MARTES 30 DE MARZO DE 2021
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
I. COMUNIDAD DE MADRID
D) Anuncios
Consejería de Educación y Juventud
Pág. 55
26 CONVENIO de colaboración de 8 xx xxxxx de 2021, entre la Comunidad de Madrid (Consejería de Educación y Juventud) y Microsoft Ibérica, S. R. L., para mejorar la competencia digital en el ámbito educativo con el entorno Office 365.
Madrid, a 8 xx xxxxx de 2021.
REUNIDOS
De una parte, el Excmo. Sr. D. Xxxxxxx Xxxxxxx Xxxxxx, Consejero de Educación y Ju- ventud de la Comunidad de Madrid, en virtud de nombramiento efectuado por Decre- to 63/2019, de 19 xx xxxxxx, de la Presidenta de la Comunidad de Madrid, y de conformi- dad con las competencias atribuidas por el artículo 41.a) de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, el artículo 4 de la Ley 8/1999 de 9 xx xxxxx de adecuación de la normativa de la Comunidad de Madrid a la Ley 4/1999 y el Decreto 48/2019, de 10 xx xxxxx, del Consejo de Gobierno, por el que se regula la actividad convencional de la Comunidad de Madrid.
Y de otra parte, por la sociedad Microsoft Ibérica, S.R.L. Unipersonal, la Sra. X.x Xx- xxx Xxxxx Xxxxxxx, en su calidad de Directora General de Microsoft Ibérica S.R.L. Uniper- sonal (en adelante, también denominada “Microsoft Ibérica”), sociedad con domicilio en el Paseo del Club Deportivo, núm. 1, Centro Empresarial La Finca, Edificio 1, 28223 Pozue- lo xx Xxxxxxx (Madrid), en nombre y representación de la misma según resulta de la escri- tura de poder otorgada ante el Notario de Madrid X. Xxxxx de la Xxxxxxxxx Xxxxxxxxx en fecha 28 de julio de 2020 con el número de protocolo 3277.
Reconociéndose ambas partes, en función de sus respectivos cargos en nombre de las entidades que representan, capacidad para formalizar el presente Convenio de colaboración y obligarse en sus términos, a tal efecto.
EXPONEN
Primero
Que corresponde a la Comunidad de Madrid, de acuerdo con el artículo 29 de su Esta- tuto de Autonomía, aprobado por Ley Orgánica 3/1983, de 25 de febrero, la competencia de desarrollo legislativo y ejecución de la enseñanza en toda su extensión, niveles y grados, modalidades y especialidades. La Consejería de Educación y Juventud es asimismo respon- sable del desarrollo de las inversiones relacionadas con la mejora de las tecnologías de la información y de la comunicación en los centros docentes y de la adopción de directrices sobre las plataformas informáticas de los centros docentes y sistemas informáticos vincu- lados al aprendizaje.
Segundo
BOCM-20210330-26
Que el Decreto 288/2019, de 12 noviembre, del Consejo de Gobierno, por el que se es- tablece la estructura orgánica de la Consejería de Educación y Juventud, recoge en su ar- tículo 14 las competencias de la Dirección General de Bilingüismo y Calidad de la Ense- ñanza.
Entre dichas competencias se encuentran “El diseño de los programas de innovación para la mejora de la calidad de las enseñanzas escolares dentro del ámbito competencial atri- buido a la Comunidad de Madrid”, “el diseño y desarrollo de actividades de formación per- xxxxxxx y actualización del profesorado” y “el desarrollo de contenidos educativos en abier- to, así como la elaboración de directrices de uso de las plataformas informáticas de los centros docentes y sistemas informáticos vinculados al aprendizaje y actualización docente”.
Pág. 56
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
Tercero
Microsoft Ibérica forma parte del Grupo Microsoft, un grupo empresarial de referen- cia a nivel mundial en lo que se refiere a la investigación, desarrollo e implantación de tec- nologías de la información, que dedica especial interés a los aspectos de dichas tecnologías que se refieren a la educación.
Cuarto
Que la Consejería de Educación y Juventud de la Comunidad de Madrid y el Grupo Microsoft están interesados en colaborar conjuntamente en el desarrollo de la innovación tecnológica facilitando el acceso de los centros de enseñanza de la Comunidad de Madrid a herramientas que integran las tecnologías de la información y la comunicación en el pro- ceso educativo.
Quinto
Que con el desarrollo de este innovador proyecto por parte de Microsoft Ibérica y la Dirección General de Bilingüismo y Calidad de la Enseñanza de la Consejería de Educa- ción y Juventud de la Comunidad de Madrid, se pretende conseguir:
— Incentivar el uso de las nuevas tecnologías en los centros educativos.
— Promover la participación de los profesores y estudiantes en entornos digitales.
— Investigar la mejor forma de aproximar la tecnología a los alumnos e integrarla consiguiendo enriquecer los aprendizajes.
— Contribuir a que profesores y alumnos tengan una identidad digital segura y res- ponsable que permita mejorar su desarrollo personal.
— Reducir la brecha digital de los profesores y estudiantes proporcionando diferen- tes recursos para la alfabetización digital.
En consecuencia, todas las partes formalizan el presente Convenio con arreglo a las si- guientes
CLÁUSULAS
Primera
Objeto
Constituye el objeto de este Convenio articular la colaboración entre la Consejería de Educación y Juventud de la Comunidad de Madrid y el Grupo Microsoft para desarrollar el Proyecto de innovación tecnológico dirigido a docentes y estudiantes en relación con las si- guientes áreas:
— Estimular el avance y desarrollo de programas docentes en centros educativos, en relación con las últimas innovaciones de software en el sector de las tecnologías de la información.
— Promover el desarrollo de la sociedad del conocimiento a través de un entorno educativo avanzado en los centros de enseñanza, la alfabetización digital y la for- mación profesional especializada en tecnologías de la información.
Segunda
Descripción
El objetivo fundamental de este Proyecto es facilitar la inclusión de la tecnología en cualquier ámbito y nivel educativo. Este Proyecto tecnológico será un complemento a las herramientas corporativas de la Consejería.
BOCM-20210330-26
Se trata de poner a disposición de los profesores y alumnos los servicios de Office 365, realizando talleres y formaciones vinculados al Proyecto digital de los centros en el ámbi- to educativo, respetando la normativa vigente en el ámbito de protección de datos. Las ac- tividades formativas se realizarán de manera colaborativa y coordinada entre la Dirección General de Bilingüismo y Calidad de la Enseñanza de la Comunidad de Madrid y Micro- soft Ibérica.
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 57
Tercera
Actuaciones de las partes
Para el desarrollo del objeto del presente Convenio las partes han identificado las si- guientes áreas de colaboración, sin perjuicio de otras que puedan estudiarse y, en su caso, acordarse en el seno de la Comisión de Seguimiento establecida en la cláusula quinta. En caso de llevarse a cabo, las nuevas áreas de colaboración figurarán en una Addenda y cum- plirá con los mismos requisitos que aquí se establecen:
1. Impulsar la transformación digital en los centros educativos de la Comunidad de Madrid.
El proceso de transformación educativa que la Comunidad de Madrid y Microsoft será complementario a las herramientas corporativas y, ayudará a los centros educativos a pla- nificar, reflexionar y emprender cambios en la educación para el aprendizaje del siglo XXI. Este marco de transformación se englobará en varias fases que, conjuntamente la Conseje- ría de Educación y Juventud y Microsoft, establecerán en un plan de acción.
