Agencia Estatal Boletín Oficial del Estado

LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,

Visto el Tratado constitutivo de la Comunidad Europea,

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y, en particular, el apartado 4 de su artículo 26,

Considerando lo siguiente:

(1) Con arreglo a la Directiva 95/46/CE, los Estados miembros dispondrán que la transferencia a un tercer país de datos personales únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección de datos adecuado y las disposiciones de Derecho nacional de los Estados miembros, adoptadas con arreglo a los demás preceptos de la presente Directiva, se cumplan con anterioridad a la transferencia.

(2) No obstante, el apartado 2 del artículo 26 de la Directiva 95/46/CE establece que los Estados miembros podrán autorizar, con sujeción a determinadas garantías, una transferencia o una serie de transferencias de datos personales a terceros países que no garanticen un nivel de protección adecuado. Dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

(3) De conformidad con la Directiva 95/46/CE, el nivel de protección de los datos debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la serie de transferencias. El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales creado por dicha Directiva (2) ha emitido directrices que ayudan a realizar la evaluación (3).

(4) Las cláusulas contractuales tipo solamente están relacionadas con la protección de datos. El exportador de datos y el importador de datos tienen plena libertad para incluir cualquier otra cláusula sobre cuestiones relacionadas con sus negocios que consideren pertinentes para el contrato, siempre que no contradiga las cláusulas contractuales tipo.

(5) La presente Decisión debe entenderse sin perjuicio de las autorizaciones nacionales que puedan conceder los Estados miembros de conformidad con las disposiciones nacionales de aplicación del apartado 2 del artículo 26 de la Directiva 95/46/CE. La presente Decisión tendrá como efecto únicamente exigir a los Estados miembros que no se nieguen a reconocer que las cláusulas contractuales establecidas en ella proporcionan las garantías adecuadas, por lo que no afectará de ninguna manera a otras cláusulas contractuales.

(6) El ámbito de la presente Decisión se limita a establecer que las cláusulas que contiene pueden ser utilizadas por un responsable del tratamiento de datos establecido en la Comunidad para ofrecer garantías suficientes a efectos del apartado 2 del artículo 26 de la Directiva 95/46/CE para la transferencia de datos personales a un encargado del tratamiento establecido en un tercer país.

(7) La presente Decisión debe aplicar la obligación impuesta en el apartado 3 del artículo 17 de la Directiva 95/46/CE, sin perjuicio del contenido de contratos o actos jurídicos establecidos con arreglo a dicha disposición. Sin embargo, algunas de las cláusulas contractuales tipo, en particular las relativas a las obligaciones del exportador de datos, deberían incluirse para aumentar la claridad de las cláusulas que se inserten en los contratos entre responsables y encargados del tratamiento.

(8) Las autoridades de control desempeñan una función esencial en este mecanismo contractual al garantizar la adecuada protección de los datos personales una vez realizada la transferencia. En casos excepcionales en que los exportadores de los datos no quieran o no puedan informar adecuadamente a los importadores de los datos y exista un riesgo inminente de que los interesados sufran un daño grave, las cláusulas contractuales tipo permitirán a las autoridades de control realizar la auditoría de los importadores de los datos y, en su caso, adoptar decisiones vinculantes para éstos. Las autoridades de control de los Estados miembros tendrán la facultad de prohibir o suspender una transferencia o serie de transferencias que se fundamenten en las cláusulas contractuales tipo, en aquellos casos excepcionales en que se demuestre que una transferencia de este género podría tener efectos negativos considerables en las garantías y obligaciones de prestar la adecuada protección al interesado.

(9) La Comisión Europea considerará asimismo en el futuro si las cláusulas contractuales tipo remitidas por las organizaciones empresariales u otras partes interesadas, referidas a las transferencias de datos destinadas a los encargados del tratamiento establecidos en terceros países que no ofrecen un nivel adecuado de protección, ofrecen garantías adecuadas de conformidad con el apartado 2 del artículo 26 de la Directiva 95/46/CE.

(10) La divulgación de datos personales a los encargados del tratamiento establecidos fuera de la Comunidad es una transferencia internacional protegida por el capítulo IV de la Directiva 95/46/CE. Por consiguiente, la presente Decisión no abarca las transferencias de datos personales realizadas por los responsables del tratamiento establecidos en la Comunidad a los responsables del tratamiento establecidos fuera de la Comunidad comprendidas en el ámbito de aplicación de la Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE (4).

