Legislacion Informatica de Decisión de la Comisión 2004/915/CE, de 27 de diciembre de 2004

Decisión de la Comisión 2004/915/CE, de 27 de diciembre de 2004

Decisión de la Comisión de 27 de diciembre de 2004 por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos [1], y, en particular, el apartado 4 de su artículo 26,

Considerando lo siguiente:

(1) A fin de facilitar los flujos de datos procedentes de la Comunidad, es conveniente que los responsables del tratamiento estén en condiciones de realizar transferencias de datos a escala mundial ateniéndose a un único conjunto de normas de protección de datos. En ausencia de una normativa internacional en esta materia, las cláusulas contractuales tipo constituyen una herramienta de gran utilidad que permite transferir datos personales desde todos los Estados miembros con arreglo a un conjunto de normas comunes. En este sentido, la Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE [2], establece un conjunto de cláusulas contractuales tipo que prevé garantías adecuadas para la transferencia de datos a terceros países.

(2) Desde la adopción de dicha Decisión se ha adquirido una rica experiencia. Además, un consorcio de asociaciones empresariales [3] ha presentado un conjunto alternativo de cláusulas contractuales tipo, pensado para ofrecer un nivel de protección de datos equivalente al proporcionado por el conjunto de cláusulas adoptado por la Decisión 2001/497/CE, aunque utilizando mecanismos diferentes.

(3) Dado que el uso de cláusulas contractuales tipo en las transferencias internacionales de datos tiene carácter voluntario (este tipo de cláusulas es sólo una de las distintas posibilidades recogidas en la Directiva 95/46/CE para la transferencia lícita de datos personales a terceros países), los exportadores de datos en la Comunidad y los importadores de datos en terceros países deberían poder optar por cualquiera de los conjuntos de cláusulas contractuales tipo o elegir otro fundamento jurídico para la transferencia de datos. Sin embargo, cada conjunto constituye un todo coherente, por lo que no es recomendable reconocer a los exportadores la posibilidad de modificar total o parcialmente estos conjuntos ni de combinarlos.

(4) Las cláusulas contractuales tipo propuestas por las asociaciones empresariales tienen por objeto potenciar el uso de cláusulas contractuales entre los operadores, por ejemplo flexibilizando los requisitos en materia de auditoría o precisando las normas que regulan el derecho de acceso.

(5) Por otra parte, el conjunto que ahora se presenta contiene, como alternativa al sistema de responsabilidad solidaria previsto en la Decisión 2001/497/CE, un régimen de responsabilidad basado en la obligación de diligencia debida, en virtud del cual el exportador y el importador de datos responderían ante los interesados por el incumplimiento de sus obligaciones contractuales respectivas. El exportador es asimismo responsable si no realiza esfuerzos razonables para determinar si el importador es capaz de cumplir las obligaciones jurídicas que le incumben en virtud de las cláusulas (culpa in eligendo), pudiendo el interesado emprender acciones contra el exportador de datos a este respecto. El cumplimiento de la letra b) de la cláusula I del nuevo conjunto de cláusulas contractuales tipo reviste particular importancia a este respecto, sobre todo a la vista de la posibilidad que se reconoce al exportador de datos de efectuar auditorías en las instalaciones del importador de datos o de exigir pruebas que demuestren que dispone de suficientes recursos financieros para cumplir sus responsabilidades.

(6) En cuanto al ejercicio de los derechos de tercero beneficiario por parte de los interesados, se prevé una mayor intervención del exportador de datos en la resolución de las reclamación de los interesados, estando aquél obligado a ponerse en contacto con el importador de datos y, en su caso, a hacerle cumplir el contrato en el plazo normal de un mes. Si el exportador de datos se niega a esto último y persiste el incumplimiento por parte del importador, el interesado podrá invocar las cláusulas contra el importador de datos y, llegado el caso, demandarlo ante los tribunales de un Estado miembro. Esta aceptación de la jurisdicción y el acuerdo de acatar la decisión de un tribunal o de una autoridad de protección de datos competentes debería entenderse sin perjuicio de cualquier derecho procesal de los importadores de datos establecidos en terceros países, por ejemplo en materia de apelación.

(7) No obstante, a fin de evitar los abusos a que pudiera dar lugar esta mayor flexibilidad, conviene reconocer a las autoridades de protección de datos la facultad de prohibir o suspender más fácilmente las transferencias de datos basadas en el nuevo conjunto de cláusulas contractuales tipo cuando el exportador de datos rehúse tomar medidas apropiadas contra el importador de datos para hacerle cumplir las obligaciones contractuales o este último se niegue a cooperar de buena fe con las autoridades de control competentes en materia de protección de datos.

