ISSN 1977-0685
Diario Oficial
de la Unión Europea
L 199
Edición en lengua española
Legislación
64.° año
7 de junio de 2021
|
ISSN 1977-0685 |
||
|
Diario Oficial de la Unión Europea |
L 199 |
|
|
|
||
|
Edición en lengua española |
Legislación |
64.° año |
|
|
|
|
|
(1) Texto pertinente a efectos del EEE. |
|
ES |
Los actos cuyos títulos van impresos en caracteres finos son actos de gestión corriente, adoptados en el marco de la política agraria, y que tienen generalmente un período de validez limitado. Los actos cuyos títulos van impresos en caracteres gruesos y precedidos de un asterisco son todos los demás actos. |
II Actos no legislativos
REGLAMENTOS
|
7.6.2021 |
ES |
Diario Oficial de la Unión Europea |
L 199/1 |
REGLAMENTO DE EJECUCIÓN (UE) 2021/909 DE LA COMISIÓN
de 31 de mayo de 2021
relativo a la clasificación de determinadas mercancías en la nomenclatura combinada
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 952/2013 del Parlamento Europeo y del Consejo, de 9 de octubre de 2013, por el que se establece el código aduanero de la Unión (1), y en particular su artículo 57, apartado 4, y su artículo 58, apartado 2,
Considerando lo siguiente:
|
(1) |
Con el fin de garantizar una aplicación uniforme de la nomenclatura combinada anexa al Reglamento (CEE) n.o 2658/87 del Consejo (2), es necesario adoptar disposiciones sobre la clasificación de las mercancías que se indican en el anexo del presente Reglamento. |
|
(2) |
El Reglamento (CEE) n.o 2658/87 establece las reglas generales para la interpretación de la nomenclatura combinada. Dichas reglas se aplican también a cualquier otra nomenclatura que se base total o parcialmente en aquella, o que le añada subdivisiones adicionales, y que haya sido establecida por disposiciones específicas de la Unión para poder aplicar medidas arancelarias o de otro tipo al comercio de mercancías. |
|
(3) |
De conformidad con esas reglas generales, las mercancías que se describen en la columna 1 del cuadro del anexo deben clasificarse, por los motivos indicados en la columna 3, en el código NC que figura en la columna 2. |
|
(4) |
Procede disponer que la información arancelaria vinculante emitida respecto a las mercancías contempladas en el presente Reglamento que no se ajuste a las disposiciones de este pueda seguir siendo invocada por su titular durante un período determinado, conforme a lo dispuesto en el artículo 34, apartado 9, del Reglamento (UE) n.o 952/2013. Ese período debe ser de tres meses. |
|
(5) |
Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del código aduanero. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Las mercancías que se describen en la columna 1 del cuadro del anexo se clasificarán dentro de la nomenclatura combinada en el código NC que se indica en la columna 2.
Artículo 2
La información arancelaria vinculante que no se ajuste al presente Reglamento podrá seguir siendo invocada durante un período de tres meses a partir de su entrada en vigor, conforme a lo dispuesto en el artículo 34, apartado 9, del Reglamento (UE) n.o 952/2013.
Artículo 3
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 31 de mayo de 2021.
Por la Comisión,
en nombre de la Presidenta,
Gerassimos THOMAS
Director General
Dirección General de Fiscalidad y Unión Aduanera
(1) DO L 269 de 10.10.2013, p. 1.
(2) Reglamento (CEE) n.o 2658/87 del Consejo, de 23 de julio de 1987, relativo a la nomenclatura arancelaria y estadística y al arancel aduanero común (DO L 256 de 7.9.1987, p. 1).
ANEXO
|
Descripción de la mercancía |
Clasificación (Código NC) |
Motivos |
|
(1) |
(2) |
(3) |
|
Artículo flexible (denominado churro de piscina) hecho de plástico celular (espuma plástica) con forma de tubo hueco de una longitud aproximada de 1 m y con un diámetro de aproximadamente 8 cm. El artículo flota en el agua y se destina a ser utilizado como ayuda a la flotación conforme a una norma europea sobre ayudas a la flotación para el aprendizaje de la natación (EN 13138-2:2014). El artículo también es amortiguador de choques y térmicamente aislante. Véanse las imágenes (*1). |
3926 90 97 |
La clasificación está determinada por las reglas generales 1 y 6 para la interpretación de la nomenclatura combinada, así como por el texto de los códigos NC 3926 , 3926 90 y 3926 90 97 . Se excluye su clasificación en la partida 9506 como artículos y material para cultura física, gimnasia, atletismo, demás deportes o para juegos al aire libre, ya que, debido a su forma simple y común, el artículo no puede ser identificado como un artículo diseñado para cultura física o deporte de la partida 9506 , aunque debido a su capacidad flotante cumpla la norma sobre ayudas a la flotación para el aprendizaje de la natación. Además, debido a su forma simple y a su material común, el artículo podría utilizarse para diversos fines (por ejemplo, como productos amortiguadores de choques colocados alrededor de postes, productos aislantes térmicos colocados alrededor de tuberías o productos para el entretenimiento de los niños). También se excluye su clasificación en la partida 9503 como los demás juguetes, ya que, habida cuenta de su diseño, el artículo no puede identificarse claramente como un artículo para el entretenimiento de niños o adultos. Por consiguiente, el artículo debe clasificarse en función de su materia constitutiva (plástico). Así pues, el artículo debe clasificarse en el código NC 3926 90 97 como las demás manufacturas de plástico. |
(*1) Las imágenes se presentan con carácter estrictamente informativo.
|
7.6.2021 |
ES |
Diario Oficial de la Unión Europea |
L 199/4 |
REGLAMENTO DE EJECUCIÓN (UE) 2021/910 DE LA COMISIÓN
de 31 de mayo de 2021
relativo a la clasificación de determinadas mercancías en la nomenclatura combinada
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 952/2013 del Parlamento Europeo y del Consejo, de 9 de octubre de 2013, por el que se establece el código aduanero de la Unión (1), y en particular su artículo 57, apartado 4, y su artículo 58, apartado 2,
Considerando lo siguiente:
|
(1) |
Con el fin de garantizar una aplicación uniforme de la nomenclatura combinada anexa al Reglamento (CEE) n.o 2658/87 del Consejo (2), es necesario adoptar disposiciones sobre la clasificación de las mercancías que se indican en el anexo del presente Reglamento. |
|
(2) |
El Reglamento (CEE) n.o 2658/87 establece las reglas generales para la interpretación de la nomenclatura combinada. Dichas reglas se aplican también a cualquier otra nomenclatura que se base total o parcialmente en aquella, o que le añada subdivisiones adicionales, y que haya sido establecida por disposiciones específicas de la Unión para poder aplicar medidas arancelarias o de otro tipo al comercio de mercancías. |
|
(3) |
De conformidad con esas reglas generales, las mercancías que se describen en la columna 1 del cuadro del anexo deben clasificarse, por los motivos indicados en la columna 3, en el código NC que figura en la columna 2. |
|
(4) |
Procede disponer que la información arancelaria vinculante emitida respecto a las mercancías contempladas en el presente Reglamento que no se ajuste a las disposiciones del mismo pueda seguir siendo invocada por su titular durante un período determinado, conforme a lo dispuesto en el artículo 34, apartado 9, del Reglamento (UE) n.o 952/2013. Ese período debe ser de tres meses. |
|
(5) |
Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del código aduanero, |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Las mercancías que se describen en la columna 1 del cuadro del anexo se clasificarán dentro de la nomenclatura combinada en el código NC que se indica en la columna 2.
Artículo 2
La información arancelaria vinculante que no se ajuste al presente Reglamento podrá seguir siendo invocada durante un período de tres meses a partir de la entrada en vigor del mismo, conforme a lo dispuesto en el artículo 34, apartado 9, del Reglamento (UE) n.o 952/2013.
Artículo 3
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 31 de mayo de 2021.
Por la Comisión
en nombre de la Presidenta,
Gerassimos THOMAS
Director General
Dirección General de Fiscalidad y Unión Aduanera
(1) DO L 269 de 10.10.2013, p. 1.
(2) Reglamento (CEE) n.o 2658/87 del Consejo, de 23 de julio de 1987, relativo a la nomenclatura arancelaria y estadística y al arancel aduanero común (DO L 256 de 7.9.1987, p. 1).
ANEXO
|
Designación de la mercancía |
Clasificación (Código NC) |
Motivos |
|
(1) |
(2) |
(3) |
|
Varillas de cermet de sección transversal redonda uniforme. Los artículos, de longitud y diámetro variables, pueden ser sólidos o estar perforados y tener canales de refrigeración con extremos redondeados. Algunos de los artículos también pueden haber sido biselados. Los artículos están hechos de cermet, es decir, de carburo metálico sinterizado a base de carburo de volframio con cobalto como sustancia aglutinante. Debido a su bajo grado de transformación y forma simple, los artículos pueden utilizarse para usos muy variados, por ejemplo, como elementos de refuerzo. Si se transforman posteriormente, los artículos pueden utilizarse para útiles y como útiles. |
8113 00 90 |
La clasificación está determinada por las reglas generales 1 y 6 para la interpretación de la Nomenclatura Combinada, por la nota 4 de la sección XV, y por el texto de los códigos NC 8113 00 y 8113 00 90 . Se excluye su clasificación en el código NC 8209 00 80 como varillas y artículos similares para útiles, sin montar, de cermet, ya que los artículos pueden utilizarse para útiles y como útiles solo si se transforman posteriormente, y también son adecuados para otros usos. Los artículos están comprendidos en la partida 8113 , que abarca el cermet, en bruto o en forma de artículos no expresados en otra parte de la Nomenclatura Combinada (véanse también las notas explicativas del sistema armonizado de la partida 8113 , párrafo sexto). El artículo debe, por tanto, clasificarse en el código NC 8113 00 90 , como cermet y sus demás manufacturas. |
|
7.6.2021 |
ES |
Diario Oficial de la Unión Europea |
L 199/7 |
REGLAMENTO DE EJECUCIÓN (UE) 2021/911 DE LA COMISIÓN
de 31 de mayo de 2021
relativo a la clasificación de determinadas mercancías en la nomenclatura combinada
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 952/2013 del Parlamento Europeo y del Consejo, de 9 de octubre de 2013, por el que se establece el código aduanero de la Unión (1), y en particular su artículo 57, apartado 4, y su artículo 58, apartado 2,
Considerando lo siguiente:
|
(1) |
Con el fin de garantizar una aplicación uniforme de la nomenclatura combinada anexa al Reglamento (CEE) n.o 2658/87 del Consejo (2), es necesario adoptar disposiciones sobre la clasificación de las mercancías que se indican en el anexo del presente Reglamento. |
|
(2) |
El Reglamento (CEE) n.o 2658/87 establece las reglas generales para la interpretación de la nomenclatura combinada. Dichas reglas se aplican también a cualquier otra nomenclatura que se base total o parcialmente en aquella, o que le añada subdivisiones adicionales, y que haya sido establecida por disposiciones específicas de la Unión para poder aplicar medidas arancelarias o de otro tipo al comercio de mercancías. |
|
(3) |
De conformidad con esas reglas generales, las mercancías que se describen en la columna 1 del cuadro del anexo deben clasificarse, por los motivos indicados en la columna 3, en el código NC que figura en la columna 2. |
|
(4) |
Procede disponer que la información arancelaria vinculante emitida respecto a las mercancías contempladas en el presente Reglamento que no se ajuste a las disposiciones de este pueda seguir siendo invocada por su titular durante un período determinado, conforme a lo dispuesto en el artículo 34, apartado 9, del Reglamento (UE) n.o 952/2013. Ese período debe ser de tres meses. |
|
(5) |
Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité del código aduanero. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Las mercancías que se describen en la columna 1 del cuadro del anexo se clasificarán dentro de la nomenclatura combinada en el código NC que se indica en la columna 2.
Artículo 2
La información arancelaria vinculante que no se ajuste al presente Reglamento podrá seguir siendo invocada durante un período de tres meses a partir de su entrada en vigor, conforme a lo dispuesto en el artículo 34, apartado 9, del Reglamento (UE) n.o 952/2013.
Artículo 3
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 31 de mayo de 2021.
Por la Comisión
en nombre de la Presidenta,
Gerassimos THOMAS
Director General
Dirección General de Fiscalidad y Unión Aduanera
(1) DO L 269 de 10.10.2013, p. 1.
(2) Reglamento (CEE) n.o 2658/87 del Consejo, de 23 de julio de 1987, relativo a la nomenclatura arancelaria y estadística y al arancel aduanero común (DO L 256 de 7.9.1987, p. 1).
