Apéndice sobre tratamiento de datos y cláusulas contractuales tipo
1. RECITAL
El presente Apéndice sobre Tratamiento de Datos [en lo sucesivo: "APD"] se celebra por y entre Instant EU GDPR Representative LTD, una sociedad limitada, registrada en Dublín, Irlanda, con número de registro K78 X5P8 y GDPR Local LTD. una sociedad limitada, registrada en Brighton, Inglaterra, con número de registro 12969035, denominadas colectivamente las "Partes" e individualmente la "Parte".
CONSIDERANDO QUE
(a) Instant EU GDPR Representative LTD actúa como Controlador de Datos, tal como se define en la Sección 2 de esta DPA;
(b) GDPR Local LTD actúa como Procesador de Datos, tal como se define en la Sección 2 de esta DPA;
(c) Las Partes tratan de aplicar un acuerdo de tratamiento de datos que cumpla con los requisitos del marco jurídico vigente en relación con el tratamiento de datos y con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales;
(d) Las Partes desean establecer sus derechos y obligaciones.
El presente APD, incluidos sus anexos, complementa y forma parte del Acuerdo escrito [en lo sucesivo, el "Acuerdo"], cuando el Acuerdo se celebra entre el Responsable del tratamiento y un cliente del Responsable del tratamiento con el fin de prestar servicios de Responsable del tratamiento, tal como se definen en la cláusula 2, tal como se definen en la cláusula 2 del presente APD.
2. DEFINICIONES
Las definiciones en mayúsculas no definidas de otro modo en el presente documento tendrán el significado que se les atribuye en el Reglamento General de Protección de Datos (2016/679) del Parlamento Europeo y del Consejo.
A efectos de interpretación del presente Addendum, los siguientes términos tendrán el significado que se indica a continuación:
"Ley(es) aplicable(s)" significa toda la legislación aplicable sobre protección de datos, privacidad y marketing electrónico, incluyendo (según corresponda) el GDPR, la Ley de Protección de Datos del Reino Unido de 2018 y el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003, así como cualquier ley equivalente en cualquier parte del mundo, en la medida en que cualquiera de dichas leyes se aplique a los Datos Personales que serán procesados a continuación por el Procesador de Datos;
"Responsable del tratamiento" es la entidad que determina los medios y la finalidad del tratamiento de los Datos Personales;
"Servicios de Controlador de Datos" significa Servicios de Representante de la UE, Consultoría GDPR y servicios asociados;
"Encargado del tratamiento" se refiere a la entidad que procesa Datos Personales en nombre del Responsable del tratamiento;
"Servicios de Procesamiento de Datos" se refiere a los Servicios de Representación del Reino Unido;
" GDPR " significa Reglamento General de Protección de Datos de la UE 2016/679 del Parlamento Europeo y del Consejo y cualquier modificación, sustitución o suplemento posterior.
" Por " Datos Personales " se entenderá cualquier información que identifique, se refiera, describa, pueda asociarse o pueda razonablemente relacionarse, directa o indirectamente, con una persona física identificada o identificable, y que sea tratada por el Encargado del Tratamiento en nombre del Responsable del Tratamiento de conformidad con los Servicios del Responsable del Tratamiento o en relación con los mismos;
"Servicios de Procesamiento" significa cualquier servicio prestado por el Procesador de Datos al Controlador de Datos, incluyendo cualquier servicio de almacenamiento, software o plataforma, en virtud de un acuerdo, orden de compra, licencia o suscripción.
"Servicios" significa Servicios de Controlador de Datos y Servicios de Procesador de Datos colectivamente;
"Cláusulas contractuales tipo": las cláusulas contractuales tipo para la transferencia de datos personales a encargados o subencargados del tratamiento establecidos en terceros países, adoptadas por la Comisión Europea cada cierto tiempo en virtud del GDPR, según proceda, y todos los anexos y apéndices relacionados, que en conjunto forman parte integrante del presente APD y se adjuntan como Anexo 2 (ANEXO 2: CLÁUSULAS CONTRACTUALES TIPO ) , que pueden actualizarse periódicamente;
" Subprocesador" significa cualquier tercero contratado directamente por el Procesador de Datos para procesar cualquier Dato Personal de conformidad con o en relación con los Servicios del Procesador de Datos. El término no incluirá a los empleados o contratistas del Procesador de Datos;
3. ÁMBITO DEL TRATAMIENTO
3.1. El Encargado del Tratamiento tratará los Datos Personales según lo descrito enAnexo 1 ( ANEXO 1: DETALLE DEL TRATAMIENTO DE DATOS PERSONALES) adjunto al presente documento;
3.2. El Encargado del Tratamiento tratará los Datos Personales en calidad de Encargado o Subencargado del Tratamiento que actúa por cuenta del Responsable del Tratamiento como Responsable o Encargado del Tratamiento de dichos Datos Personales, según proceda;
3.3. Por la presente, el Responsable del tratamiento da instrucciones al Procesador de datos para que procese los Datos personales únicamente para los fines limitados de la prestación de los Servicios del Procesador de datos y exclusivamente en beneficio del Responsable del tratamiento;
3.4. El Procesador de Datos solo procesará los Datos Personales de conformidad con (i) los términos de este APD, (ii) los términos del Acuerdo entre las Partes, (iii) únicamente bajo instrucciones documentadas del Controlador de Datos, a menos que el procesamiento sea requerido por las Leyes Aplicables (en cuyo caso, el Procesador de Datos debe informar al Controlador de Datos por adelantado de dicho requerimiento, a menos que la ley lo prohíba), y (iv) en cumplimiento con todas las Leyes Aplicables;
3.5. El responsable del tratamiento notificará al responsable del tratamiento sin demora indebida si determina que ya no puede cumplir las instrucciones del responsable del tratamiento o sus obligaciones en virtud del presente APD.