(11) Las cláusulas contractuales tipo deben estipular las medidas de seguridad técnicas y organizativas necesarias, que han de aplicar los encargados del tratamiento establecidos en un tercer país que no ofrece la protección adecuada, con el fin de garantizar el nivel de seguridad apropiado para los riesgos que entraña el tratamiento y a la naturaleza de los datos que han de protegerse. Las partes estipularán en el contrato aquellas medidas de seguridad técnicas y organizativas que, habida cuenta de la legislación sobre protección de datos aplicable, el estado de la técnica y el coste de su aplicación, resulten necesarias para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, alteración, divulgación o acceso no autorizados o cualquier otra forma ilícita de tratamiento.

(12) Con el fin de facilitar los flujos de datos procedentes de la Comunidad, es deseable que quienes prestan servicios de tratamiento a varios responsables del tratamiento en la Comunidad puedan aplicar las mismas medidas de seguridad técnicas y organizativas, independientemente del Estado miembro del que emane la transferencia, especialmente en aquellos casos en que el importador reciba datos para efectuar nuevos tratamientos desde distintos establecimientos del exportador de datos situados en la Comunidad, en cuyo caso será aplicable la legislación del Estado miembro de establecimiento designado.

(13) Resulta oportuno establecer los detalles mínimos que deberán especificar las partes en el contrato sobre la transferencia. Los Estados miembros deben conservar la capacidad de adaptar la información exigida a las partes. El funcionamiento de la presente Decisión será revisado a la luz de la experiencia adquirida.

(14) El importador de datos tratará los datos personales transferidos sólo en nombre del exportador de datos y de conformidad con las instrucciones que reciba y las obligaciones impuestas en las cláusulas. En particular, el importador de datos no revelará los datos personales a terceros salvo en determinadas circunstancias. El exportador de datos dará instrucciones al importador de datos durante la prestación de los servicios de tratamiento de los datos para que se lleve a cabo de conformidad con sus instrucciones, la legislación vigente de protección de datos y las obligaciones impuestas en las cláusulas. La transferencia de datos personales a los encargados del tratamiento establecidos fuera de la Comunidad se hará sin perjuicio de que las actividades de tratamiento se rijan en cualquier caso por la legislación de protección de datos aplicable.

(15) Las cláusulas contractuales tipo deben ser exigibles no solamente por las organizaciones que sean parte en el contrato, sino también por los interesados, en particular cuando éstos sufran un daño como consecuencia del incumplimiento del contrato.

(16) El interesado tendrá derecho a emprender acciones y, en su caso, percibir una indemnización del exportador de datos que sea el responsable del tratamiento de los datos personales transferidos. Excepcionalmente, también tendrá derecho a emprender una acción y, en su caso, percibir una indemnización del importador de datos en aquellos casos, surgidos del incumplimiento por el importador de datos de cualquiera de sus obligaciones mencionadas en el apartado 2 de la cláusula 3, en que el exportador de datos haya desaparecido de facto, haya cesado de existir jurídicamente o sea insolvente.

(17) En caso de conflicto que no se resuelva de manera amistosa entre el interesado, que invoca la cláusula de tercero beneficiario, y el importador de datos, éste aceptará ofrecer al interesado la elección entre mediación, arbitraje o procedimiento judicial. La amplitud de elección real del interesado dependerá de la disponibilidad de sistemas fiables y reconocidos de mediación y arbitraje. La mediación por parte de las autoridades de control de los Estados miembros debe constituir una opción posible, en caso de que éstas presten tal servicio.

(18) El contrato se regirá por la legislación del Estado miembro de establecimiento del exportador de datos que permita al tercero beneficiario exigir el cumplimiento de un contrato. Los interesados podrán ser representados por asociaciones u otros organismos si así lo desean y lo permite la legislación interna.

(19) El Grupo de trabajo de protección de las personas en lo que respecta al tratamiento de datos personales, creado por el artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen sobre el nivel de protección que ofrecen las cláusulas contractuales tipo incluidas en el anexo, dictamen que se ha tenido en cuenta para la preparación de la presente Decisión (5).

(20) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité previsto en el artículo 31 de la Directiva 95/46/CE.

