Agencia Estatal Boletín Oficial del Estado
(LA COMISIÓN DE LAS COMUNIDADES EUROPEAS,
Visto el Tratado constitutivo de la Comunidad Europea,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y, en particular, el apartado 4 de su artículo 26,
Considerando lo siguiente:
(1) A fin de facilitar los flujos de datos procedentes de la Comunidad, es conveniente que los responsables del tratamiento estén en condiciones de realizar transferencias de datos a escala mundial ateniéndose a un único conjunto de normas de protección de datos. En ausencia de una normativa internacional en esta materia, las cláusulas contractuales tipo constituyen una herramienta de gran utilidad que permite transferir datos personales desde todos los Estados miembros con arreglo a un conjunto de normas comunes. En este sentido, la Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE (2), establece un conjunto de cláusulas contractuales tipo que prevé garantías adecuadas para la transferencia de datos a terceros países.
(2) Desde la adopción de dicha Decisión se ha adquirido una rica experiencia. Además, un consorcio de asociaciones empresariales (3) ha presentado un conjunto alternativo de cláusulas contractuales tipo, pensado para ofrecer un nivel de protección de datos equivalente al proporcionado por el conjunto de cláusulas adoptado por la Decisión 2001/497/CE, aunque utilizando mecanismos diferentes.
(3) Dado que el uso de cláusulas contractuales tipo en las transferencias internacionales de datos tiene carácter voluntario (este tipo de cláusulas es sólo una de las distintas posibilidades recogidas en la Directiva 95/46/CE para la transferencia lícita de datos personales a terceros países), los exportadores de datos en la Comunidad y los importadores de datos en terceros países deberían poder optar por cualquiera de los conjuntos de cláusulas contractuales tipo o elegir otro fundamento jurídico para la transferencia de datos. Sin embargo, cada conjunto constituye un todo coherente, por lo que no es recomendable reconocer a los exportadores la posibilidad de modificar total o parcialmente estos conjuntos ni de combinarlos.
(4) Las cláusulas contractuales tipo propuestas por las asociaciones empresariales tienen por objeto potenciar el uso de cláusulas contractuales entre los operadores, por ejemplo flexibilizando los requisitos en materia de auditoría o precisando las normas que regulan el derecho de acceso.
(5) Por otra parte, el conjunto que ahora se presenta contiene, como alternativa al sistema de responsabilidad solidaria previsto en la Decisión 2001/497/CE, un régimen de responsabilidad basado en la obligación de diligencia debida, en virtud del cual el exportador y el importador de datos responderían ante los interesados por el incumplimiento de sus obligaciones contractuales respectivas. El exportador es asimismo responsable si no realiza esfuerzos razonables para determinar si el importador es capaz de cumplir las obligaciones jurídicas que le incumben en virtud de las cláusulas (culpa in eligendo), pudiendo el interesado emprender acciones contra el exportador de datos a este respecto. El cumplimiento de la letra b) de la cláusula I del nuevo conjunto de cláusulas contractuales tipo reviste particular importancia a este respecto, sobre todo a la vista de la posibilidad que se reconoce al exportador de datos de efectuar auditorías en las instalaciones del importador de datos o de exigir pruebas que demuestren que dispone de suficientes recursos financieros para cumplir sus responsabilidades.
____________________________________________________
(1) DO L 281 de 23.11.1995, p. 31. Directiva modificada por el Reglamento (CE) no 1883/2003 (DO L 284 de 31.10.2003, p. 1).
(2) DO L 181 de 4.7.2001, p. 19.
(3) Cámara Internacional de Comercio (ICC), Japan Business Council in Europe (JBCE), European Information and Communications Technology Association (EICTA), EU Committee of the American Chamber of Commerce in Belgium (Amcham), Confederation of British Industry (CBI), International Communication Round Table (ICRT) y Federation of European Direct Marketing Associations (FEDMA).