ANEXO
|
Descripción de la mercancía |
Clasificación (Código NC) |
Motivos |
||||||||
|
(1) |
(2) |
(3) |
||||||||
|
Plataforma rodante para muebles compuesta de:
El artículo presenta un hueco que sirve, por ejemplo, o bien de asa, para llevarlo en la mano, o bien para colgarlo de la pared. El artículo está diseñado para transportar artículos diversos, en particular muebles y demás objetos pesados. (Véase la imagen) (*1) |
4421 99 10 |
Esta clasificación está determinada por las reglas generales 1, 3 b) y 6 para la interpretación de la nomenclatura combinada, la nota 3 del capítulo 44 y el texto de los códigos NC 4421 , 4421 99 y 4421 99 10 . Se excluye la clasificación en el código NC 8716 80 00 como los demás vehículos no automóviles, ya que las características y propiedades objetivas del artículo no se corresponden totalmente con los términos de la partida 8716 y del código NC 8716 80 00 . Habida cuenta de las características y propiedades objetivas del artículo, como el hecho de que presente un hueco a modo de asa que no se utiliza para empujarlo a mano o con el pie, y de que haya sido diseñado para el desplazamiento de objetos pesados, como muebles, empujándolos, el artículo no está diseñado para que lo remolquen otros vehículos, para arrastrarlo o empujarlo a mano o con el pie, o para la tracción animal (véanse también las notas explicativas del sistema armonizado de la partida 8716 , párrafo segundo). El artículo no puede considerarse un vehículo porque carece de algunas de las características y propiedades de un vehículo impulsado a mano o con el pie de la partida 8716 , ya que no es ni una carretilla de manipulación, ni otro tipo de carretilla o carreta, ni cuenta entre sus componentes con una parte específica de un vehículo, como un chasis. Por consiguiente, el artículo debe clasificarse en función de su materia constitutiva. El artículo es un producto compuesto elaborado con distintas materias (madera, plástico y metal). El elemento que confiere al artículo su carácter esencial es la madera, ya que la tabla de madera constituye la parte principal del producto compuesto y es de gran importancia para el uso al que se destina el artículo. El artículo debe, por tanto, clasificarse en el código NC 4421 99 10 , como las demás manufacturas de tableros de fibra. |
(*1) La imagen se incluye a título meramente informativo.
|
7.6.2021 |
ES |
Diario Oficial de la Unión Europea |
L 199/10 |
REGLAMENTO DE EJECUCIÓN (UE) 2021/912 DE LA COMISIÓN
de 4 de junio de 2021
por el que se autorizan cambios de las especificaciones del nuevo alimento lacto-N-neotetraosa (fuente microbiana) y se modifica el Reglamento de Ejecución (UE) 2017/2470 de la Comisión
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2015/2283 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, relativo a los nuevos alimentos, por el que se modifica el Reglamento (UE) n.o 1169/2011 del Parlamento Europeo y del Consejo y se derogan el Reglamento (CE) n.o 258/97 del Parlamento Europeo y del Consejo y el Reglamento (CE) n.o 1852/2001 de la Comisión (1), y en particular su artículo 12,
Considerando lo siguiente:
|
(1) |
El Reglamento (UE) 2015/2283 dispone que solo pueden comercializarse en la Unión los nuevos alimentos autorizados e incluidos en la lista de la Unión. |
|
(2) |
De conformidad con el artículo 8 del Reglamento (UE) 2015/2283, se adoptó el Reglamento de Ejecución (UE) 2017/2470 de la Comisión (2), por el que se establece la lista de la Unión de nuevos alimentos autorizados. |
|
(3) |
Con arreglo al artículo 12 del Reglamento (UE) 2015/2283, la Comisión debe presentar un proyecto de acto de ejecución por el que se autorice la comercialización en la Unión de un nuevo alimento y se actualice la lista de la Unión. |
|
(4) |
Mediante la Decisión de Ejecución (UE) 2016/375 de la Comisión (3) se autorizó, de conformidad con el Reglamento (CE) n.o 258/97 del Parlamento Europeo y del Consejo (4), la comercialización de la lacto-N-neotetraosa sintetizada químicamente como nuevo ingrediente alimentario. |
|
(5) |
El 1 de septiembre de 2016, la empresa Glycom A/S informó a la Comisión, con arreglo al artículo 5 del Reglamento (CE) n.o 258/97, de su intención de comercializar lacto-N-neotetraosa de fuente microbiana producida con la cepa de Escherichia coli K-12 como un nuevo ingrediente alimentario. |
|
(6) |
En la notificación a la Comisión, Glycom A/S presentó asimismo un informe expedido por la autoridad competente de Irlanda con arreglo al artículo 3, apartado 4, del Reglamento (CE) n.o 258/97, en el que, tomando como base las pruebas científicas presentadas por dicha empresa, se había concluido que la lacto-N-neotetraosa producida con la cepa de Escherichia coli K-12 era sustancialmente equivalente a la lacto-N-neotetraosa sintética autorizada por la Decisión de Ejecución (UE) 2016/375 de la Comisión. Por consiguiente, la lacto-N-neotetraosa de fuente microbiana se incluyó en la lista de nuevos alimentos de la Unión. |
|
(7) |
El 23 de junio de 2019 la empresa Chr. Hansen A/S («el solicitante») presentó una solicitud a la Comisión, de conformidad con el artículo 10, apartado 1, del Reglamento (UE) 2015/2283, para la autorización de la lacto-N-neotetraosa (fuente microbiana) producida por la actividad combinada de las cepas derivadas PS-LNnT-JBT y DS-LNnT-JBT de la cepa de Escherichia coli BL21(DE3) como nuevo alimento, con las mismas condiciones de uso que los autorizados en la actualidad para la lacto-N-neotetraosa de fuente sintética y microbiana. El solicitante pidió una actualización de la lista de la Unión con respecto a la nueva fuente de ese nuevo alimento. |
|
(8) |
Además, el solicitante propuso actualizar algunas de las especificaciones de la lacto-N-neotetraosa (fuente microbiana) producida por esa nueva fuente, ya que difieren de las especificaciones de la lacto-N-neotetraosa de fuente microbiológica autorizada producida con la cepa de Escherichia coli K-12, en la medida en que implican un incremento de los niveles de ceniza de ≤ 0,4 % a ≤ 1,0 %; un nivel superior de presencia de levaduras y mohos desde las actuales ≤ 10 unidades formadoras de colonias (UFC)/g de nuevo alimento para cada tipo de microorganismo, hasta ≤ 50 UFC/g para la combinación de las dos; y la ausencia de metanol (desde el actual ≤ 100 mg/kg) y del isómero de la lacto-N-neotetraosa fructosa (desde el actual ≤ 1,0 %). |
|
(9) |
El 17 de enero de 2020 la Comisión solicitó a la Autoridad Europea de Seguridad Alimentaria («la Autoridad») que llevara a cabo una evaluación de la lacto-N-neotetraosa producida mediante la actividad combinada de las cepas derivadas PS-LNnT-JBT y DS-LNnT-JBT de la cepa de Escherichia coli BL21(DE3), de conformidad con los requisitos del artículo 11 del Reglamento (UE) 2015/2283. |
|
(10) |
El 22 de octubre de 2020, la Autoridad adoptó su dictamen científico «Safety of lacto-N-neotetraose (LNnT) produced by derivative strains of E. coli BL21 as a novel food pursuant to Regulation (EU) 2015/2283» [Seguridad de la lacto-N-neotetraosa (LNnT) producida mediante cepas derivadas de E. coli BL21 como nuevo alimento con arreglo al Reglamento (UE) 2015/2283] (5). |
|
(11) |
En su dictamen científico, la Autoridad concluyó que la lacto-N-neotetraosa (LNnT) producida mediante la actividad combinada de las cepas derivadas PS-LNnT-JBT y DS-LNnT-JBT de la cepa de Escherichia coli BL21(DE3) como nuevo alimento con arreglo al Reglamento (UE) 2015/2283 es segura para las condiciones de uso autorizadas en la actualidad. Por consiguiente, dicho dictamen científico proporciona motivos suficientes para establecer que la lacto-N-neotetraosa (LNnT), producida mediante la actividad combinada de las cepas derivadas PS-LNnT-JBT y DS-LNnT-JBT de la cepa de Escherichia coli BL21(DE3), cumple lo establecido en el artículo 12, apartado 1, del Reglamento (UE) 2015/2283. |
|
(12) |
Por lo tanto, es conveniente modificar las especificaciones de la lacto-N-neotetraosa producida microbiológicamente a fin de incluir las cepas derivadas PS-LNnT-JBT y DS-LNnT-JBT de la cepa de Escherichia coli BL21(DE3) como la fuente del nuevo alimento, además de la cepa de Escherichia coli K12 autorizada, y modificar los niveles propuestos para la presencia de cenizas y mohos, así como de levaduras. |
|
(13) |
Procede, por tanto, modificar el anexo del Reglamento (UE) 2017/2470 en consecuencia. |
|
(14) |
Las medidas previstas en el presente Reglamento se ajustan al dictamen del Comité Permanente de Vegetales, Animales, Alimentos y Piensos. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
La entrada de la lista de la Unión de nuevos alimentos autorizados, tal como se establece en el artículo 6 del Reglamento (UE) 2015/2283, correspondiente a la sustancia lacto-N-neotetraosa (fuente microbiana), se modifica con arreglo a lo dispuesto en el anexo del presente Reglamento.
Artículo 2
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 4 de junio de 2021.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 327 de 11.12.2015, p. 1.
(2) Reglamento de Ejecución (UE) 2017/2470 de la Comisión, de 20 de diciembre de 2017, por el que se establece la lista de la Unión de nuevos alimentos, de conformidad con el Reglamento (UE) 2015/2283 del Parlamento Europeo y del Consejo, relativo a los nuevos alimentos (DO L 351 de 30.12.2017, p. 72).
(3) Decisión de Ejecución (UE) 2016/375 de la Comisión, de 11 de marzo de 2016, por la que se autoriza la comercialización de la lacto-N-neotetraosa como nuevo ingrediente alimentario con arreglo al Reglamento (CE) n.o 258/97 del Parlamento Europeo y del Consejo (DO L 70 de 16.3.2016, p. 22).
(4) Reglamento (CE) n.o 258/97 del Parlamento Europeo y del Consejo, sobre nuevos alimentos y nuevos ingredientes alimentarios (DO L 43 de 14.2.1997, p. 1).
(5) EFSA Journal 2020;18(11):6305.