HA ADOPTADO LA PRESENTE DECISIÓN:

Artículo 1

Se considera que las cláusulas contractuales tipo incluidas en el anexo ofrecen las garantías adecuadas con respecto a la protección de la vida privada y de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los correspondientes derechos, según exige el apartado 2 del artículo 26 de la Directiva 95/46/CE.

Artículo 2

La presente Decisión aborda únicamente la adecuación de la protección otorgada por las cláusulas contractuales tipo establecidas en el anexo para la transferencia de datos personales a los encargados del tratamiento. No afecta a la aplicación de otras disposiciones nacionales por las que se aplique la Directiva 95/46/CE, relacionadas con el tratamiento de datos personales en los Estados miembros.

La presente Decisión no se aplica a la transferencia de datos personales por responsables del tratamiento establecidos en la Comunidad a destinatarios establecidos fuera del territorio comunitario que actúen solamente como encargados del tratamiento.

Artículo 3

A efectos de la presente Decisión:

a) serán aplicables las definiciones contenidas en la Directiva 95/46/CE;

b) se entenderá por "categorías especiales de datos" los datos contemplados en el artículo 8 de dicha Directiva;

c) se entenderá por "autoridad de control" la autoridad contemplada en el artículo 28 de dicha Directiva;

d) se entenderá por "exportador de datos" el responsable del tratamiento que transfiera los datos personales;

e) se entenderá por "importador de datos" el encargado del tratamiento establecido en un tercer país que convenga en recibir del exportador de datos personales para su posterior tratamiento en nombre de éste, de conformidad con sus instrucciones y los términos de la presente Decisión, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada;

f) se entenderá por "legislación de protección de datos aplicable" la legislación que protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;

g) se entenderá por "medidas de seguridad técnicas y organizativas" las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.

Artículo 4

1. Las autoridades competentes de los Estados miembros, sin perjuicio de su facultad para iniciar acciones destinadas a garantizar el cumplimiento de las disposiciones Derecho nacional adoptadas con arreglo a los capítulos II, III, V y VI de la Directiva 95/46/CE, podrán ejercer sus facultades para prohibir o suspender los flujos de datos hacia terceros países con objeto de proteger a las personas físicas en relación con el tratamiento de sus datos personales en los casos siguientes:

a) si se determina que la legislación a la que está sujeto el importador de datos le impone desviaciones de la legislación de protección de datos aplicable que vayan más allá de las restricciones necesarias en una sociedad democrática, como establece el artículo 13 de la Directiva 95/46/CE, cuando tales exigencias puedan tener un importante efecto negativo sobre las garantías proporcionadas por las cláusulas contractuales tipo;

b) si una autoridad competente decide que el importador de datos no ha respetado las cláusulas contractuales del anexo, o

c) si existe la probabilidad sustancial de que las cláusulas contractuales tipo contenidas en el anexo no se estén respetando, o no se respeten en el futuro, y la continuación de la transferencia provoque un riesgo inminente de daños graves para los interesados.

2. La prohibición o suspensión con arreglo al apartado 1 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.

3. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1 y 2, informarán inmediatamente de ello a la Comisión, que remitirá la información a los demás Estados miembros.

Artículo 5

La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su notificación a los Estados miembros. Informará de los resultados al Comité creado en virtud del artículo 31 de la Directiva 95/46/CE. Incluirá cualquier prueba que pudiera afectar a la evaluación relativa a la adecuación de las cláusulas contractuales tipo y cualquier prueba de que la presente Decisión se esté aplicando de manera discriminatoria.

Artículo 6

La presente Decisión será aplicable a partir del 3 de abril de 2002.

Artículo 7

Los destinatarios de la presente Decisión serán los Estados miembros.

Hecho en Bruselas, el 27 de diciembre de 2001.

Por la Comisión

Frederik Bolkestein

Miembro de la Comisión

_______________

(1) DO L 281 de 23.11.1995, p. 31.

(2) La dirección de Internet del Grupo de trabajo es la siguiente:

http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/index.htm.