Todo ello de conformidad con el artículo 83 de la Ley Orgánica 3/2018, de 5 de di- ciembre, de Protección de datos personales y garantía de los derechos digitales, que esta- blece que el sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particular- mente con el respeto y la garantía de la intimidad personal y familiar y la protección de da- tos personales.
Además, el profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior. Microsoft pondrá a disposición de la Consejería de Educación y Juventud el servicio online Office 365 Educación, la innovadora y potente plataforma de comunicación y cola- boración empresarial de Microsoft en la nube, para que, sin cargo alguno por parte de Mi- crosoft, el servicio [en la modalidad denominada Office 365 Plan A1 (ver descripción en Anexo I)] pueda ser utilizada, en diversos sistemas operativos, con arreglo a las condicio- nes de licencia y prestación del servicio, por los profesores y alumnos integrantes de la co-
munidad educativa dependiente de dicha Consejería.
La Consejería manifiesta su intención de que la comunidad educativa utilice Office 365 en el marco de las acciones descritas en la cláusula segunda (talleres y acciones forma- tivas vinculadas al Proyecto digital de los centros, con acciones de coordinación y trabajo colaborativo de los equipos didácticos y grupos de trabajo de los equipos docentes), si bien no se contempla su utilización en las actividades para las cuales los centros educativos ya disponen de otras herramientas corporativas diseñadas para labores administrativas y edu- cativas que suponen el tratamiento de datos de carácter confidencial.
Corresponderá a la Consejería establecer las limitaciones a los servicios ofrecidos por Office 365 que se infieran del análisis de riesgos del tratamiento de datos personales y las publicará con carácter previo al inicio de la ejecución del presente Convenio en el portal EducaMadrid para conocimiento de la comunidad educativa y del encargado del tratamien- to, junto con las pautas o instrucciones aplicables al respecto y la política de privacidad co- rrespondiente. Microsoft no controlará el cumplimiento de las pautas o instrucciones por los usuarios, pero pondrá a disposición de la Consejería las funcionalidades pertinentes que permitan a los administradores del servicio velar por su cumplimiento.
2. Se realizará una evaluación del impacto del Proyecto en el aprendizaje y en el de- sarrollo de los aprendizajes digitales.
BOCM-20210330-26
La Consejería de Educación y Juventud, a través del uso en los centros educativos de Office 365 Plan A1 y la información recogida por parte del profesorado, realizará los infor- mes necesarios y la evaluación de impacto del Proyecto, facilitando este análisis de las he- rramientas Office 365 Plan A1 a Microsoft para contribuir a mejoras.
La plataforma se pone a disposición de los centros con las funcionalidades delimita- das por la Consejería tras la evaluación de impacto elaborada y publicada según se especi- fica en el punto 1 de esta cláusula.
3. Estimular la comprensión y el respeto de la propiedad intelectual e industrial.
Esta actuación tendrá por objetivo informar a la comunidad educativa acerca de la existencia y el respeto debido a los derechos de propiedad intelectual e industrial sobre el
Pág. 58
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
software, y los requisitos para obtener licencias válidas para el uso de cualquier software tanto libre como privativo.
4. Programas de alfabetización digital.
Con el fin de reducir la brecha digital en el contexto del personal docente pero también de los alumnos, la Consejería de Educación y Juventud y Microsoft Ibérica pondrán a dis- posición recursos para la alfabetización digital.
5. Difusión y participación en congresos.
Ambas partes se comprometen a poder participar en actividades formativas del profe- sorado de la Comunidad de Madrid mediante ponencias y comunicaciones para dar difu- sión de las buenas prácticas y de experiencias inspiradoras de los centros participantes en este Proyecto.
6. Términos de suscripción.
Las partes reconocen y aceptan que los servicios de Office 365, especificados en el Anexo I, están regulados:
— Por los términos del acuerdo de suscripción a los servicios online con el grupo de Microsoft.
— En particular en lo que se refiere a la protección de datos, por el Addendum de Protección de datos cuya versión vigente al momento de la firma se incorpora como referencia en el Anexo III.
Cuarta
Compromisos de las partes
1. La Consejería de Educación y Juventud de la Comunidad de Madrid se compro- mete a:
Desarrollo de planes de formación del profesorado:
Esta actuación tendrá por objeto ayudar a los docentes a utilizar la tecnología en las aulas y así incrementar su eficacia y mejorar la calidad de la experiencia educativa.
Esta tecnología se considera como complemento de uso voluntario tanto por parte del centro como de los profesores, que podrán utilizar esta herramienta indistintamente junto con el resto de las plataformas similares que la Consejería ha puesto o pondrá a su disposición en las aulas y así incrementar su eficacia y mejorar la calidad de la experiencia educativa.
En el contexto de esta iniciativa, la Consejería de Educación y Juventud desarrollará un Programa de formación para el profesorado en el entorno de Microsoft, complementa- rio de las funcionalidades corporativas, para garantizar el conocimiento de las herramien- tas digitales que incluye Office 365 y sus correspondientes actualizaciones, así como otros programas innovadores de interés educativo propios de Microsoft.
2. Microsoft Ibérica se compromete a:
Dar acceso a los docentes de la Comunidad de Madrid a la plataforma Microsoft Edu- cator Community y a los materiales formativos online.
Los docentes podrán inscribirse voluntariamente en la red de Profesores Innovadores que reconoce el buen uso y buenas prácticas mediante los programas de la comunidad edu- cativa de Microsoft como MIE. Las acciones de estos programas se recogen en el Anexo II.
Quinta
Creación de una Comisión de Seguimiento
BOCM-20210330-26
A partir de la firma del presente Convenio se constituirá una Comisión Mixta de Se- guimiento con representantes designados por ambas partes en régimen de paridad. Dicha Comisión se responsabilizará del seguimiento, evaluación y control de las acciones deriva- das del presente Convenio y de los compromisos adquiridos por las partes. Asimismo, re- solverá los problemas de interpretación y cumplimiento que puedan plantearse en el desa- rrollo del presente Convenio.
La Comisión Mixta de Seguimiento estará formada:
Por parte de Microsoft Ibérica:
— Directora General de Microsoft Ibérica o persona en quien delegue.
— Responsable de Microsoft Educación o persona en quien delegue.
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 59
Por parte de la Comunidad de Madrid:
— Directora General de Bilingüismo y Calidad de la Enseñanza o persona en quien delegue.
— Subdirector General de Programas de Innovación y Formación, o persona en quien delegue.
La Comisión Mixta se reunirá como mínimo con carácter semestral, así como siempre que lo requiera una de las partes, con previo aviso a la otra parte con al menos una semana de antelación.