(6) En cuanto al ejercicio de los derechos de tercero beneficiario por parte de los interesados, se prevé una mayor intervención del exportador de datos en la resolución de las reclamación de los interesados, estando aquél obligado a ponerse en contacto con el importador de datos y, en su caso, a hacerle cumplir el contrato en el plazo normal de un mes. Si el exportador de datos se niega a esto último y persiste el incumplimiento por parte del importador, el interesado podrá invocar las cláusulas contra el importador de datos y, llegado el caso, demandarlo ante los tribunales de un Estado miembro. Esta aceptación de la jurisdicción y el acuerdo de acatar la decisión de un tribunal o de una autoridad de protección de datos competentes debería entenderse sin perjuicio de cualquier derecho procesal de los importadores de datos establecidos en terceros países, por ejemplo en materia de apelación.
(7) No obstante, a fin de evitar los abusos a que pudiera dar lugar esta mayor flexibilidad, conviene reconocer a las autoridades de protección de datos la facultad de prohibir o suspender más fácilmente las transferencias de datos basadas en el nuevo conjunto de cláusulas contractuales tipo cuando el exportador de datos rehúse tomar medidas apropiadas contra el importador de datos para hacerle cumplir las obligaciones contractuales o este último se niegue a cooperar de buena fe con las autoridades de control competentes en materia de protección de datos.
(8) El uso de cláusulas contractuales tipo se hace sin perjuicio de la aplicación de las disposiciones nacionales adoptadas de conformidad con la Directiva 95/46/CE o con la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (1), en especial en lo tocante al envío de comunicaciones comerciales con fines de marketing directo a los ciudadanos de la Unión Europea.
(9) A la vista de todo lo dicho, las garantías contenidas en las cláusulas contractuales tipo presentadas pueden considerarse suficientes en el sentido del apartado 2 del artículo 26 de la Directiva 95/46/CE.
(10) El Grupo de protección de las personas en lo que respecta al tratamiento de datos personales, creado en virtud del artículo 29 de la Directiva 95/46/CE, ha emitido un dictamen (2) sobre el nivel de protección que ofrecen las cláusulas contractuales tipo que aquí se presentan. Este dictamen se ha tenido en cuenta.
(11) Con objeto de valorar el funcionamiento de las modificaciones de la Decisión 2001/497/CE, conviene que la Comisión las evalúe tres años después de su notificación a los Estados miembros.
(12) La Decisión 2001/497/CE debería modificarse en consecuencia.
(13) Las medidas previstas en la presente Decisión se ajustan al dictamen del Comité establecido de conformidad con el artículo 31 de la Directiva 95/46/CE.
HA ADOPTADO LA PRESENTE DECISIÓN:
La Decisión 2001/497/CE quedará modificada como sigue:
1) En el artículo 1 se añadirá el párrafo siguiente:
«Los responsables del tratamiento podrán optar por uno de los conjuntos —I o II— recogidos en el anexo. Sin embargo, no podrán modificar las cláusulas ni combinar elementos de distintas cláusulas ni los conjuntos.»
2) Los apartados 2 y 3 del artículo 4 se sustituirán por el texto siguiente:
«2. A efectos del apartado 1, cuando el responsable del tratamiento ofrezca garantías suficientes derivadas de las cláusulas contractuales tipo contenidas en el conjunto II del anexo, las autoridades competentes responsables de la protección de datos podrán ejercer sus facultades para prohibir o suspender los flujos de datos en cualquiera de los siguientes casos:
a) si el importador de datos se niega a cooperar de buena fe con las autoridades responsables de la protección de datos o a cumplir las obligaciones que le incumben claramente en virtud del contrato;
b) si el exportador de datos se niega a adoptar las medidas necesarias para hacer cumplir el contrato al importador de datos en el plazo normal de un mes a partir del momento en que la autoridad competente responsable de la protección de datos se lo notifique.
______________________________________
(1) DO L 201 de 31.7.2002, p. 37.
(2) Dictamen 8/2003, disponible en: http://europa.eu.int/comm/privacy
A efectos del párrafo anterior, la negativa de mala fe o la negativa a ejecutar el contrato por parte del importador de datos no incluirá los supuestos en que la cooperación o la ejecución entraría en conflicto con las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de lo que es necesario en una sociedad democrática para la salvaguarda de uno de los intereses enumerados en el apartado 1 del artículo 13 de la Directiva 95/46/CE, por ejemplo las sanciones reconocidas con arreglo a instrumentos nacionales o internacionales o las obligaciones de declaración en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.
