Cláusulas contractuales tipo
SECCIÓN I
Cláusula 1 Finalidad y ámbito de aplicación
a) La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos(1) (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.
b) Las Partes:
i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «exportador de datos»), y
ii) la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»),
han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).
c) El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo I.B.
d) El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del pliego.
Cláusula 2 Efecto e invariabilidad de las cláusulas
a) El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
b) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3 Tercero beneficiario
a) Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.
Cláusulas 1, 2, 3, 6 y 7.
ii) Cláusula 8: [módulo uno] cláusula 8.5, letra e), y cláusula 8.9, letra b); [módulo dos] cláusula 8.1, letra b), y cláusula 8.9, letras a), c), d) y e); [módulo tres] cláusula 8.1, letras a), c) y d), y cláusula 8.9, letras a), c), d), e), f) y g); [módulo cuatro] cláusula 8.1, letra b), y cláusula 8.3, letra b).
iii) Cláusula 9: [módulo dos] cláusula 9, letras a), c), d) y e); [módulo tres] cláusula 9, letras a), c), d) y e).
iv) Cláusula 12: [módulo uno] cláusula 12, letras a) y d); [módulos dos y tres] cláusula 12, letras a), d) y f).
v) Cláusula 13
vi) Cláusula 15.1, letras c), d) y e).
vii) Cláusula 16, letra e).
viii) Cláusula 18: [módulos uno, dos y tres] cláusula 18, letras a) y b); [módulo cuatro] cláusula 18.
b) Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.
Cláusula 4 Interpretación
a) Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.
b) El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
c) El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.
Cláusula 5 Jerarquía
En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.
Cláusula 6 Descripción de la transferencia o transferencias
Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.
Cláusula 7 (opcional) Cláusula de incorporación
a) Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el anexo I.A.
b) Una vez haya cumplimentado el apéndice y firmado el anexo I.A, la entidad que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en el anexo I.A.
c) La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.
SECCIÓN II: OBLIGACIONES DE LAS PARTES
Cláusula 8 Garantías en materia de protección de datos
El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.
MÓDULO UNO: transferencia de responsable a responsable
8.1. Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B. Solo podrá tratar los datos personales con otros fines:
i) cuando haya recabado el consentimiento previo del interesado;
ii) cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;
iii) cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física.
8.2. Transparencia
a) A fin de que los interesados puedan ejercer de forma eficaz los derechos que les otorga la cláusula 10, el importador de datos les informará, directamente o a través del exportador de datos:
i) de su identidad y datos de contacto;
ii) de las categorías de datos personales tratados;
iii) del derecho a solicitar una copia del presente pliego de cláusulas;
iv) cuando tenga la intención de realizar transferencias ulteriores de los datos personales a terceros, del destinatario o de las categorías de destinatarios (según proceda con el fin de proporcionar información significativa), la finalidad de dicha transferencia ulterior y el motivo de la misma con arreglo a la cláusula 8.7.
b) Lo dispuesto en la letra a) no será de aplicación cuando el interesado ya disponga de la información (por ejemplo, si el exportador de datos ya ha proporcionado dicha información) o cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos hará pública la información en la medida de lo posible.
c) Previa solicitud, las partes pondrán gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, las partes podrán expurgar el texto del apéndice antes de compartir una copia, pero deberán aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.
d) Lo dispuesto en las letras a) a c) se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.
8.3. Exactitud y minimización de datos
a) Cada parte se asegurará de que los datos personales sean exactos y, cuando proceda, estén actualizados. El importador de datos adoptará todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
b) Si una de las partes tiene conocimiento de que los datos personales que ha transferido o recibido son inexactos o han quedado obsoletos, informará de ello a la otra parte sin dilación indebida.
c) El importador de datos se asegurará de que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.
8.4. Limitación del plazo de conservación
El importador de datos no conservará los datos personales más tiempo del necesario para los fines para los que se traten. Establecerá las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, como la supresión o anonimización (2) de los datos y de todas las copias de seguridad al finalizar el período de conservación.