Sexta
Transparencia
Este convenio se somete a lo dispuesto tanto en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno como en la Ley 10/2019 de 10 xx xxxxx, de Transparencia y de Participación de la Comunidad de Madrid.
Séptima
Entrada en vigor y período de vigencia
El presente Xxxxxxxx entrará en vigor el día de su firma y tendrá una vigencia de cua- tro años qué podrá prorrogarse por un período equivalente previo acuerdo expreso de las partes.
Durante los tres meses previos a su fecha de finalización, las partes revisarán los re- sultados de este Convenio y de las concretas acciones de colaboración llevadas a cabo en- tre ambas partes, y determinarán conjuntamente si el mismo ha de ser prorrogado o modi- ficado.
Octava
Modificación y extinción del Convenio
Este convenio es susceptible de modificación por acuerdo unánime de las partes, que se formalizará mediante la correspondiente adenda conforme a la tramitación preceptiva que exige la autorización de un nuevo Convenio.
El presente Xxxxxxxx se extinguirá por el cumplimiento de las actuaciones que cons- tituyen su objeto, o por incurrir en causa de resolución. Las causas de resolución son las contempladas en el art. 51.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El Convenio podrá extinguirse por las siguientes causas:
— Mutuo acuerdo de las partes.
— El transcurso del plazo de vigencia del Convenio sin haberse acordado la prórroga del mismo.
— A petición expresa y por escrito formulada por cualquier cualquiera de las partes con una antelación mínima de un mes, con el fin de poder concluir las actividades en curso de ejecución.
— Por incumplimiento de sus obligaciones por cualquiera de las partes, previa comuni- cación por escrito, y sin perjuicio de las responsabilidades que, en su caso, corres- ponda exigir a la parte incumplidora.
En cualquier caso, las partes se comprometen a finalizar las acciones que estén en cur- so de ejecución en el momento en que cause efecto la resolución del Convenio.
BOCM-20210330-26
En caso de resolución del Convenio, se adoptarán las decisiones precisas para la adecua- da liquidación del mismo, incluidas las posibles indemnizaciones de la parte incumplidora. La Comisión Mixta de Seguimiento continuará en funciones y será la encargada de re- solver las cuestiones que pudieran plantearse en relación con las actuaciones en curso o de- rivadas del Convenio y, asimismo, para el caso de producirse la extinción, hasta que se re-
suelvan las cuestiones pendientes.
Pág. 60
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
Novena
Consecuencias por incumplimiento de las obligaciones y compromisos asumidos por las partes
En caso de incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes del Convenio, se notificará a la parte incumplidora un requerimien- to para que cumpla en un plazo de 30 días naturales con las obligaciones o compromisos in- cumplidos. Si transcurrido el plazo indicado en el requerimiento persistiera el incumpli- miento, la parte que lo dirigió notificará a la otra la concurrencia de la causa de resolución y se podrá entender resuelto el Convenio.
Décima
Protección de datos de carácter personal
1. Cumplimiento de la normativa en materia de protección de datos.
Microsoft Ibérica y la Consejería de Educación y Juventud de la Comunidad de Madrid están obligadas a cumplir la normativa vigente en materia de protección de datos personales, y en concreto el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo de 27 xx xxxxx de 2016 relativo a la protección de personas físicas en lo que respecto al tratamiento de datos personales y a la libre circulación de estos datos y la Ley Orgánica 3/2018, de 5 de di- ciembre, de Protección de Datos Personales, y garantía de los derechos digitales, así como al resto de la normativa europea y nacional relacionada.
La participación en el Proyecto de innovación tecnológico, dirigido a docentes y estu- diantes, es voluntaria para el centro educativo y para sus profesores.
La Consejería de Educación y Juventud de la Comunidad de Madrid actuará como res- ponsable de los respectivos tratamientos de datos personales que efectúe para el cumplimien- to de las obligaciones aquí contraídas. Como se ha indicado en el punto 1 de la cláusula ter- cera, la Consejería establecerá las limitaciones a los servicios ofrecidos por Office 365 publicándose en el portal de EducaMadrid junto con las pautas o instrucciones aplicables, así como la política de privacidad correspondiente.
Los interesados (alumnos, profesores y demás participantes en el Programa) podrán ejercer, en los términos establecidos por la legislación vigente, sus derechos de acceso, rec- tificación y supresión de datos, así como solicitar que se limite el tratamiento de sus datos personales, oponerse al mismo y a no ser objeto de decisiones automatizadas o solicitar la portabilidad de sus datos, dirigiendo una comunicación por escrito a la Consejería de Edu- cación y Juventud de Madrid, a través de la dirección especificada en el encabezamiento del Convenio. En el caso de la Consejería de Educación y Juventud podrán ponerse en con- tacto con la Dirección General competente en esta materia o con la Delegación de Protec- ción de Datos en la dirección xxxxxxxxxxxxxxx.xxxxxxxxx@xxxxxx.xxx. Se puede consultar información adicional sobre protección de datos en: xxxx://xxx.xxxxxxxxx.xxxxxx/xxxxxx- no/informacion-juridica-legislacion/protección-datos En el supuesto de que no queden sa- tisfechos con la atención recibida de las partes tras ejercitar alguno de los derechos citados con anterioridad, podrán presentar una reclamación ante la Agencia Española de Protección de Datos.
Los datos personales no podrán usarse para fines diferentes a la formación acordes con las actividades indicadas en la cláusula segunda de este Convenio y se mantendrán mien- tras esté en vigor la relación pactada que aquí se estipula, salvo que su conservación sea pre- cisa para determinar las posibles responsabilidades que se pudieran derivar de dicha finali- dad y del tratamiento de los datos.
2. Deber de confidencialidad.
BOCM-20210330-26
Las dos entidades firmantes del presente Convenio estarán sometidas al deber de guar- dar secreto, de acuerdo con el Articulo 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Cuando alguna de las entidades firmantes del presente Xxxxxxxx se sirva de colaboradores para la ejecución de las actividades previstas en su Cláusula segunda que acceda a los datos perso- nales de los alumnos o de sus familias durante la vigencia del Convenio, dicha entidad les impondrá el mismo deber de confidencialidad.
3. Deber de información mutuo.
Cada una de las Partes será considerada responsable del tratamiento respecto de los da- tos personales que recabe en su nombre y trate y se mantendrán mientras esté en vigor la
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 61
relación pactada que aquí se estipula, siendo tratados únicamente por las Partes y aquellos terceros a los que aquellas estén legalmente (o de acuerdo a lo dispuesto en el presente Con- venio) obligadas a comunicarlos (como es el caso de terceros prestadores de servicios a los que se haya encomendado algún servicio vinculado con la gestión o ejecución del Conve- nio), debiendo cumplir con las obligaciones que como tal le corresponden y que se encuen- tran en la Ley Orgánica 3/2018 de 5 de diciembre, de protección de datos personales y ga- rantía de los derechos digitales, en el Reglamento Europeo 2016/679 de 27 xx xxxxx y en cualquier normativa de desarrollo que pueda aprobarse en el futuro.
Asimismo, los representantes de las partes podrán ejercer sus derechos de acuerdo con la normativa señalada.
