Transferencia de datos personales a terceros países: cláusulas contractuales tipo

SÍNTESIS DEL DOCUMENTO:

Decisión 2010/87/UE relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE

¿CUÁL ES EL OBJETIVO DE ESTA DECISIÓN?

Establece las cláusulas contractuales tipo que pueden emplear los responsables del tratamiento de datos* (exportadores) en la Unión Europea (UE) que transfieren datos personales* a encargados del tratamiento de datos* (importadores) establecidos fuera de la UE o del Espacio Económico EuropeoEEE), a fin de ofrecer las garantías apropiadas en materia de protección de datos y, de este modo, cumplir con los requisitos de la legislación de protección de datos de la UE (Reglamento general de protección de datos, Reglamento (UE) 2016/679; véase la síntesis).

PUNTOS CLAVE

El anexo de la Decisión establece las cláusulas contractuales tipo como se indica a continuación. Las cláusulas contractuales tipo solo hacen referencia a la protección de datos; las partes pueden incluirlas en contratos de mayor alcance o complementarlas con otras cláusulas o garantías adicionales, siempre que estas no entren en contradicción, de forma directa o indirecta, con las cláusulas contractuales tipo adoptadas en virtud de esta Decisión.

Cláusula 1: Definiciones

Se establecen las definiciones de las nociones clave empleadas en las cláusulas contractuales tipo.

Cláusula 2: Detalles de la transferencia

Las partes deben enumerar, en un anexo de las cláusulas contractuales, los detalles de las transferencias, incluyendo las actividades correspondientes del importador y el exportador de datos, las categorías de datos personales transferidas y las operaciones de tratamiento a las que estarán sometidas los datos personales una vez transferidos.

Cláusula 3: Cláusula de tercero beneficiario

La cláusula permite a los interesados, como terceros beneficiarios, exigir al exportador de datos, al importador de datos o al subencargado el cumplimiento de varias cláusulas. Además, dispone que las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo permite el Derecho nacional.

Cláusula 4: Obligaciones del exportador de datos

Esta cláusula establece las obligaciones contractuales del exportador de datos, que debe acordar y garantizar que:

tratará los datos personales únicamente de conformidad con la legislación en materia de protección de datos;
dará instrucciones al importador de datos para que trate los datos únicamente en nombre del exportador de datos y de conformidad con la legislación en materia de protección de datos y con las cláusulas;
ofrecerá (y cumplirá con) las garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas para proteger los datos personales contra su destrucción accidental o ilícita, su pérdida, su alteración y su divulgación o acceso no autorizados, especialmente cuando el tratamiento tenga lugar a través de redes;
informará al interesado en caso de que pueda producirse la transferencia de categorías especiales de datos a un país tercero que no proporciona un nivel adecuado de protección de datos;
enviará a la autoridad de control de la protección de datos toda notificación recibida del importador de datos en caso de que este no pueda cumplir con las cláusulas, si decide continuar con la transferencia;
pondrá a disposición de los interesados, previa petición, una copia de las cláusulas con una descripción sumaria de las medidas de seguridad;
el subencargado, en caso de subtratamiento de los datos, ofrecerá como mínimo el mismo nivel de protección de datos personales que el importador de los datos.

Cláusula 5: Obligaciones del importador de datos

Esta cláusula establece las obligaciones contractuales del importador de datos, que debe acordar y garantizar que:

tratará los datos personales únicamente en nombre del exportador de datos y de conformidad con las instrucciones de este y con las cláusulas;
no tiene motivos para considerar que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones a tenor del contrato;
notificará sin demora todo cambio en la presente legislación que pudiese tener un importante efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, en cuyo caso el exportador de datos estará facultado para suspender la transferencia de los datos y/o rescindir el contrato;
pondrá en práctica medidas de seguridad técnicas y organizativas específicas antes de tratar los datos personales transferidos;
notificará sin demora al exportador de datos acerca de toda solicitud de divulgación de datos personales recibida de una autoridad encargada de la aplicación de ley, de todo acceso accidental o no autorizado y de toda solicitud sin respuesta recibida directamente de los interesados, a menos que esté autorizado a proceder de otra manera;
tratará en los períodos de tiempo prescritos todas las consultas del exportador de datos y se atendrá a la opinión de la autoridad de control;
ofrecerá, a petición del exportador de datos, sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas;
pondrá a disposición de los interesados, previa petición, una copia de las cláusulas con una descripción sumaria de las medidas de seguridad;
contratará los servicios de un subencargado exclusivamente con el consentimiento previo por escrito del exportador de datos.