8.5. Seguridad del tratamiento
a) El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento.
b) Las partes han pactado las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
c) El importador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
d) En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los posibles efectos negativos.
e) En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas, el importador de datos lo notificará sin dilación indebida tanto al exportador de datos como a la autoridad de control competente con arreglo a la cláusula 13. Dicha notificación contendrá i) una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), ii) las consecuencias probables, iii) las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad y iv) los datos de un punto de contacto en el que pueda obtenerse más información. En la medida en que el importador de datos no pueda proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin más dilaciones indebidas.
f) En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo elevado para los derechos y libertades de las personas físicas, el importador de datos también notificará sin dilación indebida a los interesados la violación de la seguridad de los datos personales y su naturaleza —en caso necesario con la colaboración del exportador de datos— junto con la información a que se refiere la letra e), incisos ii) a iv), a menos que dicha notificación suponga un esfuerzo desproporcionado o que el importador de datos haya aplicado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas. En este último caso, el importador de datos realizará una comunicación pública o adoptará una medida semejante para informar al público de la violación de la seguridad de los datos personales.
g) El importador de datos documentará todos los hechos pertinentes relacionados con la violación de la seguridad de los datos personales, como sus efectos y las medidas correctivas adoptadas, y llevará un registro de las mismas.
8.6. Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas o infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o garantías adicionales adaptadas a la naturaleza específica de los datos y el riesgo de que se trate. Una de estas puede ser, por ejemplo, la reducción del personal autorizado a acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a la comunicación ulterior.
8.7. Transferencias ulteriores
El importador de datos no comunicará los datos personales a terceros situados fuera de la Unión Europea (3) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») a menos que el tercero esté vinculado por el presente pliego de cláusulas o consienta a someterse a este, con elección del módulo correspondiente. De no ser así, el importador de datos solo podrá efectuar una transferencia ulterior si:
i) esta va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;
ii) el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;
iii) el tercero suscribe un instrumento vinculante con el importador de datos que garantice el mismo nivel de protección de datos que el del presente pliego de cláusulas, y el importador de datos entrega una copia de estas garantías al exportador de datos;
iv) si es necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;
v) si es necesario para proteger intereses vitales del interesado o de otra persona física; o
vi) de no concurrir las demás condiciones, el importador de datos ha recabado el consentimiento expreso del interesado para una transferencia ulterior en una situación específica, tras haberle informado de su finalidad, de la identidad del destinatario y de los posibles riesgos de dicha transferencia para el interesado debido a la falta de garantías adecuadas en materia de protección de datos. En este caso, el importador de datos informará al exportador de datos y, a petición de este, le remitirá una copia de la información proporcionada al interesado.
La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.
8.8. Tratamiento bajo la autoridad del importador de datos
El importador de datos se asegurará de que las personas que actúen bajo su autoridad, especialmente el encargado, solo trate los datos siguiendo instrucciones del importador de datos.
8.9. Documentación y cumplimiento
a) Las partes deberán poder demostrar el cumplimiento de las obligaciones derivadas del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen bajo su responsabilidad.
b) El importador de datos pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.
MÓDULO DOS: transferencia de responsable a encargado
8.1. Instrucciones
a) El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato.
b) El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones.
8.2. Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del exportador de datos.
8.3. Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el anexo II y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.
8.4. Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.
8.5. Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).
8.6. Seguridad del tratamiento
a) El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
b) El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
c) En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
d) El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
8.7. Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.
8.8. Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (4) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:
i) la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;
ii) el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;
iii) si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o
iv) si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.
La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.
8.9. Documentación y cumplimiento
a) El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.
b) Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos.
c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.
d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.
e) Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.
