Decisión 2002/16/CE, de la Comisión, de 27 de diciembre de 2001, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y, en particular, el apartado 4 de su artículo 26,

Considerando lo siguiente:

(1) Con arreglo a la Directiva 95/46/CE , los Estados miembros dispondrán que la transferencia a un tercer país de datos personales únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección de datos adecuado y las disposiciones de Derecho nacional de los Estados miembros, adoptadas con arreglo a los demás preceptos de la presente Directiva, se cumplan con anterioridad a la transferencia.

(2) No obstante, el apartado 2 del artículo 26 de la Directiva 95/46/CE  establece que los Estados miembros podrán autorizar, con sujeción a determinadas garantías, una transferencia o una serie de transferencias de datos personales a terceros países que no garanticen un nivel de protección adecuado. Dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

(3) De conformidad con la Directiva 95/46/CE , el nivel de protección de los datos debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la serie de transferencias. El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales creado por dicha Directiva (2) ha emitido directrices que ayudan a realizar la evaluación (3).

(4) Las cláusulas contractuales tipo solamente están relacionadas con la protección de datos. El exportador de datos y el importador de datos tienen plena libertad para incluir cualquier otra cláusula sobre cuestiones relacionadas con sus negocios que consideren pertinentes para el contrato, siempre que no contradiga las cláusulas contractuales tipo.

(5) La presente Decisión debe entenderse sin perjuicio de las autorizaciones nacionales que puedan conceder los Estados miembros de conformidad con las disposiciones nacionales de aplicación del apartado 2 del artículo 26 de la Directiva 95/46/CE. La presente Decisión tendrá como efecto únicamente exigir a los Estados miembros que no se nieguen a reconocer que las cláusulas contractuales establecidas en ella proporcionan las garantías adecuadas, por lo que no afectará de ninguna manera a otras cláusulas contractuales.

(6) El ámbito de la presente Decisión se limita a establecer que las cláusulas que contiene pueden ser utilizadas por un responsable del tratamiento de datos establecido en la Comunidad para ofrecer garantías suficientes a efectos del apartado 2 del artículo 26 de la Directiva 95/46/CE  para la transferencia de datos personales a un encargado del tratamiento establecido en un tercer país.

(7) La presente Decisión debe aplicar la obligación impuesta en el apartado 3 del artículo 17 de la Directiva 95/46/CE, sin perjuicio del contenido de contratos o actos jurídicos establecidos con arreglo a dicha disposición. Sin embargo, algunas de las cláusulas contractuales tipo, en particular las relativas a las obligaciones del exportador de datos, deberían incluirse para aumentar la claridad de las cláusulas que se inserten en los contratos entre responsables y encargados del tratamiento.

(8) Las autoridades de control desempeñan una función esencial en este mecanismo contractual al garantizar la adecuada protección de los datos personales una vez realizada la transferencia. En casos excepcionales en que los exportadores de los datos no quieran o no puedan informar adecuadamente a los importadores de los datos y exista un riesgo inminente de que los interesados sufran un daño grave, las cláusulas contractuales tipo permitirán a las autoridades de control realizar la auditoría de los importadores de los datos y, en su caso, adoptar decisiones vinculantes para éstos. Las autoridades de control de los Estados miembros tendrán la facultad de prohibir o suspender una transferencia o serie de transferencias que se fundamenten en las cláusulas contractuales tipo, en aquellos casos excepcionales en que se demuestre que una transferencia de este género podría tener efectos negativos considerables en las garantías y obligaciones de prestar la adecuada protección al interesado.

(9) La Comisión Europea considerará asimismo en el futuro si las cláusulas contractuales tipo remitidas por las organizaciones empresariales u otras partes interesadas, referidas a las transferencias de datos destinadas a los encargados del tratamiento establecidos en terceros países que no ofrecen un nivel adecuado de protección, ofrecen garantías adecuadas de conformidad con el apartado 2 del artículo 26 de la Directiva 95/46/CE.

(10) La divulgación de datos personales a los encargados del tratamiento establecidos fuera de la Comunidad es una transferencia internacional protegida por el capítulo IV de la Directiva 95/46/CE. Por consiguiente, la presente Decisión no abarca las transferencias de datos personales realizadas por los responsables del tratamiento establecidos en la Comunidad a los responsables del tratamiento establecidos fuera de la Comunidad comprendidas en el ámbito de aplicación de la Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE (4).

