LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) y, en particular, su artículo 26, apartado 4, Previa consulta al Supervisor Europeo de Protección de Datos,
Considerando lo siguiente:
(1) De conformidad con la Directiva 95/46/CE, los Estados miembros dispondrán que la transferencia a un tercer país de datos personales únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección de datos adecuado y las disposiciones de Derecho nacional de los Estados miembros, adoptadas con arreglo a los demás preceptos de la Directiva, se cumplan con anterioridad a la transferencia.
(2) No obstante, el artículo 26, apartado 2, de la Directiva 95/46/CE establece que los Estados miembros podrán autorizar, con sujeción a determinadas garantías, una transferencia o una serie de transferencias de datos personales a terceros países que no garanticen un nivel de protección adecuado. Dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.
(3) Con arreglo a la Directiva 95/46/CE, el nivel de protección de los datos debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la serie de transferencias. El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales creado por la Directiva ha emitido directrices que ayudan a realizar la evaluación.
(4) Las cláusulas contractuales tipo solo deberían referirse a la protección de datos. Por lo tanto, el exportador de datos y el importador de datos tienen plena libertad para incluir cualquier otra cláusula sobre cuestiones relacionadas con sus negocios que consideren pertinente para el contrato, siempre que no contradiga las cláusulas contractuales tipo.
(5) La presente Decisión debe entenderse sin perjuicio de las autorizaciones nacionales que puedan conceder los Estados miembros de conformidad con las disposiciones nacionales de aplicación del artículo 26, apartado 2, de la Directiva 95/46/CE. La presente Decisión tendrá como efecto únicamente exigir a los Estados miembros que no se nieguen a reconocer que las cláusulas contractuales tipo establecidas en ella proporcionan las garantías adecuadas, por lo que no afectará de ninguna manera a otras cláusulas contractuales.
(6) La Decisión 2002/16/CE de la Comisión, de 27 de diciembre de 2001, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los en cargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE (2) se adoptó para facilitar la transferencia de datos personales de un responsable del tratamiento de datos establecido en la Unión Europea a un encargado del tratamiento de datos establecido en un tercer país que no ofrezca el nivel adecuado de protección.
(7) Se ha acumulado mucha experiencia desde la adopción de la Decisión 2002/16/CE. Además, el informe sobre la aplicación de las Decisiones sobre las cláusulas contractuales tipo para las transferencias de datos personales a terceros países (3) ha mostrado que cada vez es mayor el interés por promover el uso de las cláusulas contractuales tipo para las transferencias internacionales de datos personales a terceros países que no ofrezcan un nivel adecuado de protección. Además, las partes interesadas han presentado propuestas con objeto de actualizar las cláusulas contractuales tipo establecidas en la Decisión 2002/16/CE para tener en cuenta el ámbito, en rápida expansión, de las actividades de tratamiento de datos en el mundo, y para abordar algunos problemas que no fueron regulados por dicha Decisión (4).
(8) El ámbito de la presente Decisión se limita a establecer que las cláusulas que contiene pueden ser utilizadas por un responsable del tratamiento de datos establecido en la Unión Europea para ofrecer garantías suficientes a efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a un encargado del tratamiento establecido en un tercer país.
(9) La presente Decisión no se aplicará a las transferencias de datos personales realizadas por los responsables del tratamiento establecidos en la Unión Europea a los responsables del tratamiento establecidos fuera de la Unión Europea comprendidas en el ámbito de aplicación de la Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE (5).
(10) La presente Decisión debe aplicar la obligación impuesta en el artículo 17, apartado 3, de la Directiva 95/46/CE, sin perjuicio del contenido de contratos o actos jurídicos establecidos con arreglo a dicha disposición. Sin embargo, algunas de las cláusulas contractuales tipo, en particular las relativas a las obligaciones del exportador de datos, deberían incluirse para aumentar la claridad de las cláusulas que se inserten en los contratos entre responsables y encargados del tratamiento.