MÓDULO TRES: transferencia de encargado a encargado
8.1. Instrucciones
a) El exportador de datos ha informado al importador de datos de que actúa como encargado del tratamiento siguiendo las instrucciones de su responsable o responsables, que el exportador de datos deberá poner a disposición del importador de datos antes del tratamiento.
b) El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, comunicadas al importador por el exportador de datos, así como instrucciones documentadas adicionales del exportador de datos. Dichas instrucciones adicionales no podrán estar en conflicto con las instrucciones del responsable. El responsable o el exportador de datos podrán dar instrucciones documentadas adicionales sobre el tratamiento de datos durante todo el período de vigencia del contrato.
c) El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones. Si el importador de datos no puede seguir las instrucciones del responsable, el exportador de datos lo notificará inmediatamente al responsable.
d) El exportador de datos asegura que ha impuesto al importador de datos las obligaciones en materia de protección de datos establecidas en el contrato u otro acto jurídico con arreglo al Derecho de la Unión o del Estado miembro entre el responsable y el exportador de datos (5).
8.2. Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del responsable, comunicadas al importador de datos por el exportador de datos, o del exportador de datos.
8.3. Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el exportador de datos podrá expurgar el texto del apéndice antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.
8.4. Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.
8.5. Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del responsable y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).
8.6. Seguridad del tratamiento
a) El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos o del responsable. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
b) El importador de datos solo concederá acceso a los datos a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
c) En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también notificará sin dilación indebida al exportador de datos y, cuando proceda y sea viable, al responsable cuando tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
d) El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación al responsable para que este luego lo notifique a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
8.7. Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.
8.8. Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del responsable, tal y como las haya comunicado el exportador de datos al importador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (6) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:
i) la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;
ii) el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679;
iii) si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o
iv) si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.
La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.
8.9. Documentación y cumplimiento
a) El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos o del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.
b) Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del responsable.
c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente pliego de cláusulas; el exportador de datos luego la proporcionará al responsable.
d) El importador de datos permitirá y contribuirá a las auditorías que realice el exportador de datos sobre las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Lo mismo se aplicará cuando el exportador de datos solicite una auditoría siguiendo instrucciones del responsable. Al decidir si se realiza una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.
e) Cuando la auditoría se realice siguiendo instrucciones del responsable del tratamiento, el exportador de datos pondrá los resultados a disposición del responsable.
f) El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.
g) Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.
MÓDULO CUATRO: transferencia de encargado a responsable
8.1. Instrucciones
a) El exportador de datos solo tratará los datos personales siguiendo instrucciones documentadas del importador de datos que actúe como su responsable.
b) El exportador de datos informará inmediatamente al importador de datos si no puede seguir dichas instrucciones, especialmente si dichas instrucciones infringen el Reglamento (UE) 2016/679 u otro instrumento normativo del Derecho de la Unión o del Estado miembro en materia de protección de datos.
c) El importador de datos no obrará de forma que pueda impedir al exportador de datos cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679 y, en particular, en el marco del subtratamiento o de la cooperación con las autoridades de control competentes.
d) Una vez se hayan prestado los servicios de tratamiento, el exportador de datos suprimirá, a petición del importador de datos, todos los datos personales tratados por cuenta del importador de datos y acreditará al importador de datos que lo ha hecho, o devolverá al importador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes.
8.2. Seguridad del tratamiento
a) Las partes aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, especialmente durante la transferencia; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza de los datos personales (7), la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados, y considerarán, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento.
b) El exportador de datos ayudará al importador de datos a garantizar una seguridad adecuada de los datos de conformidad con la letra a). En caso de violación de la seguridad de los datos personales tratados por el exportador de datos en virtud del presente pliego de cláusulas, el exportador de datos lo notificará sin dilación indebida al importador de datos, una vez que tenga conocimiento de ello, y le ayudará a poner remedio a la violación de la seguridad.
c) El exportador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
8.3. Documentación y cumplimiento
Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas.
b) El exportador de datos pondrá a disposición del importador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones que le atribuye el presente pliego de cláusulas y permitirá y contribuirá a las auditorías.