A efectos de la letra a) del primer párrafo, la cooperación podrá concretarse, por ejemplo, en la puesta a disposición por parte del importador de sus instalaciones de tratamiento de datos a efectos de auditoría o en la obligación de seguir los consejos de la autoridad de control en materia de protección de datos en la Comunidad.
3. La prohibición o suspensión con arreglo a los apartados 1 y 2 se levantará tan pronto como desaparezcan las razones para dicha prohibición o suspensión.
4. Cuando los Estados miembros adopten medidas de conformidad con los apartados 1, 2 y 3, informarán inmediatamente a la Comisión, que remitirá la información a los demás Estados miembros.».
3) En el artículo 5, la primera frase se sustituirá por el texto siguiente:
«La Comisión evaluará el funcionamiento de la presente Decisión basándose en la información disponible tres años después de su notificación y de la notificación de cualquier modificación de la misma a los Estados miembros.».
4) El anexo quedará modificado como sigue:
1. Después del título, se insertará la expresión «CONJUNTO I».
2. Se añadirá el texto establecido en el anexo de la presente Decisión.
La presente Decisión será aplicable a partir del 1 de abril de 2005.
Los destinatarios de la presente Decisión serán los Estados miembros.
Hecho en Bruselas, 27 de diciembre de 2004.
Por la Comisión
Charlie McCREEVY
Miembro de la Comisión
Cláusulas contractuales tipo para la transferencia de datos personales de la Comunidad a terceros países (transferencias entre responsables del tratamiento) Acuerdo de transferencia de datos entre, por una parte,
_______________________________________________________________________________ (nombre) _________________________________________________________ (dirección y país de establecimiento)
(en adelante, “el exportador de datos”)
y, por otra,
_______________________________________________________________________________ (nombre)
_________________________________________________________ (dirección y país de establecimiento)
(“en adelante, el importador de datos”),
cada uno, una “parte”; juntos, “las partes”.
Definiciones
A los efectos de las presentes cláusulas:
a) “datos personales”, “categorías especiales de datos/datos sensibles”, “tratar/tratamiento”, “responsable del tratamiento”, “encargado del tratamiento”, “interesado” y “autoridad de control/autoridad” tendrán el mismo significado que en la Directiva 95/46/CE, de 24 de octubre de 1995 (por consiguiente, se entenderá por “autoridad” la autoridad competente responsable de la protección de datos en el territorio de establecimiento del exportador de datos);
b) por “exportador de datos” se entenderá el responsable del tratamiento que transfiera los datos personales;
c) por “importador de datos” se entenderá el responsable del tratamiento que acepte recibir datos personales procedentes del exportador de datos para su posterior tratamiento de conformidad con los términos de las presentes cláusulas y que no esté sujeto al sistema de un tercer país por el que se garantice una protección adecuada;
d) por “cláusulas” se entenderá las presentes cláusulas contractuales, que constituyen un documento independiente que no incluye condiciones comerciales establecidas por las partes en virtud de otros acuerdos comerciales.
Los detalles de la transferencia (así como los datos personales transferidos) se especifican en el anexo B, que forma parte integrante de las cláusulas.
I. Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
a) La recopilación, el tratamiento y la transferencia de los datos personales se han efectuado de conformidad con la legislación aplicable al exportador de datos.
b) Ha realizado esfuerzos razonables para determinar si el importador de datos es capaz de cumplir las obligaciones jurídicas que le incumben en virtud de las presentes cláusulas.
c) Facilitará al importador de datos, a petición de éste, copias de las leyes pertinentes en materia de protección de datos del país en que esté establecido el exportador de datos o referencias a las mismas (cuando proceda y excluyendo el asesoramiento jurídico).
