CLÁUSULAS CONTRACTUALES TIPO

SECCIÓN I

Cláusula 1

Objetivo y alcance

  1. El objetivo de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (1) para la transferencia de datos personales a un tercer país.
  2. Las Partes:

    i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en lo sucesivo, «entidad(es)») que transfiera(n) los datos personales, enumerados en el anexo I.A (en lo sucesivo, cada «exportador de datos»), y

    la(s) entidad(es) de un tercer país que reciba(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte de estas Cláusulas, según se enumera en el Anexo I.A (en adelante, cada «importador de datos»)

    han aceptado las presentes cláusulas contractuales tipo (en adelante: «Cláusulas»).

  • Estas Cláusulas se aplican con respecto a la transferencia de datos personales tal y como se especifica en el Anexo I.B.
  • El Apéndice de estas Cláusulas que contiene los Anexos a los que se hace referencia en el mismo forma parte integrante de estas Cláusulas.
  • Cláusula 2

    Efecto e invariabilidad de las cláusulas

    1. Las presentes Cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados del tratamiento y/o de encargados a encargados del tratamiento, las cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el Módulo o Módulos adecuados o para añadir o actualizar información en el Apéndice.
      Esto no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
    2. Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

    Cláusula 2

    Efecto e invariabilidad de las cláusulas

    1. Las presentes Cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados del tratamiento y/o de encargados a encargados del tratamiento, las cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el Módulo o Módulos adecuados o para añadir o actualizar información en el Apéndice.
      Esto no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
    2. Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

    Cláusula 3

    Terceros beneficiarios

    1. Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador de datos y/o el importador de datos, con las siguientes excepciones:

      (i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

      (ii) Cláusula 8 – Módulo Uno: Cláusula 8.5 (e) y Cláusula 8.9 (b); Módulo Dos: Cláusula 8.1 (b), 8.9 (a), (c), (d) y (e); Módulo Tres: Cláusula 8.1 (a), (c) y (d) y Cláusula 8.9 (a), (c), (d), (e), (f) y (g); Módulo Cuatro: Cláusula 8.1 (b) y Cláusula 8.3 (b);

      (iii) Cláusula 9 – Módulo dos: Cláusula 9(a),
      (c),
      (d) y
      (e); Módulo Tres: Cláusula 9(a),
      (c),
      (d) y
      (e);

      (iv) Cláusula 12 – Módulo Uno: Cláusula 12(a) y (d); Módulos Dos y Tres: Cláusula 12(a), (d) y (f);

      (v) Cláusula 13;

      (vi) Cláusula 15.1(c), (d) y (e);

      (vii) Cláusula 16(e);

      (viii) Cláusula 18 – Módulos Uno, Dos y Tres: Cláusula 18(a) y (b); Módulo Cuatro: Cláusula 18.

  • El apartado a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.
  • Cláusula 4

    Interpretación

    1. Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
    2. Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
    3. Estas Cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

    Cláusula 5

    Jerarquía

    En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.

    Cláusula 6

    Descripción de la(s) transferencia(s)

    Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

    Cláusula 7 – Opcional

    Cláusula de atraque

    1. Una entidad que no sea Parte de estas Cláusulas podrá, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el Apéndice y firmando el Anexo I.A.
    2. Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de acuerdo con su designación en el Anexo I.A.
    3. La entidad adherente no tendrá derechos ni obligaciones derivados de estas Cláusulas desde el periodo anterior a convertirse en Parte.

    SECCIÓN II – OBLIGACIONES DE LAS PARTES

    Cláusula 8

    Garantías de protección de datos

    El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de satisfacer sus obligaciones en virtud de las presentes Cláusulas.

    8.1 Limitación de la finalidad

    El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal y como se establece en el anexo I.B. Sólo podrá tratar los datos personales para otros fines:

    (i) cuando haya obtenido el consentimiento previo del interesado;
    (ii) cuando sea necesario para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
    (iii) cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física.