Cláusula 9 Recurso a subencargados
MÓDULO DOS: transferencia de responsable a encargado
a) El importador de datos cuenta con una autorización general del exportador de datos para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [especificar período de tiempo] de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeción.
b) Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios. (8) Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.
c) El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.
d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.
e) El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.
MÓDULO TRES: transferencia de encargado a encargado
a) El importador de datos cuenta con una autorización general del responsable para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos [especificar período de tiempo] de antelación, de modo que el responsable tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeción. El importador de datos informará al exportador de datos de la contratación del subencargado o subencargados.
b) Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del responsable), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios. (9) Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.
c) El importador de datos proporcionará al exportador de datos o al responsable, a instancia del exportador de datos o el responsable, respectivamente, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.
d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.
e) El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.
Cláusula 10 Derechos del interesado
MÓDULO UNO: transferencia de responsable a responsable
a) El importador de datos, en su caso con la asistencia del exportador de datos, tramitará, sin dilación indebida y como tarde en un plazo de un mes desde la recepción de la consulta o solicitud, las consultas y solicitudes que reciba de interesados en relación con el tratamiento de sus datos personales y el ejercicio de los derechos que les otorga el presente pliego de cláusulas. (10) El importador de datos adoptará medidas adecuadas para facilitar dichas consultas y solicitudes y el ejercicio de los derechos de los interesados. Toda la información que se proporcione a los interesados deberá ser inteligible y de fácil acceso, con un lenguaje claro y sencillo.
b) En particular, el importador de datos deberá, a petición del interesado y de forma gratuita:
i) confirmar al interesado si se están tratando datos personales que le conciernan y, en su caso, proporcionar una copia de los datos que le conciernan, así como la información que figura en el anexo I; si los datos personales han sido o serán ulteriormente transferidos, información sobre los destinatarios o las categorías de destinatarios (según proceda, con vistas a proporcionar información significativa) a los que se haya realizado o vaya realizarse la transferencia ulterior de los datos personales, la finalidad de dichas transferencias ulteriores y su motivo de conformidad con la cláusula 8.7; e información sobre el derecho a presentar una reclamación ante una autoridad de control en virtud de la cláusula 12, letra c), inciso i);
ii) rectificar los datos inexactos o incompletos relativos al interesado;
iii) suprimir los datos personales relativos al interesado si dichos datos se están tratando o han sido tratados en contravención de cualquiera de las cláusulas que garantizan los derechos de terceros beneficiarios o si el interesado retira el consentimiento en que se basa el tratamiento.
c) Cuando el importador de datos trate los datos personales con fines de mercadotecnia directa, dejará de tratarlos para tales fines si el interesado se opone a ello.
d) El importador de datos no tomará una decisión, basándose únicamente en el tratamiento automatizado de los datos personales transferidos («decisión automatizada»), que produzca efectos jurídicos para el interesado o le afecte de forma igualmente significativa, salvo con el consentimiento expreso del interesado o si así lo autoriza el Derecho del país de destino, siempre que dicho Derecho disponga medidas adecuadas para garantizar los intereses legítimos y los derechos del interesado. En este caso, el importador de datos, con la colaboración del exportador de datos cuando sea necesario:
i) informará al interesado de la decisión automatizada prevista y de las consecuencias previstas, así como de la lógica aplicada; y
ii) aplicará garantías adecuadas, como mínimo permitiendo al interesado impugnar la decisión, expresar su punto de vista y solicitar una revisión por parte de un ser humano.
e) Cuando las solicitudes de un interesado sean excesivas, especialmente debido a su carácter repetitivo, el importador de datos podrá establecer una tasa razonable en función del coste administrativo que implique la concesión de la solicitud o negarse a actuar respecto de la solicitud.
f) El importador de datos podrá denegar la solicitud de un interesado cuando ello esté permitido con arreglo al Derecho del país de destino y sea necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
g) Si el importador de datos pretende denegar la solicitud de un interesado, le informará de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad de control competente o de ejercitar una acción judicial.