d) Responderá en un período de tiempo razonable a las consultas de los interesados y de la autoridad relativas al tratamiento de los datos personales por parte del importador de datos, a menos que las partes hayan acordado que sea el importador quien responda a estas consultas. Aun en este supuesto, será el exportador quien deba responder, en la medida de lo razonablemente posible y a partir de la información de que razonablemente pueda disponer, si el importador de datos es incapaz de responder o no se muestra dispuesto a hacerlo.
e) Pondrá a disposición de los interesados, que son terceros beneficiarios a tenor de la cláusula III, y a petición de éstos, una copia de las cláusulas, a menos que éstas contengan información confidencial, en cuyo caso podrá suprimir dicha información. De producirse ese supuesto, el exportador de datos informará por escrito a los interesados del motivo de la supresión y del derecho que les asiste a informar de ello a la autoridad. Asimismo, el exportador de datos acatará cualquier decisión de la autoridad relativa al acceso al texto completo de las cláusulas por parte de los interesados, siempre que éstos hayan acordado guardar el secreto de la información suprimida. El exportador de datos facilitará igualmente a la autoridad, a petición de ésta, una copia de las cláusulas.
II. Obligaciones del importador de datos El importador de datos acuerda y garantiza lo siguiente:
a) habrá puesto en práctica las medidas técnicas y organizativas que resulten necesarias para proteger los datos personales contra su destrucción accidental o ilícita, su pérdida o alteración accidentales o su divulgación o acceso no autorizados, y que garanticen el nivel de seguridad apropiado a los riesgos que entraña el tratamiento y a la naturaleza de los datos que han de protegerse;
b) habrá puesto a punto procedimientos que garanticen que cualquier tercero al que dé acceso a los datos personales, incluidos los encargados del tratamiento, respetarán y preservarán la confidencialidad y seguridad de los datos personales. Ninguna persona que actúe bajo la autoridad del importador de datos, incluidos los encargados del tratamiento, deberá tratar los datos personales a menos que reciba instrucciones del importador de datos. Esta disposición no se aplicará a las personas autorizadas o requeridas por la legislación o la reglamentación a tener acceso a los datos personales;
c) no tiene motivos para creer, en el momento de suscribir las presentes cláusulas, en la existencia de ninguna disposición legal de ámbito local que pueda tener un efecto negativo importante sobre las garantías estipuladas en las cláusulas e informará al exportador de datos (el cual, cuando así se le pida, transmitirá dicha notificación a la autoridad) si tuviera conocimiento de la existencia de alguna disposición de esta índole;
d) tratará los datos personales para los fines descritos en el anexo B, y tiene autoridad legal para ofrecer las garantías y cumplir los compromisos previstos en las cláusulas;
e) comunicará al exportador de datos un punto de contacto dentro de su organización autorizado a responder a las consultas que guarden relación con el tratamiento de datos personales y cooperará de buena fe con el exportador de datos, el interesado y la autoridad respecto de tales consultas dentro de un período de tiempo razonable. En caso de que el exportador de datos haya cesado de existir jurídicamente, o si así lo hubieran acordado las partes, el importador de datos asumirá la responsabilidad en lo relativo al cumplimiento de las disposiciones de la letra e) de la cláusula I;
f) facilitará al exportador de datos, a petición de éste, pruebas que demuestren que dispone de suficientes recursos financieros para cumplir las responsabilidades que le incumben en virtud de la cláusula III (por ejemplo, una póliza de seguro);
g) pondrá a disposición del exportador de datos, a petición razonable de éste, sus instalaciones de tratamiento de datos, sus ficheros y toda la documentación necesaria para el tratamiento, a efectos de revisión, auditoría o certificación. Estas labores serán realizadas, previa notificación razonable y durante horas laborables normales, por el exportador de datos (o por un inspector o auditor imparcial e independiente por él designado y al que no se haya opuesto razonablemente el importador de datos) a fin de determinar si se cumplen las garantías y los compromisos previstos en las presentes cláusulas. La solicitud estará sujeta a cualquier consentimiento o aprobación necesarios de las autoridades reguladoras o de control en el país del importador de datos. El importador hará todo lo posible por obtener dicho consentimiento o dicha aprobación con la debida antelación;
h) tratará los datos personales, a su discreción, de conformidad con:
i) la legislación en materia de protección de datos del país en que esté establecido el exportador de datos,
ii) las disposiciones pertinentes (1) de cualquier decisión de la Comisión adoptada de conformidad con el apartado 6 del artículo 25 de la Directiva 95/46/CE, cuando el importador de datos cumpla las disposiciones pertinentes de dicha autorización o decisión y esté establecido en un país en el que una u otra sean aplicables, pero él mismo no esté cubierto por las mismas a efectos de la transferencia o transferencias de datos personales (2), o
iii) los principios relativos al tratamiento de datos recogidos en el anexo A.
