNO: transferencia de responsable a responsable

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

NOTA ACLARATORIA:

Las medidas técnicas y organizativas deben describirse de manera concreta y no de manera genérica. Véase también el comentario general de la primera página del apéndice, especialmente en cuanto a la necesidad de indicar claramente qué medidas se aplican a cada transferencia o conjunto de transferencias.

Descripción de las medidas técnicas y organizativas aplicadas por los importadores de datos (inclusive las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

[Ejemplos de medidas posibles:

Medidas de seudonimización y cifrado de los datos personales

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento

Medidas para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico

Procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

Medidas para la identificación y autorización del usuario

Medidas para la protección de los datos durante la transmisión

Medidas para la protección de los datos durante el almacenamiento

Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales

Medidas para garantizar el registro de incidentes

Medidas para garantizar la configuración del sistema, en especial la configuración por defecto

Medidas de gobernanza y gestión de la informática y la seguridad informática internas

Medidas para la certificación/garantía de procesos y productos

Medidas para garantizar la minimización de datos

Medidas para garantizar la calidad de los datos

Medidas para garantizar una retención limitada de los datos

Medidas para garantizar la responsabilidad proactiva

Medidas para permitir la portabilidad de los datos y garantizar la supresión

En el caso de las transferencias a (sub)encargados, descríbanse también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)encargado para poder prestar ayudar al responsable y, en el caso de transferencias de un encargado a un subencargado, al exportador de datos.


ANEXO III:

LISTA DE SUBENCARGADOS DEL TRATAMIENTO

MÓDULO DOS: transferencia de responsable a encargado

MÓDULO TRES: transferencia de encargado a encargado

NOTA ACLARATORIA:

Debe cumplimentarse este anexo respecto de los módulos dos y tres cuando sea necesaria la autorización específica de uno o más subencargados [cláusula 9, letra a), opción 1].

El responsable ha autorizado que se recurra a los subencargados siguientes:

1.

Nombre: …

Dirección: …

Nombre, cargo y datos de contacto de la persona de contacto: …

Descripción del tratamiento (incluida una delimitación bien definida de las responsabilidades si se autoriza a varios subencargados): …

2.