4. SUBPROCESAMIENTO
4.1. El Procesador de Datos no subcontratará ningún procesamiento de Datos Personales a ningún tercero adicional sin el consentimiento previo por escrito del Controlador de Datos en relación con cada una de dichas actividades de subcontratación y terceros. No obstante lo anterior, el responsable del tratamiento autoriza al encargado del tratamiento a contratar a subencargados sin limitación alguna para los fines limitados de tratamiento de datos personales que sean estrictamente necesarios para el cumplimiento de las obligaciones del encargado del tratamiento en virtud del contrato, siempre que el encargado del tratamiento:
- notifique por escrito al Responsable del tratamiento con una antelación mínima de treinta (30) días su intención de contratar o sustituir a un Subencargado del tratamiento. Dicha notificación se enviará a la persona de contacto designada por el Responsable del Tratamiento, y deberá incluir como mínimo: (i) el nombre del Subencargado; (ii) el tipo de Datos Personales tratados por dicho Subencargado y con qué fines; (iii) la descripción de los interesados cuyos Datos Personales serán Tratados por dicho Subencargado, y (iv) la ubicación del Tratamiento de Datos realizado por dicho Subencargado;
- lleva a cabo el nivel de diligencia debida necesario para garantizar que dicho subprocesador puede cumplir los requisitos del presente APD y cualquier legislación aplicable; y
- garantice que el acuerdo entre el Procesador de Datos y el Subencargado del Tratamiento se rige por un contrato escrito vinculante para el Subencargado del Tratamiento, que (i) exija al Subencargado del Tratamiento que procese los Datos Personales de conformidad con la presente DPA o con normas que no sean menos onerosas que la presente DPA; y (ii) incluya y se base en las Cláusulas Contractuales Tipo, que formarán parte del contrato entre el Procesador de Datos y sus Subencargados y serán vinculantes tanto para el Procesador de Datos como para su Subencargado, en la medida en que cualquier Dato Personal pueda ser Procesado por dicho Subencargado fuera del EEE.
4.2. El Responsable del Tratamiento podrá oponerse a la contratación de cualquier Subencargado del Tratamiento por motivos razonables de privacidad, protección de datos o seguridad. En tal caso, el Responsable del Tratamiento sólo contratará a un Subencargado del Tratamiento para la prestación de los Servicios de Encargado del Tratamiento al Responsable del Tratamiento tras haber completado una evaluación de riesgos adecuada y haberse asegurado de que se aplican los controles técnicos y organizativos apropiados. En caso de que el responsable del tratamiento se oponga a la contratación del subencargado, el responsable del tratamiento podrá resolver o suspender su contrato con el encargado del tratamiento, con efecto inmediato y sin penalización alguna.
4.3. El Encargado del Tratamiento seguirá siendo plenamente responsable ante el Responsable del Tratamiento en todo momento del cumplimiento de cualquiera de las obligaciones de sus Subencargados y de sus actividades de tratamiento relativas a los Datos Personales.
5. PERSONAL DEL PROCESADOR DE DATOS
5.1. En la medida en que lo permita la legislación aplicable, el Procesador de Datos llevará a cabo una investigación de antecedentes adecuada de todos los empleados o contratistas del Procesador de Datos y que puedan tener acceso a Datos Personales [en adelante: "Personal del Procesador de Datos"] , antes de permitirles dicho acceso. Si la investigación de antecedentes revela que el Personal del Procesador de Datos no es apto para acceder a Datos Personales, entonces el Procesador de Datos no proporcionará al Personal del Procesador de Datos acceso a Datos Personales.
5.2. El Procesador de Datos se asegurará de que todo el Personal del Procesador de Datos: (i) tenga acceso únicamente cuando sea necesario a los efectos de prestar al Controlador de Datos los Servicios del Procesador de Datos y cumplir con las Leyes Aplicables; (ii) esté contractualmente vinculado a requisitos de confidencialidad no menos onerosos que este APD; (iii) reciba formación adecuada sobre privacidad y seguridad; (iv) sea informado de la naturaleza confidencial de los Datos Personales, y se le exija mantener su confidencialidad; y (v) sea consciente de los deberes y obligaciones del Procesador de Datos en virtud de este APD.
6. SEGURIDAD
6.1. El Procesador de Datos declara y garantiza que ha implementado y mantendrá las medidas técnicas, físicas y organizativas apropiadas para proteger los Datos Personales contra pérdida accidental o ilícita, alteración, destrucción, divulgación o acceso no autorizados y, en particular, cuando el procesamiento implique la transmisión de datos a través de una red, contra todas las formas ilícitas anticipadas de procesamiento.
6.2. Teniendo en cuenta el estado de la técnica y el coste de su aplicación, el Procesador de Datos acuerda y garantiza que dichas medidas garantizarán un nivel de seguridad adecuado a los riesgos que presenta el tratamiento (incluidos los riesgos de violación de los Datos Personales), y la naturaleza de los Datos Personales que deben protegerse, y sin limitación garantizará que dichas medidas incluyan:
- la seudonimización y/o encriptación de los Datos Personales, en tránsito y en reposo;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento;
- la capacidad de restablecer oportunamente la disponibilidad y el acceso a los Datos Personales en caso de incidente físico o técnico; y
- un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
6.3. El Encargado del Tratamiento mantendrá registros de sus actividades de tratamiento realizadas por cuenta del Responsable del Tratamiento, que incluirán como mínimo:
- los detalles del Procesador de Datos como Procesador de Datos Personales , cualesquiera representantes, Subprocesadores, responsables de protección de datos y Personal del Procesador de Datos que tengan acceso a Datos Personales;
- las categorías de actividades de tratamiento realizadas;
- información relativa a las transferencias transfronterizas de datos (tal y como se especifica en la Sección 11 de esta DPA), si las hubiera; y descripción de las medidas de seguridad técnicas y organizativas aplicadas con respecto a los Datos Personales procesados.
6.4. Sin perjuicio de los derechos de auditoría del responsable del tratamiento en virtud de la sección 10 (PROVISIÓN DE INFORMACIÓN Y ASISTENCIA), el responsable del tratamiento se reserva el derecho a inspeccionar en cualquier momento los registros mantenidos por el encargado del tratamiento en virtud de la presente sección 5 ( PERSONAL DEL ENCARGADO DEL TRATAMIENTO DE DATOS).