Undécima
Financiación
Las Partes expresamente acuerdan y manifiestan que la suscripción del presente Con- venio no implica por sí mismo la obligación de realizar ningún tipo de contraprestación eco- nómica por ninguna de las Partes.
Duodécima
Naturaleza y resolución de controversias
Este Convenio de colaboración tiene naturaleza administrativa, no siéndole de aplica- ción la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (“Boletín Oficial del Estado” de 9 de noviembre), en virtud de lo dispuesto en los artículos 6.1 y 6.2, quedan- do sometido al régimen jurídico de convenios previsto en el Capítulo VI del Título Prelimi- nar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
La firma del presente Convenio no impone exclusividad a ninguna de las partes y solo se podrán firmar acuerdos o convenios específicos en el marco del presente Convenio, cuando dichos acuerdos o convenios específicos estén excluidos del ámbito de aplicación de la normativa vigente en materia de contratos del sector público.
La Consejería de Educación y Juventud y el Grupo Microsoft son y seguirán siendo colaboradores independientes, sin que (entre sí o con los empleados de la otra parte) se cree ninguna relación jurídica de naturaleza laboral societaria, asociativa, de joint venture o de agencia. Cada parte llevará a cabo sus compromisos bajo su propia responsabilidad, con sus propios medios (salvo que se acuerde expresamente lo contrario) y de acuerdo con la Ley. El presente Convenio no impone exclusividad a ninguna de las partes.
Las discrepancias surgidas sobre la interpretación, desarrollo, modificación, resolu- ción y efectos que pudieran derivarse de la aplicación del presente Convenio, deberán de solventarse por la Comisión Mixta de Seguimiento regulada en el mismo. Si no se llegara a un acuerdo, las cuestiones litigiosas serán de conocimiento y competencia del orden ju- risdiccional Contencioso-Administrativo de Madrid.
Y en prueba de conformidad firman los intervinientes por duplicado, en el lugar y fe- cha indicados en el encabezamiento.
BOCM-20210330-26
Madrid, a 8 xx xxxxx de 2021.—Por la Comunidad de Madrid, el Consejero de Edu- cación y Juventud, Xxxxxxx Xxxxxxx Xxxxxx.—Por Microsoft Ibérica, S. R. L., la Directora General, Xxxxx Xxxxx.
Pág. 62
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
ANEXO I
OFFICE 365 PLAN A1
Servicios online: O365 A1
• Almacenamiento y uso compartido de archivos: 1 TB de almacenamiento (ampliable) al que se puede tener acceso desde cualquier lugar y en cualquier dispositivo
• Office Online: Creación edición de documentos de Word, OneNote, PowerPoint y Excel desde cualquier navegador
• Teams: Concentrador del trabajo de equipo, por clases o por proyectos
• Sway: Creación desde cualquier navegador y dispositivo de presentaciones interactivas
• Skype empresarial: Videoconferencia y reuniones HD hasta 250 personas
• Forms: Evaluación y cuestionarios
• Stream: Servicio de video empresarial para crear, administrar y compartir videos de forma segura en toda una organización
• Sharepoint: Contenido compartido tipo intranet y sitios de grupos
• Flow: Automatización de flujos de trabajo en aplicaciones y servicios para automatizar los procesos empresariales sin escribir código
• Power apps: Desarrollo de aplicaciones sin escribir código para extender los datos empresariales rápidamente con aplicaciones móviles y web personalizadas
• School Data Sync
La Consejería de Educación y Juventud establecerá y hará pública en el portal de EducaMadrid la relación de servicios habilitados según lo establecido en el punto 1 de la cláusula TERCERA de este convenio.
ANEXO II
A continuación, se muestran las características de las certificaciones de Microsoft Educator Community. Estas certificaciones, de carácter voluntario, son independientes de los créditos de formación para el profesorado de la Comunidad de Madrid y sin validez para la participación en convocatorias públicas de la Consejería de Educación y Juventud.
La red de Profesores Innovadores de Microsoft reconoce el buen uso y buenas prácticas de la comunidad docente mediante los programas propios de la comunidad educativa de Microsoft como MIE, MIE Expert y Microsoft Schools.
• Certificación MIE, Microsoft Innovative Educator:
o Acceso al reconocimiento ‘MIE’, Microsoft Innovative Educator (Educador innovador de Microsoft).
o Los docentes de la comunidad educativa podrán conseguir su certificado de Certified MIE, al completar una serie de cursos en la comunidad educativa de Microsoft Educator Center (MEC)
o Al convertirse en ‘Certified MIE’, Microsoft certifica que el docente es un profesor que conoce y usa las nuevas tecnologías en el aula.
• Certificación MIE Expert, Mirosoft Innovative Educator Expert: Profesor Experto Innovador de Microsoft:
BOCM-20210330-26
o Es un programa creado para reconocer a docentes que usan la tecnología Microsoft en su día a día para conseguir un mejor aprendizaje y unos mejores resultados para sus estudiantes.
o Selección anual según los criterios establecidos previamente.
o Los MIEE colaboran con Microsoft para mejorar la innovación en la educación. Comparten sus pensamientos, prueban sus nuevas herramientas e intercambian prácticas para promover la innovación en el aula.
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 63
ANEXO III
Servicios en Línea de Microsoft Addendum de Protección de Datos 1
Las partes acuerdan que el presente Addendum de Protección de Datos de los Servicios Online de Microsoft (“DPA”) establece sus obligaciones con respecto al tratamiento y la seguridad de los Datos del Cliente y los Datos Personales en relación con los Servicios Online. El DPA se incorpora por referencia a los Términos de los Servicios Online (o ubicación sucesora en los Derechos de Uso). Las partes también acuerdan que, salvo que exista un contrato aparte para Servicios Profesionales, el presente DPA regirá el tratamiento y la seguridad de los Datos de Servicios Profesionales. El uso que el Cliente realice de Productos que no son de Microsoft se regirá por otros términos independientes, incluyendo términos de privacidad y seguridad diferentes.
En el caso de que hubiese cualquier conflicto o inconsistencia entre los Términos del DPA y cualquiera de los términos de las licencias por volumen del Cliente, prevalecerán los Términos del DPA. Las disposiciones establecidas en los Términos del DPA sustituyen a cualquier disposición contraria establecida en la Declaración de Privacidad de Microsoft que, de cualquier modo, pudiera ser de aplicación al tratamiento de los Datos del Cliente, los Datos Personales o los Datos de Servicios Profesionales según lo definido en el presente documento. Para evitar cualquier duda, se hace constar expresamente que, de conformidad con la cláusula 10 de las Cláusulas Contractuales Tipo que se encuentran en el Anexo 2, las Cláusulas Contractuales Tipo prevalecen sobre cualquier otro de los Términos del DPA.
Microsoft asume los compromisos dispuestos en este DPA para todos los clientes con contratos de licencia por volumen. Estos compromisos son vinculantes para Microsoft con respecto al Cliente, sin importar (1) los Derechos de Uso aplicables a una concreta suscripción a Servicios Online; o (2) cualquier otro contrato que haga referencia a los OST.