ANEXO
En el cuadro 2 (Especificaciones) del Reglamento de Ejecución (UE) 2017/2470, la entrada correspondiente a «Lacto-N-neotetraosa (fuente microbiana)» se sustituye por el texto siguiente:
|
«Lacto-N-neotetraosa (fuente microbiana) |
Definición: Denominación química: beta-D-galactopiranosil-(1→4)-2-acetamido-2-deoxi-beta-D-glucopiranosil-(1→3)-beta-D-galactopiranosil-(1→4)-D-glucopiranosa Fórmula química: C26H45NO21 N.o CAS: 13007-32-4 Peso molecular: 707,63 g/mol Fuente:
Descripción: La lacto-N-neotetraosa es un polvo entre blanco y blanquecino que se produce mediante un proceso microbiológico. Pureza: Análisis (sin agua): ≥ 80 % D-lactosa: ≤ 10,0 % Lacto-N-triosa II: ≤ 3,0 % para-Lacto-N-neohexaosa: ≤ 5,0 % Isómero de lacto-N-neotetraosa fructosa: ≤ 1,0 % Suma de sacáridos (lacto-N-neotetraosa, D-lactosa, lacto-N-triosa II, para-lacto-N-neohexaosa, isómero de lacto-N-neotetraosa fructosa): ≥ 92 % (% p/p de materia seca) pH (20 °C, solución al 5 %): 4,0-7,0 Agua: ≤ 9,0 % Cenizas sulfatadas: ≤ 1,0 % Disolventes residuales (metanol): ≤ 100 mg/kg Proteínas residuales: ≤ 0,01 % Criterios microbiológicos: Recuento total de bacterias mesófilas aerobias: ≤ 500 UFC/g Levaduras y mohos: ≤ 50 UFC/g Endotoxinas residuales: ≤ 10 UE/mg UFC: unidades formadoras de colonias; UE: Unidades de endotoxina» |
DECISIONES
|
7.6.2021 |
ES |
Diario Oficial de la Unión Europea |
L 199/13 |
DECISIÓN DE EJECUCIÓN (UE) 2021/913 DE LA COMISIÓN
de 3 de junio de 2021
relativa a las normas armonizadas para los lavavajillas domésticos elaboradas en apoyo del Reglamento (UE) 2019/2022 y del Reglamento Delegado (UE) 2019/2017
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.o 1673/2006/CE del Parlamento Europeo y del Consejo (1), y en particular su artículo 10, apartado 6,
Considerando lo siguiente:
|
(1) |
De conformidad con el artículo 9, apartado 2, de la Directiva 2009/125/CE del Parlamento Europeo y del Consejo (2), los Estados miembros han de considerar que los productos a los que se hayan aplicado normas armonizadas cuyos números de referencia se hayan publicado en el Diario Oficial de la Unión Europea, se ajustan a todos los requisitos pertinentes de la medida de ejecución aplicable a la que se refieren dichas normas. El artículo 4 del Reglamento (UE) 2019/2022 de la Comisión (3) y su anexo III establecen los requisitos de medición y cálculo pertinentes para los lavavajillas domésticos. |
|
(2) |
De conformidad con el artículo 13 del Reglamento (UE) 2017/1369 del Parlamento Europeo y del Consejo (4), tras la adopción de un acto delegado con arreglo al artículo 16 de ese Reglamento en el que se fijen requisitos de etiquetado específicos, la Comisión deberá publicar en el Diario Oficial de la Unión Europea referencias a normas armonizadas que satisfagan los requisitos pertinentes del acto delegado en materia de medición y cálculo. Cuando, durante la evaluación de la conformidad de un producto, se apliquen tales normas armonizadas, se ha de presumir que el modelo es conforme con los requisitos pertinentes del acto delegado en materia de medición y cálculo. El artículo 3 del Reglamento Delegado (UE) 2019/2017 de la Comisión (5) y su anexo IV establecen los requisitos de medición y cálculo pertinentes para los lavavajillas domésticos. |
|
(3) |
Mediante la Decisión de Ejecución C(2020) 4329 (6), la Comisión solicitó al Comité Europeo de Normalización (CEN), al Comité Europeo de Normalización Electrotécnica (Cenelec) y al Instituto Europeo de Normas de Telecomunicaciones (ETSI) que revisaran las normas armonizadas vigentes relativas a los lavavajillas domésticos, lavadoras domésticas y lavadoras-secadoras domésticas en apoyo de los Reglamentos (UE) 2019/2022 y (UE) 2019/2023 y de los Reglamentos Delegados (UE) 2019/2017 y (UE) 2019/2014. |
|
(4) |
Sobre la base de la solicitud presentada en la Decisión de Ejecución C(2020) 4329, el Cenelec revisó la norma armonizada EN 60436:2020 con el fin de tener en cuenta el progreso técnico y científico. El Cenelec también adoptó la modificación EN 60436:2020/A11:2020 y la corrección EN 60436:2020/AC:2020-6 de dicha norma. |
|
(5) |
La Comisión, junto con el Cenelec, ha evaluado si la norma armonizada EN 60436:2020, modificada por EN 60436:2020/A11:2020 y corregida por EN 60436:2020/AC:2020-6, se ajusta a la solicitud presentada en la Decisión de Ejecución C(2020) 4329. |
|
(6) |
La norma armonizada EN 60436:2020, modificada por EN 60436:2020/A11:2020 y corregida por EN 60436:2020/AC:2020-6, cumple los requisitos que pretende cubrir y que establecen el Reglamento (UE) 2019/2022 y el Reglamento Delegado (UE) 2019/2017. |
|
(7) |
Es necesario aclarar qué versiones de las normas mencionadas en la cláusula «3. Modificación de la cláusula “2. Referencias normativas”» de la norma EN 60436:2020 han de ser aplicadas a los fines de la presunción de conformidad. |
|
(8) |
La columna «Observaciones/Notas*» de la tabla ZZA.1 de la norma EN 60436:2020 a los fines del Reglamento Delegado (UE) 2019/2017 y la columna «Observaciones/Notas*» de la tabla ZZB.1 de la norma EN 60436:2020 a los fines del Reglamento (UE) 2019/2022 deben excluirse de la publicación debido a la incoherencia de dichas columnas con los requisitos del cuerpo normativo principal de la norma y debido a la incertidumbre jurídica resultante de la interpretación del efecto jurídico de la presunción de la conformidad incluido en la nota a pie de página de esas columnas. |
|
(9) |
Por consiguiente, es adecuado publicar la referencia de la norma armonizada EN 60436:2020, modificada por la norma EN 60436:2020/A11:2020 y corregida por la norma EN 60436:2020/AC:2020-6, en el Diario Oficial de la Unión Europea con una restricción. |
|
(10) |
La norma armonizada EN 60436:2020 sustituye a la norma armonizada EN 50242:2016 publicada en la Comunicación 2016/C 416/05 de la Comisión (7). Procede, por tanto, derogar dicha Comunicación. |
|
(11) |
La conformidad con una norma armonizada confiere presunción de conformidad con los requisitos correspondientes establecidos en la legislación de armonización de la Unión a partir de la fecha de publicación de la referencia de dicha norma en el Diario Oficial de la Unión Europea. Por consiguiente, la presente Decisión debe entrar en vigor el día de su publicación. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
La referencia de la norma armonizada aplicable al etiquetado energético de los lavavajillas domésticos elaborada en apoyo del Reglamento Delegado (UE) 2019/2017 que figura en el anexo I de la presente Decisión se publica en el Diario Oficial de la Unión Europea con una restricción.
La referencia de la norma armonizada relativa al diseño ecológico de los lavavajillas domésticos elaborados en apoyo del Reglamento (UE) 2019/2022 que figura en el anexo II de la presente Decisión se publica en el Diario Oficial de la Unión Europea con una restricción.
Artículo 2
Queda derogada la Comunicación 2016/C 416/05.
Artículo 3
La presente Decisión entrará en vigor el día de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 3 de junio de 2021.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 316 de 14.11.2012, p. 12.
(2) Directiva 2009/125/CE del Parlamento Europeo y del Consejo, de 21 de octubre de 2009, por la que se instaura un marco para el establecimiento de requisitos de diseño ecológico aplicables a los productos relacionados con la energía (DO L 285 de 31.10.2009, p. 10).
(3) Reglamento (UE) 2019/2022 de la Comisión, de 1 de octubre de 2019, por el que se establecen los requisitos de diseño ecológico aplicables a los lavavajillas domésticos con arreglo a la Directiva 2009/125/CE del Parlamento Europeo y del Consejo, se modifica el Reglamento (CE) n.o 1275/2008 de la Comisión y se deroga el Reglamento (UE) n.o 1016/2010 de la Comisión (DO L 315 de 5.12.2019, p. 267).
(4) Reglamento (UE) 2017/1369 del Parlamento Europeo y del Consejo, de 4 de julio de 2017, por el que se establece un marco para el etiquetado energético y se deroga la Directiva 2010/30/UE (DO L 198 de 28.7.2017, p. 1).
(5) Reglamento Delegado (UE) 2019/2017 de la Comisión, de 11 de marzo de 2019, por el que se completa el Reglamento (UE) 2017/1369 del Parlamento Europeo y del Consejo en lo relativo al etiquetado energético de los lavavajillas domésticos y se deroga el Reglamento Delegado (UE) n.o 1059/2010 de la Comisión (DO L 315 de 5.12.2019, p. 134).
(6) Decisión de Ejecución C(2020) 4329 de la Comisión, de 1 de julio de 2020, sobre una petición de normalización al Comité Europeo de Normalización, al Comité Europeo de Normalización Electrotécnica y al Instituto Europeo de Normas de Telecomunicaciones en lo relativo a los requisitos de diseño ecológico y etiquetado aplicables a los lavavajillas domésticos, las lavadoras domésticas y las lavadoras-secadoras domésticas, en apoyo de los Reglamentos (UE) 2019/2022 y (UE) 2019/2023 y de los Reglamentos Delegados (UE) 2019/2017 y (UE) 2019/2014.
(7) Comunicación de la Comisión en el marco de la aplicación del Reglamento (UE) n.o 1016/2010 de la Comisión, por el que se aplica la Directiva 2009/125/CE del Parlamento Europeo y del Consejo en lo relativo a los requisitos de diseño ecológico aplicables a los lavavajillas domésticos y del Reglamento Delegado (UE) n.o 1059/2010 de la Comisión, por el que se complementa la Directiva 2010/30/UE del Parlamento Europeo y del Consejo en lo relativo al etiquetado energético de los lavavajillas domésticos (Publicación de títulos y referencias de normas armonizadas conforme a la legislación sobre armonización de la Unión) (DO C 416 de 11.11.2016, p. 14).
ANEXO I
Referencia de la norma armonizada elaborada en apoyo del Reglamento Delegado (UE) 2019/2017
|
EN 60436:2020 Lavavajillas eléctricos para uso doméstico. Métodos de medida de la aptitud para la función. EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Restricciones:
|
ANEXO II
Referencia de la norma armonizada elaborada en apoyo del Reglamento (UE) 2019/2022
|
EN 60436:2020 Lavavajillas eléctricos para uso doméstico. Métodos de medida de la aptitud para la función. EN 60436:2020/A11:2020 EN 60436:2020/AC:2020-6 Restricciones:
|
|
7.6.2021 |
ES |
Diario Oficial de la Unión Europea |
L 199/18 |
DECISIÓN DE EJECUCIÓN (UE) 2021/915 DE LA COMISIÓN
de 4 de junio de 2021
relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE («RGPD») (1), y en particular su artículo 28, apartado 7,
Visto el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (2), y en particular su artículo 29, apartado 7,
Considerando lo siguiente:
|
(1) |
Los conceptos de responsable y encargado del tratamiento desempeñan un papel crucial en la aplicación del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725. El «responsable del tratamiento» o «responsable» es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. A efectos del Reglamento (UE) 2018/1725, se entiende por responsable del tratamiento la institución o el organismo o la dirección general u otra entidad organizativa de la Unión que, por sí sola o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales. Cuando los fines y medios de ese tratamiento se determinen en un acto específico de la Unión, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser establecidos por la Unión. El «encargado del tratamiento» o «encargado» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. |
|
(2) |
Debe aplicarse el mismo conjunto de cláusulas contractuales tipo a la relación entre los responsables y los encargados del tratamiento sujetos al Reglamento (UE) 2016/679 y también cuando estén sujetos al Reglamento (UE) 2018/1725. Esto se justifica porque, en aras de un planteamiento coherente de protección de los datos personales en la Unión y de la libre circulación de datos personales en toda la Unión, las normas de protección de datos del Reglamento (UE) 2016/679, aplicables al sector público en los Estados miembros, y las normas de protección de datos del Reglamento (UE) 2018/1725, aplicables a las instituciones, órganos y organismos de la Unión, se armonizaron en la medida de lo posible. |
|
(3) |
Con el fin de asegurar que se cumplan los requisitos del Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725, cuando se encomienden actividades de tratamiento a un encargado, el responsable debe recurrir únicamente a encargados que ofrezcan garantías suficientes, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725, incluida la seguridad del tratamiento. |
|
(4) |
El tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o del Estado miembro, que vincule al encargado respecto del responsable y establezca los elementos enumerados en el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 o en el artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725. Dicho contrato o acto deberá recogerse por escrito; se puede hacer en formato electrónico. |
|
(5) |
De conformidad con el artículo 28, apartado 6, del Reglamento (UE) 2016/679 y el artículo 29, apartado 6, del Reglamento (UE) 2018/1725, el responsable y el encargado pueden optar entre, bien negociar un contrato individual que contenga los elementos obligatorios establecidos en el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 o en el artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725, respectivamente, bien utilizar, total o parcialmente, las cláusulas contractuales tipo fijadas por la Comisión con arreglo al artículo 28, apartado 7, del Reglamento (UE) 2016/679 y al artículo 29, apartado 7, del Reglamento (UE) 2018/1725. |
|
(6) |
El responsable y el encargado del tratamiento deben tener discrecionalidad para incluir en un contrato más amplio las cláusulas contractuales tipo establecidas en la presente Decisión, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, a las cláusulas contractuales tipo ni perjudiquen los derechos o libertades fundamentales de los interesados. Las obligaciones contractuales que tengan el responsable o el encargado de garantizar el respeto de los privilegios e inmunidades que sean de aplicación en nada se oponen a la utilización de las cláusulas contractuales tipo. |
|
(7) |
Las cláusulas contractuales tipo deben disponer reglas tanto sustantivas como procedimentales. Además, de conformidad con el artículo 28, apartado 3, del Reglamento (UE) 2016/679 y el artículo 29, apartado 3, del Reglamento (UE) 2018/1725, las cláusulas contractuales tipo deben exigir al responsable y al encargado que establezcan el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. |
|
(8) |
En virtud del artículo 28, apartado 3, del Reglamento (UE) 2016/679 y del artículo 29, apartado 3, del Reglamento (UE) 2018/1725, el encargado debe informar inmediatamente al responsable si, en su opinión, una instrucción del responsable infringe el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros. |
|
(9) |
Cuando un encargado recurra a otro encargado para llevar a cabo actividades específicas, deben aplicarse los requisitos específicos contemplados en el artículo 28, apartados 2 y 4, del Reglamento (UE) 2016/679 o en el artículo 29, apartados 2 y 4, del Reglamento (UE) 2018/1725. En concreto, se requiere una autorización previa general o específica por escrito. Con independencia de que la autorización previa sea general o específica, el encargado primero debe mantener actualizada la lista con el resto de encargados. |
|
(10) |
Para cumplir los requisitos del artículo 46, apartado 1, del Reglamento (UE) 2016/679, la Comisión adoptó cláusulas contractuales tipo con arreglo al artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679. Estas cláusulas también cumplen los requisitos del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 en cuanto a las transferencias de datos que realicen responsables sujetos al Reglamento (UE) 2016/679 a encargados que se encuentren fuera del ámbito de aplicación territorial de dicho Reglamento o las que realicen encargados sujetos al Reglamento (UE) 2016/679 a subencargados que se encuentren fuera del ámbito de aplicación territorial de dicho Reglamento. Estas cláusulas contractuales tipo no pueden utilizarse como cláusulas contractuales tipo a efectos del capítulo V del Reglamento (UE) 2016/679. |
|
(11) |
Los terceros deben poder convertirse en parte en las cláusulas contractuales tipo a lo largo del período de vigencia del contrato. |
|
(12) |
El funcionamiento de las cláusulas contractuales tipo debe evaluarse como subparte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679. |
|
(13) |
El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos fueron consultados de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725 y emitieron un dictamen conjunto el 14 de enero de 2021 (3), que se ha tenido en cuenta en la elaboración de la presente Decisión. |
|
(14) |
Las medidas previstas en la presente Decisión se ajustan al dictamen del comité creado en virtud del artículo 93 del Reglamento (UE) 2016/679 y del artículo 96, apartado 2, del Reglamento (UE) 2018/1725.] |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Las cláusulas contractuales tipo que figuran en el anexo cumplen los requisitos aplicables a los contratos entre los responsables y los encargados del tratamiento contemplados en el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 y en el artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725.