7. DERECHOS DEL INTERESADO
7.1. El Encargado del Tratamiento asistirá razonablemente al Responsable del Tratamiento en la respuesta a las solicitudes de ejercicio de los derechos de los Interesados o de los Consumidores (incluida cualquier reclamación relativa al tratamiento de Datos Personales) en virtud de la Legislación Aplicable, incluida, sin limitación, la Legislación de la UE en materia de Protección de Datos (" Solicitud(es) de los Interesados").
7.2. El responsable del tratamiento deberá:
- notificar sin demora al responsable del tratamiento si recibe una solicitud del interesado en relación con los datos personales;
- proporcionar plena cooperación y asistencia en relación con cualquier solicitud del interesado;
- asegurarse de que no responde a las solicitudes de los interesados salvo siguiendo las instrucciones documentadas del responsable del tratamiento o según lo exija estrictamente la legislación aplicable a la que esté sujeto el encargado del tratamiento; y
- Mantener registros electrónicos de las solicitudes de los interesados (en virtud de la legislación aplicable).
8. DIVULGACIÓN LEGAL Y VIOLACIÓN DE DATOS PERSONALES
8.1. El responsable del tratamiento notificará al responsable del tratamiento dentro de las 24 horas siguientes a tener conocimiento de:
- cualquier solicitud de divulgación de Datos Personales por parte de una Autoridad de Control y/o cualquier otra autoridad policial o judicial, a menos que lo prohíba la legislación penal que exija específicamente al Procesador de Datos preservar la confidencialidad de una investigación policial;
8.1.1. cualquier violación de Datos Personales razonablemente sospechada o conocida que afecte a Datos Personales. El encargado del tratamiento facilitará al responsable del tratamiento información suficiente para que éste pueda cumplir sus obligaciones de notificar o informar a los interesados o a las autoridades de protección de datos sobre la violación de datos personales con arreglo a la legislación aplicable. Salvo en la medida en que lo exija la ley, el responsable del tratamiento no hará ninguna declaración pública ni revelará de ningún otro modo una violación de datos personales que afecte a datos personales sin el consentimiento previo por escrito del responsable del tratamiento, que podrá otorgarlo, a discreción del responsable del tratamiento, caso por caso.
8.2. El responsable del tratamiento facilitará al responsable del tratamiento los siguientes datos, en la medida de lo posible:
- La naturaleza de la violación de los datos personales, incluidas las categorías de interesados afectados y las categorías de datos personales y registros de datos afectados;
- Las medidas propuestas o adoptadas por el encargado del tratamiento en cooperación con el responsable del tratamiento para hacer frente a la violación de los datos personales; y
- Las medidas que el responsable del tratamiento podría adoptar para mitigar los posibles efectos adversos de la violación de los datos personales.
8.3. El Procesador de Datos tomará todas las medidas necesarias para investigar cualquier sospecha o violación real de Datos Personales y mitigar cualquier daño relacionado.
8.4. El encargado del tratamiento cooperará plenamente con el responsable del tratamiento y adoptará las medidas que le indique el responsable del tratamiento para contribuir a la investigación, mitigación y reparación de cada una de dichas violaciones de datos personales.
9. SUPRESIÓN O DEVOLUCIÓN DE DATOS PERSONALES
9.1. A la expiración o terminación de la prestación de los servicios del Procesador de Datos, el Procesador de Datos, a elección del Controlador de Datos, eliminará o devolverá sin demora todas las copias de Datos Personales en su posesión o control o en el de cualquiera de sus Subprocesadores, excepto cuando se requiera su conservación de conformidad con la Legislación Aplicable. En tal caso, el Procesador de Datos garantiza que garantizará la confidencialidad de los Datos Personales y que ya no procesará activamente los Datos Personales y garantizará la devolución y/o destrucción de los Datos Personales según lo solicite el Controlador de Datos cuando la obligación legal de no devolver o destruir la información ya no esté vigente.
9.2. Previa solicitud por escrito del responsable del tratamiento, el responsable de la protección de datos o equivalente del encargado del tratamiento certificará por escrito al responsable del tratamiento que éste ha cumplido plenamente lo dispuesto en la presente sección.
10. SUMINISTRO DE INFORMACIÓN Y ASISTENCIA
El Procesador de Datos cooperará y ayudará razonablemente al Controlador de Datos con cualquier evaluación de impacto de protección de datos, consultas previas con respecto a las autoridades competentes de protección de datos pertinentes y con cualquier otra asistencia relacionada con el cumplimiento de las obligaciones del Controlador de Datos de conformidad con el GDPR y otras Leyes Aplicables. El alcance de dicha asistencia se limitará al tratamiento de los datos personales por parte del responsable del tratamiento.
11. DERECHOS DE AUDITORÍA
11.1.El Encargado del Tratamiento pondrá sin demora a disposición del Responsable del Tratamiento, previa solicitud por escrito, toda la información necesaria para demostrar el cumplimiento del presente APD y de la Legislación Aplicable, incluidas las certificaciones de auditoría de terceros estándar del sector.
11.2.El responsable del tratamiento permitirá y contribuirá a las auditorías, incluidas las inspecciones, del responsable del tratamiento y/o de un auditor encargado por el responsable del tratamiento. En cualquier caso, un auditor externo estará sujeto a obligaciones de confidencialidad. El responsable del tratamiento podrá oponerse a la selección de un auditor si considera razonablemente que el auditor no garantiza la confidencialidad, la seguridad o pone en peligro la actividad del responsable del tratamiento.