    8.2 Transparencia

    1. Para que los interesados puedan ejercer efectivamente sus derechos con arreglo a la cláusula 10, el importador de datos les informará, directamente o a través del exportador de datos:

      (i) de su identidad y datos de contacto;

      (ii) de las categorías de datos personales tratados;

      (iii) del derecho a obtener una copia de estas Cláusulas;

      (iv) cuando tenga la intención de transferir posteriormente los datos personales a cualquier tercero o terceros, del destinatario o categorías de destinatarios (según proceda con el fin de proporcionar información significativa), la finalidad de dicha transferencia posterior y el motivo para ello de conformidad con la cláusula 8.7.

  • El apartado a) no se aplicará cuando el interesado ya disponga de la información, incluso cuando dicha información ya haya sido facilitada por el exportador de datos, o cuando facilitar la información resulte imposible o suponga un esfuerzo desproporcionado para el importador de datos.
    En este último caso, el importador de datos deberá, en la medida de lo posible, poner la información a disposición del público.
  • Previa solicitud, las Partes pondrán gratuitamente a disposición del interesado una copia de las presentes Cláusulas, incluido el Apéndice cumplimentado por ellas.
    En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidos datos personales, las Partes podrán redactar parte del texto del Apéndice antes de compartir una copia, pero proporcionarán un resumen significativo cuando, de otro modo, el interesado no pudiera comprender su contenido o ejercer sus derechos.
    Previa solicitud, las Partes proporcionarán al interesado las razones de las redacciones, en la medida de lo posible sin revelar la información redactada.
  • Los apartados a) a c) se entienden sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
  • 8.3 Precisión y minimización de datos

    1. Cada Parte velará por que los datos personales sean exactos y, en caso necesario, se mantengan actualizados.
      El importador de datos tomará todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta la finalidad o finalidades del tratamiento, se supriman o rectifiquen sin demora.
    2. Si una de las Partes tiene conocimiento de que los datos personales que ha transferido o recibido son inexactos, o han quedado obsoletos, informará a la otra Parte sin demora indebida.
    3. El importador de datos se asegurará de que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

    8.4 Limitación de almacenamiento

    El importador de datos conservará los datos personales durante un período no superior al necesario para los fines para los que se tratan.
    Establecerá las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, incluida la supresión o anonimización (2) de los datos y de todas las copias de seguridad al final del período de conservación.

    8.5 Seguridad del tratamiento

    1. El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluida la protección contra una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados (en lo sucesivo, «violación de los datos personales»).
      Al evaluar el nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad o finalidades del tratamiento, así como los riesgos que entrañe el tratamiento para el interesado.
      Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo.
    2. Las Partes han acordado las medidas técnicas y organizativas que figuran en el Anexo II.
      El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.
    3. El importador de datos se asegurará de que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.
    4. En caso de violación de datos personales relativos a datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación de datos personales, incluidas medidas para mitigar sus posibles efectos adversos.
    5. En caso de violación de los datos personales que pueda suponer un riesgo para los derechos y libertades de las personas físicas, el importador de datos lo notificará sin demora indebida tanto al exportador de datos como a la autoridad de control competente de conformidad con la cláusula 13.
      Dicha notificación contendrá
      i) una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos personales afectados)
      ii) sus consecuencias probables
      iii) las medidas adoptadas o propuestas para hacer frente a la violación, y
      iv) los datos de un punto de contacto del que pueda obtenerse más información.
      En la medida en que no sea posible que el importador de datos facilite toda la información al mismo tiempo, podrá hacerlo por fases sin más demora.
    6. En caso de violación de los datos personales que pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas, el importador de datos notificará también sin dilación indebida a los interesados afectados la violación de los datos personales y su naturaleza, si es necesario en cooperación con el exportador de datos, junto con la información a que se refieren los incisos ii) a iv) de la letra e), a menos que el importador de datos haya aplicado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas, o que la notificación suponga un esfuerzo desproporcionado.
      En este último caso, el importador de datos emitirá en su lugar una comunicación pública o adoptará una medida similar para informar al público de la violación de los datos personales.
    7. El importador de datos documentará todos los hechos relevantes relacionados con la violación de los datos personales, incluidos sus efectos y cualquier medida correctiva adoptada, y mantendrá un registro de los mismos.