MÓDULO DOS: transferencia de responsable a encargado
a) El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo.
b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.
c) En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del exportador de datos.
MÓDULO TRES: transferencia de encargado a encargado
a) El importador de datos notificará con presteza al exportador de datos y, en su caso, al responsable toda solicitud que reciba de un interesado, sin responder a dicha solicitud, a menos que haya sido autorizado a hacerlo por el responsable.
b) El importador de datos ayudará al exportador de datos, cuando proceda con la colaboración del exportador de datos, a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725 atribuyen a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.
c) En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del responsable, comunicadas por el exportador de datos.
MÓDULO CUATRO: transferencia de encargado a responsable
Las partes se prestarán ayuda recíproca para responder a las consultas y solicitudes de los interesados en virtud del Derecho doméstico aplicable al importador de datos o, respecto del tratamiento de datos por parte del exportador de datos en la Unión, en virtud del Reglamento (UE) 2016/679.
Cláusula 11 Reparación
a) El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
b) En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.
c) El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de:
i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 13;
ii) ejercitar una acción judicial en el sentido de la cláusula 18.
d) Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
e) El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.
f) El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.
Cláusula 12 Responsabilidad
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO CUATRO: transferencia de encargado a responsable
a) Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.
b) Cada parte será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que la parte ocasione al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Ello se entiende sin perjuicio de la responsabilidad que le atribuye el Reglamento (UE) 2016/679 al exportador de datos.
c) Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.
d) Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra c), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.
e) El importador de datos no puede alegar la conducta de un encargado o subencargado del tratamiento para eludir su propia responsabilidad.
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
a) Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.
b) El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas.
c) A pesar de lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación.
d) Las partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra c), de los daños o perjuicios causados por el importador de datos (o su subencargado), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos.
e) Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.
f) Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.
g) El importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.
Cláusula 13 Supervisión
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
a) [Cuando el exportador de datos esté establecido en un Estado miembro de la UE:] La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente.
[Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679, de conformidad con el artículo 3, apartado 2, y haya nombrado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679:] La autoridad de control del Estado miembro en que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, indicada en el anexo I.C, actuará como autoridad de control competente.
[Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de la Comisión, de conformidad con el artículo 3, apartado 2, y no haya nombrado a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679 de la Comisión:] La autoridad de control de uno de los Estado miembros en que estén situados los interesados cuyos datos personales se transfieran en virtud del presente pliego de cláusulas en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado, indicada en el anexo I.C, actuará como autoridad de control competente.
b) El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.
DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14 Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
MÓDULO CUATRO: Transferencia de encargado a responsable (solo si el encargado de la UE combina los datos personales recibidos del responsable del tercer país con los datos personales recopilados por el encargado en la UE)
a) Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
b) Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:
i) las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;
ii) el Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables (12);
iii) las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.
c) El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.
d) Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud.
e) El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a). [Módulo tres: El exportador de datos notificará al responsable.]
f) De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación [módulo tres:, si procede, tras consultar al responsable]. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone [módulo tres: el responsable o] la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e).
Cláusula 15 Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
MÓDULO CUATRO: Transferencia de encargado a responsable (solo si el encargado de la UE combina los datos personales recibidos del responsable del tercer país con los datos personales recopilados por el encargado en la UE)
15.1. Notificación
a) El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:
i) recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o
ii) tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.
[Módulo tres: El exportador de datos notificará al responsable.]
b) Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos.
c) En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.). [Módulo tres: El exportador de datos remitirá la información al responsable.]
d) El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.
e) Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.
15.2. Control de la legalidad y minimización de datos
a) El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos.
b) El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud. [Módulo tres: El exportador de datos pondrá la valoración a disposición del responsable.]
c) El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.
SECCIÓN IV: DISPOSICIONES FINALES
Cláusula 16 Incumplimiento de las cláusulas y resolución del contrato
a) El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.
b) En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f).
c) El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
ii) el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o
iii) el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.