12. TRANSFERENCIA TRANSFRONTERIZA DE DATOS
12.1.Los Datos Personales podrán transferirse desde la Unión Europea ("UE") a países que ofrezcan niveles adecuados de protección de datos en virtud de las decisiones de adecuación publicadas por los organismos competentes de la UE ("Decisiones de Adecuación"), según proceda, sin que sea necesaria ninguna otra salvaguardia;
12.2.Si el Procesamiento de Datos Personales por parte del Procesador de Datos incluye transferencias desde la UE a otros países que no han sido objeto de una Decisión de Adecuación relevante, y dichas transferencias no se realizan a través de un mecanismo de cumplimiento reconocido alternativo que pueda adoptar el Procesador de Datos para la transferencia legal de datos personales según se define en el GDPR, entonces se aplicarán las Cláusulas Contractuales Estándar;
12.3.Cuando la transferencia de Datos Personales se efectúe con sujeción a las Cláusulas Contractuales Tipo, éstas serán cumplimentadas y firmadas simultáneamente a la ejecución del presente APD por el Responsable del Tratamiento y el Encargado del Tratamiento. El Procesador de Datos se asegurará de que cada Subprocesador involucrado en el procesamiento de dichos Datos Personales cumpla con las obligaciones del Procesador de Datos de las CEC y el Controlador de Datos cumplirá con las obligaciones del Controlador de Datos, en cada caso bajo las Cláusulas Contractuales Estándar aplicables. Si así lo solicita el Responsable del Tratamiento, el Encargado del Tratamiento garantizará y procurará que su(s) Subencargado(s) del Tratamiento suscriba(n) directamente Cláusulas Contractuales Tipo con el Responsable del Tratamiento;
12.4.Las Cláusulas Contractuales Tipo no se aplicarán a los Datos Personales que se refieran a personas físicas situadas fuera del Reino Unido y del EEE, o que no se transfieran, ya sea directamente o mediante transferencia ulterior, fuera del EEE. En el caso de transferencias de datos procedentes de otros países fuera del Reino Unido y del EEE, el Procesador de Datos cumplirá todas las Leyes Aplicables del territorio de origen de los Datos Personales;
12.5.El Encargado del tratamiento facilitará al Responsable del tratamiento toda la información pertinente para que éste pueda cumplir sus obligaciones en caso de transferencias transfronterizas de Datos personales. El Responsable del Tratamiento podrá oponerse a la transferencia de Datos Personales en virtud de la presente Sección 11 ( DERECHOS DE AUDITORÍA) por motivos de privacidad y seguridad. En tal caso, el Procesador de Datos no efectuará dicha transferencia de Datos Personales o el Controlador de Datos podrá rescindir o suspender la prestación de Servicios de Procesamiento de Datos con efecto inmediato y sin penalización alguna.
13. INDEMNIZACIÓN
13.1.El Procesador de datos indemnizará, en la medida en que así lo disponga la Información personal identificable del Procesador de datos [en adelante: "13.1. El responsable del tratamiento indemnizará al responsable del tratamiento y a sus respectivos funcionarios, directores y empleados, y los defenderá y eximirá de toda responsabilidad, pérdida, costes, multas y gastos (incluidos los honorarios razonables de abogados) que surjan en relación con (i) el tratamiento ilegal o no autorizado, la destrucción o el daño de cualquier dato personal por parte del responsable del tratamiento; y/o (ii) el incumplimiento por parte del Procesador de datos (incluido el Personal del Procesador de datos y los Subprocesadores del Procesador de datos) de sus obligaciones en virtud del presente APD, el Acuerdo existente o cualquier instrucción adicional sobre dicho Procesamiento dada por escrito por el Controlador de datos de conformidad con el presente APD.
14. VARIOS
14.1.El presente APD, incluidas las CEC adjuntas, podrá ejecutarse en copias, cada una de las cuales se considerará un original, pero todas juntas se considerarán un único y mismo acuerdo. La entrega de una contraparte ejecutada de una página de firma de este APD por fax o por correo electrónico de una copia escaneada, o la ejecución y entrega a través de un servicio de firma electrónica (como DocuSign), será efectiva como entrega de una contraparte original ejecutada de este APD.
14.2.Separación: En caso de que cualquier disposición de este DPA se determine inválida o inaplicable, el resto de este DPA seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) modificada en la medida necesaria para garantizar su validez y aplicabilidad, preservando en la medida de lo posible las intenciones de las Partes o, si esto no fuera posible, (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado contenida en ella.
14.3.Notificaciones: Todas las notificaciones requeridas en virtud del presente APD se enviarán al Responsable del Tratamiento por correo electrónico.
14.4.Las notificaciones al Responsable del Tratamiento se enviarán a: [email protected]
14.5.Orden de Precedencia: En caso de conflicto entre los términos de este APD y otros documentos vinculantes para las Partes, los términos de estos documentos se interpretarán de acuerdo con el siguiente orden de precedencia: (i) las Cláusulas Contractuales Tipo, únicamente en la medida aplicable de conformidad con la Sección 11 anterior; (ii) este APD; (iii) cualquier término de acuerdo, órdenes de compra, licencia o suscripción, en virtud de los cuales se presten los Servicios del Procesador de Datos.
14.6.Modificaciones por parte del encargado del tratamiento: el encargado del tratamiento podrá solicitar por escrito al responsable del tratamiento, mediante notificación previa por escrito con una antelación mínima de cuarenta y cinco (45) días naturales, cualquier modificación del presente Acuerdo de colaboración en materia de protección de datos que resulte necesaria como consecuencia de cualquier cambio en la legislación en materia de protección de datos o de una decisión de una autoridad competente en virtud de dicha legislación, para permitir que el tratamiento de los datos personales se realice (o continúe realizándose) sin infringir la legislación en materia de protección de datos. Tras dicha notificación, las Partes discutirán sin demora las modificaciones propuestas y negociarán de buena fe con vistas a acordar y aplicar dichas modificaciones o modificaciones alternativas diseñadas para abordar los requisitos legales identificados en la notificación del procesador de datos tan pronto como sea razonablemente factible.