(11) Las autoridades de control de los Estados miembros desempeñan una función esencial en este mecanismo contractual al garantizar la adecuada protección de los datos personales una vez realizada la transferencia. En casos excepcionales en que los exportadores de datos no quieran o no puedan informar adecuadamente a los importadores de datos y exista un riesgo inminente de que los interesados sufran un daño grave, las cláusulas contractuales tipo permitirán a las autoridades de control realizar la auditoría de los importadores de datos y los subencargados del tratamiento de datos y, en su caso, adoptar decisiones vinculantes para estos. Las autoridades de con trol tendrán la facultad de prohibir o suspender una transferencia o serie de transferencias que se fundamenten en las cláusulas contractuales tipo, en aquellos casos excepcionales en que se demuestre que una transferencia de este género podría tener efectos negativos considerables en las garantías y obligaciones de prestar la adecuada protección al interesado.
(12) Las cláusulas contractuales tipo deben estipular las medidas de seguridad técnicas y organizativas necesarias que han de aplicar los encargados del tratamiento establecidos en un tercer país que no ofrece la protección adecuada, con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse. Las partes estipularán en el contrato aquellas medidas de seguridad técnicas y organizativas que, habida cuenta de la legislación sobre protección de datos aplicable, el estado de la técnica y el coste de su aplicación, resulten necesarias para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, alteración, divulgación o acceso no autorizados o cualquier otra forma ilícita de tratamiento.
(13) Con el fin de facilitar los flujos de datos procedentes de la Unión Europea, es deseable que quienes prestan servicios de tratamiento a varios responsables del tratamiento en la Unión Europea puedan aplicar las mismas medidas de seguridad técnicas y organizativas, independientemente del Estado miembro del que emane la transferencia, especialmente en aquellos casos en que el importador reciba datos para efectuar nuevos tratamientos desde distintos establecimientos del exportador de datos situados en la Unión Europea, en cuyo caso será aplicable la legislación del Estado miembro de establecimiento designado.
(14) Resulta oportuno establecer los detalles mínimos que deberán especificar las partes en el contrato sobre la transferencia. Los Estados miembros deben conservar la capacidad de adaptar la información exigida a las partes. El funcionamiento de la presente Decisión será revisado a la luz de la experiencia adquirida.
(15) El importador de datos tratará los datos personales transferidos solo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas. En particular, el importador de datos no revelará los datos personales a terceros sin el consentimiento por escrito previo del exportador de datos. El exportador de datos dará instrucciones al importador de datos durante la prestación de los servicios de tratamiento de los datos para que se lleve a cabo de conformidad con sus instrucciones, la legislación de protección de datos aplicable y las obligaciones impuestas en las cláusulas.
(16) El informe sobre la aplicación de las Decisiones relativas a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países recomendó la adopción de cláusulas contractuales tipo apropiadas para las transferencias sucesivas de un encargado del tratamiento de datos establecido en un tercer país a otro encargado (subtratamiento), para tener en cuenta las tendencias y prácticas empresariales de una actividad de tratamiento cada vez más globalizada.
(17) La presente Decisión debe contener cláusulas contractuales tipo específicas sobre el subtratamiento por un encargado del tratamiento de datos establecido en un tercer país (el importador de datos) de sus servicios de tratamiento a otros encargados (subencargados del tratamiento de datos) establecidos en terceros países. Además, la presente Decisión debe establecer las condiciones que ha de cumplir el subtratamiento para garantizar que los datos personales que se están transfiriendo sigan protegidos con independencia de la sucesiva transferencia a un subencargado del tratamiento.
(18) Además, el subtratamiento consistirá exclusivamente en las operaciones acordadas en el contrato entre el exportador de datos y el importador de datos por el que se incorporarán las cláusulas contractuales tipo previstas en la presente Decisión y no se referirá a operaciones de tratamiento o finalidades diferentes para respetar así el principio de limitación de la finalidad establecido en la Directiva 95/46/CE. Además, si el subencargado del tratamiento de datos no cumple sus propias obligaciones de tratamiento de datos en virtud del contrato, el importador de datos seguirá siendo responsable frente al exportador de datos. La transferencia de datos personales a encargados del tratamiento establecidos fuera de la Unión Europea se hará sin perjuicio de que las actividades de tratamiento se rijan por la legislación de protección de datos aplicable.