(8) El uso de cláusulas contractuales tipo se hace sin perjuicio de la aplicación de las disposiciones nacionales adoptadas de conformidad con la Directiva 95/46/CE o con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) [4], en especial en lo tocante al envío de comunicaciones comerciales con fines de marketing directo a los ciudadanos de la Unión Europea.

(9) A la vista de todo lo dicho, las garantías contenidas en las cláusulas contractuales tipo presentadas pueden considerarse suficientes en el sentido del apartado 2 del artículo 26 de la Directiva 95/46/CE.

(10) El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen [5] sobre el nivel de protección que ofrecen las cláusulas contractuales tipo que aquí se presentan. Este dictamen se ha tenido en cuenta.

(11) Con objeto de valorar el funcionamiento de las modificaciones de la Decisión 2001/497/CE, conviene que la Comisión las evalúe tres años después de su notificación a los Estados miembros.

(12) La Decisión 2001/497/CE debería modificarse en consecuencia.

(13) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité establecido de conformidad con el artículo 31 de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

La Decisión 2001/497/CE quedará modificada como sigue:

1) En el artículo 1 se añadirá el párrafo siguiente:

“Los responsables del tratamiento podrán optar por uno de los conjuntos —I o II— recogidos en el anexo. Sin embargo, no podrán modificar las cláusulas ni combinar elementos de distintas cláusulas ni los conjuntos.”

2) Los apartados 2 y 3 del artículo 4 se sustituirán por el texto siguiente:

“2. A efectos del apartado 1, cuando el responsable del tratamiento ofrezca garantías suficientes derivadas de las cláusulas contractuales tipo contenidas en el conjunto II del anexo, las autoridades competentes responsables de la protección de datos podrán ejercer sus facultades para prohibir o suspender los flujos de datos en cualquiera de los siguientes casos:

a) si el importador de datos se niega a cooperar de buena fe con las autoridades responsables de la protección de datos o a cumplir las obligaciones que le incumben claramente en virtud del contrato;

b) si el exportador de datos se niega a adoptar las medidas necesarias para hacer cumplir el contrato al importador de datos en el plazo normal de un mes a partir del momento en que la autoridad competente responsable de la protección de datos se lo notifique.

A efectos del párrafo anterior, la negativa de mala fe o la negativa a ejecutar el contrato por parte del importador de datos no incluirá los supuestos en que la cooperación o la ejecución entraría en conflicto con las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de lo que es necesario en una sociedad democrática para la salvaguarda de uno de los intereses enumerados en el apartado 1 del artículo 13 de la Directiva 95/46/CE, por ejemplo las sanciones reconocidas con arreglo a instrumentos nacionales o internacionales o las obligaciones de declaración en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.

A efectos de la letra a) del primer párrafo, la cooperación podrá concretarse, por ejemplo, en la puesta a disposición por parte del importador de sus instalaciones de tratamiento de datos a efectos de auditoría o en la obligación de seguir los consejos de la autoridad de control en materia de protección de datos en la Comunidad.

3. La prohibición o suspensión con arreglo a los apartados 1 y 2 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.

4. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1, 2 y 3, informarán inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.”.

3) En el artículo 5, la primera frase se sustituirá por el texto siguiente:

“La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su notificación y de la notificación de cualquier modificación de la misma a los Estados miembros”.

4) El anexo quedará modificado como sigue:

1. Después del título, se insertará la expresión “CONJUNTO I”.

2. Se añadirá el texto establecido en el anexo de la presente Decisión.

Artículo 2

La presente Decisión será aplicable a partir del 1 de abril de 2005.

Artículo 3

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, 27 de diciembre de 2004.

Por la Comisión

Charlie McCreevy

Miembro de la Comisión

————————————————————————————————-

[1] DO L 281 de 23.11.1995, p. 31. Directiva modificada por el Reglamento (CE) no 1883/2003 (DO L 284 de 31.10.2003, p. 1).

[2] DO L 181 de 4.7.2001, p. 19.

[3] Cámara Internacional de Comercio (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce in Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) y Federation of European Direct Marketing Associations (FEDMA).

[4] DO L 201 de 31.7.2002, p. 37.

[5] Dictamen 8/2003, disponible en: http://europa.eu.int/comm/privacy

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.