    8.6 Datos sensibles

    Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas o infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o garantías adicionales adaptadas a la naturaleza específica de los datos y a los riesgos que entrañen.
    Esto puede incluir la restricción del personal autorizado a acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a su divulgación posterior.

    8.7 Transferencias ulteriores

    El importador de datos no revelará los datos personales a un tercero situado fuera de la Unión Europea (3) (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo «transferencia ulterior») a menos que el tercero esté o acepte estar vinculado por las presentes Cláusulas, en virtud del Módulo correspondiente.
    En caso contrario, la transferencia ulterior por parte del importador de datos sólo podrá tener lugar si:

      (i) es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;

      (ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

      (iii) el tercero suscriba un instrumento vinculante con el importador de datos que garantice el mismo nivel de protección de datos que en virtud de las presentes Cláusulas, y el importador de datos facilite una copia de dichas garantías al exportador de datos;

      (iv) es necesario para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reguladores o judiciales específicos;

      (v) es necesario para proteger los intereses vitales del interesado o de otra persona física; o

      (vi) cuando no se aplique ninguna de las demás condiciones, el importador de datos haya obtenido el consentimiento explícito del interesado para una transferencia ulterior en una situación específica, tras haberle informado de su finalidad o finalidades, de la identidad del destinatario y de los posibles riesgos de dicha transferencia para él debido a la falta de garantías adecuadas de protección de datos.
      En este caso, el importador de datos informará al exportador de datos y, a petición de este último, le transmitirá una copia de la información facilitada al interesado.

    Toda transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en las presentes cláusulas, en particular la limitación de la finalidad.

    8.8 Tratamiento bajo la autoridad del importador de datos

    El importador de datos se asegurará de que cualquier persona que actúe bajo su autoridad, incluido un encargado del tratamiento, procese los datos únicamente siguiendo sus instrucciones.

    8.9 Documentación y conformidad

    1. Cada Parte deberá ser capaz de demostrar el cumplimiento de sus obligaciones en virtud de las presentes Cláusulas.
      En particular, el importador de datos conservará la documentación adecuada de las actividades de tratamiento realizadas bajo su responsabilidad.
    2. El importador de datos pondrá dicha documentación a disposición de la autoridad de control competente a petición de ésta.

    Cláusula 9 [not applicable]

    Cláusula 10

    Derechos del interesado

    1. El importador de datos, en su caso con la asistencia del exportador de datos, atenderá las consultas y solicitudes que reciba de un interesado en relación con el tratamiento de sus datos personales y el ejercicio de sus derechos con arreglo a las presentes cláusulas sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la consulta o solicitud.
      (10)
      El importador de datos adoptará las medidas adecuadas para facilitar dichas consultas, solicitudes y el ejercicio de los derechos del interesado.
      Toda información facilitada al interesado deberá presentarse de forma inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo.
    2. En particular, a petición del interesado, el importador de datos deberá, de forma gratuita:

      (i) proporcionar al interesado confirmación de si se están tratando datos personales que le conciernen y, en tal caso, una copia de los datos que le conciernen y la información que figura en el anexo I; si se han transferido o se transferirán ulteriormente datos personales, proporcionar información sobre los destinatarios o las categorías de destinatarios (según proceda con el fin de proporcionar información significativa) a los que se han transferido o se transferirán ulteriormente los datos personales, la finalidad de dichas transferencias ulteriores y su fundamento de conformidad con la cláusula 8.7; y facilitar información sobre el derecho a presentar una reclamación ante una autoridad de control de conformidad con el inciso i) de la letra c) de la cláusula 12;

      (ii) rectificar los datos inexactos o incompletos relativos al interesado;

      (iii) borrar los datos personales relativos al interesado si dichos datos están siendo o han sido tratados en violación de cualquiera de estas Cláusulas que garantizan los derechos de terceros beneficiarios, o si el interesado retira el consentimiento en el que se basa el tratamiento.