(3) WP 4 (5020/97) "Primeras orientaciones sobre la transferencia de datos personales a terceros países - Posibles formas de evaluar la adecuación", documento de debate adoptado por el Grupo de trabajo el 26 de junio de 1997. WP 7 (5057/97) Documento de trabajo: "Evaluación de la autorregulación industrial: ¿En qué casos realiza una contribución significativa al nivel de protección de datos en un país tercero?", adoptado por el Grupo de trabajo el 14 de enero de 1998.

WP 9 (5005/98) Documento de trabajo: "Conclusiones preliminares sobre la utilización de disposiciones contractuales en caso de transferencia de datos personales a terceros países", adoptado por el Grupo de trabajo el 22 de abril de 1998.

WP 12 Documento de trabajo: "Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la Unión Europea", adoptado por el Grupo de trabajo el 24 de julio de 1998, se puede consultar en la siguiente dirección de Internet de la Comisión Europea:http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs/wp12es.pdf.

(4) DO L 181 de 4.7.2001, p. 19.

(5) Dictamen n° 7/2001 emitido por el Grupo de trabajo el 13 de septiembre de 2001 (DG MARKT...); se puede consultar en el sitio Internet "Europa" de la Comisión Europea.

ANEXO

Cláusulas contractuales tipo (.encargados del tratamiento.)

A efectos del apartado 2 del artículo 26 de la Directiva 9 5/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos.

Nombre de la entidad exportadora de los datos

Dirección

Tel.

fax:

correo electrónico:

Otros datos necesarios para identificar a la entidad

(en adelante, -el exportador de datos,)

Nombre de la entidad importadora de los datos:

Dirección

Tel.

fax:

correo electrónico:

Otros datos necesarios para identificar a la entidad

(en adelante, ,el importador de datos")

ACUERDAN las siguientes cláusulas contractuales (en adelante, .Ias cláusulas») con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y de los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el apéndice l.

Cláusula 1

Definiciones

A los efectos de las presentes cláusulas:

a) .datos personales.. .categorías especiales de datos.. .tratamiento.. .responsable del tratamiento.. .encargado del trata- miento.. .interesado. y .autoridad de control. tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo. de 24 de octubre de 1995. relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante. .la Directiva.) (1);

b) por .exportador de datos. se entenderá el responsable del tratamiento que transfiera los datos personales;

c) por .importador de datos. se entenderá el encargado del tratamiento que convenga en recibir del exportador de datos personales para su posteriQr tratamiento en nombre de éste. de conformidad con sus instrucciones y los términos de las presentes cláusulas. y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada;

d) por .legislación de protección de datos aplicable. se entenderá la legislación que protege los derechos y libertades fundamentales de las personas físicas y. en particular. su derecho a la vida privada respecto del tratamiento de los datos personales. aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;

e) por .medidas de seguridad técnicas y organizativas. se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental. su alteración. divulgación o acceso no autorizados. especialmente cuando el tratamiento suponga la transmisión de los datos por redes. o cualquier otra forma ilícita de tratamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.

___________

(1) Las partes podrán reproducir en esta cláusula las definiciones y significados de la Directiva 95146/CE si consideran que ello beneficia a la autonomía del contrato.

Cláusula 3

Cláusula de tercero beneficiario

Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a h) de la cláusula 4, las letras a) a e) y g) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9, 10 Y 11 como terceros beneficiarios.

de la cláusula 5, los apartados 1 y 2 de la cláusula 6. la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9, 10 Y 11 cuando el exportador haya desaparecido de Jacto o haya cesado de existir jurídicamente.

Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades si así lo desean expresamente y lo permite el Derecho nacional.

Cláusula 4

Obligaciones del exportador de datos El exportador de datos acuerda y garantiza lo siguiente:

a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de confornlidad con las normas pertinentes de la legislación de protección de datos aplicable (y.. si procede. se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;

b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de confornlidad con la legislación de protección de datos aplicable y con las presentes cláusulas;

c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas yorganizativas especificadas en el apéndice 2 del presente contrato;

d) ha verificado que, de conformidad con la legislación de protección de datos aplicable. dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental. su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse. habida cuenta del estado de la técnica y el coste de su aplicación;

e) asegurará que dichas medidas se lleven a la práctica; f) si la transferencia incluye categorías especiales de datos. se habrá infornlado a los interesados, o serán informados antes de que se efectúe aquélla, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada;

g) aceptará enviar la notificación recibida del importador de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5, en caso de que decida proseguir la transferencia Q levantar la suspensión;

h) pondrá a disposición de los interesados, previa petición de éstos. una copia de las presentes cláusulas, a excepción del apéndice 2, que será sustituido por una descripción sumaria de las medidas de seguridad.

