Decisión 2001/497/CE, de la Comisión de 15 de junio de 2001 relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE
LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
Visto el Tratado constitutivo de la Comunidad Europea,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995,p.31.), y, en particular, el apartado 4 de su artículo 26,
Considerando lo siguiente:
(1) Con arreglo a la Directiva 95/46/CE, los Estados miembros dispondrán que la transferencia a un tercero país de datos personales únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección de datos adecuado y las disposiciones de Derecho nacional de los Estados miembros, adoptadas con arreglo a los demás preceptos de la presente Directiva, se cumplan con anterioridad a la transferencia.
(2) No obstante, el apartado 2 del artículo 26 de la Directiva 95/46/CE establece que los Estados miembros podrán autorizar, con sujeción a determinadas garantías, una transferencia o una serie de transferencias de datos personales a terceros países que no garanticen un nivel de protección adecuado. Dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.
(3) De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la serie de transferencias. El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales creado por dicha Directiva ha emitido directrices que ayudan a realizar la evaluación (WP 4 (5020/97)»Primeras orientaciones sobre la transferencia de datos personales a terceros países – Posibles formas de evaluar la adecuación «,documento de debate adoptado por el Grupo de trabajo el 26 de junio de 1997.
WP 7 (5057/97)»Evaluación de la autorregulación industrial:¿En qué casos realiza una contribución significativa al nivel de protección de datos en un tercer país?»,documento de trabajo adoptado por el Grupo de trabajo el 14 de enero de 1998.
WP 9 (3005/98)»Conclusiones preliminares sobre la utilización de disposiciones contractuales en caso de transferencia de datos personales a terceros países «,documento de trabajo adoptado por el Grupo de trabajo el 22 de abril de 1998.
WP 12 «Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 d la Directiva sobre protección de datos de la UE «,documento de trabajo adoptado por el Grupo de trabajo el 24 de julio de 1998).
(4) El apartado 2 del artículo 26 de la Directiva 95/46/CE, que ofrece flexibilidad para una entidad que desee transferir datos a terceros países, y el apartado 4 del mismo artículo, que establece cláusulas contractuales tipo, son esenciales para mantener el necesario flujo de datos personales entre la Comunidad Europea y terceros países sin imponer cargas innecesarias a los operadores económicos.
Ambos artículos cobran especial importancia en vista de la escasa probabilidad de que la Comisión adopte resoluciones de adecuación de conformidad con el apartado 6 del artículo 25 para numerosos países a corto o incluso medio plazo.
(5) Las cláusulas contractuales tipo son sólo una de las diversas posibilidades recogidas en la Directiva 95/46/CE para la transferencia legítima de datos personales a un tercer país, junto con el artículo 25 y los apartados 1 y 2 del artículo 26.Facilitarán enormemente a las entidades la transferencia de datos personales a terceros países mediante la incorporación de las cláusulas contractuales tipo en un contrato. Las cláusulas contractuales tipo solamente están relacionadas con la protección de datos. El exportador de datos y el importador de datos tienen plena libertad para incluir cualquier otra cláusula sobre cuestiones relacionadas con sus negocios, tales como cláusulas sobre asistencia mutua en caso de conflicto con un interesado o una autoridad de control, que consideren pertinentes para el contrato, siempre que no contradiga las cláusulas contractuales tipo.
6) La presente Decisión debe entenderse sin perjuicio de las autorizaciones nacionales que puedan conceder los Estados miembros de conformidad con las disposiciones nacionales de aplicación del apartado 2 del artículo 26 de la Directiva 95/46/CE. Las circunstancias de las transferencias específicas pueden exigir que los responsables del tratamiento de datos proporcionen distintas garantías a efectos del apartado 2 del artículo 26.En todo caso, la presente Decisión tendrá como efecto únicamente exigir a los Estados miembros que no se nieguen a reconocer que las cláusulas contractuales descritas en ella proporcionan las garantías adecuadas, por lo que no afectará de ninguna manera a otras cláusulas contractuales.
(7) El ámbito de la presente Decisión se limita a establecer que las cláusulas contenidas en su anexo pueden ser utilizadas por un responsable del tratamiento establecido en la Comunidad para ofrecer garantías suficientes a efectos del apartado 2 del artículo 26 de la Directiva 95/46/CE. La transferencia de datos personales a terceros países es una operación de tratamiento en un Estado miembro, cuya legitimidad está sujeta a las disposiciones de Derecho nacional. Las autoridades de control de los Estados miembros, en ejercicio de sus funciones y capacidades recogidas en el artículo 28 de la Directiva 95/46/CE, seguirán siendo competentes para evaluar si el exportador de datos ha cumplido la legislación nacional por la que se aplica lo dispuesto en la Directiva 95/46/CE y, en particular, toda regla específica relativa a la obligación de comunicar la información a tenor de la misma.