Cláusula 6: Responsabilidad

Las cláusulas exigen a las partes acordar que todo interesado que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones tiene derecho a recibir compensación del exportador de datos por el daño ocasionado.

Cláusula 7: Mediación y jurisdicción

El importador de datos debe acordar que, si el interesado invoca en su contra derechos de tercero beneficiario y/o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de someter el conflicto a mediación independiente o a los tribunales del Estado miembro de establecimiento del exportador de datos (con el derecho a obtener reparación de conformidad con otras leyes nacionales internacionales).

Cláusula 8: Cooperación con las autoridades de control

Esta cláusula rige la cooperación con la autoridad de control competente; para ello, dispone que:

la autoridad de control está facultada para auditar al importador de datos o a cualquier subencargado;
el importador de datos acuerda informar al exportador de datos acerca de cualquier disposición de ley que no permita auditar al importador de datos, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o a rescindir el contrato.

Cláusula 9: Legislación aplicable

Las cláusulas se regirán por la legislación nacional del país de la UE en el que esté establecido el exportador de datos.

Cláusula 10: Variación del contrato

Las partes no podrán variar ni modificar las presentes cláusulas.

Cláusula 11: Subtratamiento de datos

Las disposiciones relativas al subtratamiento de los datos se regirán por la legislación del país de la UE en el que esté establecido el exportador de datos.

Cláusula 12: Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales

La cláusula regula las obligaciones de las partes una vez finalizada la prestación de los servicios de tratamiento de los datos. En particular, las partes acordarán que, al finalizar la prestación de los servicios de tratamiento de datos, el importador de datos y el subencargado deberán devolver (o, previa petición, destruir) todos los datos personales transferidos, a menos que la legislación aplicable les exima de hacerlo.

¿DESDE CUÁNDO ESTÁ EN VIGOR LA DECISIÓN?

Está en vigor desde el 15 de mayo de 2010.

ANTECEDENTES

Nota: esta Decisión fue objeto de un planteamiento de cuestión prejudicial que dio lugar a una decisión del Tribunal de Justicia de la Unión Europea (asunto C-311/18) de 16 de julio de 2020, en virtud de la cual el Tribunal confirmó la validez de la Decisión.
Además, la Comisión Europea ha emitido dos conjuntos de cláusulas contractuales tipo para transferencias de responsables del tratamiento de datos en la UE a responsables del tratamiento de datos establecidos fuera de la UE o del EEE.
Véase también:
- Protección de datos (Comisión Europea)

TÉRMINOS CLAVE

Responsable del tratamiento de datos: persona física o jurídica, autoridad pública, agencia u organismo de otro tipo que determina los propósitos y los medios para el tratamiento de datos personales.

Datos personales: toda información sobre una persona (el interesado) cuya identidad pueda determinarse, directa o indirectamente, mediante un nombre, un número de identificación, datos de localización, un identificador en línea o elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

Encargado del tratamiento de datos: persona física o jurídica, autoridad pública, agencia u organismo de otro tipo que procesa datos personales en nombre del responsable.

DOCUMENTO PRINCIPAL

Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo (DO L 39 de 12.2.2010, pp. 5-18).

Las modificaciones sucesivas a la Decisión 2010/87/UE se han incorporado al texto original. Esta versión consolidada solo tiene valor documental.

DOCUMENTOS CONEXOS

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1-88).

Véase la versión consolidada.

Decisión 2004/915/CE de la Comisión, de 27 de diciembre de 2004, por la que se modifica la Decisión 2001/497/CE en lo relativo a la introducción de un conjunto alternativo de cláusulas contractuales tipo para la transferencia de datos personales a terceros países (DO L 385 de 29.12.2004, pp. 74-84).

Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE (DO L 181 de 4.7.2001, pp. 19-31).

Véase la versión consolidada.

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, pp. 31-50).

Véase la versión consolidada.

última actualización 07.10.2020