Términos del DPA: vigencia y actualizaciones Límites en materia de actualizaciones
Cuando el Cliente renueve o contrate una nueva suscripción a un Servicio Online, se aplicarán los Términos del DPA que estén vigentes en ese momento, los cuales no cambiarán durante la mencionada suscripción del Cliente para dicho Servicio Online.
Nuevas características, complementos o software relacionado
No obstante los límites indicados en materia de actualizaciones, cuando Microsoft introduzca nuevas características, complementos o software relacionado (es decir, “nuevas” en el sentido de que no estaban incluidas anteriormente en la suscripción), Microsoft podrá proporcionar términos —o realizar actualizaciones en el DPA— que se apliquen al uso que el Cliente efectúe de esas nuevas características, complementos o software relacionado. Si esos términos incluyen algún cambio material adverso en los Términos del DPA, Microsoft proporcionará al Cliente la opción de no utilizar las nuevas características, complementos o software relacionado, sin pérdida de la funcionalidad existente de un Servicio Online que esté disponible con carácter general. Si el Cliente no utiliza las nuevas características, complementos o software relacionado, no se aplicarán los nuevos términos en cuestión.
Regulaciones y requisitos gubernamentales.
BOCM-20210330-26
No obstante los límites indicados en materia de actualizaciones, Microsoft puede modificar o terminar un Servicio Online en cualquier país o jurisdicción en que exista, ahora o en el futuro, un requisito u obligación gubernamental que (1) someta a Microsoft a una regulación o requisito que no se aplique con carácter general a las empresas que allí operan, (2) plantee una dificultad para que Microsoft siga
1 Addendum de Protección de Datos de los Servicios Online de Microsoft (última actualización: 9 de diciembre de 2020)
Pág. 64
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
operando el Servicio Online sin modificación y/o (3) provoque que Microsoft considere que los Términos del DPA o el Servicio Online puedan estar en conflicto con dicho requisito u obligación.
Notificaciones electrónicas
Microsoft puede proporcionar al Cliente informaciones y notificaciones sobre los Servicios Online de forma electrónica, incluyendo por correo electrónico, a través del portal del Servicio Online o a través de un sitio web que Microsoft identifique. Una notificación se considerará entregada en la fecha en que Microsoft la ponga a disposición.
Versiones anteriores
Los Términos del DPA establecen términos aplicables a los Servicios Online que están disponibles actualmente. Para obtener versiones anteriores de los Términos del DPA, el Cliente puede consultar xxxxx://xxx.xx/xxxxxxxxxxxxx o ponerse en contacto con su revendedor o con el gestor de su cuenta en Microsoft.
Definiciones
Los términos en mayúsculas que se utilizan pero no se definen en este DPA tendrán el significado que se les asigna en el contrato de licencias por volumen. En este DPA se utilizan los siguientes términos definidos:
“Datos del Cliente” son todos los datos (incluidos todos los archivos de texto, sonido, video o imagen y software) que se proporcionen a Microsoft por parte del Cliente, o en su nombre, mediante el uso del Servicio Online. El concepto “Datos del Cliente” no incluye los Datos de Servicios Profesionales.
“Normativa sobre Protección de Datos” es el RGPD, las Leyes de Protección de Datos Locales de la UE/EEE, y cualquier ley, reglamento y demás normativa jurídica que sea aplicable y se refiera a (a) la privacidad y seguridad de los datos; y (b) el uso, la recopilación, la conservación, el almacenamiento, la seguridad, la revelación, la transferencia, la eliminación y demás actividades de tratamiento de cualquier Dato Personal.
“Datos de Diagnóstico” son los datos que Microsoft obtiene o recopila del software que el Cliente ha instalado localmente en relación con el Servicio Online. Los Datos de Diagnóstico también pueden denominarse como telemetría. El concepto “Datos de Diagnóstico” no incluye los Datos del Cliente, los Datos Generados por el Servicio o los Datos de Servicios Profesionales.
“Términos del DPA” son los términos incluidos en el DPA y cualesquiera términos específicos de un Servicio Online incluidos en los Derechos de Uso que complementen o modifiquen específicamente los términos de privacidad y seguridad incluidos en el DPA para un concreto Servicio Online (o para una concreta característica de un Servicio Online). En caso de que hubiese cualquier conflicto o inconsistencia entre el DPA y tales términos específicos, prevalecerán los términos específicos en lo que se refiera a ese concreto Servicio Online (o a esa concreta característica de dicho Servicio Online).
“RGPD” es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 xx xxxxx de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
“Leyes de Protección de Datos Locales de la UE/EEE” son cualquier legislación y reglamentación subordinada que implementa el RGPD.
BOCM-20210330-26
“Términos del RGPD” son los términos establecidos en el Anexo 3, en virtud de los cuales Microsoft asume ciertos compromisos vinculantes en relación con su tratamiento de Datos Personales, tal como se exige en el artículo 28 del RGPD.
“Datos Personales” son toda información sobre una persona física identificada o identificable. Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 65
“Datos de Servicios Profesionales” son todos los datos (incluidos todos los archivos de texto, sonido, video, imagen o software) que se proporcionen a Microsoft por parte del Cliente o en su nombre — o que el Cliente autorice a Microsoft a obtener de un Servicio Online— o que, en general, se obtengan o traten por parte de Microsoft o en su nombre a través de una interacción con Microsoft para obtener Servicios Profesionales. El concepto “Datos de Servicios Profesionales” incluye los Datos de Soporte.
“Datos Generados por el Servicio” son datos generados o derivados por Microsoft a través del funcionamiento de un Servicio Online. El concepto “Datos Generados por el Servicio” no incluye los Datos del Cliente, los Datos de Diagnóstico o los Datos de Servicios Profesionales.
“Cláusulas Contractuales Tipo” son las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no aseguren un nivel adecuado de protección de datos, tal como se describe en el artículo 46 del RGPD, y que fueron aprobadas mediante Decisión 2010/87/CE de la Comisión Europea, de 5 de febrero de 2010. Las Cláusulas Contractuales Tipo se encuentran en el Anexo 2.
“Subencargados” son los otros encargados del tratamiento que Microsoft utiliza para tratar los Datos del Cliente y los Datos Personales, como se describe en el artículo 28 del RGPD.
“Datos de Soporte” son todos los datos (incluidos todos los archivos de texto, sonido, video, imagen o software) que se proporcionen a Microsoft por parte del Cliente o en su nombre —o que el Cliente autorice a Microsoft a obtener de un Servicio Online— a través de una interacción con Microsoft para obtener soporte técnico para los Servicios Online cubiertos por el presente contrato. Los Datos de Soporte son un subconjunto de los Datos de Servicios Profesionales.
Los términos en minúscula que se utilizan pero no se definen en este DPA, tales como “violación de la seguridad de los datos personales” (también denominada “brecha de seguridad”), “tratamiento”, “responsable del tratamiento” (o “responsable”), “encargado del tratamiento” (o “encargado”), “elaboración de perfiles”, “datos personales” e “interesado”, tendrán el mismo significado que se establece en el artículo 4 del RGPD, independientemente de si el RGPD resulta de aplicación. Los términos “importador de datos” y “exportador de datos” tienen el mismo significado que se les asigna en las Cláusulas Contractuales Tipo.