Artículo 2
Las cláusulas contractuales tipo que figuran en el anexo podrán utilizarse en los contratos entre un responsable y un encargado que trate datos personales por cuenta del responsable.
Artículo 3
La Comisión evaluará la aplicación en la práctica de las cláusulas contractuales tipo que figuran en el anexo basándose en toda la información de que disponga como parte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679.
Artículo 4
La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Hecho en Bruselas, el 4 de junio de 2021.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 119 de 4.5.2016, p. 1.
(2) DO L 295 de 21.11.2018, p. 39.
(3) Dictamen Conjunto 1/2021 del CEPD-SEPD, sobre la Decisión de Ejecución de la Comisión Europea relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento para las cuestiones a que se refieren el artículo 28, apartado 7, del Reglamento (UE) 2016/679 y el artículo29, apartado 7, del Reglamento (UE) 2018/1725.
ANEXO
Cláusulas contractuales tipo
SECCIÓN I
Cláusula 1
Finalidad y ámbito de aplicación
|
a) |
La finalidad de las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas») es garantizar que se cumpla [elíjase la opción pertinente: OPCIÓN 1: el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)] / [OPCIÓN 2: el artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE]. |
|
b) |
Los responsables y encargados del tratamiento enumerados en el anexo I han dado su consentimiento a vincularse por el presente pliego de cláusulas a fin de garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 y/o del artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725. |
|
c) |
El presente pliego de cláusulas se aplica al tratamiento de datos personales especificado en el anexo II. |
|
d) |
Los anexos I a IV forman parte del pliego. |
|
e) |
El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el responsable en virtud del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725. |
|
f) |
El presente pliego de cláusulas no garantiza por sí mismo el cumplimiento de las obligaciones relativas a las transferencias internacionales contempladas en el capítulo V del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725. |
Cláusula 2
Invariabilidad del pliego de cláusulas
|
a) |
Las partes se comprometen a no modificar el pliego de cláusulas, excepto para añadir o actualizar información en los anexos. |
|
b) |
Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, el pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados. |
Cláusula 3
Interpretación
|
a) |
Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679 o en el Reglamento (UE) 2018/1725, se entiende que tienen el mismo significado que en el Reglamento correspondiente. |
|
b) |
El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725. |
|
c) |
No se podrán realizar interpretaciones del presente pliego de cláusulas que entren en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725 y/o que perjudiquen los derechos o libertades fundamentales de los interesados. |
Cláusula 4
Jerarquía
En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.
Cláusula 5 (opcional)
Cláusula de incorporación
|
a) |
Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como responsable o como encargado, cumplimentando los anexos y firmando el anexo I. |
|
b) |
Una vez se hayan cumplimentado y firmado los anexos a que se refiere la letra a), la entidad que se adhiera será tratada como parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un responsable o encargado, según la categoría en la que se haya inscrito en el anexo I. |
|
c) |
La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión. |
SECCIÓN II
OBLIGACIONES DE LAS PARTES
Cláusula 6
Descripción del tratamiento o tratamientos
En el anexo II se especifican los pormenores de las operaciones de tratamiento y, en particular, las categorías de datos personales y los fines para los que se tratan los datos personales por cuenta del responsable.
Cláusula 7
Obligaciones de las partes
7.1. Instrucciones
|
a) |
El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado. En tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. El responsable también podrá dar instrucciones ulteriores en cualquier momento del período de tratamiento de los datos personales. Dichas instrucciones deberán estar siempre documentadas. |
|
b) |
El encargado informará inmediatamente al responsable si las instrucciones dadas por el responsable infringen, a juicio del encargado, el Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 o las disposiciones aplicables del Derecho de la Unión o de los Estados miembros en materia de protección de datos. |
7.2. Limitación de la finalidad
El encargado tratará los datos personales únicamente para los fines específicos del tratamiento indicados en el anexo II, salvo cuando siga instrucciones adicionales del responsable.
7.3. Duración del tratamiento de datos personales
El tratamiento por parte del encargado solo se realizará durante el período especificado en el anexo II.
7.4. Seguridad del tratamiento
|
a) |
El encargado aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo III para garantizar la seguridad de los datos personales. Una de estas medidas podrá consistir en la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos («violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. |
|
b) |
El encargado solo concederá acceso a los datos personales tratados a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. El encargado garantizará que las personas autorizadas para tratar los datos personales recibidos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. |
7.5. Datos sensibles
Si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales («datos sensibles»), el encargado aplicará restricciones específicas y/o garantías adicionales.
7.6. Documentación y cumplimiento
|
a) |
Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. |
|
b) |
El encargado resolverá con presteza y de forma adecuada las consultas del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas. |
|
c) |
El encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y que deriven directamente del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725. A instancia del responsable, el encargado permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el responsable podrá tener en cuenta las certificaciones pertinentes que obren en poder del encargado. |
|
d) |
El responsable podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías también podrán consistir en inspecciones de los locales o instalaciones físicas del encargado y, cuando proceda, realizarse con un preaviso razonable. |
|
e) |
Las partes pondrán a disposición de las autoridades de control competentes, a instancia de estas, la información a que se refiere la presente cláusula y, en particular, los resultados de las auditorías. |
7.7. Recurso a subencargados
|
a) |
OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA: El encargado solo podrá subcontratar a un subencargado las operaciones de tratamiento que realice por cuenta del responsable en virtud del presente pliego de cláusulas con la autorización previa específica por escrito del responsable. El encargado presentará la solicitud de autorización específica al menos [ESPECIFICAR PERIODO DE TIEMPO] antes de la contratación del subencargado de que se trate, junto con la información necesaria para que el responsable pueda resolver la solicitud. La lista de subencargados autorizados por el responsable figura en el anexo IV. Las partes mantendrán actualizado el anexo IV. OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO: El encargado cuenta con una autorización general del responsable para contratar a subencargados que figuren en una lista acordada. El encargado informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [ESPECIFICAR PERIODO DE TIEMPO] de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El encargado del tratamiento proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción. |
|
b) |
Cuando el encargado contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable), lo hará por medio de un contrato que imponga al subencargado, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado en virtud del presente pliego de cláusulas. El encargado se asegurará de que el subencargado cumpla las obligaciones a las que esté sujeto en virtud del presente pliego de cláusulas y del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725. |
|
c) |
El encargado proporcionará al responsable, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el encargado podrá expurgar el texto del contrato antes de compartir la copia. |
|
d) |
El encargado seguirá siendo plenamente responsable ante el responsable del cumplimiento de las obligaciones que imponga al subencargado su contrato con el encargado. El encargado notificará al responsable los incumplimientos por parte del subencargado de las obligaciones que le atribuya dicho contrato. |
|
e) |
El encargado pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el encargado desaparezca de facto, cese de existir jurídicamente o sea insolvente, el responsable tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales. |
7.8. Transferencias internacionales
|
a) |
Las transferencias de datos a un tercer país o a una organización internacional por parte del encargado solo podrán realizarse siguiendo instrucciones documentadas del responsable o en virtud de una exigencia expresa del Derecho de la Unión o del Estado miembro al que esté sujeto el encargado; se llevarán a cabo de conformidad con el capítulo V del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725. |
|
b) |
El responsable se aviene a que, cuando el encargado recurra a un subencargado de conformidad con la cláusula 7.7 para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable) y dichas actividades conlleven una transferencia de datos personales en el sentido del capítulo V del Reglamento (UE) 2016/679, el encargado y el subencargado puedan garantizar el cumplimiento del capítulo V del Reglamento (UE) 2016/679 utilizando cláusulas contractuales tipo adoptadas por la Comisión, con arreglo al artículo 46, apartado 2, del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para la utilización de dichas cláusulas contractuales tipo. |
Cláusula 8
Ayuda al responsable del tratamiento
|
a) |
El encargado notificará con presteza al responsable las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el responsable le haya autorizado a hacerlo. |
|
b) |
El encargado ayudará al responsable a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos de los interesados teniendo en cuenta la naturaleza del tratamiento. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el encargado cumplirá las instrucciones del responsable. |
|
c) |
Además de la obligación del encargado de ayudar al responsable en virtud de la cláusula 8, letra b), el encargado también ayudará al responsable a garantizar el cumplimiento de las obligaciones siguientes teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado:
|
|
d) |
Las partes establecerán en el anexo III medidas técnicas y organizativas apropiadas que obliguen al encargado a ayudar al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida. |
Cláusula 9
Notificación de violaciones de la seguridad de los datos personales
En caso de violación de la seguridad de los datos personales, el encargado colaborará con el responsable y le ayudará a cumplir las obligaciones que le atribuyen los artículos 33 y 34 del Reglamento (UE) 2016/679 o los artículos 34 y 35 del Reglamento (UE) 2018/1725, en su caso, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el encargado.
9.1. Violación de la seguridad de datos personales tratados por el responsable
En caso de violación de la seguridad de los datos personales en relación con los datos tratados por el responsable, el encargado ayudará al responsable en lo siguiente.
|
a) |
Notificar la violación de la seguridad de los datos personales a las autoridades de control competentees sin dilación indebida una vez tenga constancia de ella, si procede (a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas). |
|
b) |
Recabar la información siguiente, que, de conformidad con [OPCIÓN 1] el artículo 33, apartado 3, del Reglamento (UE) 2016/679 / [OPCIÓN 2] el artículo 34, apartado 3, del Reglamento (UE) 2018/1725, deberá figurar en la notificación del responsable, que debe incluir como mínimo:
|
Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
|
c) |
Cumplir, con arreglo al [OPCIÓN 1] artículo 34 del Reglamento (UE) 2016/679 / [OPCIÓN 2] artículo 35 del Reglamento (UE) 2018/1725, la obligación de comunicar sin dilación indebida al interesado la violación de la seguridad de los datos personales cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas. |
9.2. Violación de la seguridad de datos personales tratados por el encargado
En caso de violación de la seguridad de datos personales tratados por el encargado, este lo notificará al responsable sin dilación indebida una vez que el encargado tenga constancia de ella. Dicha notificación deberá incluir como mínimo:
|
a) |
una descripción de la naturaleza de la violación de la seguridad (inclusive, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados); |
|
b) |
los datos de un punto de contacto en el que pueda obtenerse más información sobre la violación de la seguridad de los datos personales; |
|
c) |
sus consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos. |
Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
Las partes establecerán en el anexo III los demás elementos que deberá aportar el encargado cuando ayude al responsable a cumplir las obligaciones que le atribuyen [OPCIÓN 1] los artículos 33 y 34 del Reglamento (UE) 2016/679 / [OPCIÓN 2] los artículos 34 y 35 del Reglamento (UE) 2018/1725.
SECCIÓN III
DISPOSICIONES FINALES
Cláusula 10
Incumplimiento de las cláusulas y resolución del contrato
|
a) |
Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725, en caso de que el encargado del tratamiento incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el responsable podrá ordenar al encargado que suspenda el tratamiento de datos personales hasta que este vuelva a dar cumplimiento al presente pliego de cláusulas, o resolver el contrato. El encargado informará con presteza al responsable en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo. |
|
b) |
El responsable estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
|
|
c) |
El encargado estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando, tras haber informado al responsable de que sus instrucciones infringen los requisitos jurídicos exigidos por la cláusula 7.1, letra b), el responsable insiste en que se sigan dichas instrucciones. |
|
d) |
Tras la resolución del contrato, el encargado suprimirá, a petición del responsable, todos los datos personales tratados por cuenta del responsable y acreditará al responsable que lo ha hecho, o devolverá todos los datos personales al responsable y suprimirá las copias existentes, a menos que el Derecho de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que se destruyan o devuelvan los datos, el encargado seguirá garantizando el cumplimiento con el presente pliego de cláusulas. |
ANEXO I
Lista de partes
Responsable(s): [Identidad y datos de contacto del responsable o responsables del tratamiento y, en su caso, del delegado de protección de datos]
|
1. |
Nombre: … |
|
|
Dirección: … |
|
|
Nombre, cargo y datos de contacto de la persona de contacto: … |
|
|
Firma y fecha de adhesión: … |
|
2. |
|
…
Encargado(s): [Identidad y datos de contacto del encargado o encargados del tratamiento y, en su caso, del delegado de protección de datos]
|
1. |
Nombre: … |
|
|
Dirección: … |
|
|
Nombre, cargo y datos de contacto de la persona de contacto: … |
|
|
Firma y fecha de adhesión: … |
|
2. |
|
…
ANEXO II
Descripción del tratamiento
Categorías de interesados cuyos datos personales se tratan
…
Categorías de datos personales tratados
…
Datos sensibles tratados (si procede) y restricciones o garantías aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya hecho un curso especializado), un registro del acceso a los datos, restricciones a transferencias ulteriores o medidas de seguridad adicionales.
…
Naturaleza del tratamiento
…
Finalidad(es) del tratamiento de los datos personales por cuenta del responsable del tratamiento
…
Duración del tratamiento
…
…
En caso de tratamiento por parte de (sub)encargados, especifíquese también el objeto, la naturaleza y la duración del tratamiento
ANEXO III
Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos
NOTA ACLARATORIA:
Las medidas técnicas y organizativas deben describirse de manera concreta y no de manera genérica.