14.7.Modificaciones por parte del Responsable del tratamiento: el Responsable del tratamiento podrá, mediante notificación por escrito al Encargado del tratamiento con una antelación mínima de treinta (30) días naturales, modificar los términos del presente APD y/o las cláusulas contractuales tipo aplicables de conformidad con la sección 11 del presente APD, según sea necesario para permitir que el tratamiento de datos personales se realice (o continúe realizándose) sin infringir la legislación aplicable en materia de protección de datos, o para proteger de otro modo los intereses del Responsable del tratamiento, en cada caso según determine razonablemente el Responsable del tratamiento a su discreción. Si el responsable del tratamiento se opone a dichas modificaciones dentro del plazo de preaviso, las Partes debatirán sin demora las modificaciones propuestas y negociarán de buena fe con vistas a acordar y aplicar dichas modificaciones o modificaciones alternativas diseñadas para abordar los requisitos identificados en la notificación del responsable del tratamiento tan pronto como sea razonablemente factible. En caso de que las Partes no puedan llegar a un acuerdo en el plazo de 30 días a partir de dicha notificación, el Responsable del tratamiento podrá, mediante notificación por escrito a la otra Parte, con efecto inmediato y sin penalización alguna, rescindir el Contrato en la medida en que se refiera a los Servicios del encargado del tratamiento que se vean afectados por las modificaciones propuestas (o por la ausencia de las mismas).
EN FE DE LO CUAL, el presente APD se celebra y adquiere carácter vinculante entre las Partes con efecto a partir de la fecha indicada en primer lugar.
| En nombre del Interventor: |
| Nombre completo: Adam Brogden |
| Cargo: Director |
| Dirección: Office 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irlanda |
| Otra información necesaria para que el contrato sea vinculante (en su caso): |
| Firma: Adam Brogden |
| En nombre del tramitador: |
| Nombre completo: Zlatko Delev |
| Cargo: Jefe de Equipo de Cumplimiento |
| Dirección: 1st Floor Front Suite, 27-29 North Street, Brighton, Inglaterra BN1 1EB |
| Otra información necesaria para que el contrato sea vinculante (en su caso): |
| Firma: Zlatko Delev |
ANEXO 1: DETALLES DEL TRATAMIENTO DE DATOS PERSONALES
Este Anexo 1 incluye determinados detalles sobre el tratamiento de Datos Personales.
Descripción de los servicios del importador de datos: tratamiento de datos personales del exportador de datos con el fin de prestar servicios, tal como se definen en la cláusula 2 de la presente DPA.
Duración del tratamiento: mientras se presten los Servicios del Importador de Datos.
La naturaleza y el propósito del procesamiento: la naturaleza y el propósito del procesamiento es proporcionar los servicios para nuestro cliente con el fin de cumplir con la Ley de Protección de Datos del Reino Unido, el GDPR y las regulaciones de protección de datos relacionadas.
Tipos de datos personales tratados: Los datos que se tratarán incluyen los datos de contacto del Exportador de datos y de los interesados, además de los datos relacionados con la tramitación de solicitudes, reclamaciones y otras interacciones derivadas de la prestación de los servicios. Esto incluye: nombre del interesado , datos de contacto, correo electrónico, número de teléfono, datos de pago, dirección de facturación e interacciones por correo electrónico / teléfono / correo postal, etc. .....
ANEXO 2: CLÁUSULAS CONTRACTUALES TIPO
(Controlador a procesadores)
Cláusula 1: Objeto y ámbito de aplicación:
(a) El Exportador de Datos y el Importador de Datos, según se define a continuación, o en otro acuerdo o adenda que rija efectivamente el tratamiento de Datos Personales por parte del Importador de Datos por cuenta del Exportador de Datos, incluidos todos los anexos, pruebas y apéndices de los mismos, cada uno de ellos una "Parte"; y colectivamente las "Partes", han acordado las siguientes Cláusulas Contractuales ("Cláusulas") con el fin de ofrecer garantías adecuadas con respecto a la protección de la intimidad y de los derechos y libertades fundamentales de las personas para la transferencia por el Exportador de Datos al Importador de Datos de los datos personales especificados en el Anexo.I.
(b) El Apéndice de estas Cláusulas que contiene los Anexos a los que se hace referencia en el mismo forma parte integrante de estas Cláusulas.
Definiciones
Las definiciones en mayúsculas que no se definan de otro modo en el presente documento tendrán el significado que se les atribuye en el GDPR y en la DPA. Salvo que se modifiquen o complementen a continuación, las definiciones de la APD seguirán en pleno vigor y efecto.
A efectos de las Cláusulas:
"Exportador de datos" se refiere a la entidad, con sede en la UE/EEE o en un tercer país, que transfiere los Datos Personales;
"Importador de datos" se refiere a la entidad de un tercer país que recibe los Datos Personales del Exportador de Datos;
"El Subencargado del tratamiento" se refiere a cualquier encargado del tratamiento contratado por el Importador de datos o por cualquier otro Subencargado del Importador de datos que acepte recibir del Importador de datos o de cualquier otro Subencargado del Importador de datos datos datos personales destinados exclusivamente a actividades de tratamiento que se llevarán a cabo en nombre del Exportador de datos tras la transferencia de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
"Medidas de seguridad técnicas y organizativas": aquellas medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento.
Cláusula 2: Efecto e invariabilidad de las cláusulas
(a) Las presentes Cláusulas establecen salvaguardias adecuadas, incluidos derechos exigibles de los interesados y recursos jurídicos efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del RGPD y, con respecto a las transferencias de datos de responsables a encargados del tratamiento, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del RGPD, siempre que no se modifiquen. Esto no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o salvaguardias adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
(b) Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el Exportador de Datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3: Terceros beneficiarios
(a) Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al Exportador de Datos y/o al Importador de Datos, con las siguientes excepciones:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8.1(b), 16(a), (c), (d) y (e);
(iii) Cláusula 17(a), (c), (d) y (e);
(iv) Cláusula 20(a), (d) y (f);
(v) Cláusula 21;
(vi) Cláusula 23.1(c), (d) y (e);
(vii) Cláusula 24(e);
(viii) Cláusula 26(a) y (b);
(b) El apartado a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.