Opción elegida por el importador de datos: ____________________________________________________
Iniciales del importador de datos: ____________________________________________________________;
i) no revelará ni transferirá datos personales a terceros responsables del tratamiento establecidos fuera del Espacio Económico Europeo (EEE), a menos que notifique la transferencia al exportador de datos y
i) el tercero responsable del tratamiento someta los datos a tratamiento de conformidad con una decisión de la Comisión en la que se haga constar que un tercer país ofrece la protección adecuada,
ii) el tercero responsable del tratamiento suscriba las presentes cláusulas o cualquier otro acuerdo de transferencia de datos aprobado por una autoridad competente en la Unión Europea,
iii) se haya brindado a los interesados, tras haber sido informados de los fines de la transferencia, de las categorías de destinatarios y del hecho de que los países a los cuales se exportan los datos podrían tener una normativa diferente en materia de protección de datos, la oportunidad de formular objeciones, o iv) por lo que respecta a las transferencias ulteriores de datos sensibles, los interesados hayan dado su consentimiento inequívoco.
III. Responsabilidad y derechos de terceros
a) Cada una de las partes será responsable ante la otra por los daños que le hubiese provocado como resultado del incumplimiento de las cláusulas. La responsabilidad entre partes se limitará al daño realmente sufrido, quedando específicamente descartadas las indemnizaciones punitivas (es decir, las que tienen como fin castigar a una de las partes por conducta improcedente). Cada una de las partes deberá responder ante los interesados por los daños que le hubiese provocado como resultado de la conculcación de los derechos de terceros reconocidos en las cláusulas. Ello no afecta a la responsabilidad del exportador de datos con arreglo a la legislación que le sea aplicable en materia de protección de datos.
b) Las partes acuerdan que los interesados, en calidad de terceros beneficiarios, podrán invocar frente al importador o el exportador de datos la presente cláusula y las letras b), d) y e) de la cláusula I, las letras a), c), d), e), h) e i) de la cláusula II, la letra a) de la cláusula III, la cláusula V, la letra d) de la cláusula VI y la cláusula VII por incumplimiento de sus obligaciones contractuales respectivas en lo tocante a sus datos personales, y, a tal fin, se someten a la jurisdicción del país de establecimiento del exportador de datos. En aquellos casos en que se alegue incumplimiento por parte del importador de datos, el interesado deberá instar en primer lugar al exportador a que emprenda acciones apropiadas para hacer valer sus derechos frente a aquél; si el exportador no emprende dichas acciones en un plazo de tiempo razonable (que, en circunstancias normales, será de un mes), el interesado podrá hacer valer sus derechos directamente contra el importador de datos. Los interesados podrán proceder directamente contra el exportador de datos cuando éste no haya realizado esfuerzos razonables para determinar si el importador de datos es capaz de cumplir las obligaciones jurídicas que le incumben en virtud de las cláusulas (recaerá en el exportador de datos la carga de probar que efectivamente realizó esfuerzos razonables).
____________________________________________________
(1) Por “disposiciones pertinentes” se entenderán las disposiciones de una autorización o decisión que no sean de ejecución (las cuales se regirán por las presentes cláusulas).
(2) Sin embargo, si se elige esta opción, serán de aplicación las disposiciones del punto 5 del anexo A, relativo a los derechos de acceso, rectificación, supresión y bloqueo, que prevalecerán sobre cualquier disposición comparable de la decisión de la Comisión en cuestión.