(19) Las cláusulas contractuales tipo deben ser exigibles no solamente por las organizaciones que sean parte en el contrato, sino también por los interesados, en particular cuando estos sufran un daño como consecuencia del incumplimiento del contrato.
(20) El interesado tendrá derecho a emprender acciones y, en su caso, percibir una indemnización del exportador de datos que sea el responsable del tratamiento de los datos personales transferidos. Excepcionalmente, también tendrá derecho a emprender una acción y, en su caso, percibir una indemnización del importador de datos en aquellos casos, surgidos del incumplimiento por el importador de datos o cualquier subencargado de este de cualquiera de sus obligaciones a que se refiere el apartado 2 de la cláusula 3, en que el exportador de datos haya desaparecido de facto, haya cesado de existir jurídicamente o sea insolvente. Excepcionalmente, también tendrá derecho a emprender una acción y, en su caso, percibirá una indemnización del subencargado del tratamiento de datos en aquellas situaciones en que ambos exportador de datos e importador de datos hayan desaparecido de facto, hayan cesado de existir jurídicamente o sean insolventes. Esta responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas contractuales.
(21) En caso de conflicto que no se resuelva de manera amistosa entre el interesado, que invoca la cláusula de tercero beneficiario, y el importador de datos, este ofrecerá al interesado la elección entre mediación o procedimiento judicial. La amplitud de elección real del interesado de penderá de la disponibilidad de sistemas fiables y reconocidos de mediación. La mediación por parte de las autoridades de control de los Estados miembros debe constituir una opción posible, en caso de que estas presten tal servicio.
(22) El contrato se regirá por la legislación del Estado miembro de establecimiento del exportador de datos que permita al tercero beneficiario exigir el cumplimiento de un contrato. Los interesados podrán ser representados por asociaciones u otros organismos si así lo desean y lo permite la legislación interna. También se regirán por la misma legislación las disposiciones sobre protección de los datos de cualquier contrato con un subencargado del tratamiento de datos para actividades de subtratamiento de los datos personales transferidos por el exportador de datos al importador de datos con arreglo a las cláusulas contractuales.
(23) La presente Decisión solo se aplica a la subcontratación por un encargado del tratamiento establecido en un tercer país de sus servicios de tratamiento a un subencargado establecido en un tercer país, por lo que no se aplicará a la situación en la que un encargado del tratamiento establecido en la Unión Europea y que realice el tratamiento de datos personales en nombre de un responsable del tratamiento establecido en la Unión Europea subcontrate sus operaciones de tratamiento a un subencargado del tratamiento establecido en un tercer país. En tales situaciones, los Estados miembros son libres de tener en cuenta el hecho de que los principios y las garantías de las cláusulas contractuales tipo establecidas en la presente Decisión se hayan utilizado para subcontratar a un subencargado establecido en un tercer país con la intención de prestar la adecuada protección de los derechos de aquellos interesados cuyos datos personales se estén transfiriendo para operaciones de subtratamiento.
(24) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen sobre el nivel de protección que ofrecen las cláusulas contractuales tipo incluidas en el anexo, dictamen que se ha tenido en cuenta para la preparación de la presente Decisión.
(25) La Decisión 2002/16/CE debe ser derogada.
(26) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité creado de conformidad con el artículo 31 de la Directiva 95/46/CE.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1.-
Se considera que las cláusulas contractuales tipo incluidas en el anexo ofrecen las garantías adecuadas con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los correspondientes derechos, según exige el artículo 26, apartado 2, de la Directiva 95/46/CE.
Artículo 2.-
La presente Decisión aborda únicamente la adecuación de la protección otorgada por las cláusulas contractuales tipo establecidas en el anexo para la transferencia de datos personales a los encargados del tratamiento. No afecta a la aplicación de otras disposiciones nacionales por las que se aplique la Directiva 95/46/CE, relacionadas con el tratamiento de datos personales en los Estados miembros. La presente Decisión se aplicará a la transferencia de datos personales por responsables del tratamiento establecidos en la Unión Europea a destinatarios establecidos fuera del territorio de la Unión Europea que actúen solamente como encargados del tratamiento.