  • Cuando el importador de datos trate los datos personales con fines de mercadotecnia directa, dejará de hacerlo para tales fines si el interesado se opone a ello.
  • El importador de datos no tomará una decisión basada únicamente en el tratamiento automatizado de los datos personales transferidos (en lo sucesivo, «decisión automatizada»), que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar, a menos que cuente con el consentimiento explícito del interesado o esté autorizado a hacerlo en virtud de la legislación del país de destino, siempre que dicha legislación establezca medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado.
    En este caso, el importador de datos deberá, cuando sea necesario en cooperación con el exportador de datos:
    • (i) informar al interesado de la decisión automatizada prevista, de las consecuencias previstas y de la lógica implicada; y

      (ii) aplicar las garantías adecuadas, al menos permitiendo al interesado impugnar la decisión, expresar su punto de vista y obtener la revisión por parte de un ser humano.

  • Cuando las solicitudes de un interesado sean excesivas, en particular debido a su carácter repetitivo, el importador de datos podrá cobrar una tarifa razonable teniendo en cuenta los costes administrativos de atender la solicitud o negarse a dar curso a la misma.
  • El importador de datos podrá denegar la solicitud de un interesado si dicha denegación está permitida por la legislación del país de destino y es necesaria y proporcionada en una sociedad democrática para proteger uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
  • Si el importador de datos tiene la intención de denegar la solicitud de un interesado, le informará de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad de control competente y/o de interponer un recurso judicial.
  • Cláusula 11

    Reparación

    1. El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones.
      Atenderá sin demora cualquier reclamación que reciba de un interesado.
      [OPCIÓN: El importador de datos acepta que los interesados también puedan presentar una reclamación ante un organismo independiente de resolución de litigios (11) sin coste alguno para el interesado. Informará a los interesados, en la forma establecida en la letra a), de dicho mecanismo de recurso y de que no están obligados a utilizarlo ni a seguir una secuencia determinada para solicitar el recurso].
    2. En caso de controversia entre un interesado y una de las Partes en relación con el cumplimiento de las presentes Cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y oportuna.
      Las Partes se mantendrán mutuamente informadas sobre dichas controversias y, en su caso, cooperarán para resolverlas.
    3. Cuando el interesado invoque un derecho de tercero beneficiario de conformidad con la cláusula 3, el importador de datos aceptará la decisión del interesado de:

        (i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o de su lugar de trabajo, o ante la autoridad de control competente en virtud de la cláusula 13;

        (ii) remitir el litigio a los tribunales competentes en el sentido de la cláusula 18.

    4. Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
    5. El importador de datos deberá acatar una decisión que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.
    6. El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación aplicable.

    Cláusula 12

    Responsabilidad

    1. Cada Parte será responsable ante la/s otra/s Parte/s de los daños y perjuicios que cause a la/s otra/s por cualquier incumplimiento de estas Cláusulas.
    2. Cada una de las Partes será responsable ante el interesado, y éste tendrá derecho a recibir una indemnización, por cualquier daño material o moral que la Parte cause al interesado por infringir los derechos de tercero beneficiario en virtud de las presentes Cláusulas.
      Esto se entiende sin perjuicio de la responsabilidad del exportador de datos en virtud del Reglamento (UE) 2016/679.
    3. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia del incumplimiento de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.
    4. Las Partes acuerdan que si una de las Partes es considerada responsable en virtud del apartado (c), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su responsabilidad por el daño.
    5. El importador de datos no podrá invocar la conducta de un encargado o subencargado del tratamiento para eludir su propia responsabilidad.