Para mayor claridad, y como se detalla más arriba, los datos definidos como Datos del Cliente, Datos de Diagnóstico, Datos Generados por el Servicio y Datos de Servicios Profesionales podrían contener Datos Personales. A título ilustrativo, véase el cuadro que figura a continuación:
Datos de Cliente (“proporcionados” por el Cliente) |
Datos de Diagnóstico (“recopilados” u “obtenidos” del software instalado por el Cliente) |
Datos Generados por el Servicio (“generados” o “derivados” por Microsoft) |
Datos de Servicios Profesionales (“proporcionados” por el Cliente en relación con Datos de Soporte Servicios Profesionales) (“proporcionados” por el Cliente en relación con soporte técnico) |
Arriba se muestra una representación visual de los tipos de datos definidos en el DPA. Todos los Datos Personales son objeto de tratamiento como parte de uno de los otros tipos de datos (todos los cuales incluyen también datos no personales). Los Datos de Soporte son un subconjunto de los Datos de Servicios Profesionales. Los Términos del DPA se centran en los Datos del Cliente y en los Datos Personales (estando cubiertos por el Anexo 1 los Datos de Servicios Profesionales, incluidos los Datos de Soporte así como cualesquiera Datos Personales incluidos en los Datos de Servicios Profesionales y en los Datos de Soporte).
BOCM-20210330-26
Términos Generales Cumplimiento de las leyes
Microsoft cumplirá todas las leyes y reglamentos aplicables a su prestación de los Servicios Online, incluyendo cualquier ley aplicable en materia de notificación de brechas de seguridad y la Normativa
Pág. 66
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
sobre Protección de Datos. Sin embargo, Microsoft no es responsable del cumplimiento de ninguna ley o reglamento aplicable al Cliente o a su sector que no sea aplicable con carácter general a los proveedores de servicios de tecnologías de la información. Microsoft no determina si los Datos del Cliente incluyen información sujeta a alguna ley o reglamento específico. Todos los Incidentes de Seguridad están sujetos a los términos del apartado titulado “Notificación de Incidentes de Seguridad” indicado más abajo.
El Cliente debe cumplir todas las leyes y reglamentos aplicables a su uso de los Servicios Online, incluidas las leyes relacionadas con los datos biométricos, la confidencialidad de las comunicaciones y la Normativa sobre Protección de Datos. El Cliente es responsable de determinar si los Servicios Online son apropiados para almacenar y tratar la información sujeta a cualquier ley o reglamento específico; el Cliente también es responsable de utilizar los Servicios Online de una manera conforme con las obligaciones legales y reglamentarias que sean de aplicación al Cliente. El Cliente es responsable de responder a cualquier solicitud procedente de un tercero con relación al uso que el Cliente efectúe de un Servicio Online, como por ejemplo una solicitud para retirar contenidos en virtud de la ley estadounidense Digital Millennium Copyright Act u otra legislación aplicable.
Términos de Protección de Datos Alcance
Los Términos del DPA se aplican a todos los Servicios Online, con excepción de los que se identifiquen específicamente como excluidos en el Anexo 1 de los OST (o ubicación sucesora en los Derechos de Uso), los cuales que se rigen por los términos de privacidad y seguridad incluidos en los términos específicos del correspondiente Servicio Online.
Las Vistas Previas pueden emplear medidas de privacidad y seguridad menores o diferentes a las presentes con carácter general en los Servicios Online. A menos que se estipule lo contrario, el Cliente no debería utilizar las Vistas Previas para tratar Datos Personales u otros datos que estén sujetos a obligaciones de cumplimiento normativo de carácter legal o reglamentario. Los siguientes términos incluidos en este DPA no se aplican a las Vistas Previas: “Tratamiento de Datos Personales; RGPD”, “Seguridad de los datos” y “HIPAA Business Associate”.
En el Anexo 1 del DPA se incluyen los términos de privacidad y seguridad aplicables a los Datos de Servicios Profesionales, incluidos los Datos Personales presentes en ellos, en relación con la prestación de Servicios Profesionales. Por lo tanto, salvo que lo establezca expresamente el Anexo 1, los términos incluidos en este DPA no se aplicarán a la prestación de Servicios Profesionales.
Naturaleza del tratamiento de datos; titularidad
Microsoft utilizará y tratará los Datos del Cliente y los Datos Personales únicamente de acuerdo con las instrucciones documentadas del Cliente y según se describe a continuación, incluyendo las limitaciones indicadas, (a) para prestar los Servicios Online al Cliente y (b) para las operaciones comerciales legítimas de Microsoft incidentales a la prestación de los Servicios Online al Cliente. Por lo que respecta a las partes, el Cliente conserva todos los derechos, la titularidad y los intereses sobre los Datos del Cliente. Microsoft no adquiere ningún derecho sobre los Datos del Cliente, salvo por los derechos que el Cliente concede a Microsoft en esta sección. Este párrafo no afecta los derechos de Microsoft sobre el software o los servicios que Microsoft licencia al Cliente.
Tratamiento de datos para prestar los Servicios Online al Cliente
A los efectos de este DPA, “prestar” un Servicio Online consiste en:
BOCM-20210330-26
• Proporcionar capacidades funcionales según se licencien, se configuren y se utilicen por el Cliente y sus usuarios, lo cual incluye proporcionar experiencias de usuario personalizadas;
• Solucionar problemas (prevención, detección y reparación de problemas); y
• Mejora constante (instalación de las actualizaciones más recientes e implementación de mejoras a la productividad del usuario, confiabilidad, eficacia y seguridad).
Al prestar los Servicios Online, Microsoft no utilizará ni tratará los Datos del Cliente o los Datos Personales para: (a) la elaboración de perfiles de usuarios, (b) publicidad o fines comerciales
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 67
similares, o (c) investigación xx xxxxxxx dirigida a crear nuevas funcionalidades, servicios o productos, ni para ninguna otra finalidad, salvo que dicho uso o tratamiento se realice de acuerdo con las instrucciones documentadas del Cliente.
Tratamiento de datos para las operaciones comerciales legítimas de Microsoft
A los efectos de este DPA, las “operaciones comerciales legítimas de Microsoft” consisten en los siguientes puntos, siendo cada uno de ellos incidental a la prestación de Servicios Online al Cliente:
(1) facturación y administración de la cuenta; (2) compensación (por ejemplo, cálculo de comisiones de nuestros empleados e incentivos de nuestros partners); (3) generación de informes internos y modelado de negocio interno (por ejemplo, previsiones, ingresos, planificación de capacidad, estrategia de producto); (4) combate contra fraudes, delitos cibernéticos o ataques cibernéticos que pudieran afectar a Microsoft o a los Productos de Microsoft; (5) mejora de las funcionalidades básicas de accesibilidad, privacidad o eficiencia energética; y (6) generación de informes financieros y cumplimiento de obligaciones legales (con sujeción a las limitaciones sobre revelación de Datos Procesados descritas más abajo).