IV. Legislación aplicable
Las presentes cláusulas se regirán por la legislación del país en que esté establecido el exportador de datos, a excepción de las disposiciones legales y reglamentarias relativas al tratamiento de datos personales por parte del importador de datos con arreglo a la letra h) de la cláusula II, que sólo serán aplicables si éste hubiera optado por ellas en dicha cláusula.
V. Resolución de conflictos con los interesados o con la autoridad a) En caso de conflicto o de reclamación interpuesta contra una o ambas partes por un interesado o por la autoridad en relación con el tratamiento de datos personales, la una informará a la otra sobre esta circunstancia y ambas cooperarán con objeto de alcanzar una solución amistosa lo antes posible.
b) Las partes acuerdan responder a cualquier procedimiento de mediación no vinculante y de acceso no restringido que haya sido iniciado por un interesado o por la autoridad. Si deciden participar en el procedimiento, podrán hacerlo a distancia (p. ej. por teléfono u otros medios electrónicos). Las partes acuerdan asimismo estudiar la posibilidad de participar en cualquier otro mecanismo de arbitraje, mediación u otra índole puesto a punto con vistas a la resolución de conflictos en materia de protección de datos.
c) Cada una de las partes se compromete a acatar cualquier decisión de los tribunales competentes o de la autoridad del país de establecimiento del exportador de datos cuyas decisiones sean finales y contra la que no pueda entablarse recurso alguno.
VI. Resolución de las cláusulas
a) En caso de que el importador de datos incumpla las obligaciones que le incumben en virtud de las presentes cláusulas, el exportador de datos podrá suspender temporalmente la transferencia de datos personales al importador hasta que se subsane el incumplimiento o se resuelva el contrato.
b) En caso de que:
i) la transferencia de datos personales al importador de datos haya sido suspendida temporalmente por el exportador de datos durante un período de tiempo superior a un mes de conformidad con lo dispuesto en la letra a);
ii) el cumplimiento por parte del importador de datos de las presentes cláusulas tenga como consecuencia el incumplimiento de sus obligaciones legales o reglamentarias en el país de importación; iii) el importador de datos incumpla de forma sustancial o persistente cualquier garantía o compromiso previstos en las presentes cláusulas;
iv) una decisión final contra la que no pueda entablarse recurso alguno de un tribunal competente del país de establecimiento del exportador de datos o de la autoridad establezca que el importador o el exportador de datos han incumplido las cláusulas; o
v) se haya solicitado la administración judicial o la liquidación del importador de datos, ya sea a título personal o como empresario, y dicha solicitud no haya sido desestimada en el plazo previsto al efecto con arreglo a la legislación aplicable; se emita una orden de liquidación; se designe a un administrador para algunos de sus activos; se nombre, si el importador es un particular, un síndico de la quiebra; el importador de datos haya solicitado la declaración de concurso de acreedores; o se encuentre en una situación análoga ante cualquier jurisdicción;
el exportador de datos, sin perjuicio del ejercicio de cualquier otro derecho que le pueda asistir contra el importador de datos, podrá resolver las presentes cláusulas, en cuyo caso, y si así se lo pide, informará a la autoridad. En los casos contemplados en los incisos i), ii), o iv), también podrá proceder a la resolución el importador de datos.
c) Cualquiera de las partes podrá resolver las presentes cláusulas si:
i) la Comisión hace constar que el país (o cualquier sector del mismo) al cual se transfieren los datos y en el que son tratados por el importador de datos garantiza un nivel de protección adecuado de conformidad con el apartado 6 del artículo 25 de la Directiva 95/46/CE (o cualquier texto que la sustituya), o
ii) la Directiva 95/46/CE (o cualquier texto que la sustituya) llega a ser directamente aplicable en ese país.
d) Las partes acuerdan que la resolución de las presentes cláusulas en cualquier momento, en cualquier circunstancia y por cualquier motivo —a excepción de la resolución con arreglo a la letra c) de la cláusula VI— no las eximirá del cumplimiento de las obligaciones y condiciones estipuladas en las cláusulas en lo que respecta al tratamiento de los datos personales transferidos.