(11) Las cláusulas contractuales tipo deben estipular las medidas de seguridad técnicas y organizativas necesarias, que han de aplicar los encargados del tratamiento establecidos en un tercer país que no ofrece la protección adecuada, con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y a la naturaleza de los datos que han de protegerse. Las partes estipularán en el contrato aquellas medidas de seguridad técnicas y organizativas que, habida cuenta de la legislación sobre protección de datos aplicable, el estado de la técnica y el coste de su aplicación, resulten necesarias para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, alteración, divulgación o acceso no autorizados o cualquier otra forma ilícita de tratamiento.

(12) Con el fin de facilitar los flujos de datos procedentes de la Comunidad, es deseable que quienes prestan servicios de tratamiento a varios responsables del tratamiento en la Comunidad puedan aplicar las mismas medidas de seguridad técnicas y organizativas, independientemente del Estado miembro del que emane la transferencia, especialmente en aquellos casos en que el importador reciba datos para efectuar nuevos tratamientos desde distintos establecimientos del exportador de datos situados en la Comunidad, en cuyo caso será aplicable la legislación del Estado miembro de establecimiento designado.

(13) Resulta oportuno establecer los detalles mínimos que deberán especificar las partes en el contrato sobre la transferencia. Los Estados miembros deben conservar la capacidad de adaptar la información exigida a las partes. El funcionamiento de la presente Decisión será revisado a la luz de la experiencia adquirida.

(14) El importador de datos tratará los datos personales transferidos sólo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas. En particular, el importador de datos no revelará los datos personales a terceros salvo en determinadas circunstancias. El exportador de datos dará instrucciones al importador de datos durante la prestación de los servicios de tratamiento de los datos para que se lleve a cabo de conformidad con sus instrucciones, la legislación vigente de protección de datos y las obligaciones impuestas en las cláusulas. La transferencia de datos personales a los encargados del tratamiento establecidos fuera de la Comunidad se hará sin perjuicio de que las actividades de tratamiento se rijan en cualquier caso por la legislación de protección de datos aplicable.

(15) Las cláusulas contractuales tipo deben ser exigibles no solamente por las organizaciones que sean parte en el contrato, sino también por los interesados, en particular cuando éstos sufran un daño como consecuencia del incumplimiento del contrato.

(16) El interesado tendrá derecho a emprender acciones y, en su caso, percibir una indemnización del exportador de datos que sea el responsable del tratamiento de los datos personales transferidos. Excepcionalmente, también tendrá derecho a emprender una acción y, en su caso, percibir una indemnización del importador de datos en aquellos casos, surgidos del incumplimiento por el importador de datos de cualquiera de sus obligaciones mencionadas en el apartado 2 de la cláusula 3, en que el exportador de datos haya desaparecido de facto, haya cesado de existir jurídicamente o sea insolvente.

(17) En caso de conflicto que no se resuelva de manera amistosa entre el interesado, que invoca la cláusula de tercero beneficiario, y el importador de datos, éste aceptará ofrecer al interesado la elección entre mediación, arbitraje o procedimiento judicial. La amplitud de elección real del interesado dependerá de la disponibilidad de sistemas fiables y reconocidos de mediación y arbitraje. La mediación por parte de las autoridades de control de los Estados miembros debe constituir una opción posible, en caso de que éstas presten tal servicio.

(18) El contrato se regirá por la legislación del Estado miembro de establecimiento del exportador de datos que permita al tercero beneficiario exigir el cumplimiento de un contrato. Los interesados podrán ser representados por asociaciones u otros organismos si así lo desean y lo permite la legislación interna.

(19) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE , ha emitido un dictamen sobre el nivel de protección que ofrecen las cláusulas contractuales tipo incluidas en el anexo, dictamen que se ha tenido en cuenta para la preparación de la presente Decisión (5).

(20) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité previsto en el artículo 31 de la Directiva 95/46/CE .

 

HA ADOPTADO LA PRESENTE DECISIÓN:

 

Artículo 1

Se considera que las cláusulas contractuales tipo incluidas en el anexo ofrecen las garantías adecuadas con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los correspondientes derechos, según exige el apartado 2 del artículo 26 de la Directiva 95/46/CE .

 

Artículo 2

La presente Decisión aborda únicamente la adecuación de la protección otorgada por las cláusulas contractuales tipo establecidas en el anexo para la transferencia de datos personales a los encargados del tratamiento. No afecta a la aplicación de otras disposiciones nacionales por las que se aplique la Directiva 95/46/CE , relacionadas con el tratamiento de datos personales en los Estados miembros.