Al llevar a cabo las actividades de tratamiento para las operaciones comerciales legítimas de Microsoft, Microsoft no utilizará ni tratará los Datos del Cliente o los Datos Personales para: (a) la elaboración de perfiles de usuarios, (b) publicidad o fines comerciales similares o (c) ninguna otra finalidad distinta de las finalidades establecidas en esta sección.
Revelación de Datos Procesados
Microsoft no revelará ni proporcionará acceso a los Datos Procesados salvo: (1) según indique el Cliente;
(2) según se describe en este DPA; o (3) según exija la ley. A efectos de esta sección, “Datos Procesados” son: (a) los Datos del Cliente; (b) los Datos Personales; y (c) cualquier otro dato tratado por Microsoft en relación con el Servicio Online que constituya información confidencial del Cliente en virtud del contrato de licencias por volumen. Todo tratamiento de los Datos Procesados estará sujeto a las obligaciones de confidencialidad asumidas por Microsoft en virtud del contrato de licencias por volumen.
Microsoft no revelará los Datos Procesados a una autoridad pública, ni le proporcionará acceso a ellos, salvo que lo exija la ley. En caso de que una autoridad pública se pusiera en contacto con Microsoft con la finalidad de solicitar Datos Procesados, Microsoft intentará redirigir a la autoridad pública para que solicite los datos directamente al Cliente. Si Microsoft se ve obligado a revelar o proporcionar acceso a Datos Procesados a una autoridad pública, lo notificará sin demora al Cliente y le proporcionará una copia de la solicitud, a menos que la ley lo prohíba.
Si Microsoft recibiera una solicitud de Datos Procesados procedente de cualquier otro tercero, Microsoft notificará sin demora al Cliente, salvo que la ley lo prohíba. Microsoft rechazará la solicitud, salvo que la ley le obligue a cumplimentarla. Si la solicitud fuese válida, Microsoft intentará redirigir a dicho tercero para que solicite los datos directamente al Cliente.
Microsoft no proporcionará a ningún tercero: (a) acceso directo, indirecto, general o irrestricto a los Datos Procesados; (b) las claves de cifrado de plataforma que se utilicen para proteger los Datos Procesados o la capacidad de romper tales claves; ni (c) ningún tipo de acceso a los Datos Procesados si Microsoft tiene conocimiento de que tales datos se utilizarán con fines diferentes a los indicados en la solicitud xxx xxxxxxx.
Para llevar a cabo lo previsto en los párrafos anteriores, Microsoft podrá proporcionar a los terceros la información de contacto básica del Cliente.
Tratamiento de Datos Personales; RGPD
BOCM-20210330-26
Todos los Datos Personales tratados por Microsoft en relación con los Servicios Online se obtienen como Datos del Cliente, como Datos de Diagnóstico o como Datos Generados por el Servicio. Los Datos Personales proporcionados a Microsoft por o en nombre del Cliente mediante el uso del Servicio Online también son Datos del Cliente. En los Datos de Diagnóstico y en los Datos Generados por el Servicio pueden incluirse identificadores seudonimizados, los cuales también se considerarán Datos Personales. Todos los Datos Personales que hayan sido seudonimizados o que
Pág. 68
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
hayan sido desidentificados pero no anonimizados, así como los Datos Personales derivados de Datos Personales, también se considerarán Datos Personales.
En la medida que Microsoft sea un encargado o subencargado del tratamiento de Datos Personales sujeto al RGPD, los Términos del RGPD establecidos en el Anexo 3 regirán dicho tratamiento y las partes también aceptan los siguientes términos de este apartado (“Tratamiento de los Datos Personales; RGPD”):
Roles y responsabilidades como responsable y encargado del tratamiento
El Cliente y Microsoft convienen en que el Cliente es el responsable de los Datos Personales y que Microsoft es el encargado del tratamiento de dichos datos, salvo (a) cuando el Cliente esté actuando como encargado del tratamiento de los Datos Personales, en cuyo caso Microsoft será un subencargado, o (b) cuando se establece de otro modo en los términos específicos de los Servicios Online o en este DPA. Cuando Microsoft actúa como encargado o subencargado del tratamiento de los Datos Personales, tratará los Datos Personales únicamente según las instrucciones documentadas del Cliente. El Cliente acepta que su contrato de licencias por volumen (incluidos los Términos del DPA y cualquier actualización aplicable), junto con la documentación de producto y el uso y configuración que el Cliente realice de las características presentes en los Servicios Online, constituyen las instrucciones documentadas completas que el Cliente imparte a Microsoft con respecto al tratamiento de los Datos Personales. La información sobre el uso y la configuración de los Servicios Online se puede encontrar en xxxxx://xxxx.xxxxxxxxx.xxx/xx-xx/ o en una ubicación sucesora. Cualquier instrucción adicional o alternativa habrá de ser acordada siguiendo el procedimiento para modificar el contrato de licencias por volumen del Cliente. En cualquier caso en que se aplique el RGPD y el Cliente actúe como encargado del tratamiento, el Cliente garantiza a Microsoft que el responsable pertinente ha autorizado las instrucciones del Cliente, incluida la designación de Microsoft como encargado o subencargado del tratamiento.
En la medida que Microsoft utilice o trate Datos Personales sujeto al RGPD en relación con las operaciones comerciales legítimas de Microsoft incidentales a la prestación de los Servicios Online al Cliente, Microsoft cumplirá con las obligaciones propias de un responsable independiente bajo el RGPD para dicho tratamiento. Microsoft acepta las responsabilidades adicionales de un “responsable” según el RGPD para el tratamiento de datos en relación con sus operaciones comerciales legítimas con la finalidad de: (a) actuar de conformidad con los requisitos regulatorios, en la medida exigida por el RGPD; y (b) proporcionar una mayor transparencia a los clientes y confirmar la responsabilidad de Microsoft en ese tratamiento. Microsoft emplea garantías para proteger los Datos del Cliente y los Datos Personales objeto de tratamiento, incluyendo aquellas identificadas en este DPA y las contempladas en el artículo 6(4) del RGPD. Con respecto al tratamiento de Datos Personales que Microsoft realice en virtud de este párrafo, Microsoft asume los compromisos establecidos en el Apéndice 3 del Anexo 2 —Cláusulas Contractuales Tipo (encargados del tratamiento)— del presente DPA; a estos efectos, (i) si Microsoft revelase, con arreglo al Apéndice 3, Datos Personales que hayan sido transferidos en relación con sus operaciones comerciales legítimas de Microsoft, dicha revelación se considerará una “Revelación Relevante” y (ii) los compromisos establecidos en el Apéndice 3 serán de aplicación a dichos Datos Personales.
Detalles del tratamiento
Las partes reconocen y aceptan lo siguiente:
• Objeto. El objeto del tratamiento se limita a los Datos Personales que se encuentran dentro del alcance de la sección de este DPA titulada “Naturaleza del tratamiento de datos; titularidad” y del RGPD.
BOCM-20210330-26
• Duración del tratamiento. La duración del tratamiento será acorde con las instrucciones del Cliente y los términos del DPA.