Cláusula 5

Obligaciones del importador de datos (')

El importador de datos acuerda y garantiza lo siguiente:

a) tratará los datos personales transferidos sólo en nombre del exportador de datos y de conformidad con sus instrucciones y las presentes cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos. en cuyo caso éste estará facultado para suspender la transferencia de los datos y/o rescindir el contrato;

b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que en caso de modificación de la legislación que pueda tener un importante efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas. notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él. en cuyo caso éste estará facultado para suspender la transferencia de los datos y/o rescindir el contrato;

c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;

(1) Las obligaciones impuestas por la legislación nacional aplicables al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses recogidos en el apartado 1 del artículo 13 de la Directiva 95/46/CE, es decir, si dichas la prevención, investigación, detección y enjuiciamiento de delitos o infracciones de la deontología en las profesiones reguladas, un interés económico o las cláusulas contractuales tipo. Algunos ejemplos de obligaciones que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otras, las sanciones reconocidas en el ámbito internacional, las obligaciones de notificación en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.

d) notificará sin demora al exportador de datos:

i) toda solicitud jurídicamente vinculantede divulgar los datos personales presentada por una autoridad encargada de la aplicación de la ley a menos que esté prohibido. por ejemplo. por el Derecho penal para preservar la confidencialidad de una investigación llevada a cabo por una de dichas autoridades.

ii) todo acceso accidental o no autorizado.

iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice:

e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el

tratamiento que éste realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y. cuando corresponda, de conformidad con la autoridad de control;

g) pondrá a disposición de los interesados. previa petición de éstos, una copia de las cláusulas establecidas en el presente anexo. a excepción del apéndice 2. que será sustituido por una descripción sumaria de las medidas de seguridad. en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos.

Cláusula 6

Responsabilidad

1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las disposiciones mencionadas en la cláusula 3 tendrán derecho a percibir una compensación del exportador de datos por el daño sufrido.

2. En caso de que el interesado no pueda interponer contra elexportador de datos..)a acción a que se refiere el apartado 1 por incumplimiento de sus obligaciones impuestas en la cláusula 3 por haber desaparecido de Jacto. cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos.

3. otra parte, ésta indemnizará, en la medida de su responsabilidad, a la primera parte por todo coste, carga, perjuicio, gasto o pérdida en que haya incurrido.

La indemnización dependerá de que:

a) el exportador de datos notifique sin demora al importador la reclamación, y

b) el importador de datos tenga la posibilidad de colaborar con el exportador en la defensa y resolución de la reclamación (1).

Cláusula 7

Mediación y jurisdicción

l. El importador de datos acuerda que si el interesado invoca en su contra derechos de tercero beneficiario y/o reclama una indemnización por daños y petjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:

a) someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control:

b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.

2. El importador de datos acuerda que, por convenio con el interesado, la resolución de un determinado conflicto podrá remitirse a un organismo de arbitraje, siempre que el importador de datos esté establecido en un país que haya ratificado la Convención de Nueva York sobre ejecución de laudos arbitrales.

3. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control

1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.

2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.

(1) El apartado 3 es optativo.

Cláusula 9

Legislación aplicable

Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber

Cláusula 10

Variación del contrato

Las partes se comprometen a no variar o modificar los términos de las presentes cláusulas.

Cláusula 11

Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales

1. Las partes acuerdan que una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador deberá, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador. a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.

2. El importador de datos garantiza que, a petición del exportador y/o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditolÍa de las medidas mencionadas en el apartado 1.

En nombre del exportador de datos:

Nombre (completo):

Cargo:

Dirección:

Otros datos necesarios con vistas a la obligatoriedad del contrato (en caso de existir):

Firma

(sello de la entidad)

En nombre del importador de datos:

Nombre (completo):

Cargo:

Dirección:

Otros datos necesarios con vistas a la obligatoriedad del contrato (en caso de existir):

Firma

(sello de la entidad)

Apéndice 1

TABLA OMITIDA EN PÁGINA 61

Apéndice 2

TABLA OMITIDA EN PÁGINA 62