La presente Decisión no se aplica a la transferencia de datos personales por responsables del tratamiento establecidos en la Comunidad a destinatarios establecidos fuera del territorio comunitario que actúen solamente como encargados del tratamiento.

 

Artículo 3

A efectos de la presente Decisión:

a) serán aplicables las definiciones contenidas en la Directiva 95/46/CE ;

b) se entenderá por «categorías especiales de datos» los datos contemplados en el artículo 8 de dicha Directiva;

c) se entenderá por «autoridad de control» la autoridad contemplada en el artículo 28 de dicha Directiva;

d) se entenderá por «exportador de datos» el responsable del tratamiento que transfiera los datos personales;

e) se entenderá por «importador de datos» el encargado del tratamiento establecido en un tercer país que convenga en recibir del exportador de datos personales para su posterior tratamiento en nombre de éste, de conformidad con sus instrucciones y los términos de la presente Decisión, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada;

f) se entenderá por «legislación de protección de datos aplicable» la legislación que protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;

g) se entenderá por «medidas de seguridad técnicas y organizativas» las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.

 

Artículo 4

1. Las autoridades competentes de los Estados miembros, sin perjuicio de su facultad para iniciar acciones destinadas a garantizar el cumplimiento de las disposiciones Derecho nacional adoptadas con arreglo a los capítulos II, III, V y VI de la Directiva 95/46/CE , podrán ejercer sus facultades para prohibir o suspender los flujos de datos hacia terceros países con objeto de proteger a las personas físicas en relación con el tratamiento de sus datos personales en los casos siguientes:

a) si se determina que la legislación a la que está sujeto el importador de datos le impone desviaciones de la legislación de protección de datos aplicable que vayan más allá de las restricciones necesarias en una sociedad democrática, como establece el artículo 13 de la Directiva 95/46/CE , cuando tales exigencias puedan tener un importante efecto negativo sobre las garantías proporcionadas por las cláusulas contractuales tipo;

b) si una autoridad competente decide que el importador de datos no ha respetado las cláusulas contractuales del anexo, o

c) si existe la probabilidad sustancial de que las cláusulas contractuales tipo contenidas en el anexo no se estén respetando, o no se respeten en el futuro, y la continuación de la transferencia provoque un riesgo inminente de daños graves para los interesados.

2. La prohibición o suspensión con arreglo al apartado 1 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.

3. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1 y 2, informarán inmediatamente de ello a la Comisión, que remitirá la información a los demás Estados miembros.

 

Artículo 5

La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su notificación a los Estados miembros. Informará de los resultados al Comité creado en virtud del artículo 31 de la Directiva 95/46/CE . Incluirá cualquier prueba que pudiera afectar a la evaluación relativa a la adecuación de las cláusulas contractuales tipo y cualquier prueba de que la presente Decisión se esté aplicando de manera discriminatoria.

 

Artículo 6

La presente Decisión será aplicable a partir del 3 de abril de 2002.

 

Artículo 7

Los destinatarios de la presente Decisión serán los Estados miembros.

 

Hecho en Bruselas, el 27 de diciembre de 2001.

Por la Comisión

Frederik Bolkestein

Miembro de la Comisión

—————————————————————————————————————-

(1) DO L 281 de 23.11.1995, p. 31.

(2) La dirección de Internet del Grupo de trabajo es la siguiente: http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

(3) WP 4 (5020/97) «Primeras orientaciones sobre la transferencia de datos personales a terceros países – Posibles formas de evaluar la adecuación», documento de debate adoptado por el Grupo de trabajo el 26 de junio de 1997.

WP 7 (5057/97) Documento de trabajo: «Evaluación de la autorregulación industrial: ¿En qué casos realiza una contribución significativa al nivel de protección de datos en un país tercero?», adoptado por el Grupo de trabajo el 14 de enero de 1998.

WP 9 (5005/98) Documento de trabajo: «Conclusiones preliminares sobre la utilización de disposiciones contractuales en caso de transferencia de datos personales a terceros países», adoptado por el Grupo de trabajo el 22 de abril de 1998.

WP 12 Documento de trabajo: «Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la Unión Europea», adoptado por el Grupo de trabajo el 24 de julio de 1998, se puede consultar en la siguiente dirección de Internet de la Comisión Europea:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12es.pdf.

(4) DO L 181 de 4.7.2001, p. 19.

(5) Dictamen n° 7/2001 emitido por el Grupo de trabajo el 13 de septiembre de 2001 (DG MARKT…); se puede consultar en el sitio Internet «Europa» de la Comisión Europea.

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.