Artículo 3.-
A efectos de la presente Decisión, serán aplicables las siguientes definiciones
a) «categorías especiales de datos»: los datos a que se refiere el artículo 8 de la Directiva 95/46/CE;
b) «autoridad de control»: la autoridad contemplada en el artículo 28 de la Directiva 95/46/CE;
c) «exportador de datos»: el responsable del tratamiento que transfiera los datos personales;
d) «importador de datos»: el encargado del tratamiento establecido en un tercer país que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y los términos de la presente Decisión, y que no esté sujeto al sistema de un tercer país que garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
e) «subencargado del tratamiento»: cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, las cláusulas contractuales tipo establecidas en el anexo y los términos del contrato que se haya concluido por escrito para el subtratamiento;
f) «legislación de protección de datos aplicable»: la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;
g) «medidas de seguridad técnicas y organizativas»: las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.
Artículo 4.-
1. Las autoridades competentes de los Estados miembros, sin perjuicio de su facultad para iniciar acciones destinadas a garantizar el cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a los capítulos II, III, V y VI de la Directiva 95/46/CE, podrán ejercer sus facultades para prohibir o suspender los flujos de datos hacia terceros países con objeto de proteger a las personas físicas en relación con el tratamiento de sus datos personales en los casos siguientes
a) si se determina que la legislación a la que está sujeto el importador de datos o un subencargado del tratamiento le impone desviaciones de la legislación de protección de datos aplicable que vayan más allá de las restricciones necesarias en una sociedad democrática, como establece el artículo 13 de la Directiva 95/46/CE, cuando tales exigencias puedan tener un importante efecto negativo sobre las garantías proporcionadas por las cláusulas contractuales tipo, o
b) si una autoridad competente decide que el importador de datos o un subencargado del tratamiento no ha respetado las cláusulas contractuales tipo del anexo, o
c) si existe la probabilidad sustancial de que las cláusulas contractuales tipo contenidas en el anexo no se estén respetando, o no se respeten en el futuro, y la continuación de la transferencia provoque un riesgo inminente de daños graves para los interesados.
2. La prohibición o suspensión con arreglo al apartado 1 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.
3. Cuando los Estados miembros adopten medidas de con formidad con los apartados 1 y 2, informarán inmediatamente de ello a la Comisión, que remitirá la información a los demás Estados miembros.
Artículo 5.-
La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su adopción. Informará de los resultados al Comité creado en virtud del artículo 31 de la Directiva 95/46/CE. Incluirá cualquier prueba que pudiera afectar a la evaluación relativa a la adecuación de las cláusulas contractuales tipo del anexo y cualquier prueba de que la presente Decisión se esté aplicando de manera discriminatoria.
Artículo 6.-
La presente Decisión se aplicará a partir del 15 de mayo de 2010.
Artículo 7.-
1. La Decisión 2002/16/CE queda derogada con efectos a partir del 15 de mayo de 2010.
2. Un contrato concluido entre un exportador de datos y un importador de datos de conformidad con la Decisión 2002/16/CE antes del 15 de mayo de 2010 seguirá en vigor y producirá todos sus efectos jurídicos mientras permanezcan sin cambios las transferencias y operaciones de tratamiento de datos que son objeto del contrato y sigan transfiriéndose entre las partes datos personales a los que se refiere la presente Decisión. Si las partes contratantes deciden realizar cambios a este respecto o subcontratar las operaciones de tratamiento que son objeto del contrato, estarán obligadas a concluir un nuevo con trato que cumpla las cláusulas contractuales tipo establecidas en el anexo.
Artículo 8.-
Los destinatarios de la presente Decisión serán los Estados miembros.
Hecho en Bruselas, el 5 de febrero de 2010.
Por la Comisión Jacques BARROT Vicepresidente
————————————————————————————————
(1) DO L 281 de 23.11.1995, p. 31.
(2) DO L 6 de 10.1.2002, p. 52.
(3) SEC(2006) 95 de 20.1.2006.
(4) Cámara Internacional de Comercio (ICC), Japan Business Council in Europe (JBCE), EU Committee of the American Chamber of Commerce in Belgium (Amcham) y Federation of European Direct Marketing Associations (FEDMA).
(5) DO L 181 de 4.7.2001, p. 19.