Descripción de las medidas de seguridad técnicas y organizativas aplicadas por los encargados del tratamiento (inclusive las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. Ejemplos de medidas posibles:
|
|
Medidas de seudonimización y cifrado de los datos personales |
|
|
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento |
|
|
Medidas para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico |
|
|
Procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento |
|
|
Medidas para la identificación y autorización del usuario |
|
|
Medidas para la protección de los datos durante la transmisión |
|
|
Medidas para la protección de los datos durante el almacenamiento |
|
|
Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales |
|
|
Medidas para garantizar el registro de incidentes |
|
|
Medidas para garantizar la configuración del sistema, en especial la configuración por defecto |
|
|
Medidas de gobernanza y gestión de la informática y la seguridad informática internas |
|
|
Medidas para la certificación/garantía de procesos y productos |
|
|
Medidas para garantizar la minimización de datos |
|
|
Medidas para garantizar la calidad de los datos |
|
|
Medidas para garantizar una retención limitada de los datos |
|
|
Medidas para garantizar la responsabilidad proactiva |
|
|
Medidas para permitir la portabilidad de los datos y garantizar la supresión |
En el caso de las transferencias a (sub)encargados, descríbanse también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)encargado para poder prestar ayudar al responsable.
Descripción de las medidas técnicas y organizativas específicas que deberá adoptar el encargado para poder prestar ayuda al responsable.
ANEXO IV
Lista de subencargados del tratamiento
NOTA ACLARATORIA:
Debe cumplimentarse este anexo cuando sea necesaria la autorización específica de uno o más subencargados [cláusula 7.7, letra a), opción 1].
El responsable ha autorizado que se recurra a los subencargados siguientes:
|
1. |
Nombre: … |
|
|
Dirección: … |
|
|
Nombre, cargo y datos de contacto de la persona de contacto: … |
|
|
Descripción del tratamiento (incluida una delimitación bien definida de las responsabilidades si se autoriza a varios subencargados): … |
|
2. |
… |
|
7.6.2021 |
ES |
Diario Oficial de la Unión Europea |
L 199/31 |
DECISIÓN DE EJECUCIÓN (UE) 2021/914 DE LA COMISIÓN
de 4 de junio de 2021
relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (1), y en particular su artículo 28, apartado 7, y su artículo 46, apartado 2, letra c),
Considerando lo siguiente:
|
(1) |
Los avances tecnológicos están facilitando los flujos transfronterizos de datos necesarios para la expansión de la cooperación y el comercio internacionales. Al mismo tiempo, es necesario garantizar que el nivel de protección de las personas físicas garantizado por el Reglamento (UE) 2016/679 no se vea menoscabado al transferir datos personales a terceros países, especialmente en caso de transferencias ulteriores (2). Las disposiciones sobre transferencias de datos del capítulo V del Reglamento (UE) 2016/679 tienen como finalidad garantizar la continuidad de ese elevado nivel de protección cuando se produzca una transferencia de datos personales a un tercer país (3). |
|
(2) |
En virtud del artículo 46, apartado 1, del Reglamento (UE) 2016/679, a falta de una decisión de adecuación de la Comisión con arreglo al artículo 45, apartado 3, el responsable o el encargado solo puede transferir datos personales a un tercer país si ha ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones judiciales eficaces. Dichas garantías pueden aportarse por medio de cláusulas tipo de protección de datos adoptadas por la Comisión de conformidad con el artículo 46, apartado 2, letra c). |
|
(3) |
La función de las cláusulas contractuales tipo se limita a asegurar que haya garantías adecuadas de protección de datos en las transferencias internacionales de datos. Por consiguiente, el responsable o el encargado que transfiera los datos personales a un tercer país («exportador de datos») y el responsable o encargado que reciba los datos personales («importador de datos») tienen discrecionalidad para incluir en un contrato más amplio dichas cláusulas contractuales tipo, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo ni perjudiquen los derechos o libertades fundamentales de los interesados. Se alienta a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas contractuales tipo (4). La utilización de las cláusulas contractuales tipo debe entenderse sin perjuicio de las obligaciones contractuales que tengan el exportador y/o el importador de datos de garantizar el respeto de los privilegios e inmunidades que sean de aplicación. |
|
(4) |
Además de utilizar cláusulas contractuales tipo para ofrecer garantías adecuadas en las transferencias de conformidad con el artículo 46, apartado 1, del Reglamento (UE) 2016/679, el exportador de datos tiene que cumplir las obligaciones generales que le incumben como responsable o encargado en virtud del Reglamento (UE) 2016/679. Entre estas responsabilidades figuran la obligación del responsable de comunicar a los interesados la intención de transferir sus datos personales a un tercer país de conformidad con el artículo 13, apartado 1, letra f), y el artículo 14, apartado 1, letra f), del Reglamento (UE) 2016/679. En el caso de las transferencias a que se refiere el artículo 46 del Reglamento (UE) 2016/679, se incluye una referencia a las garantías adecuadas, así como a los medios para obtener una copia de las mismas o información cuando se haya proporcionado. |
|
(5) |
La Decisión 2001/497/CE de la Comisión (5) y la Decisión 2010/87/UE de la Comisión (6) contienen cláusulas contractuales tipo para facilitar la transferencia de datos personales por parte de un responsable establecido en la Unión a otro responsable o encargado establecido en un tercer país que no ofreciese un nivel de protección adecuado. Dichas Decisiones se basaron en la Directiva 95/46/CE del Parlamento Europeo y del Consejo (7). |
|
(6) |
De conformidad con el artículo 46, apartado 5, del Reglamento (UE) 2016/679, la Decisión 2001/497/CE y la Decisión 2010/87/UE, permanecen en vigor hasta que sean modificadas, sustituidas o derogadas, en caso necesario, por una decisión de la Comisión adoptada de conformidad con el artículo 46, apartado 2, de dicho Reglamento. Las cláusulas contractuales tipo de las Decisiones mencionadas necesitaban una puesta al día que las armonizase con los nuevos requisitos del Reglamento (UE) 2016/679. Por otra parte, desde la adopción de estas Decisiones, se han producido avances de calado en la economía digital: uso generalizado de operaciones de tratamiento nuevas y más complejas en las que a menudo intervienen múltiples importadores y exportadores de datos, cadenas de tratamiento largas y complejas, así como relaciones comerciales cambiantes. Para reflejar mejor estas realidades es preciso una modernización de las cláusulas contractuales tipo, que abarque situaciones adicionales de tratamiento y transferencia y adopte un planteamiento más flexible y, en particular, en lo que se refiere al número de partes que pueden adherirse al contrato. |
|
(7) |
Las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión pueden utilizarlas tanto el responsable como el encargado a fin de ofrecer garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679 en las transferencias de datos personales a un encargado o un responsable establecido en un tercer país, sin perjuicio de la interpretación del concepto de transferencia internacional recogida en el Reglamento (UE) 2016/679. Las cláusulas contractuales tipo pueden utilizarse respecto de tales transferencias solo en la medida en que el tratamiento por parte del importador no entre en el ámbito de aplicación del Reglamento (UE) 2016/679. En este supuesto también se incluye la transferencia de datos personales por parte de un responsable o encargado no establecido en la Unión, en la medida en que el tratamiento esté sujeto al Reglamento (UE) 2016/679 con arreglo a su artículo 3, apartado 2, porque se refiera a la oferta de bienes o servicios a interesados en la Unión o al control de su comportamiento en la medida en que se desarrolle dentro de la Unión. |
|
(8) |
Dada la armonización general del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725 (8), las cláusulas contractuales tipo también deben poder utilizarse respecto del contrato contemplado en el artículo 29, apartado 4, del Reglamento (UE) 2018/1725 para la transferencia de datos personales a un subencargado en un tercer país por parte de un encargado que no sea una institución u organismo de la Unión, pero que esté vinculado por el Reglamento (UE) 2016/679 y que trate datos personales por cuenta de una institución u organismo de la Unión de conformidad con el artículo 29 del Reglamento (UE) 2018/1725. Cuando el contrato reproduzca las mismas obligaciones en materia de protección de datos que las establecidas en el contrato u otro acto jurídico entre el responsable y el encargado de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725 y, en particular, ofrezca garantías suficientes en relación con las medidas técnicas y organizativas para asegurar que el tratamiento cumpla los requisitos de dicho Reglamento, se considerará que garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado reproduzcan las cláusulas contractuales tipo de la Decisión de Ejecución de la Comisión en las cláusulas contractuales tipo entre responsables y encargados en los supuestos contemplados en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (9). |
|
(9) |
Si el tratamiento implica transferencias de datos por parte de responsables sujetos al Reglamento (UE) 2016/679 a encargados fuera de su ámbito territorial de aplicación o por parte de encargados sujetos al Reglamento (UE) 2016/679 a subencargados fuera de su ámbito territorial de aplicación, también se considerará que las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión permiten cumplir los requisitos del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679. |
|
(10) |
Las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión combinan cláusulas generales con un enfoque modular para tener en cuenta los distintos supuestos de transferencia y la complejidad de las cadenas de tratamiento modernas. Además de las cláusulas generales, los responsables y encargados deben seleccionar el módulo aplicable a su situación, para adaptar las obligaciones derivadas de las cláusulas contractuales tipo a su función y sus responsabilidades en relación con el tratamiento de datos en cuestión. Debe ser posible que más de dos partes se adhieran a las cláusulas contractuales tipo. Por otra parte, debe permitirse que otros responsables y encargados se adhieran a las cláusulas contractuales tipo como exportadores o importadores de datos a lo largo del período de vigencia del contrato del que forman parte. |
|
(11) |
A fin de ofrecer garantías adecuadas, las cláusulas contractuales tipo deben asegurar que los datos personales transferidos con arreglo a ellas gocen de un nivel de protección equivalente en lo esencial al garantizado en la Unión (10). Con el objetivo de garantizar la transparencia del tratamiento, los interesados deben recibir una copia de las cláusulas contractuales tipo y deben ser informados, en particular, de las categorías de datos personales tratados, del derecho a recibir una copia de las cláusulas contractuales tipo y de cualquier transferencia ulterior. Las transferencias ulteriores por parte del importador de datos a un tercero en otro tercer país solo deben permitirse si dicho tercero se adhiere a las cláusulas contractuales tipo, si la continuidad de la protección está garantizada de otro modo o en situaciones específicas, como, por ejemplo, si media el consentimiento explícito y con conocimiento de causa del interesado. |
|
(12) |
Con determinadas excepciones y, en particular, en cuanto a determinadas obligaciones que se refieran exclusivamente a la relación entre el exportador y el importador de datos, los interesados deben poder invocar y, en su caso, hacer cumplir las cláusulas contractuales tipo como terceros beneficiarios. Por lo tanto, si bien debe permitirse a las partes elegir el Derecho de uno de los Estados miembros para que rija las cláusulas contractuales tipo, este Derecho debe admitir la existencia de derechos de los terceros beneficiarios. A fin de facilitar el derecho a reparación en casos particulares, las cláusulas contractuales tipo deben exigir al importador de datos que comunique a los interesados los datos de un punto de contacto y que tramite con presteza cualquier reclamación o solicitud. En caso de controversia entre el importador de datos y un interesado que haga valer sus derechos de tercero beneficiario, el interesado debe poder presentar una reclamación ante la autoridad de control competente o ejercitar una acción judicial ante un órgano jurisdiccional competente de la UE. |
|
(13) |
Con el objetivo de garantizar la eficacia de la ejecución, el importador de datos debe estar obligado a someterse a la competencia de dicha autoridad o dicho órgano jurisdiccional y a comprometerse a acatar la resolución vinculante que se adopte con arreglo al Derecho aplicable del Estado miembro. En particular, el importador de datos debe comprometerse a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Además, el importador de datos debe tener la opción de brindar a los interesados la posibilidad de acudir a un organismo independiente de resolución de litigios, sin coste alguno. De conformidad con el artículo 80, apartado 1, del Reglamento (UE) 2016/679, debe permitirse que los interesados sean representados por asociaciones u otros organismos en litigios contra el importador de datos si así lo desean. |
|
(14) |
Las cláusulas contractuales tipo deben disponer reglas de responsabilidad entre las partes y con respecto a los interesados, así como reglas de indemnización entre las partes. Cuando el interesado sufra daños materiales o inmateriales como consecuencia de una vulneración de los derechos de tercero beneficiario contemplados en las cláusulas contractuales tipo, debe tener derecho a ser indemnizado. Este derecho debe entenderse sin perjuicio de cualquier responsabilidad que pueda derivarse del Reglamento (UE) 2016/679. |
|
(15) |
En caso de transferencia a un importador de datos que actúe como encargado o subencargado, deben aplicarse requisitos específicos de conformidad con el artículo 28, apartado 3, del Reglamento (UE) 2016/679. Las cláusulas contractuales tipo deben exigir al importador de datos que proporcione toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en ellas y permitir y contribuir a las auditorías de sus actividades de tratamiento por parte del exportador de datos. Con respecto a la contratación de subencargados por parte del importador de datos, de conformidad con el artículo 28, apartados 2 y 4, del Reglamento (UE) 2016/679, las cláusulas contractuales tipo deben establecer, en particular, el procedimiento de autorización general o específica por parte del exportador de datos, así como exigir que se celebre un contrato por escrito con el subencargado por el que se garantice el mismo nivel de protección que el conferido por las cláusulas. |