Cláusula 4: Interpretación
(a) Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del GDPR.
(b) Estas Cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el GDPR.
Artículo 5: Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.
Cláusula 6: Descripción de la transferencia
Los detalles de la transferencia, y en particular las categorías de Datos Personales que se transfieren y la finalidad para la que se transfieren, se especifican en el Anexo I.B.
Cláusula 7 - Cláusula de atraque
(a) Una entidad que no sea Parte en las presentes Cláusulas podrá, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el Apéndice y firmando el Anexo I.A.
(b) Una vez que haya cumplimentado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de las presentes Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de conformidad con su designación en el Anexo I.A.
(c) La entidad adherente no tendrá ningún derecho u obligación derivados de estas Cláusulas desde el periodo anterior a convertirse en Parte.
Cláusula 8: Instrucciones
(a) El importador de datos procesará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la vigencia del contrato.
(b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.
Cláusula 9: Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el Anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.
Cláusula 10: Transparencia
Previa solicitud, el Exportador de Datos pondrá gratuitamente a disposición del Interesado una copia de las presentes Cláusulas, incluido el Apéndice cumplimentado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los Datos Personales, el Exportador de Datos podrá suprimir parte del texto del Apéndice de las presentes Cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el Sujeto de los Datos no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del RGPD.
Artículo 11: Precisión
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora injustificada. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.
Cláusula 12: Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos sólo tendrá lugar durante el periodo especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados por cuenta del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados por cuenta suya y suprimirá las copias existentes. Hasta que los datos sean borrados o devueltos, el Importador de Datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de que la legislación local aplicable al Importador de datos prohíba la devolución o eliminación de los datos personales, el Importador de datos garantiza que seguirá garantizando el cumplimiento de las presentes Cláusulas y que sólo los tratará en la medida y durante el tiempo que exija dicha legislación local. Esto se entiende sin perjuicio de la cláusula 22, en particular el requisito de que el importador de datos, en virtud de la cláusula 22 (e), notifique al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la cláusula 22 (a).
Cláusula 13: Seguridad del tratamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección frente a quebrantamientos de la seguridad que provoquen la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de dichos datos [en lo sucesivo, "quebrantamiento de los datos personales"]. Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos que entraña el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado concreto permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que dichas medidas siguen proporcionando un nivel de seguridad adecuado.
(b) El importador de datos concederá acceso a los datos personales a los miembros de su personal sólo en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Garantizará que las personas autorizadas a tratar los Datos Personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.
(c) En caso de violación de datos personales relativos a datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora injustificada tras haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, cuando proceda, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información de que se disponga en ese momento y, posteriormente, a medida que se vaya disponiendo de ella, se facilitará más información sin demora injustificada.
(d) El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir las obligaciones que le impone el RGPD, en particular la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
Cláusula 14: Datos sensibles
Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, "datos sensibles"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.
Cláusula 15: Transferencias ulteriores
El importador de datos sólo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán ser revelados a un tercero situado fuera de la Unión Europea (en el mismo país que el Importador de Datos o en otro tercer país, en lo sucesivo "transferencia ulterior") si el tercero está o acepta estar vinculado por estas Cláusulas, o si:
(i) la transferencia ulterior se realiza a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del RGPD que cubre la transferencia ulterior;
(ii) el tercero garantice de otro modo las garantías adecuadas con arreglo a los artículos 46 o 47 del RGPD con respecto al tratamiento en cuestión;
(iii) la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
(iv) la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.
Toda transferencia ulterior está sujeta al cumplimiento por parte del Importador de Datos de todas las demás salvaguardias previstas en las presentes Cláusulas, en particular la limitación de la finalidad.
Cláusula 16: Documentación y conformidad
(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá por sí mismo a dicha solicitud a menos que haya sido autorizado para ello por el exportador de datos.
(b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos con arreglo al RGPD. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.
(c) En el cumplimiento de sus obligaciones en virtud de los párrafos (a) y (b), el Importador de datos cumplirá las instrucciones del Exportador de datos.
(d) El importador de datos permitirá y contribuirá a que el exportador de datos realice auditorías de las actividades de tratamiento contempladas en las presentes cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Lo mismo se aplicará cuando el exportador de datos solicite una auditoría siguiendo instrucciones del responsable del tratamiento. A la hora de decidir la realización de una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
(e) Cuando la auditoría se lleve a cabo siguiendo instrucciones del responsable del tratamiento, el exportador de datos pondrá los resultados a disposición del responsable del tratamiento.
(f) El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.
(g) Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en las letras (b) y (c), incluidos los resultados de cualquier auditoría.
Cláusula 17: Utilización de subencargados del tratamiento
(a) El importador de datos no subcontratará ninguna de sus actividades de tratamiento realizadas en nombre del exportador de datos con arreglo a las presentes cláusulas a un subencargado del tratamiento sin la previa autorización específica por escrito del exportador de datos. El importador de datos presentará la solicitud de autorización específica al menos 30 días antes de la contratación del subencargado del tratamiento, junto con la información necesaria para que el exportador de datos pueda decidir sobre la autorización. La lista de los subencargados del tratamiento ya autorizados por el exportador de datos figura en el Anexo III. Las Partes mantendrán actualizado el Anexo III.
(b) Cuando el importador de datos contrate a un subencargado para que lleve a cabo actividades específicas de tratamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las que vinculan al importador de datos en virtud de las presentes cláusulas, incluso en términos de derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, mediante el cumplimiento de la presente cláusula, el importador de datos cumple las obligaciones que le incumben en virtud de la cláusula 15. El importador de datos se asegurará de que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.
(c) El importador de datos proporcionará al exportador de datos, a petición de éste, una copia de dicho acuerdo de subencargado del tratamiento y de cualquier modificación posterior. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los Datos Personales, el Importador de Datos podrá redactar el texto del acuerdo antes de compartir una copia.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho contrato.
