Decisión de Ejecución (UE) 2021/915 de la Comisión, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo entre responsables y encargados del tratamiento contempladas en el artículo 28, apartado 7, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y en el artículo 29, apartado 7, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo

• Section: Serie L
• Issuing Organization: Comisión de las Comunidades Europeas

7.6.2021 ES Diario Oficial de la Unión Europea L 199/18

(1) Los conceptos de responsable y encargado del tratamiento desempeñan un papel crucial en la aplicación del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725. El «responsable del tratamiento» o «responsable» es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento. A efectos del Reglamento (UE) 2018/1725, se entiende por responsable del tratamiento la institución o el organismo o la dirección general u otra entidad organizativa de la Unión que, por sí sola o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales. Cuando los fines y medios de ese tratamiento se determinen en un acto específico de la Unión, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser establecidos por la Unión. El «encargado del tratamiento» o «encargado» es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

(2) Debe aplicarse el mismo conjunto de cláusulas contractuales tipo a la relación entre los responsables y los encargados del tratamiento sujetos al Reglamento (UE) 2016/679 y también cuando estén sujetos al Reglamento (UE) 2018/1725. Esto se justifica porque, en aras de un planteamiento coherente de protección de los datos personales en la Unión y de la libre circulación de datos personales en toda la Unión, las normas de protección de datos del Reglamento (UE) 2016/679, aplicables al sector público en los Estados miembros, y las normas de protección de datos del Reglamento (UE) 2018/1725, aplicables a las instituciones, órganos y organismos de la Unión, se armonizaron en la medida de lo posible.

(3) Con el fin de asegurar que se cumplan los requisitos del Reglamento (UE) 2016/679 y el Reglamento (UE) 2018/1725, cuando se encomienden actividades de tratamiento a un encargado, el responsable debe recurrir únicamente a encargados que ofrezcan garantías suficientes, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725, incluida la seguridad del tratamiento.

(4) El tratamiento por un encargado debe regirse por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o del Estado miembro, que vincule al encargado respecto del responsable y establezca los elementos enumerados en el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 o en el artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725. Dicho contrato o acto deberá recogerse por escrito; se puede hacer en formato electrónico.

(5) De conformidad con el artículo 28, apartado 6, del Reglamento (UE) 2016/679 y el artículo 29, apartado 6, del Reglamento (UE) 2018/1725, el responsable y el encargado pueden optar entre, bien negociar un contrato individual que contenga los elementos obligatorios establecidos en el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 o en el artículo 29, apartados 3 y 4, del Reglamento (UE) 2018/1725, respectivamente, bien utilizar, total o parcialmente, las cláusulas contractuales tipo fijadas por la Comisión con arreglo al artículo 28, apartado 7, del Reglamento (UE) 2016/679 y al artículo 29, apartado 7, del Reglamento (UE) 2018/1725.

(6) El responsable y el encargado del tratamiento deben tener discrecionalidad para incluir en un contrato más amplio las cláusulas contractuales tipo establecidas en la presente Decisión, así como para añadir otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, a las cláusulas contractuales tipo ni perjudiquen los derechos o libertades fundamentales de los interesados. Las obligaciones contractuales que tengan el responsable o el encargado de garantizar el respeto de los privilegios e inmunidades que sean de aplicación en nada se oponen a la utilización de las cláusulas contractuales tipo.

(7) Las cláusulas contractuales tipo deben disponer reglas tanto sustantivas como procedimentales. Además, de conformidad con el artículo 28, apartado 3, del Reglamento (UE) 2016/679 y el artículo 29, apartado 3, del Reglamento (UE) 2018/1725, las cláusulas contractuales tipo deben exigir al responsable y al encargado que establezcan el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.

(8) En virtud del artículo 28, apartado 3, del Reglamento (UE) 2016/679 y del artículo 29, apartado 3, del Reglamento (UE) 2018/1725, el encargado debe informar inmediatamente al responsable si, en su opinión, una instrucción del responsable infringe el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.

(9) Cuando un encargado recurra a otro encargado para llevar a cabo actividades específicas, deben aplicarse los requisitos específicos contemplados en el artículo 28, apartados 2 y 4, del Reglamento (UE) 2016/679 o en el artículo 29, apartados 2 y 4, del Reglamento (UE) 2018/1725. En concreto, se requiere una autorización previa general o específica por escrito. Con independencia de que la autorización previa sea general o específica, el encargado primero debe mantener actualizada la lista con el resto de encargados.

(10) Para cumplir los requisitos del artículo 46, apartado 1, del Reglamento (UE) 2016/679, la Comisión adoptó cláusulas contractuales tipo con arreglo al artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679. Estas cláusulas también cumplen los requisitos del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 en cuanto a las transferencias de datos que realicen responsables sujetos al Reglamento (UE) 2016/679 a encargados que se encuentren fuera del ámbito de aplicación territorial de dicho Reglamento o las que realicen encargados sujetos al Reglamento (UE) 2016/679 a subencargados que se encuentren fuera del ámbito de aplicación territorial de dicho Reglamento. Estas cláusulas contractuales tipo no pueden utilizarse como cláusulas contractuales tipo a efectos del capítulo V del Reglamento (UE) 2016/679.

(11) Los terceros deben poder convertirse en parte en las cláusulas contractuales tipo a lo largo del período de vigencia del contrato.

(12) El funcionamiento de las cláusulas contractuales tipo debe evaluarse como subparte de la evaluación periódica contemplada en el artículo 97 del Reglamento (UE) 2016/679.

(13) El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos fueron consultados de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725 y emitieron un dictamen conjunto el 14 de enero de 2021 (3), que se ha tenido en cuenta en la elaboración de la presente Decisión.

(14) Las medidas previstas en la presente Decisión se ajustan al dictamen del comité creado en virtud del artículo 93 del Reglamento (UE) 2016/679 y del artículo 96, apartado 2, del Reglamento (UE) 2018/1725.]

1. La finalidad de las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas») es garantizar que se cumpla [elíjase la opción pertinente: OPCIÓN 1: el artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del...