|
(16) |
Conviene disponer varias garantías en las cláusulas contractuales tipo que abarquen la situación específica de una transferencia de datos personales por parte de un encargado en la Unión a su responsable en un tercer país y que reflejen las limitadas obligaciones autónomas de los encargados que contempla el Reglamento (UE) 2016/679. En particular, las cláusulas contractuales tipo deben exigir al encargado que informe al responsable si no puede seguir instrucciones, especialmente instrucciones que infrinjan el Derecho de la Unión en materia de protección de datos, y que prohíba al responsable obrar de manera que impida al encargado cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679. También deben exigir a las partes que se presten ayuda recíproca para responder a las consultas y solicitudes de los interesados en virtud del Derecho país aplicable al importador de datos o, respecto del tratamiento de datos en la Unión, en virtud del Reglamento (UE) 2016/679. Deben aplicarse requisitos adicionales para corregir el efecto que tenga el Derecho del tercer país de destino sobre el cumplimiento de las cláusulas por parte del responsable y, en particular, el modo de resolver las solicitudes vinculantes de comunicación de los datos personales transferidos presentadas por las autoridades públicas del tercer país cuando el encargado de la Unión combine los datos personales recibidos del responsable en el tercer país con los datos personales recopilados por el encargado en la Unión. En cambio, tales requisitos no están justificados cuando la subcontratación se refiere únicamente al tratamiento y la devolución de los datos personales recibidos del responsable y, en cualquier caso, siempre que esté y siga estando sujeta a la jurisdicción del tercer país de que se trate. |
|
(17) |
Las partes deben poder demostrar el cumplimiento de las cláusulas contractuales tipo. En particular, debe exigirse al importador de datos que conserve la documentación que corresponda para las actividades de tratamiento bajo su responsabilidad y que informe al exportador de datos con presteza en caso de que, por cualquier motivo, no pueda cumplir las cláusulas. A su vez, el exportador de datos debe suspender la transferencia y, en casos especialmente graves, estar facultado para resolver el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de cláusulas contractuales tipo, cuando el importador de datos infrinja o no pueda cumplir las cláusulas contractuales tipo. Deben aplicarse reglas específicas cuando la normativa doméstica afecte al cumplimiento de las cláusulas. Los datos personales que ya se hubieran transferido antes de la resolución del contrato y cualquier copia de los mismos deben, a elección del exportador de datos, devolverse al exportador de datos o destruirse en su totalidad. |
|
(18) |
Las cláusulas contractuales tipo deben disponer garantías específicas, especialmente en vista de la jurisprudencia reciente del Tribunal de Justicia (11), para corregir los efectos que pueda tener el Derecho del tercer país de destino sobre el cumplimiento de las cláusulas por parte del importador de datos y, en particular, el modo de resolver las solicitudes vinculantes de comunicación de los datos personales transferidos presentadas por las autoridades públicas del tercer país. |
|
(19) |
La transferencia y el tratamiento de datos personales en virtud de cláusulas contractuales tipo no deben producirse si el Derecho y las prácticas del tercer país de destino impiden que el importador de datos cumpla dichas cláusulas. A este respecto, no se considera que se opongan a las cláusulas contractuales tipo la normativa y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679. Las partes deben garantizar que, en el momento de someterse a las cláusulas contractuales tipo, no tienen motivos para creer que el Derecho y las prácticas aplicables al importador de datos no se ajustan a estos requisitos. |
|
(20) |
Las partes deben tener en cuenta, en particular, las circunstancias específicas de la transferencia (como el contenido y la duración del contrato, la naturaleza de los datos transferidos, el tipo de destinatario y la finalidad del tratamiento), el Derecho y las prácticas del tercer país de destino que sean de aplicación dadas las circunstancias de la transferencia y las garantías establecidas para complementar las garantías contempladas en las cláusulas contractuales tipo (como medidas contractuales, técnicas y organizativas pertinentes que sean de aplicación a la transferencia y al tratamiento de los datos personales en el país de destino). Por lo que se refiere al efecto del Derecho y prácticas mencionados sobre el cumplimiento de las cláusulas contractuales tipo, pueden valorarse diferentes elementos en una evaluación global; por ejemplo, información fiable sobre la aplicación del Derecho en la práctica (jurisprudencia, informes de organismos de supervisión independientes, etc.), la existencia o ausencia de solicitudes en el mismo sector y, en condiciones estrictas, la experiencia práctica documentada del exportador y/o el importador de datos. |
|
(21) |
El importador de datos debe informar al exportador de datos si, tras haberse sometido a las cláusulas, tiene motivos para creer que no podrá cumplir las cláusulas contractuales tipo. Si el exportador de datos recibe tal comunicación o descubre de otro modo que el importador de datos ya no puede cumplir las cláusulas contractuales tipo, debe determinar las medidas adecuadas para hacer frente a la situación, consultando, en su caso, a la autoridad de control competente. Dichas medidas pueden consistir en medidas complementarias adoptadas por el exportador y/o el importador de datos, como medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad. Debe exigirse al exportador de datos que suspenda la transferencia si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. |
|
(22) |
Cuando sea posible, el importador de datos debe informar al exportador de datos y al interesado si recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo a las cláusulas contractuales tipo presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino. De forma análoga, debe informarlos si tiene conocimiento de que las autoridades públicas han tenido acceso a dichos datos personales en virtud del Derecho del tercer país de destino. Si, a pesar de haber hecho todo lo posible, el importador de datos no puede informar al exportador de datos y/o al interesado de las solicitudes de comunicación específicas, debe proporcionar al exportador de datos la mayor cantidad posible de información pertinente sobre las solicitudes. Además, el importador de datos debe proporcionar al exportador de datos información agregada a intervalos regulares. También debe exigirse al importador de datos que documente cualquier solicitud de comunicación recibida y la respuesta dada y que ponga dicha información a disposición del exportador de datos, de la autoridad de control competente o de ambos, previa solicitud. Si, tras un control de la legalidad de dicha solicitud con arreglo al Derecho del país de destino, el importador de datos llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo al Derecho del tercer país de destino, debe impugnarla, agotando, en su caso, todas las vías de recurso. En cualquier caso, si el importador de datos ya no puede cumplir las cláusulas contractuales tipo, debe comunicarlo al exportador de datos, incluso cuando sea consecuencia de una solicitud de comunicación. |
|
(23) |
Dado que las necesidades de las partes interesadas, la tecnología y las operaciones de tratamiento pueden cambiar, la Comisión debe evaluar el funcionamiento de las cláusulas contractuales tipo a la luz de la experiencia adquirida como parte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679. |
|
(24) |
La Decisión 2001/497/CE y la Decisión 2010/87/UE deben ser derogadas a los tres meses de la entrada en vigor de la presente Decisión. Durante dicho período, los exportadores e importadores de datos deben poder, a efectos del artículo 46, apartado 1, del Reglamento (UE) 2016/679, seguir utilizando las cláusulas contractuales tipo establecidas en las Decisiones 2001/497/CE y 2010/87/UE. Durante un período adicional de quince meses, los importadores y exportadores de datos deben poder, a efectos del artículo 46, apartado 1, del Reglamento (UE) 2016/679, seguir utilizando las cláusulas contractuales tipo establecidas en las Decisiones 2001/497/CE y 2010/87/UE para la ejecución de contratos celebrados entre ellos antes de la fecha de derogación de las Decisiones siempre que las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas y que las cláusulas garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679. En caso de modificaciones importantes del contrato, debe exigirse al exportador de datos que se sirva de un nuevo motivo para las transferencias de datos en virtud del contrato; en concreto, debe sustituir la cláusula contractual tipo existente por las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión. Lo mismo debe ser de aplicación cuando se subcontraten a (sub)encargados operaciones de tratamiento reguladas por el contrato. |
|
(25) |
El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos fueron consultados de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725 y emitieron un dictamen conjunto el 14 de enero de 2021 (12), que se ha tenido en cuenta en la elaboración de la presente Decisión. |
|
(26) |
Las medidas previstas en la presente Decisión se ajustan al dictamen del comité creado en virtud del artículo 93 del Reglamento (UE) 2016/679. |
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
1. Se considera que las cláusulas contractuales tipo establecidas en el anexo ofrecen garantías adecuadas en el sentido del artículo 46, apartado 1 y apartado 2, letra c), del Reglamento (UE) 2016/679 para la transferencia de datos personales por parte de un responsable o encargado del tratamiento sujeto a dicho Reglamento (exportador de datos) a un responsable o (sub)encargado cuyo tratamiento de datos no esté sujeto a dicho Reglamento (importador de datos).
2. Las cláusulas contractuales tipo también establecen los derechos y obligaciones de los responsables y encargados del tratamiento con respecto a las cuestiones a que se refiere el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos personales por parte de un responsable a un encargado, o de un encargado a un subencargado.
Artículo 2
Cuando las autoridades competentes de los Estados miembros ejercieren las potestades correctivas que contempla el artículo 58 del Reglamento (UE) 2016/679 respecto de un importador de datos que esté o haya estado sujeto en el tercer país de destino a normativa o prácticas que le impidan cumplir las cláusulas contractuales tipo que figuran en el anexo, y ello dé lugar a la suspensión o prohibición de las transferencias de datos a terceros países, el Estado miembro de que se trate informará sin demora a la Comisión, que transmitirá la información a los demás Estados miembros.
Artículo 3
La Comisión evaluará la aplicación en la práctica de las cláusulas contractuales tipo que figuran en el anexo basándose en toda la información de que disponga, como parte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679.
Artículo 4
1. La presente Decisión entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
2. Queda derogada la Decisión 2001/497/CE con efecto a partir del 27 de septiembre de 2021.
3. Queda derogada la Decisión 2010/87/UE con efecto a partir del 27 de septiembre de 2021.
4. Se considerará que los contratos celebrados antes del 27 de septiembre de 2021 con arreglo a la Decisión 2001/497/CE o la Decisión 2010/87/UE ofrecen garantías adecuadas en el sentido del artículo 46, apartado 1, del Reglamento (UE) 2016/679 hasta el 27 de diciembre de 2022 siempre que las operaciones de tratamiento que sean objeto del contrato permanezcan inalteradas y que las cláusulas contractuales tipo garanticen que la transferencia de datos personales esté sujeta a garantías adecuadas.
Hecho en Bruselas, el 4 de junio de 2021.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 119 de 4.5.2016, p. 1.
(2) Artículo 44 del Reglamento (UE) 2016/679.
(3) Véase la sentencia del Tribunal de Justicia de jueves, 16 de julio de 2020 en el asunto C-311/18, Data Protection Commissioner/Facebook Ireland Ltd y Maximillian Schrems («Schrems II»), ECLI:EU:C:2020:559, apartado 93.
(4) Considerando 109 del Reglamento (UE) 2016/679.
(5) Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE(DO L 181 de 4.7.2001, p. 19).
(6) Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo(DO L 39 de 12.2.2010, p. 5).
(7) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).
(8) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39); véase el considerando 5.
(9) C(2021) 3701.
(10) Schrems II, apartados 96 y 103. Véanse también los considerandos 108 y 114 del Reglamento (UE) 2016/679.
(11) Schrems II.
(12) Dictamen Conjunto 2/2021 del CEPD-SEPD, sobre la Decisión de Ejecución de la Comisión Europea relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países para los asuntos a que se refiere el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679.
ANEXO
CLÁUSULAS CONTRACTUALES TIPO
SECCIÓN I
Cláusula 1
Finalidad y ámbito de aplicación
|
a) |
La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país. |
|
b) |
Las partes:
han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»). |
|
c) |
El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo I.B. |
|
d) |
El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del pliego. |
Cláusula 2
Efecto e invariabilidad de las cláusulas
|
a) |
El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados. |
|
b) |
El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679. |
Cláusula 3
Terceros beneficiarios
|
a) |
Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.
|
|
b) |
Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados. |
Cláusula 4
Interpretación
|
a) |
Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento. |
|
b) |
El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679. |
|
c) |
El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679. |
Cláusula 5
Jerarquía
En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.
Cláusula 6
Descripción de la transferencia o transferencias
Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.
Cláusula 7 (opcional)
Cláusula de incorporación
|
a) |
Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el anexo I.A. |
|
b) |
Una vez haya cumplimentado el apéndice y firmado el anexo I.A, la entidad que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en el anexo I.A. |
|
c) |
La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión. |
SECCIÓN II: OBLIGACIONES DE LAS PARTES
Cláusula 8
Garantías en materia de protección de datos
El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.