En este supuesto, informará a la autoridad de supervisión competente [módulo tres: y al responsable] de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.
d) [Módulos uno, dos y tres: Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos.] [Módulo cuatro: Los datos personales recopilados por el exportador de datos en la UE que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán destruirse en su totalidad inmediatamente, así como cualquier copia de estos.] El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.
e) Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
Cláusula 17 Ley aplicable
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de los terceros beneficiarios. Las Partes acuerdan que esta es la ley según está definida en los Términos.
MÓDULO CUATRO: transferencia de encargado a responsable
El presente pliego de cláusulas se regirá por el Derecho de un país que contemple los derechos de los terceros beneficiarios. Las Partes acuerdan que esta es la ley según está definida en los Términos.
Cláusula 18 Elección del foro y jurisdicción
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
a) Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.
(b) Las Partes acuerdan que estos serán los tribunales según están definidos en los Términos.
c) Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual.
d) Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.
MÓDULO CUATRO: transferencia de encargado a responsable
Cualquier disputa derivada de estas Cláusulas deberá ser resuelta por los tribunales según están definidos en los Términos.
APÉNDICE
NOTA ACLARATORIA: Se debe poder distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, por tanto, determinar la función o funciones respectivas de las partes en cuanto exportador(as) de datos y/o importador(as) de datos. No es imprescindible cumplimentar y firmar apéndices separados por cada transferencia o categoría de transferencias y/o relación contractual si se puede lograr un nivel de transparencia equivalente cumplimentando un solo apéndice. No obstante, cuando sea necesario para garantizar claridad suficiente, deben utilizarse apéndices separados.
ANEXO I
A. LISTA DE PARTES
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
MÓDULO CUATRO: transferencia de encargado a responsable
Exportador(es) de datos: [Identidad y datos de contacto del exportador o exportadores de datos y, en su caso, del delegado de protección de datos de este o estos y/o del representante en la Unión Europea]
1. Responsable del tratamiento según está definido en el Acuerdo de tratamiento de datos
2. Encargado del tratamiento según está definido en el Acuerdo de tratamiento de datos
(según el flujo de datos)
Importador(es) de datos: [Identidad y datos de contacto del importador o importadores de datos, incluida cualquier persona de contacto responsable de la protección de los datos]
1. Responsable del tratamiento según está definido en el Acuerdo de tratamiento de datos
2. Encargado del tratamiento según está definido en el Acuerdo de tratamiento de datos
(según el flujo de datos)
B. DESCRIPCIÓN DE LA TRANSFERENCIA
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
MÓDULO CUATRO: transferencia de encargado a responsable
Categorías de interesados cuyos datos personales se transfieren: según están definidas en el Acuerdo de tratamiento de datos.
Categorías de datos personales transferidos: según están definidas en el Acuerdo de tratamiento de datos y la Política de privacidad.
Datos sensibles transferidos (si procede) y restricciones o garantías aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya hecho un curso especializado), un registro del acceso a los datos, restricciones a transferencias ulteriores o medidas de seguridad adicionales. según están definidas en el Acuerdo de tratamiento de datos y la Política de privacidad.
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de una vez o de forma periódica): de forma continua.
Naturaleza del tratamiento: automatizado.
Finalidad(es) de la transferencia y posterior tratamiento de los datos: prestación del servicio según está definida en los Términos, sus Anexos, su Política de privacidad y la documentación del servicio.
El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo: según están definidas en el Acuerdo de tratamiento de datos.
En caso de transferencia a (sub)encargados, especifíquese también el objeto, la naturaleza y la duración del tratamiento: según están definidas en el Acuerdo de tratamiento de datos.
C. AUTORIDAD DE CONTROL COMPETENTE
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
Indíquese la autoridad o autoridades de control competentes de conformidad con la cláusula 13: según están definidas en la Política de privacidad
ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS, EN ESPECIAL MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
MÓDULO UNO: transferencia de responsable a responsable
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
NOTA ACLARATORIA: Las medidas técnicas y organizativas deben describirse de manera concreta y no de manera genérica. Véase también el comentario general de la primera página del apéndice, especialmente en cuanto a la necesidad de indicar claramente qué medidas se aplican a cada transferencia o conjunto de transferencias.