VII. Variación de las cláusulas
Las partes se comprometen a no modificar las presentes cláusulas a no ser para actualizar parte de la información contenida en el anexo B, en cuyo caso informarán a la autoridad siempre que ésta así lo pida. Ello no será óbice para que las partes puedan añadir cláusulas comerciales adicionales cuando sea necesario.
VIII. Descripción de la transferencia
Los detalles de la transferencia y de los datos personales se especifican en el anexo B. Las partes acuerdan que el anexo B podrá contener información empresarial de carácter confidencial que no revelarán a terceros, excepto cuando lo exija la legislación o en respuesta a un organismo regulador o gubernamental competente, o cuando sea necesario en virtud de la letra e) de la cláusula I. Las partes podrán introducir anexos adicionales para regular otras transferencias, los cuales se presentarán a la autoridad siempre que ésta así lo pida. Como alternativa, el anexo B podrá redactarse de forma que abarque múltiples transferencias.
Fecha: _______________________________________________________________________________
Por el IMPORTADOR de DATOS Por el EXPORTADOR de DATOS ................................................................................................. ..................................................................................................
................................................................................................. ..................................................................................................
................................................................................................. ..................................................................................................
1) Limitación de la finalidad: Los datos personales se tratarán, se utilizarán posteriormente o se divulgarán sólo para los fines descritos en el anexo B o para los fines autorizados posteriormente por el interesado.
2) Calidad y proporcionalidad de los datos: Los datos personales deberán ser precisos y, en caso necesario, se mantendrán actualizados. Los datos personales serán adecuados, pertinentes y no excesivos en relación con los fines para los que se transfieran y para los que se traten posteriormente.
3) Transparencia: Se deberá facilitar a los interesados toda la información necesaria para garantizar el tratamiento leal de los datos (p. ej. información sobre los fines del tratamiento y sobre la transferencia), a menos que el exportador de datos ya haya proporcionado dicha información.
4) Seguridad y confidencialidad: El responsable del tratamiento deberá adoptar medidas técnicas y organizativas para garantizar el nivel de seguridad apropiado a los riesgos que entraña el tratamiento de los datos, por ejemplo contra su destrucción accidental o ilícita, su pérdida o alteración accidentales o su divulgación o acceso no autorizados. Las personas que actúen bajo la autoridad del responsable del tratamiento, incluido el encargado del tratamiento, no deberán tratar los datos a menos que reciban instrucciones del responsable.
5) Derechos de acceso, rectificación, supresión y bloqueo de los datos: Según prevé el artículo 12 de la Directiva 95/46/CE, los interesados tendrán derecho a conocer, ya sea directamente o a través de un tercero, los datos personales que sobre ellos posea una organización, salvo cuando las peticiones puedan considerarse claramente abusivas, ya sea por haberse planteado a intervalos irrazonables, por su número o su carácter repetitivo o sistemático, o por no ser necesario para los datos en cuestión recabar el consentimiento del interesado a tenor de la legislación del país del exportador de datos. A condición de que la autoridad haya dado su aprobación previa, tampoco será necesario recabar el consentimiento del interesado para acceder a los datos cuando el hacerlo pudiera dañar gravemente los intereses del importador de datos o de otras organizaciones que tengan trato con él y estos intereses deban prevalecer sobre los intereses en materia de derechos y libertades fundamentales del interesado. No será necesario determinar las fuentes de los datos personales cuando ello no sea posible realizando esfuerzos razonables o cuando para ello sea necesario conculcar los derechos de terceras personas. El interesado tendrá derecho a solicitar la rectificación, modificación o supresión de los datos personales cuando sean inexactos o su tratamiento no cumpla los principios establecidos en el presente anexo. De existir argumentos de peso para poner en duda la legitimidad de la petición, la organización podrá exigir otras justificaciones antes de proceder a la rectificación, modificación o supresión de los datos. No será preciso notificar la rectificación, modificación o supresión de los datos a las terceras personas entre las que hayan sido divulgados cuando ello requiera un esfuerzo desproporcionado. Los interesados también deberán poder oponerse al tratamiento de los datos personales que les conciernan cuando existan motivos legítimos imperiosos relacionados con su situación particular. La carga de la prueba en relación con cualquier negativa en este sentido recaerá en el importador de datos. En caso de negativa, el interesado podrá acudir a la autoridad para tratar de subsanarla.