MÓDULO UNO: transferencia de responsable a responsable
8.1. Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B. Solo podrá tratar los datos personales con otros fines:
|
i) |
cuando haya recabado el consentimiento previo del interesado; |
|
ii) |
cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; |
|
iii) |
cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física. |
8.2. Transparencia
|
a) |
A fin de que los interesados puedan ejercer de forma eficaz los derechos que les otorga la cláusula 10, el importador de datos les informará, directamente o a través del exportador de datos:
|
|
b) |
Lo dispuesto en la letra a) no será de aplicación cuando el interesado ya disponga de la información (por ejemplo, si el exportador de datos ya ha proporcionado dicha información) o cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos hará pública la información en la medida de lo posible. |
|
c) |
Previa solicitud, las partes pondrán gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, las partes podrán expurgar el texto del apéndice antes de compartir una copia, pero deberán aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. |
|
d) |
Lo dispuesto en las letras a) a c) se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos. |
8.3. Exactitud y minimización de datos
|
a) |
Cada parte se asegurará de que los datos personales sean exactos y, cuando proceda, estén actualizados. El importador de datos adoptará todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. |
|
b) |
Si una de las partes tiene conocimiento de que los datos personales que ha transferido o recibido son inexactos o han quedado obsoletos, informará de ello a la otra parte sin dilación indebida. |
|
c) |
El importador de datos se asegurará de que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento. |
8.4. Limitación del plazo de conservación
El importador de datos no conservará los datos personales más tiempo del necesario para los fines para los que se traten. Establecerá las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, como la supresión o anonimización (2) de los datos y de todas las copias de seguridad al finalizar el período de conservación.
8.5. Seguridad del tratamiento
|
a) |
El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. |
|
b) |
Las partes han pactado las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado. |
|
c) |
El importador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. |
|
d) |
En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los posibles efectos negativos. |
|
e) |
En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas, el importador de datos lo notificará sin dilación indebida tanto al exportador de datos como a la autoridad de control competente con arreglo a la cláusula 13. Dicha notificación contendrá i) una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), ii) las consecuencias probables, iii) las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad y iv) los datos de un punto de contacto en el que pueda obtenerse más información. En la medida en que el importador de datos no pueda proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin más dilaciones indebidas. |
|
f) |
En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo elevado para los derechos y libertades de las personas físicas, el importador de datos también notificará sin dilación indebida a los interesados la violación de la seguridad de los datos personales y su naturaleza —en caso necesario con la colaboración del exportador de datos— junto con la información a que se refiere la letra e), incisos ii) a iv), a menos que dicha notificación suponga un esfuerzo desproporcionado o que el importador de datos haya aplicado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas. En este último caso, el importador de datos realizará una comunicación pública o adoptará una medida semejante para informar al público de la violación de la seguridad de los datos personales. |
|
g) |
El importador de datos documentará todos los hechos pertinentes relacionados con la violación de la seguridad de los datos personales, como sus efectos y las medidas correctivas adoptadas, y llevará un registro de las mismas. |
8.6. Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas o infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o garantías adicionales adaptadas a la naturaleza específica de los datos y el riesgo de que se trate. Una de estas puede ser, por ejemplo, la reducción del personal autorizado a acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a la comunicación ulterior.
8.7. Transferencias ulteriores
El importador de datos no comunicará los datos personales a terceros situados fuera de la Unión Europea (3) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») a menos que el tercero esté vinculado por el presente pliego de cláusulas o consienta a someterse a este, con elección del módulo correspondiente. De no ser así, el importador de datos solo podrá efectuar una transferencia ulterior si:
|
i) |
esta va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior; |
|
ii) |
el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión; |
|
iii) |
el tercero suscribe un instrumento vinculante con el importador de datos que garantice el mismo nivel de protección de datos que el del presente pliego de cláusulas, y el importador de datos entrega una copia de estas garantías al exportador de datos; |
|
iv) |
si es necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; |
|
v) |
si es necesario para proteger intereses vitales del interesado o de otra persona física; o |
|
vi) |
de no concurrir las demás condiciones, el importador de datos ha recabado el consentimiento expreso del interesado para una transferencia ulterior en una situación específica, tras haberle informado de su finalidad, de la identidad del destinatario y de los posibles riesgos de dicha transferencia para el interesado debido a la falta de garantías adecuadas en materia de protección de datos. En este caso, el importador de datos informará al exportador de datos y, a petición de este, le remitirá una copia de la información proporcionada al interesado. |
La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.
8.8. Tratamiento bajo la autoridad del importador de datos
El importador de datos se asegurará de que las personas que actúen bajo su autoridad, especialmente el encargado, solo trate los datos siguiendo instrucciones del importador de datos.
8.9. Documentación y cumplimiento
|
a) |
Las partes deberán poder demostrar el cumplimiento de las obligaciones derivadas del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen bajo su responsabilidad. |
|
b) |
El importador de datos pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud. |
MÓDULO DOS: transferencia de responsable a encargado
8.1. Instrucciones
|
a) |
El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato. |
|
b) |
El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones. |
8.2. Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del exportador de datos.
8.3. Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el anexo II y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.
8.4. Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.
8.5. Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).
8.6. Seguridad del tratamiento
|
a) |
El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado. |
|
b) |
El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. |
|
c) |
En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida. |
|
d) |
El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos. |
8.7. Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.
8.8. Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (4) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:
|
i) |
la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior; |
|
ii) |
el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión; |
|
iii) |
si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o |
|
iv) |
si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física. |
La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.
8.9. Documentación y cumplimiento
|
a) |
El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas. |
|
b) |
Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos. |
|
c) |
El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos. |
|
d) |
El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable. |
|
e) |
Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías. |
MÓDULO TRES: transferencia de encargado a encargado
8.1. Instrucciones
|
a) |
El exportador de datos ha informado al importador de datos de que actúa como encargado del tratamiento siguiendo las instrucciones de su responsable o responsables, que el exportador de datos deberá poner a disposición del importador de datos antes del tratamiento. |
|
b) |
El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, comunicadas al importador por el exportador de datos, así como instrucciones documentadas adicionales del exportador de datos. Dichas instrucciones adicionales no podrán estar en conflicto con las instrucciones del responsable. El responsable o el exportador de datos podrán dar instrucciones documentadas adicionales sobre el tratamiento de datos durante todo el período de vigencia del contrato. |
|
c) |
El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones. Si el importador de datos no puede seguir las instrucciones del responsable, el exportador de datos lo notificará inmediatamente al responsable. |
|
d) |
El exportador de datos asegura que ha impuesto al importador de datos las obligaciones en materia de protección de datos establecidas en el contrato u otro acto jurídico con arreglo al Derecho de la Unión o del Estado miembro entre el responsable y el exportador de datos (5). |
8.2. Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del responsable, comunicadas al importador de datos por el exportador de datos, o del exportador de datos.
8.3. Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el exportador de datos podrá expurgar el texto del apéndice antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.
8.4. Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.
8.5. Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del responsable y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).
8.6. Seguridad del tratamiento
|
a) |
El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos o del responsable. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado. |
|
b) |
El importador de datos solo concederá acceso a los datos a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. |
|
c) |
En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también notificará sin dilación indebida al exportador de datos y, cuando proceda y sea viable, al responsable cuando tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida. |
|
d) |
El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación al responsable para que este luego lo notifique a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos. |
8.7. Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.
8.8. Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del responsable, tal y como las haya comunicado el exportador de datos al importador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (6) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:
|
i) |
la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior; |
|
ii) |
el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679; |
|
iii) |
si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o |
|
iv) |
si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física. |
La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.
8.9. Documentación y cumplimiento
|
a) |
El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos o del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas. |
|
b) |
Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del responsable. |
|
c) |
El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente pliego de cláusulas; el exportador de datos luego la proporcionará al responsable. |
|
d) |
El importador de datos permitirá y contribuirá a las auditorías que realice el exportador de datos sobre las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Lo mismo se aplicará cuando el exportador de datos solicite una auditoría siguiendo instrucciones del responsable. Al decidir si se realiza una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos. |
|
e) |
Cuando la auditoría se realice siguiendo instrucciones del responsable del tratamiento, el exportador de datos pondrá los resultados a disposición del responsable. |
|
f) |
El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable. |
|
g) |
Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías. |
MÓDULO CUATRO: transferencia de encargado a responsable
8.1. Instrucciones
|
a) |
El exportador de datos solo tratará los datos personales siguiendo instrucciones documentadas del importador de datos que actúe como su responsable. |
|
b) |
El exportador de datos informará inmediatamente al importador de datos si no puede seguir dichas instrucciones, especialmente si dichas instrucciones infringen el Reglamento (UE) 2016/679 u otro instrumento normativo del Derecho de la Unión o del Estado miembro en materia de protección de datos. |
|
c) |
El importador de datos no obrará de forma que pueda impedir al exportador de datos cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679 y, en particular, en el marco del subtratamiento o de la cooperación con las autoridades de control competentes. |
|
d) |
Una vez se hayan prestado los servicios de tratamiento, el exportador de datos suprimirá, a petición del importador de datos, todos los datos personales tratados por cuenta del importador de datos y acreditará al importador de datos que lo ha hecho, o devolverá al importador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. |
8.2. Seguridad del tratamiento
|
a) |
Las partes aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, especialmente durante la transferencia; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza de los datos personales (7), la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados, y considerarán, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. |
|
b) |
El exportador de datos ayudará al importador de datos a garantizar una seguridad adecuada de los datos de conformidad con la letra a). En caso de violación de la seguridad de los datos personales tratados por el exportador de datos en virtud del presente pliego de cláusulas, el exportador de datos lo notificará sin dilación indebida al importador de datos, una vez que tenga conocimiento de ello, y le ayudará a poner remedio a la violación de la seguridad. |
|
c) |
El exportador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. |
8.3. Documentación y cumplimiento
|
a) |
Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. |
|
b) |
El exportador de datos pondrá a disposición del importador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones que le atribuye el presente pliego de cláusulas y permitirá y contribuirá a las auditorías. |
Cláusula 9
Recurso a subencargados
MÓDULO DOS: transferencia de responsable a encargado
|
a) |
OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA: El importador de datos solo podrá subcontratar a un subencargado las actividades de tratamiento que realice por cuenta del exportador de datos en virtud del presente pliego de cláusulas con la autorización previa específica por escrito del exportador de datos. El importador de datos presentará la solicitud de autorización específica al menos [especificar período de tiempo] antes de la contratación del subencargado de que se trate, junto con la información necesaria para que el exportador de datos pueda resolver la solicitud. La lista de subencargados ya autorizados por el exportador de datos figura en el anexo III. Las partes mantendrán actualizado el anexo III. OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO: El importador de datos cuenta con una autorización general del exportador de datos para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [especificar período de tiempo] de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeción. |
|
b) |
Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios (8). Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas. |
|
c) |
El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia. |
|
d) |
El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato. |
|
e) |
El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales. |
MÓDULO TRES: transferencia de encargado a encargado
|
a) |
OPCIÓN 1: AUTORIZACIÓN PREVIA ESPECÍFICA: El importador de datos solo podrá subcontratar a un subencargado las actividades de tratamiento que realice por cuenta del exportador de datos en virtud del presente pliego de cláusulas con la autorización previa específica por escrito del responsable. El importador de datos presentará la solicitud de autorización específica al menos [especificar período de tiempo] antes de la contratación del subencargado de que se trate, junto con la información necesaria para que el responsable pueda resolver la solicitud. Informará de dicha subcontratación al exportador de datos. La lista de subencargados ya autorizados por el responsable figura en el anexo III. Las partes mantendrán actualizado el anexo III. OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO: El importador de datos cuenta con una autorización general del responsable para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [especificar período de tiempo] de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción. El importador de datos informará al exportador de datos de la contratación del subencargado o subencargados. |
|
b) |
Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del responsable), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios (9). Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas. |
|
c) |
El importador de datos proporcionará al exportador de datos o al responsable, a instancia del exportador de datos o el responsable, respectivamente, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia. |
|
d) |
El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato. |
|
e) |
El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales. |
Cláusula 10
Derechos del interesado
MÓDULO UNO: transferencia de responsable a responsable
|
a) |
El importador de datos, en su caso con la asistencia del exportador de datos, tramitará, sin dilación indebida y como tarde en un plazo de un mes desde la recepción de la consulta o solicitud, las consultas y solicitudes que reciba de interesados en relación con el tratamiento de sus datos personales y el ejercicio de los derechos que les otorga el presente pliego de cláusulas (10). El importador de datos adoptará medidas adecuadas para facilitar dichas consultas y solicitudes y el ejercicio de los derechos de los interesados. Toda la información que se proporcione a los interesados deberá ser inteligible y de fácil acceso, con un lenguaje claro y sencillo. |
|
b) |
En particular, el importador de datos deberá, a petición del interesado y de forma gratuita:
|
|
c) |
Cuando el importador de datos trate los datos personales con fines de mercadotecnia directa, dejará de tratarlos para tales fines si el interesado se opone a ello. |
|
d) |
El importador de datos no tomará una decisión, basándose únicamente en el tratamiento automatizado de los datos personales transferidos («decisión automatizada»), que produzca efectos jurídicos para el interesado o le afecte de forma igualmente significativa, salvo con el consentimiento expreso del interesado o si así lo autoriza el Derecho del país de destino, siempre que dicho Derecho disponga medidas adecuadas para garantizar los intereses legítimos y los derechos del interesado. En este caso, el importador de datos, con la colaboración del exportador de datos cuando sea necesario:
|
|
e) |
Cuando las solicitudes de un interesado sean excesivas, especialmente debido a su carácter repetitivo, el importador de datos podrá establecer una tasa razonable en función del coste administrativo que implique la concesión de la solicitud o negarse a actuar respecto de la solicitud. |
|
f) |
El importador de datos podrá denegar la solicitud de un interesado cuando ello esté permitido con arreglo al Derecho del país de destino y sea necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679. |
|
g) |
Si el importador de datos pretende denegar la solicitud de un interesado, le informará de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad de control competente o de ejercitar una acción judicial. |
MÓDULO DOS: transferencia de responsable a encargado
|
a) |
El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo. |
|
b) |
El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida. |
|
c) |
En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del exportador de datos. |
MÓDULO TRES: transferencia de encargado a encargado
|
a) |
El importador de datos notificará con presteza al exportador de datos y, en su caso, al responsable toda solicitud que reciba de un interesado, sin responder a dicha solicitud, a menos que haya sido autorizado a hacerlo por el responsable. |
|
b) |
El importador de datos ayudará al exportador de datos, cuando proceda con la colaboración del exportador de datos, a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725 atribuyen a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida. |
|
c) |
En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del responsable, comunicadas por el exportador de datos. |
MÓDULO CUATRO: transferencia de encargado a responsable
Las partes se prestarán ayuda recíproca para responder a las consultas y solicitudes de los interesados en virtud del Derecho doméstico aplicable al importador de datos o, respecto del tratamiento de datos por parte del exportador de datos en la Unión, en virtud del Reglamento (UE) 2016/679.