(e) El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de facto, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado que borre o devuelva los datos personales.
Cláusula 18: Derechos del interesado
(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá por sí mismo a dicha solicitud a menos que haya sido autorizado para ello por el exportador de datos.
(b) b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos con arreglo al RGPD. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.
(c) (c) En el cumplimiento de sus obligaciones en virtud de los apartados (a) y (b), el importador de datos deberá atenerse a las instrucciones del exportador de datos.
Cláusula 19: Compensación
(a) El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tratará sin demora las reclamaciones que reciba de un interesado.
(b) En caso de litigio entre un interesado y una de las Partes en lo que respecta al cumplimiento de las presentes cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y en el momento oportuno. Las Partes se mantendrán mutuamente informadas sobre dichos litigios y, en su caso, cooperarán para resolverlos.
(c) Cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, el importador de datos aceptará la decisión del interesado de:
(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o de su lugar de trabajo, o ante la autoridad de control competente en virtud de la cláusula 21;
(ii) (ii) remitir el litigio a los tribunales competentes en el sentido de la cláusula 26.
(iii) d) Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del RGPD.
(iv) El importador de datos acatará una decisión que sea vinculante con arreglo a la legislación aplicable de la UE o de los Estados miembros.
(v) (f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación aplicable.
Cláusula 20: Responsabilidad
(a) Cada Parte será responsable ante la otra Parte de los daños y perjuicios que cause a la otra Parte por cualquier incumplimiento de estas Cláusulas.
(b) El Importador de Datos será responsable frente al Titular de los Datos, y éste tendrá derecho a ser indemnizado, por los daños materiales o inmateriales que el Importador de Datos o su subencargado causen al Titular de los Datos por la vulneración de los derechos de tercero beneficiario previstos en las presentes Cláusulas.
(c) No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subprocesador) cause al interesado por infringir los derechos de terceros beneficiarios en virtud de estas cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos es un procesador que actúa en nombre de un controlador, de la responsabilidad del controlador en virtud del GDPR o del Reglamento (UE) 2018/1725, según corresponda.
(d) Las Partes acuerdan que si el Exportador de Datos es considerado responsable en virtud del párrafo (c) por daños causados por el Importador de Datos (o su subencargado), tendrá derecho a reclamar al Importador de Datos la parte de la indemnización correspondiente a la responsabilidad del Importador de Datos por los daños.
(e) Cuando más de una Parte sea responsable de cualquier daño causado al Titular de los Datos como consecuencia del incumplimiento de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el Titular de los Datos tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.
(f) Las Partes acuerdan que si una Parte es considerada responsable en virtud del apartado (e), tendrá derecho a reclamar a la otra Parte la parte de la indemnización correspondiente a su responsabilidad en el daño.
(g) El Importador de Datos no podrá invocar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.
Artículo 21: Supervisión
(a) La autoridad de control responsable de garantizar el cumplimiento del GDPR por parte del exportador de datos en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C, actuará como autoridad de control competente.
(b) El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes cláusulas. En particular, el importador de datos se compromete a responder a las consultas.
LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS
Cláusula 22: Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas
(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los Datos Personales por parte del Importador de Datos, incluido cualquier requisito de revelar datos personales o medidas que autoricen el acceso por parte de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del GDPR, no están en contradicción con estas Cláusulas.
(b) Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
(ii) las leyes y prácticas del tercer país de destino -incluidas las que exigen la revelación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;
(iii) todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.
(c) El importador de datos garantiza que, al llevar a cabo la evaluación prevista en el apartado (b), ha hecho todo lo posible para proporcionar al exportador de datos la información pertinente y acepta que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de estas cláusulas.
(d) Las Partes acuerdan documentar la evaluación prevista en el apartado (b) y ponerla a disposición de la autoridad de control competente a petición de ésta.
(e) El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos de la letra a).
(f) Tras una notificación con arreglo al apartado e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes cláusulas. Si el contrato implica a más de dos Partes, el Exportador de datos podrá ejercer este derecho de rescisión sólo con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda en virtud de la presente Cláusula, se aplicarán las letras d) y e) de la Cláusula 23.
Cláusula 23: Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
23.1 Notificación
(a) El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario con la ayuda del exportador de datos) si:
(i) reciba una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de los datos personales transferidos en virtud de las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, la base jurídica de la solicitud y la respuesta proporcionada; o bien
(ii) tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los Datos Personales transferidos en virtud de las presentes Cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el Importador.
(b) Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
(c) Siempre que lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.).
(d) El importador de datos se compromete a conservar la información contemplada en las letras a) a c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente cuando ésta lo solicite.
(e) Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del Importador de Datos, de conformidad con la Cláusula 22(e) y la Cláusula 24, de informar sin demora al Exportador de Datos cuando no pueda cumplir con estas Cláusulas.
23.2 Revisión de la legalidad y minimización de datos
(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en partucular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal en virtud de la legislación del país de destino, las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso. Cuando impugne una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que sea requerido para ello en virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones que incumben al importador de datos en virtud de la cláusula 22, letra e).
(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente, a petición de ésta.
(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.
DISPOSICIONES FINALES
Cláusula 24: Incumplimiento de las cláusulas y rescisión
(a) El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes cláusulas.
(b) En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Todo ello sin perjuicio de lo dispuesto en la letra f) de la cláusula 21.
(c) El Exportador de Datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas, cuando:
(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y no se restablezca el cumplimiento de las presentes cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;
(ii) el Importador de Datos incumple de forma sustancial o persistente las presentes Cláusulas; o
(iii) el Importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes Cláusulas.
(d) En estos casos, informará de dicho incumplimiento a la autoridad de control competente. Cuando el contrato implique a más de dos Partes, el Exportador de Datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, salvo que las Partes hayan acordado otra cosa.
(e) Los datos personales que hayan sido transferidos antes de la terminación del contrato de conformidad con el apartado (c) serán, a elección del exportador de datos, inmediatamente devueltos al exportador de datos o borrados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos.