Descripción de las medidas técnicas y organizativas aplicadas por los importadores de datos (inclusive las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas: según están definidas en la Política de seguridad
En el caso de las transferencias a (sub)encargados, descríbanse también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)encargado para poder prestar ayudar al responsable y, en el caso de transferencias de un encargado a un subencargado, al exportador de datos.
ANEXO III: LISTA DE SUBENCARGADOS DEL TRATAMIENTO
MÓDULO DOS: transferencia de responsable a encargado
MÓDULO TRES: transferencia de encargado a encargado
NOTA ACLARATORIA: Debe cumplimentarse este anexo respecto de los módulos dos y tres cuando sea necesaria la autorización específica de uno o más subencargados [cláusula 9, letra a), opción 1].
El responsable ha autorizado que se recurra a los subencargados siguientes: según está definido en el Acuerdo de tratamiento de datos
Referencias:
(1) Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe por cuenta de una institución u organismo de la Unión como responsable del tratamiento, se considera que la utilización del presente pliego de cláusulas al recurrir a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n. o 45/2001 y la Decisión n. o 1247/2002/CE (DO L295 de 21.11.2018, p. 39), en la medida en que estén armonizados el presente pliego de cláusulas y las obligaciones en materia de protección de datos que imponga el contrato u otro acto jurídico celebrado entre el responsable y el encargado con arreglo al artículo 29, apartado 3, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915.
(2) Para ello es necesario anonimizar los datos de tal manera que nadie pueda identificar a la persona, de conformidad con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso sea irreversible.
(3) El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.
(4) El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.
(5) Véase el artículo 28, apartado 4, del Reglamento (UE) 2016/679 y, cuando el responsable sea una institución u organismo de la UE, el artículo 29, apartado 4, del Reglamento (UE) 2018/1725.
(6) El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.
(7) En concreto, si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales.
(8) Este requisito podrá satisfacerse si el subencargado se adhiere al presente pliego de cláusulas, con elección del módulo correspondiente, con arreglo a la cláusula 7.
(9) Este requisito podrá satisfacerse si el subencargado se adhiere al presente pliego de cláusulas, con elección del módulo correspondiente, con arreglo a la cláusula 7.
(10) Dicho plazo podrá prorrogarse por un máximo de dos meses adicionales en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El importador de datos informará debidamente y con prontitud al interesado de cualquier prórroga de este tipo.
(11) El importador de datos solo podrá ofrecer una resolución independiente de los litigios a través de un órgano de arbitraje si está establecido en un país que haya ratificado el Convenio de Nueva York sobre la ejecución de laudos arbitrales.
(12) Por lo que se refiere al efecto de dicho Derecho y prácticas en el cumplimiento del presente pliego de cláusulas, a la hora de realizar una valoración integral de esta cuestión pueden tenerse en cuenta distintos aspectos. Uno de estos aspectos puede ser que haya experiencia práctica pertinente y documentada en casos anteriores de solicitudes de comunicación por parte de las autoridades públicas, o la ausencia de tales solicitudes, en un período suficientemente representativo. Con esto se quiere decir, en particular, los registros internos u otra documentación elaborados de forma continua con la diligencia debida y certificados en los niveles más altos de la dirección siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir el presente pliego de cláusulas, deberá estar respaldada por otros elementos pertinentes y objetivos; corresponde a las partes valorar minuciosamente si la suma de estos factores es suficientemente determinante, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las partes deben tener en cuenta si su experiencia práctica está corroborada y no se ve desmentida, por información que sea fiable y de dominio público o accesible de cualquier otro modo acerca de la existencia o ausencia de solicitudes en el mismo sector o acerca de la aplicación de la normativa de que se trate en la práctica, como jurisprudencia e informes de organismos de supervisión independientes.