Cláusula 11
Reparación
|
a) |
El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados. [OPCIÓN: El importador de datos se aviene a que los interesados también puedan presentar una reclamación ante un organismo independiente de resolución de litigios (11) sin coste alguno para el interesado. Informará a los interesados, en la forma establecida en la letra a), de este mecanismo de reparación y de que no están obligados a recurrir a este ni a seguir una secuencia concreta de vías de reparación.] |
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
|
b) |
En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos. |
|
c) |
El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de:
|
|
d) |
Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679. |
|
e) |
El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate. |
|
f) |
El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable. |
Cláusula 12
Responsabilidad
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO CUATRO: transferencia de encargado a responsable
|
a) |
Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas. |
|
b) |
Cada parte será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que la parte ocasione al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Ello se entiende sin perjuicio de la responsabilidad que le atribuye el Reglamento (UE) 2016/679 al exportador de datos. |
|
c) |
Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente. |
|
d) |
Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra c), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio. |
|
e) |
El importador de datos no puede alegar la conducta de un encargado o subencargado del tratamiento para eludir su propia responsabilidad. |
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
|
a) |
Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas. |
|
b) |
El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. |
|
c) |
A pesar de lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación. |
|
d) |
Las partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra c), de los daños o perjuicios causados por el importador de datos (o su subencargado), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos. |
|
e) |
Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente. |
|
f) |
Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio. |
|
g) |
El importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad. |
Cláusula 13
Supervisión
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
|
a) |
[Cuando el exportador de datos esté establecido en un Estado miembro de la UE:] La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente. [Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679, de conformidad con el artículo 3, apartado 2, y haya nombrado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679:] La autoridad de control del Estado miembro en que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, indicada en el anexo I.C, actuará como autoridad de control competente. [Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de la Comisión, de conformidad con el artículo 3, apartado 2, y no haya nombrado a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679 de la Comisión:] La autoridad de control de uno de los Estado miembros en que estén situados los interesados cuyos datos personales se transfieran en virtud del presente pliego de cláusulas en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado, indicada en el anexo I.C, actuará como autoridad de control competente. |
|
b) |
El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias. |
SECCIÓN III: DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14
Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
MÓDULO CUATRO: transferencia de encargado a responsable (solo si el encargado de la UE combina los datos personales recibidos del responsable del tercer país con los datos personales recopilados por el encargado en la UE)
|
a) |
Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679. |
|
b) |
Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:
|
|
c) |
El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas. |
|
d) |
Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud. |
|
e) |
El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a). [Módulo tres: El exportador de datos notificará al responsable.] |
|
f) |
De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación [módulo tres:, si procede, tras consultar al responsable]. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone [módulo tres: el responsable o] la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e). |
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
MÓDULO CUATRO: transferencia de encargado a responsable (solo si el encargado de la UE combina los datos personales recibidos del responsable del tercer país con los datos personales recopilados por el encargado en la UE)
15.1. Notificación
|
a) |
El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:
[Módulo tres: El exportador de datos notificará al responsable.] |
|
b) |
Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos. |
|
c) |
En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.). [Módulo tres: El exportador de datos remitirá la información al responsable.] |
|
d) |
El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud. |
|
e) |
Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas. |
15.2. Control de la legalidad y minimización de datos
|
a) |
El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos. |
|
b) |
El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud. [Módulo tres: El exportador de datos pondrá la valoración a disposición del responsable.] |
|
c) |
El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud. |
SECCIÓN IV: DISPOSICIONES FINALES
Cláusula 16
Incumplimiento de las cláusulas y resolución del contrato
|
a) |
El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo. |
|
b) |
En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f). |
|
c) |
El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
En este supuesto, informará a la autoridad de supervisión competente [módulo tres: y al responsable] de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. |
|
d) |
[Módulos uno, dos y tres: Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos.] [Módulo cuatro: Los datos personales recopilados por el exportador de datos en la UE que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán destruirse en su totalidad inmediatamente, así como cualquier copia de estos.] El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. |
|
e) |
Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679. |
Cláusula 17
Derecho aplicable
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
[OPCIÓN 1: El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de los terceros beneficiarios. Las partes acuerdan que sea el Derecho de ___ (especifíquese el Estado miembro).]
[OPCIÓN 2 (módulos dos y tres): El presente pliego de cláusulas se regirá por el Derecho del Estado miembro de la Unión Europea en que esté establecido el exportador de datos. Cuando dicho Derecho no admita la existencia de derechos de los terceros beneficiarios, se regirá por el Derecho de otro Estado miembro de la Unión Europea que sí la admita. Las partes acuerdan que sea el Derecho de ___ (especifíquese el Estado miembro).]
MÓDULO CUATRO: transferencia de encargado a responsable
El presente pliego de cláusulas se regirá por el Derecho de un país que contemple los derechos de los terceros beneficiarios. Las partes acuerdan que sea el Derecho de ___ (especifíquese el país).
Cláusula 18
Elección del foro y jurisdicción
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
|
a) |
Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea. |
|
b) |
Las partes acuerdan que sean los órganos jurisdiccionales de ___ (especifíquese el Estado miembro). |
|
c) |
Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual. |
|
d) |
Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro. |
MÓDULO CUATRO: transferencia de encargado a responsable
|
|
Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en ______ (especifíquese el país). |
(1) Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe por cuenta de una institución u organismo de la Unión como responsable del tratamiento, se considera que la utilización del presente pliego de cláusulas al recurrir a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estén armonizados el presente pliego de cláusulas y las obligaciones en materia de protección de datos que imponga el contrato u otro acto jurídico celebrado entre el responsable y el encargado con arreglo al artículo 29, apartado 3, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915.
(2) Para ello es necesario anonimizar los datos de tal manera que nadie pueda identificar a la persona, de conformidad con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso sea irreversible.
(3) El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.
(4) El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.
(5) Véase el artículo 28, apartado 4, del Reglamento (UE) 2016/679 y, cuando el responsable sea una institución u organismo de la UE, el artículo 29, apartado 4, del Reglamento (UE) 2018/1725.
(6) El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.
(7) En concreto, si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales.
(8) Este requisito podrá satisfacerse si el subencargado se adhiere al presente pliego de cláusulas, con elección del módulo correspondiente, con arreglo a la cláusula 7.
(9) Este requisito podrá satisfacerse si el subencargado se adhiere al presente pliego de cláusulas, con elección del módulo correspondiente, con arreglo a la cláusula 7.
(10) Dicho plazo podrá prorrogarse por un máximo de dos meses adicionales en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El importador de datos informará debidamente y con prontitud al interesado de cualquier prórroga de este tipo.
(11) El importador de datos solo podrá ofrecer una resolución independiente de los litigios a través de un órgano de arbitraje si está establecido en un país que haya ratificado el Convenio de Nueva York sobre la ejecución de laudos arbitrales.
(12) Por lo que se refiere al efecto de dicho Derecho y prácticas en el cumplimiento del presente pliego de cláusulas, a la hora de realizar una valoración integral de esta cuestión pueden tenerse en cuenta distintos aspectos. Uno de estos aspectos puede ser que haya experiencia práctica pertinente y documentada en casos anteriores de solicitudes de comunicación por parte de las autoridades públicas, o la ausencia de tales solicitudes, en un período suficientemente representativo. Con esto se quiere decir, en particular, los registros internos u otra documentación elaborados de forma continua con la diligencia debida y certificados en los niveles más altos de la dirección siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir el presente pliego de cláusulas, deberá estar respaldada por otros elementos pertinentes y objetivos; corresponde a las partes valorar minuciosamente si la suma de estos factores es suficientemente determinante, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las partes deben tener en cuenta si su experiencia práctica está corroborada y no se ve desmentida, por información que sea fiable y de dominio público o accesible de cualquier otro modo acerca de la existencia o ausencia de solicitudes en el mismo sector o acerca de la aplicación de la normativa de que se trate en la práctica, como jurisprudencia e informes de organismos de supervisión independientes.
APÉNDICE
NOTA ACLARATORIA:
Se debe poder distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, por tanto, determinar la función o funciones respectivas de las partes en cuanto exportador(as) de datos y/o importador(as) de datos. No es imprescindible cumplimentar y firmar apéndices separados por cada transferencia o categoría de transferencias y/o relación contractual si se puede lograr un nivel de transparencia equivalente cumplimentando un solo apéndice. No obstante, cuando sea necesario para garantizar claridad suficiente, deben utilizarse apéndices separados.
ANEXO I
A. LISTA DE PARTES
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
MÓDULO CUATRO: transferencia de encargado a responsable
Exportador(es) de datos: [Identidad y datos de contacto del exportador o exportadores de datos y, en su caso, del delegado de protección de datos de este o estos y/o del representante en la Unión Europea]
|
1. |
Nombre: …
Dirección: … Nombre, cargo y datos de contacto de la persona de contacto: …… Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: … Firma y fecha: … Función (responsable/encargado): … |
|
2. |
… |
Importador(es) de datos: [Identidad y datos de contacto del importador o importadores de datos, incluida cualquier persona de contacto responsable de la protección de los datos]
|
1. |
Nombre: …
Dirección: … Nombre, cargo y datos de contacto de la persona de contacto: … Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: … Firma y fecha: … Función (responsable/encargado): … |
|
2. |
… |
B. DESCRIPCIÓN DE LA TRANSFERENCIA
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
MÓDULO CUATRO: transferencia de encargado a responsable
Categorías de interesados cuyos datos personales se transfieren
…
Categorías de datos personales transferidos
…
Datos sensibles transferidos (si procede) y restricciones o garantías aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya hecho un curso especializado), un registro del acceso a los datos, restricciones a transferencias ulteriores o medidas de seguridad adicionales.
…
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de una vez o de forma periódica).
…
Naturaleza del tratamiento
…
Finalidad(es) de la transferencia y posterior tratamiento de los datos
…
El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo
…
En caso de transferencia a (sub)encargados, especifíquese también el objeto, la naturaleza y la duración del tratamiento
…
C. AUTORIDAD DE CONTROL COMPETENTE
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
Indíquese la autoridad o autoridades de control competentes de conformidad con la cláusula 13
…
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, EN ESPECIAL MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
NOTA ACLARATORIA:
Las medidas técnicas y organizativas deben describirse de manera concreta y no de manera genérica. Véase también el comentario general de la primera página del apéndice, especialmente en cuanto a la necesidad de indicar claramente qué medidas se aplican a cada transferencia o conjunto de transferencias.
Descripción de las medidas técnicas y organizativas aplicadas por los importadores de datos (inclusive las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
[Ejemplos de medidas posibles:
Medidas de seudonimización y cifrado de los datos personales
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
Medidas para restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico
Procesos de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento
Medidas para la identificación y autorización del usuario
Medidas para la protección de los datos durante la transmisión
Medidas para la protección de los datos durante el almacenamiento
Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales
Medidas para garantizar el registro de incidentes
Medidas para garantizar la configuración del sistema, en especial la configuración por defecto
Medidas de gobernanza y gestión de la informática y la seguridad informática internas
Medidas para la certificación/garantía de procesos y productos
Medidas para garantizar la minimización de datos
Medidas para garantizar la calidad de los datos
Medidas para garantizar una retención limitada de los datos
Medidas para garantizar la responsabilidad proactiva
Medidas para permitir la portabilidad de los datos y garantizar la supresión
En el caso de las transferencias a (sub)encargados, descríbanse también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)encargado para poder prestar ayudar al responsable y, en el caso de transferencias de un encargado a un subencargado, al exportador de datos.
ANEXO III:
LISTA DE SUBENCARGADOS DEL TRATAMIENTO
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
NOTA ACLARATORIA:
Debe cumplimentarse este anexo respecto de los módulos dos y tres cuando sea necesaria la autorización específica de uno o más subencargados [cláusula 9, letra a), opción 1].
El responsable ha autorizado que se recurra a los subencargados siguientes:
|
1. |
Nombre: …
Dirección: … Nombre, cargo y datos de contacto de la persona de contacto: … Descripción del tratamiento (incluida una delimitación bien definida de las responsabilidades si se autoriza a varios subencargados): … |
|
2. |
… |