    Cláusula 13

    Supervisión

    1. [Where the data exporter is established in an EU Member State:] La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C, actuará como autoridad de control competente. [Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679:]. La autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de supervisión competente. [Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin que, no obstante, tenga que designar a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679:] Actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle, tal como se indica en el anexo I.C.
    2. El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes Cláusulas.
      En particular, el importador de datos acepta responder a las indagaciones, someterse a las auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias.
      Facilitará a la autoridad de control una confirmación por escrito de que se han adoptado las medidas necesarias.

    SECCIÓN III – LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

    Cláusula 14

    Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas

    1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluido cualquier requisito de revelación de datos personales o medidas que autoricen el acceso de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas.
      Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con las presentes Cláusulas.
    2. Las Partes declaran que, al ofrecer la garantía del apartado a), han tenido debidamente en cuenta, en particular, los siguientes elementos:

      (i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;

      (ii) las leyes y prácticas del tercer país de destino -incluidas las que exigen la revelación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables (12);

      (iii) todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

  • El importador de datos garantiza que, al llevar a cabo la evaluación prevista en el apartado (b), ha hecho todo lo posible para proporcionar al exportador de datos la información pertinente y acepta que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de las presentes Cláusulas.
  • Las Partes acuerdan documentar la evaluación conforme al párrafo (b) y ponerla a disposición de la autoridad supervisora competente a petición de ésta.
  • El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado las presentes Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos del apartado (a), incluso a raíz de un cambio en las leyes del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no se ajusta a los requisitos del apartado (a).
    [Para el Módulo Tres: El exportador de datos remitirá la notificación al responsable del tratamiento].
  • Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le incumben en virtud de las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador y/o el importador de datos para hacer frente a la situación [para el módulo tres: si procede, en consulta con el responsable del tratamiento]. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las garantías adecuadas para dicha transferencia, o si así se lo ordena [para el Módulo Tres: el responsable del tratamiento o] la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda en virtud de la presente Cláusula, se aplicarán las letras d) y e) de la Cláusula 16.
  • Cláusula 15

    Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

    15.1 Notificación

    1. El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario con la ayuda del exportador de datos) si:

      reciba una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de los datos personales transferidos de conformidad con las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o bien

      tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.

      [Para el Módulo Tres: El exportador de datos remitirá la notificación al responsable del tratamiento].

  • Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos acuerda hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar toda la información posible, lo antes posible.
    El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
  • Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.).
  • El importador de datos se compromete a conservar la información conforme a los apartados (a) a (c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente a petición de ésta.
  • Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos con prontitud cuando no pueda cumplir con estas Cláusulas.
  • 15.2 Revisión de la legalidad y minimización de datos

    1. El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal en virtud de la legislación del país de destino, de las obligaciones aplicables en virtud del derecho internacional y de los principios de cortesía internacional.
      El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso.
      Cuando impugne una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma.
      No revelará los datos personales solicitados hasta que se le exija hacerlo en virtud de las normas procesales aplicables.
      Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la cláusula 14, letra e).
    2. El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos.
      También la pondrá a disposición de la autoridad de control competente a petición de ésta.
    3. El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

    SECCIÓN IV – DISPOSICIONES FINALES

    Cláusula 16

    Incumplimiento de las cláusulas y rescisión

    1. El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes cláusulas.
    2. En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato.
      Todo ello sin perjuicio de lo dispuesto en la letra f) de la Cláusula 14.
    3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas, cuando:

        (i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado b) y no se restablezca el cumplimiento de las presentes cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión

        el importador de datos incumple de forma sustancial o persistente las presentes Cláusulas; o

        (iii) el importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad supervisora en relación con sus obligaciones en virtud de las presentes Cláusulas.

      En estos casos, informará de dicho incumplimiento a la autoridad de control competente.
      Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa.