(8) La presente Decisión no cubre la transferencia de datos personales por responsables del tratamiento establecidos en la Comunidad a destinatarios establecidos fuera del territorio comunitario que actúen solamente como encargados del tratamiento. Estas transferencias no exigen las mismas garantías porque el encargado del tratamiento actúa exclusivamente en nombre del responsable. La Comisión tiene la intención de abordar este tipo de transferencias en una decisión posterior.
(9) Resulta oportuno establecer los detalles mínimos que deberán especificar las partes en el contrato sobre la transferencia. Los Estados miembros deben conservar la capacidad de adaptar la información exigida a las partes. El funcionamiento de la presente Decisión será revisado a la luz de la experiencia adquirida.
(10) La Comisión Europea considerará asimismo en el futuro si las cláusulas contractuales tipo remitidas por las organizaciones empresariales u otras partes interesadas ofrecen garantías adecuadas de conformidad con la Directiva 95/46/CE.
(11) Así como las partes deben tener la libertad de convenir las normas sustantivas sobre protección de datos que debe cumplir el importador de los datos, existen determinados principios sobre protección de datos que deben aplicarse en todo caso.
(12) Los datos deben tratarse y usados o comunicados posteriormente sólo con objetivos precisos, sin que deban conservarse más tiempo del necesario.
(13) De conformidad con el artículo 12 de la Directiva 95/46/CE, el interesado debe tener el derecho de acceder a todos los datos que le conciernan y, en lo que proceda, a la rectificación, destrucción o bloqueo de determinados datos.
(14) Las posteriores transferencias de datos personales a otros responsables del tratamiento establecidos en un tercer país deben permitirse sólo bajo determinadas condiciones, a fin, en particular, de garantizar que se facilite a los interesados información correcta y que tengan éstos la posibilidad de formular objeciones o, en determinados casos, de denegar su consentimiento.
(15) Las autoridades de control, además de evaluar si las transferencias a terceros países cumplen la legislación nacional, deben desempeñar un papel clave en este mecanismo contractual, garantizando la adecuada protección de los datos personales tras la transferencia. Bajo circunstancias específicas, las autoridades de control de los Estados miembros deben conservar la facultad de prohibir o suspender una transferencia o una serie de transferencias de datos basada en las cláusulas contractuales tipo en aquellos casos excepcionales en los que se haya establecido que una transferencia sobre una base contractual pueda tener un importante efecto negativo sobre las garantías que proporcionan una protección adecuada al interesado.
(16) Las cláusulas contractuales tipo deben ser exigibles no solamente por las organizaciones que sean parte del contrato, sino también por los interesados, en particular cuando éstos sufran un daño como consecuencia del incumplimiento del contrato.
(17) La legislación aplicable al contrato debe ser la que esté en vigor en el Estado miembro en el que se halle establecido el exportador de datos y que permita a un tercer beneficiario exigir el cumplimiento de un contrato. Debe permitirse a los interesados ser representados por asociaciones u otras entidades si así lo desean y si lo autoriza la legislación nacional.
(18) Con objeto de reducir las dificultades prácticas que pudieran experimentar los interesados al intentar exigir el respeto de sus derechos a tenor de estas cláusulas contractuales tipo, el exportador de datos y el importador de datos se considerarán responsables solidarios de los daños y perjuicios resultantes de un incumplimiento de las estipulaciones sujetas a la cláusula de tercer beneficiario.
(19) El interesado tiene derecho a emprender acciones y percibir una indemnización del exportador de datos, del importador de datos o de ambos por daños y perjuicios resultantes de cualquier acción incompatible con las obligaciones estipuladas en las cláusulas contractuales tipo. Ambas partes podrán ser eximidas de esta responsabilidad si demuestran que ninguna de ellas es responsable.
(20) La responsabilidad solidaria no se amplía a las estipulaciones que no estén cubiertas por la cláusula de tercer beneficiario y no obliga a una parte a pagar los daños resultantes del tratamiento ilícito por parte de otra parte. Aunque esta indemnización entre las partes no es un requisito para la adecuación de la protección de los interesados y, por lo tanto, puede suprimirse, figura en las cláusulas contractuales a efectos de clarificación y para evitar a las partes la necesidad de negociar individualmente cláusulas de indemnización.
