Secc. Sección II. Disposiciones aplicables a transferencias concretas
Art. Norma quinta
En vigor desde 5 ene 2001
1. Cuando la transferencia internacional tenga por destinatario una persona física o jurídica, pública o privada, situada en el territorio de un Estado no miembro de la Unión Europea, respecto del que no se haya declarado por la Comisión de las Comunidades Europeas la existencia de un nivel adecuado de protección o que no pertenezca al Espacio Económico Europeo y el transmitente se funde en alguno de los supuestos comprendidos en los apartados a) a j) del artículo 34 de la Ley Orgánica 15/1999, la Agencia de Protección de Datos podrá requerir al responsable del fichero para que aporte la documentación que justifique su alegación.
2. En caso de que la transferencia no se fundamente en alguno de los supuestos a los que se refiere el apartado anterior, o cuando esta circunstancia no haya quedado debidamente acreditada, será necesario recabar la autorización del Director de la Agencia de Protección de Datos, conforme a lo dispuesto en el artículo 33 de la Ley Orgánica 15/1999.
Sin perjuicio de lo establecido en el apartado 7 de esta norma, dicha autorización será otorgada en caso de que el responsable del fichero aporte un contrato escrito, celebrado entre el transmitente y el destinatario, en el que consten las necesarias garantías de respeto a la protección de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos.
El citado contrato deberá contener, al menos, las siguientes menciones:
a) La identificación del transmitente y el destinatario de los datos.
b) La indicación de la finalidad que justifica la transferencia internacional, así como de los datos que son objeto de la transferencia.
c) El compromiso del transmitente de que la recogida y tratamiento de los datos en territorio español respeta íntegramente las normas contenidas en la Ley Orgánica 15/1999 y que el fichero en que se encuentran los datos objeto de la transferencia está inscrito en el Registro General de Protección de Datos o se ha solicitado su inscripción.
d) El compromiso del destinatario de que los datos recibidos serán tratados exclusivamente para la finalidad que motiva la transferencia, así como que procederá a su tratamiento de acuerdo con las normas de protección de datos del derecho español. Asimismo, el destinatario deberá comprometerse a no comunicar los datos a ningún tercero en tanto no haya sido recabado el consentimiento del afectado para ello.
e) Que el destinatario adoptará las medidas de seguridad requeridas por la normativa de protección de datos de carácter personal vigente en España.
f) Que el transmitente y el destinatario responderán solidariamente frente a los particulares, a la Agencia de Protección de Datos y a los Órganos Jurisdiccionales españoles por los eventuales incumplimientos del contrato en que pudiera incurrir el receptor, cuando los mismos sean constitutivos de infracción de lo dispuesto en la Ley Orgánica 15/1999 o produzcan un perjuicio a los afectados.
g) Que se indemnizará al afectado que resulte perjudicado como consecuencia del tratamiento efectuado por el destinatario, según el régimen de responsabilidad al que se refiere el apartado anterior.
h) La garantía de que el afectado podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición, tanto ante el transmitente como ante el destinatario de los datos. Asimismo, deberá indicarse que el interesado podrá recabar la tutela de la Agencia de Protección de Datos en los supuestos previstos en la Ley Orgánica 15/1999 en caso de que sus derechos no sean atendidos.
i) El compromiso del destinatario de los datos de autorizar el acceso al establecimiento donde se estén tratando los mismos, así como a la documentación y a los equipos físicos y lógicos, de representantes de la Agencia de Protección de Datos o de la entidad independiente en quien ésta delegue, cuando la Agencia lo requiera con el fin de verificar el cumplimiento de las obligaciones derivadas del contrato.
j) La obligación de que, una vez extinguida la relación contractual, los datos de carácter personal deberán ser destruidos o devueltos al transmitente, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transferencia.
k) Que los afectados podrán exigir el cumplimiento de lo estipulado en el contrato en todas aquellas cuestiones en que el mismo les resulte beneficioso.
3. Remitido el contrato, la Agencia de Protección de Datos podrá solicitar que en el mismo se introduzcan las modificaciones necesarias para garantizar el cumplimiento de los requisitos a los que se refieren los dos apartados anteriores, concediendo a tal efecto un plazo de diez días.
4. Transcurrido ese plazo sin que el contrato cumpla los requisitos previstos en los apartados 2 y 3 de esta norma, el Director de la Agencia de Protección de Datos denegará la transferencia solicitada.
5. Cuando el Director de la Agencia de Protección de Datos autorice la transferencia ordenará su inscripción en el Registro General de Protección de Datos y procederá a su comunicación a la Comisión de las Comunidades Europeas.
6. Surtirán el mismo efecto jurídico los contratos que pudieran celebrarse en el futuro al amparo de lo que, en su caso, dispongan las Decisiones de la Comisión de las Comunidades Europeas que den cumplimiento a lo establecido en el artículo 26.4 de la Directiva 95/46/CE, siempre que se acredite su íntegro cumplimiento.
7. Sin perjuicio de lo dispuesto en los apartados anteriores de esta norma y en la norma segunda, el Director de la Agencia de Protección de Datos podrá denegar o, en uso de la potestad que le otorga el artículo 37 f) de la Ley Orgánica 15/1999, suspender temporalmente, previa audiencia del transmitente, la transferencia, cuando concurra alguna de las circunstancias siguientes:
a) Que la situación de protección de los derechos fundamentales y libertades públicas en el país de destino o su legislación impidan garantizar el íntegro cumplimiento del contrato y el ejercicio por los afectados de los derechos que el contrato garantiza.
b) Que la entidad destinataria haya incumplido previamente las garantías establecidas en cláusulas contractuales de este tipo.
c) Que existan indicios racionales de que las garantías ofrecidas por el contrato no están siendo o no serán respetadas por el destinatario.
d) Que existan indicios racionales de que los mecanismos de aplicación del contrato no son o no serán efectivos.
e) Que la transferencia, o su continuación, en caso de haberse iniciado, pudiera crear una situación de riesgo de daño efectivo a los afectados.
Las resoluciones del Director de la Agencia de Protección de Datos por las que se deniegue o suspenda una transferencia internacional de datos en virtud de las causas a las que se refiere este apartado serán notificadas a la Comisión de las Comunidades Europeas cuando así sea exigible.
8. Contra las resoluciones del Director de la Agencia de Protección de Datos cabrá interponer potestativamente recurso previo de reposición o recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli/es/ins/2000/12/01/1#norma-quinta