EL DO de 7 de junio de 2021 publica la Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
La función de las cláusulas contractuales tipo se limita a asegurar que haya garantías adecuadas de protección de datos en las transferencias internacionales de datos. Por consiguiente, el responsable o el encargado que transfiera los datos personales a un tercer país («exportador de datos») y el responsable o encargado que reciba los datos personales («importador de datos») tienen discrecionalidad para incluir en un contrato más amplio dichas cláusulas contractuales tipo, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, las cláusulas contractuales tipo ni perjudiquen los derechos o libertades fundamentales de los interesados. Se alienta a los responsables y encargados del tratamiento a ofrecer garantías adicionales mediante compromisos contractuales que complementen las cláusulas contractuales tipo. La utilización de las cláusulas contractuales tipo debe entenderse sin perjuicio de las obligaciones contractuales que tengan el exportador y/o el importador de datos de garantizar el respeto de los privilegios e inmunidades que sean de aplicación.
Se considera que las cláusulas contractuales tipo establecidas en el anexo de la presente decisión ofrecen garantías adecuadas en el sentido del art. 46, apartado 1 y apartado 2, letra c), del Reglamento (UE) 2016/679 para la transferencia de datos personales por parte de un responsable o encargado del tratamiento sujeto a dicho Reglamento (exportador de datos) a un responsable o (sub)encargado cuyo tratamiento de datos no esté sujeto a dicho Reglamento (importador de datos). Dichas cláusulas también establecen los derechos y obligaciones de los responsables y encargados del tratamiento con respecto a las cuestiones a que se refiere el art. 28, apartados 3 y 4, del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos personales por parte de un responsable a un encargado, o de un encargado a un subencargado.
Las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión pueden utilizarlas tanto el responsable como el encargado a fin de ofrecer garantías adecuadas en el sentido del art. 46, apartado 1, del Reglamento (UE) 2016/679 en las transferencias de datos personales a un encargado o un responsable establecido en un tercer país, sin perjuicio de la interpretación del concepto de transferencia internacional recogida en el Reglamento (UE) 2016/679. Las cláusulas contractuales tipo pueden utilizarse respecto de tales transferencias solo en la medida en que el tratamiento por parte del importador no entre en el ámbito de aplicación del Reglamento (UE) 2016/679. En este supuesto también se incluye la transferencia de datos personales por parte de un responsable o encargado no establecido en la Unión, en la medida en que el tratamiento esté sujeto al Reglamento (UE) 2016/679 con arreglo a su art. 3, apartado 2, porque se refiera a la oferta de bienes o servicios a interesados en la Unión o al control de su comportamiento en la medida en que se desarrolle dentro de la Unión.
Las cláusulas contractuales tipo que figuran en el anexo de la presente Decisión combinan cláusulas generales con un enfoque modular para tener en cuenta los distintos supuestos de transferencia y la complejidad de las cadenas de tratamiento modernas. Además de las cláusulas generales, los responsables y encargados deben seleccionar el módulo aplicable a su situación, para adaptar las obligaciones derivadas de las cláusulas contractuales tipo a su función y sus responsabilidades en relación con el tratamiento de datos en cuestión. Debe ser posible que más de dos partes se adhieran a las cláusulas contractuales tipo. Por otra parte, debe permitirse que otros responsables y encargados se adhieran a las cláusulas contractuales tipo como exportadores o importadores de datos a lo largo del período de vigencia del contrato del que forman parte.
Garantías
A fin de ofrecer garantías adecuadas, las cláusulas contractuales tipo deben asegurar que los datos personales transferidos con arreglo a ellas gocen de un nivel de protección equivalente en lo esencial al garantizado en la Unión. Con el objetivo de garantizar la transparencia del tratamiento, los interesados deben recibir una copia de las cláusulas contractuales tipo y deben ser informados, en particular, de las categorías de datos personales tratados, del derecho a recibir una copia de las cláusulas contractuales tipo y de cualquier transferencia ulterior. Las transferencias ulteriores por parte del importador de datos a un tercero en otro tercer país solo deben permitirse si dicho tercero se adhiere a las cláusulas contractuales tipo, si la continuidad de la protección está garantizada de otro modo o en situaciones específicas, como, por ejemplo, si media el consentimiento explícito y con conocimiento de causa del interesado.
Derecho aplicable
Con determinadas excepciones y, en particular, en cuanto a determinadas obligaciones que se refieran exclusivamente a la relación entre el exportador y el importador de datos, los interesados deben poder invocar y, en su caso, hacer cumplir las cláusulas contractuales tipo como terceros beneficiarios. Por lo tanto, si bien debe permitirse a las partes elegir el Derecho de uno de los Estados miembros para que rija las cláusulas contractuales tipo, este Derecho debe admitir la existencia de derechos de los terceros beneficiarios. A fin de facilitar el derecho a reparación en casos particulares, las cláusulas contractuales tipo deben exigir al importador de datos que comunique a los interesados los datos de un punto de contacto y que tramite con presteza cualquier reclamación o solicitud. En caso de controversia entre el importador de datos y un interesado que haga valer sus derechos de tercero beneficiario, el interesado debe poder presentar una reclamación ante la autoridad de control competente o ejercitar una acción judicial ante un órgano jurisdiccional competente de la UE.
Competencia judicial
Con el objetivo de garantizar la eficacia de la ejecución, el importador de datos está obligado a someterse a la competencia de dicha autoridad o dicho órgano jurisdiccional y a comprometerse a acatar la resolución vinculante que se adopte con arreglo al Derecho aplicable del Estado miembro. En particular, el importador de datos se comprometerse a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Además, el importador de datos debe tener la opción de brindar a los interesados la posibilidad de acudir a un organismo independiente de resolución de litigios, sin coste alguno. De conformidad con el artículo 80, apartado 1, del Reglamento (UE) 2016/679, debe permitirse que los interesados sean representados por asociaciones u otros organismos en litigios contra el importador de datos si así lo desean.
Responsabilidad entre las partes
Las cláusulas contractuales tipo disponen reglas de responsabilidad entre las partes y con respecto a los interesados, así como reglas de indemnización entre las partes. Cuando el interesado sufra daños materiales o inmateriales como consecuencia de una vulneración de los derechos de tercero beneficiario contemplados en las cláusulas contractuales tipo, debe tener derecho a ser indemnizado. Este derecho debe entenderse sin perjuicio de cualquier responsabilidad que pueda derivarse del Reglamento (UE) 2016/679.
Arbitraje: Revista de arbitraje comercial y de inversiones 