6) Datos sensibles: El importador de datos tomará las medidas adicionales (por ejemplo en materia de seguridad) que sean necesarias para proteger los datos sensibles de conformidad con las obligaciones que le incumben en virtud de la cláusula II.
7) Utilización de datos con fines de márketing: Cuando el tratamiento de los datos se realice con fines de márketing directo, deberán existir procedimientos efectivos que permitan al interesado ejercer en cualquier momento el derecho de «exclusión» de sus datos personales para tales fines.
8) Decisiones automatizadas: A los efectos del presente anexo, se entenderá por «decisión automatizada» una decisión del exportador o del importador de datos que tenga efectos jurídicos sobre el interesado o que le afecte de manera significativa y que esté basada únicamente en un tratamiento automatizado de datos personales destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc. El importador de datos no adoptará ninguna decisión automatizada relativa a los interesados, a no ser que:
a) i) esas decisiones hayan sido adoptadas por el importador de datos en el momento de suscribir o ejecutar un contrato con el interesado, y
ii) se brinde al interesado la oportunidad de debatir los resultados de una decisión automatizada pertinente con un representante de la parte que haya tomado dicha decisión o de presentarle observaciones; o
b) la legislación aplicable al exportador de datos establezca lo contrario.
(Deberá ser cumplimentado por las partes)
TABLA OMITIDA EN PÁGINA 83
EJEMPLOS DE CLÁUSULAS COMERCIALES (OPTATIVAS)
Pago de indemnizaciones entre el exportador y el importador de datos:
“Cada una de las partes indemnizará a la otra y la mantendrá indemne por cuantos costes, daños, perjuicios, gastos o pérdidas se deriven del incumplimiento de cualquiera de las disposiciones de las presentes cláusulas. La indemnización dependerá de que a) la parte o partes que deban percibir la indemnización (la ‘parte indemnizada’) notifique sin demora a la otra parte o partes (la ‘parte indemnizadora’) la reclamación, b) que la parte o partes indemnizadoras tengan control exclusivo de la defensa y la resolución de una reclamación de este tipo, y c) que la parte o partes indemnizadas cooperen y presten asistencia razonable a la parte indemnizadora en la defensa y resolución de la reclamación.”.
Resolución de conflictos entre el exportador y el importador de datos (las partes podrán convenir sustituir esta cláusula por cualquier otra cláusula de jurisdicción o de resolución alternativa de conflictos):
“Todo litigio entre el importador y el exportador de datos en relación con una supuesta infracción de cualquiera de las disposiciones de las presentes cláusulas se resolverá, con arreglo a las normas de arbitraje de la Cámara de Comercio Internacional, por uno o más árbitros designados de conformidad con dichas normas. La sede del arbitraje será [ ]. El número de árbitros será de [ ].”.
Asignación de costes:
“Cada parte cumplirá las obligaciones que le incumben en virtud de las presentes cláusulas a sus propias expensas.”.
Cláusula adicional de resolución:
“En caso de resolución de las presentes cláusulas, el importador de datos deberá, a discreción del exportador, bien devolverle sin demora todos los datos personales sujetos a las presentes cláusulas y sus copias, bien destruir por completo todas las copias y certificar esta circunstancia al exportador, a menos que la legislación nacional o la reglamentación local aplicable al importador le impida devolver o destruir total o parcialmente esos datos, en cuyo caso el importador se compromete a guardar el secreto de los datos personales y a no volver a someterlos a tratamiento. El importador de datos garantiza que, a petición del exportador de datos, pondrá a disposición de éste o de un inspector por él designado y al que no se haya opuesto razonablemente el importador de datos, sus instalaciones de tratamiento para verificar el cumplimiento de dicha obligación, previa notificación razonable y durante horas laborables.”».
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