    4. Los datos personales que hayan sido transferidos antes de la terminación del contrato de conformidad con el párrafo (c) serán, a elección del exportador de datos, devueltos inmediatamente al exportador de datos o borrados en su totalidad.
      Lo mismo se aplicará a cualquier copia de los datos.
      El importador de datos certificará la supresión de los datos al exportador de datos.
      Hasta que los datos sean borrados o devueltos, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas.
      En caso de que existan leyes locales aplicables al importador de datos que prohíban la devolución o la supresión de los datos personales transferidos, el importador de datos garantiza que seguirá asegurando el cumplimiento de las presentes Cláusulas y que sólo procesará los datos en la medida y durante el tiempo que exija dicha ley local.
    5. Cualquiera de las Partes podrá revocar su acuerdo de obligarse por las presentes Cláusulas cuando
      (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican las presentes Cláusulas; o
      (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales.
      Todo ello sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

    Cláusula 17

    Legislación aplicable

    OPCIÓN 1: Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios.
    Las Partes acuerdan que ésta será la legislación de Alemania.

    Cláusula 18

    Elección de foro y jurisdicción

    1. Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de un Estado miembro de la UE.
    2. Las Partes acuerdan que serán los tribunales de Alemania.
    3. El interesado también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
    4. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

    (1) Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe en nombre de una institución u organismo de la Unión como responsable del tratamiento, la confianza en estas Cláusulas al contratar a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones de la Unión, órganos, organismos y agencias de la Unión y sobre la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el responsable y el encargado del tratamiento de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725 estén alineadas.
    Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915.
    (2) Para ello es necesario anonimizar los datos de tal manera que el individuo ya no sea identificable por nadie, en consonancia con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso sea irreversible.
    (3) El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega.
    La legislación de la Unión en materia de protección de datos, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado a su anexo XI.
    Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero situado en el EEE no se considera una transferencia ulterior a efectos de las presentes Cláusulas.
    (4) El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega.
    La legislación de la Unión en materia de protección de datos, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado a su anexo XI.
    Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero situado en el EEE no se considera una transferencia ulterior a efectos de las presentes Cláusulas.
    (5) Véase el artículo 28, apartado 4, del Reglamento (UE) 2016/679 y, cuando el responsable del tratamiento sea una institución u organismo de la UE, el artículo 29, apartado 4, del Reglamento (UE) 2018/1725.
    (6) El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega.
    La legislación de la Unión en materia de protección de datos, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado a su anexo XI.
    Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero situado en el EEE no se considera una transferencia ulterior a efectos de las presentes Cláusulas.
    (7) Esto incluye si la transferencia y el tratamiento posterior implican datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas o infracciones penales.
    (8) Este requisito podrá satisfacerse si el subencargado del tratamiento se adhiere a las presentes cláusulas en virtud del módulo correspondiente, de conformidad con la cláusula 7. (9) Este requisito podrá satisfacerse mediante la adhesión del subencargado del tratamiento a las presentes Cláusulas en virtud del Módulo correspondiente, de conformidad con la Cláusula 7.
    (10)
    Dicho plazo podrá prorrogarse por un máximo de dos meses más, en la medida necesaria teniendo en cuenta la complejidad y el número de solicitudes.
    El importador de datos informará debidamente y sin demora al interesado de cualquier prórroga de este tipo.
    (11)
    El importador de datos sólo podrá ofrecer la resolución independiente de litigios a través de un organismo de arbitraje si éste está establecido en un país que haya ratificado la Convención de Nueva York sobre la Ejecución de las Sentencias Arbitrales.
    (12)
    Por lo que se refiere al impacto de tales leyes y prácticas en el cumplimiento de estas Cláusulas, pueden considerarse diferentes elementos como parte de una evaluación global.
    Dichos elementos pueden incluir la experiencia práctica relevante y documentada con casos anteriores de solicitudes de revelación de información por parte de las autoridades públicas, o la ausencia de tales solicitudes, abarcando un marco temporal suficientemente representativo.
    Esto se refiere, en particular, a los registros internos u otra documentación, elaborada de forma continua de acuerdo con la diligencia debida y certificada a nivel de la alta dirección, siempre que esta información pueda compartirse legalmente con terceros.
    Cuando se confíe en esta experiencia práctica para concluir que el importador de datos no se verá impedido de cumplir con estas Cláusulas, deberá apoyarse en otros elementos relevantes y objetivos, y corresponde a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de su fiabilidad y representatividad, para apoyar esta conclusión.
    En particular, las Partes han de tener en cuenta si su experiencia práctica se ve corroborada y no contradicha por información fiable, públicamente disponible o accesible de otro modo, sobre la existencia o ausencia de solicitudes dentro del mismo sector y/o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de organismos de supervisión independientes.