(21) En caso de conflicto entre las partes y l interesado que no se resuelva de manera amistosa, y si el interesado invoca la cláusula de tercer beneficiario, las partes aceptan ofrecer al interesado la elección entre mediación, arbitraje o procedimiento judicial. La amplitud de elección real del interesado dependerá de la disponibilidad de sistemas fiables y reconocidos de mediación y arbitraje. La mediación por parte de las autoridades de control de los Estados miembros debe constituir una opción posible, en caso de éstas presten tal servicio.
(22) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen sobre el nivel de protección que ofrecen las cláusulas contractuales tipo incluidas en el anexo, dictamen que se ha tenido en cuenta para la preparación de la presente Decisión (Dictamen nº 1/2001 adoptado por el Grupo de trabajo el 26 de enero de 2001 (DG MARKT 5102/00 WP 38);
(23) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité previsto en el artículo 31 de la Directiva 95/46/CE.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Se considera que las cláusulas contractuales tipo incluidas en el anexo ofrecen las garantías adecuadas con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los correspondientes derechos, según exige el apartado 2 del artículo 26 de la Directiva 95/46/CE.
Artículo 2
La presente Decisión aborda únicamente la adecuación de la protección otorgada por las cláusulas contractuales tipo para la transferencia de datos personales, establecidas en el anexo. No afecta a la aplicación de otras disposiciones nacionales por las que se aplique la Directiva 95/46/CE, relacionadas con el tratamiento de datos personales en los Estados miembros.
La presente Decisión no se aplica a la transferencia de datos personales por responsables del tratamiento establecidos en la Comunidad a destinatarios establecidos fuera del territorio comunitario que actúen solamente como encargados del tratamiento.
Artículo 3
A efectos de la presente Decisión:
a) serán aplicables las definiciones contenidas en la Directiva 95/46/CE;
b) se entenderá por «categorías especiales de datos «los datos contemplados en el artículo 8 de dicha Directiva;
c) se entenderá por «autoridad de control «la autoridad contemplada en el artículo 28 de dicha Directiva;
d) se entenderá por «exportador de datos «el responsable del tratamiento que transfiera los datos personales;
e) se entenderá por «importador de datos «el responsable del tratamiento que convenga en recibir del exportador de datos datos personales para su posterior tratamiento de conformidad con los términos de
la presente Decisión.
Artículo 4
1. Las autoridades competentes de los Estados miembros, sin perjuicio de su facultad para iniciar acciones destinadas a garantizar el cumplimiento de las disposiciones Derecho nacional adoptadas con arreglo a los capítulos II,III,V y VI de la Directiva 95/46/CE, podrán ejercer sus facultades para prohibir o suspender los flujos de datos hacia terceros países con objeto de proteger a las personas físicas relación con el tratamiento de sus datos personales en los siguientes casos:
a) si se determina que la legislación a la que está sujeto el importador de datos le impone desviaciones de las normas correspondientes sobre protección de datos que vayan más allá de las restricciones necesarias en una sociedad democrática, como establece el artículo 13 de la Directiva 95/46/CE, cuando tales exigencias puedan tener un importante efecto negativo sobre las garantías proporcionadas por las cláusulas contractuales tipo; o
b) si una autoridad competente decide que el importador de datos no ha respetado las cláusulas contractuales; o
c) si existe la probabilidad sustancial de que las cláusulas contractuales tipo contenidas en el anexo no se estén respetando, o no s respeten en el futuro, y la continuación de la transferencia provoque un riesgo inminente de daños graves para los interesados.
2. La prohibición o suspensión con arreglo al apartado 1 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.
3. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1 y 2, informarán inmediatamente de ello a la Comisión, que remitirá la información a los demás Estados miembros..
Artículo 5
La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su notificación a los Estados miembros. Informará de los resultados al Comité creado en virtud del artículo 31 de la Directiva 95/46/CE. Incluirá cualquier prueba que pudiera afectar a la evaluación relativa a la adecuación de las cláusulas contractuales tipo y cualquier prueba de que la presente Decisión se esté aplicando de manera discriminatoria.
Artículo 6
La presente Decisión será aplicable a partir del 3 de septiembre de 2001.
Artículo 7
Los destinatarios de la presente Decisión serán los Estados miembros.
Hecho en Bruselas, el 15 de junio de 2001.
Por la Comisión
Frederik BOLKESTEIN, Miembro de la Comisión.