(f) El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el Importador de Datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que la legislación local aplicable al Importador de datos prohíba la devolución o supresión de los datos personales transferidos, el Importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.
(g) Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del GDPR que cubra la transferencia de datos personales a los que se aplican las presentes Cláusulas; o (ii) el GDPR pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Todo ello sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del RGPD.
Cláusula 25: Ley aplicable
Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la legislación de Irlanda.
Cláusula 26: Elección de foro y jurisdicción
(a) Cualquier litigio derivado de las presentes cláusulas será resuelto por los tribunales de un Estado miembro de la UE.
(b) Las Partes acuerdan que serán los tribunales de Irlanda.
(c) El interesado también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
En nombre del exportador de datos:
| Nombre completo: Adam Brogden |
| Cargo: Director |
| Dirección: Office 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irlanda |
| Otra información necesaria para que el contrato sea vinculante (en su caso): |
| Firma: Adam Brogden |
| En nombre del importador de datos: |
| Nombre completo: Zlatko Delev |
| Cargo: Jefe de equipo |
| Dirección: 1st Floor Front Suite, 27-29 North Street, Brighton, Inglaterra BN1 1EB |
| Otra información necesaria para que el contrato sea vinculante (en su caso): |
| Firma: Zlatko Delev |
ANEXO
ANEXO I.
A. Lista de Partes
1.
Exportador de datos
Nombre: Instant EU GDPR Representative LTD
Dirección: Office 2 12A Lower Main Street, Lucan Co. Dublin K78 X5P8 Irlanda
Nombre, cargo y datos de la persona de contacto: ... Adam Brogden, Director, [email protected]
Firma y fecha: ADAM BROGDEN; 13/12/2021
Función: controlador y procesador
2. …
Importador de datos
Nombre: GDPR Local LTD
Dirección: 1st Floor Front Suite, 27-29 North Street, Brighton, Inglaterra
Nombre, cargo y datos de la persona de contacto: Zlatko Delev, Jefe del Equipo de Cumplimiento, [email protected]
Firma y fecha: ZLATKO DELEV; 13/12/2021
Función: procesador
B. Descripción de la transferencia
Categorías de interesados cuyos datos personales se transfieren : empleados, clientes, sus proveedores y terceros, reguladores, interesados que presentan una solicitud y otras empresas y organismos que puedan estar implicados.
Categorías de datos personales transferidos: datos de contacto del exportador de datos y de los interesados, además de datos relacionados con la tramitación de solicitudes, reclamaciones y otras interacciones derivadas de la prestación de los servicios. Esto incluye el nombre del interesado , datos de contacto, correo electrónico, número de teléfono, datos de pago, dirección de facturación e interacciones por correo electrónico, teléfono, correo postal, etc. .....
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales. No recogemos ni almacenamos habitualmente datos personales sensibles. Sin embargo, cuando esto ocurra, nos aseguraremos de tomar las medidas adecuadas para proteger esos datos sensibles.
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua). Los datos se transfieren de forma puntual, según las necesidades.
Naturaleza del procesamiento: la naturaleza y el propósito del procesamiento es proporcionar los servicios para nuestro cliente con el fin de cumplir con la Ley de Protección de Datos del Reino Unido, GDPR y las regulaciones de protección de datos relacionadas.
Finalidad(es) de la transferencia y posterior tratamiento de los datos: prestar servicios de representación en la UE/el Reino Unido, consultoría sobre el RGPD y servicios asociados.
El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo: mientras se presten los Servicios del Importador de Datos.
Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento: Según sea necesario para la prestación de los servicios.
C. Autoridad de control competente
La autoridad de control competente es el Ireland Information Comissioner:
Oficina del Comisario de Información,
6 Earlsfort Terrace,
Dublín 2, D02 W773,
Irlanda.
ANEXO II:
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o documento/legislación adjunta):
Todos los datos se almacenan en una base de datos cifrada de Sql Server alojada en un centro de datos de Microsoft Azure (Londres). El acceso a los datos solo se proporciona a través de nuestras plataformas internas, que cuentan con autenticación basada en roles y usuarios, con acceso denegado por defecto y concedido únicamente a los equipos de campaña.
Cifrado - Los datos almacenados en nuestras bases de datos se cifran tanto en tránsito como en reposo. Todos los ordenadores utilizados en la empresa tienen discos duros cifrados.
Acceso al hub - 2FA - 2FA está disponible para todos los usuarios, pero no se aplica.
Controles de acceso - se han establecido controles de acceso adecuados - funcional/de datos - El acceso a los datos está limitado por la estructura organizativa, al igual que el acceso funcional (en relación con SodaStream y Hub). Utilizamos "Roles" para asignar diferentes tipos de permisos a los distintos niveles de acceso de los empleados.
Seguridad física: hemos establecido controles de acceso físico adecuados en todas las ubicaciones para proteger los activos de datos. - Los centros de datos utilizados son muy seguros: aquí encontrará información detallada sobre el nivel de seguridad física: https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security .
ANEXO III - LISTA DE SUBTRANSFORMADORES
El importador de datos y el exportador de datos han autorizado el uso de los siguientes subencargados del tratamiento:
| Nombre del subprocesador | Servicios prestados | Ubicación del subprocesador | Finalidad del tratamiento | DPA en vigor con el subencargado del tratamiento(sí o no) |
| Sopro d.o.o | Desarrollo de software, apoyo operativo, apoyo administrativo, desarrollo empresarial, gestión de proyectos. | Macedonia del Norte | Desarrollo, soporte, operación y consultoría para nuestro GDPR y servicios relacionados. | SíDPA y SCC |
| Sopro Ltd | Desarrollo de software, apoyo operativo, apoyo administrativo, desarrollo empresarial, gestión de proyectos. | UK | Desarrollo empresarial | SíDPA |
| Sopro Holdings | Desarrollo de software, apoyo operativo, apoyo administrativo, desarrollo empresarial, gestión de proyectos. | UK | Desarrollo empresarial y operaciones. | SíDPA |