    APÉNDICE

    NOTA EXPLICATIVA: Debe ser posible distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, a este respecto, determinar el papel o papeles respectivos de las Partes como exportador(es) de datos y/o importador(es) de datos.
    Esto no requiere necesariamente cumplimentar y firmar apéndices separados para cada transferencia/categoría de transferencias y/o relación contractual, cuando esta transparencia pueda lograrse mediante un único apéndice.
    Sin embargo, cuando sea necesario para garantizar la suficiente claridad, deberán utilizarse apéndices separados.

    ANEXO I

    A. LISTA DE LAS PARTES

    Exportador(es) de datos: [Identidad y datos de contacto del exportador(es) de datos y, en su caso, de su responsable de protección de datos y/o representante en la Unión Europea].

    • Nombre: … Dirección: … Nombre, cargo y datos de la persona de contacto: … Actividades pertinentes para los datos transferidos en virtud de las presentes cláusulas: … Firma y fecha: … Función (responsable del tratamiento/encargado del tratamiento): …
    • ……

    Importador(es) de datos: [Identidad y datos de contacto del importador(es) de datos, incluida cualquier persona de contacto responsable de la protección de datos].

    • Nombre: … Dirección: … Nombre, cargo y datos de la persona de contacto: … Actividades pertinentes para los datos transferidos en virtud de las presentes cláusulas: … Firma y fecha: … Función (responsable del tratamiento/encargado del tratamiento): …
    • …..

    B. DESCRIPCIÓN DE LA TRANSFERENCIA

    Categorías de interesados cuyos datos personales se transfieren … Categorías de datos personales transferidos … Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, una limitación estricta de la finalidad, restricciones de acceso (incluido el acceso sólo del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales.
    … La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).
    … La naturaleza del tratamiento … La finalidad o finalidades de la transferencia de datos y del tratamiento posterior … El periodo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho periodo … Para las transferencias a (sub)encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del tratamiento …

    C. AUTORIDAD SUPERVISORA COMPETENTE

    Identifique la autoridad o autoridades de control competentes de conformidad con la cláusula 13 …

    ANEXO II

    MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

    NOTA EXPLICATIVA: Las medidas técnicas y organizativas deben describirse en términos específicos (y no genéricos).
    Véase también el comentario general de la primera página del apéndice, en particular sobre la necesidad de indicar claramente qué medidas se aplican a cada transferencia/conjunto de transferencias. Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
    [Ejemplos de posibles medidas: Medidas de seudonimización y cifrado de datos personales Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales en el momento oportuno en caso de incidente físico o técnico Procesos para comprobar periódicamente valoración y evaluación de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento Medidas para la identificación y autorización de los usuarios Medidas para la protección de los datos durante la transmisión Medidas para la protección de los datos durante el almacenamiento Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales Medidas para garantizar el registro de sucesos Medidas para garantizar la configuración del sistema, incluidas las configuraciones por defecto Medidas para la gobernanza y la gestión internas de las TI y de la seguridad de las TI Medidas para la certificación/garantía de los procesos y productos Medidas para garantizar la minimización de los datos Medidas para garantizar la calidad de los datos Medidas para garantizar la conservación limitada de los datos Medidas para garantizar la responsabilidad Medidas para permitir la portabilidad de los datos y garantizar su supresión]. Para las transferencias a (sub)encargados del tratamiento, describa también las medidas técnicas y organizativas específicas que debe adoptar el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento y, para las transferencias de un encargado del tratamiento a un subencargado, al exportador de datos.