• Naturaleza y finalidad del tratamiento. La naturaleza y finalidad del tratamiento será prestar el Servicio Online de conformidad con el contrato de licencias por volumen del Cliente, así como para las operaciones comerciales legítimas de Microsoft incidentales a la prestación de los Servicios Online al Cliente (tal y como se describe en más detalle en la sección de este DPA titulada “Naturaleza del tratamiento de datos; titularidad”).
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 69
• Categorías de datos. Los tipos de Datos Personales tratados por Microsoft al prestar el Servicio Online incluyen: (i) Datos Personales que el Cliente decide incluir en los Datos del Cliente; y (ii) aquellos expresamente identificados en el Artículo 4 del RGPD que pudiera estar incluidos en los Datos de Diagnóstico o Datos Generados por el Servicio. Los tipos de Datos Personales que el Cliente decide incluir en los Datos del Cliente pueden corresponder a cualquier categoría de Datos Personales identificada en los registros que mantiene el Cliente que actúa como responsable conforme al Artículo 30 del RGPD, incluidas las categorías de Datos Personales que se establecen en el Apéndice 1 del Anexo 2 – Las Cláusulas Contractuales Tipo (Encargados del tratamiento) del DPA.
• Interesados. Las categorías de interesados son los representantes y usuarios finales del Cliente, tales como los empleados, contratistas, colaboradores y clientes, y pueden incluir cualquier otra categoría de interesados identificada en los registros que mantiene el Cliente, en su calidad de responsable, con arreglo al artículo 30 del RGPD, incluyendo las categorías de interesados que se establecen en el Apéndice 1 del Anexo 2 —Cláusulas Contractuales Tipo (encargados del tratamiento)— de este DPA.
Derechos de los interesados; asistencia con las solicitudes
Microsoft pondrá a disposición del Cliente, de una manera conforme con las funcionalidades del Servicio Online y con el rol de Microsoft como encargado del tratamiento de Datos Personales de sus interesados, la capacidad para satisfacer las solicitudes de los interesados con respecto al ejercicio de sus derechos reconocidos por el RGPD. Si Microsoft recibiese una solicitud, procedente de un interesado del Cliente, para ejercitar uno o más de sus derechos reconocidos por el RGPD, en relación con un Servicio Online para el cual Microsoft es encargado o subencargado del tratamiento, Microsoft redirigirá al interesado para que remita su solicitud directamente al Cliente. El Cliente será responsable de responder a cualquier solicitud, incluso, cuando proceda, mediante el uso de las funcionalidades presentes en el Servicio Online. Microsoft satisfará las peticiones razonables que le presente el Cliente para asistirle a responder a las mencionadas solicitudes de los interesados.
Registro de actividades de tratamiento
En la medida que el RGPD requiera que Microsoft recopile y mantenga registros de determinada información relacionada con el Cliente, el Cliente deberá, cuando se le solicite, proporcionar dicha información a Microsoft y la mantendrá precisa y actualizada. Microsoft podrá poner dicha información a disposición de la autoridad de control si así lo exige el RGPD.
Seguridad de los datos
Prácticas y políticas de seguridad
Microsoft implementará y mantendrá en vigor medidas técnicas y organizativas apropiadas para proteger los Datos del Cliente y los Datos Personales frente a cualquier destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma y frente a la revelación o acceso no autorizados a dichos datos. Estas medidas estarán establecidas en una Política de Seguridad de Microsoft. Microsoft pondrá a disposición del Cliente esa política, así como las descripciones de los controles de seguridad para el Servicio Online y otra información sobre las prácticas y políticas de seguridad de Microsoft que el Cliente solicite razonablemente.
Además, esas medidas cumplirán con los requisitos establecidos en los estándares ISO 27001, ISO 27002 e ISO 27018. Cada Servicio Online Principal también cumple con los estándares y xxxxxx de control que se muestran en el Anexo 1 de los OST (o ubicación sucesora en los Derechos de Uso) e implementa y mantiene en vigor las medidas de seguridad establecidas en el Apéndice A para la protección de los Datos del Cliente.
BOCM-20210330-26
Microsoft podrá agregar estándares gubernamentales o del sector en cualquier momento. Microsoft no eliminará los estándares ISO 27001, ISO 27002, ISO 27018 o los estándares x xxxxxx de control previstos en la tabla del Anexo 1 de los OST (o ubicación sucesora en los Derechos de Uso), salvo que ya no se utilicen en el sector y en su caso sean sustituidos por un sucesor.
Pág. 70
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
Cifrado de datos
Se cifrarán por defecto los Datos del Cliente (incluyendo cualesquiera Datos Personales presentes en ellos) que se encuentren en tránsito a través de redes públicas entre el Cliente y Microsoft o entre los centros de datos de Microsoft.
Microsoft cifrará además los Datos del Cliente que se encuentren almacenados en reposo en los Servicios Online. En el caso de los Servicios Online en los que el Cliente, o un tercero que actúa por cuenta del Cliente, puede crear aplicaciones (p. ej., determinados Servicios xx Xxxxx), se podrá emplear el cifrado de los datos almacenados en dichas aplicaciones a criterio del Cliente, usando las capacidades proporcionadas por Microsoft u obtenidas por el Cliente de terceros.
Acceso a datos
Microsoft empleará mecanismos de acceso de privilegio mínimo para controlar el acceso a los Datos del Cliente (incluyendo los Datos Personales presentes en ellos). Para los Servicios Online Principales, Microsoft mantendrá en vigor los mecanismos de Control de Acceso que se describen en la tabla titulada “Medidas de Seguridad” del Apéndice A, sin que exista acceso permanente por parte del personal de Microsoft a los Datos del Cliente. Se utilizarán controles de acceso basados en roles para garantizar que el acceso a Datos del Cliente que sea requerido para operaciones de servicio es para una finalidad apropiada, por un tiempo limitado, y es aprobado con supervisión de responsables superiores.
Responsabilidades del Cliente
El Cliente es el único responsable de determinar de manera independiente si las medidas técnicas y organizativas correspondientes a un Servicio Online satisfacen los requisitos del Cliente, incluidas las obligaciones de seguridad que tenga el Cliente en virtud de la Normativa sobre Protección de Datos que sea de aplicación. El Cliente reconoce y acepta que —teniendo en cuenta el estado de la técnica, el coste de la implementación y la naturaleza, ámbito, contexto y fines del tratamiento de sus Datos Personales, así como los riesgos para las personas— las prácticas y políticas de seguridad implementadas y mantenidas en vigor por Microsoft proporcionan un nivel de seguridad adecuado al riesgo con respecto a sus Datos Personales. El Cliente es responsable de implementar y mantener en vigor protecciones de privacidad y medidas de seguridad para los componentes que el Cliente proporcione o controle (tales como dispositivos registrados con Microsoft Intune o dentro de una aplicación o máquina virtual de un cliente de Microsoft Azure).
Auditoría del cumplimiento
Microsoft llevará a cabo auditorías de la seguridad de los equipos, del entorno informático y de los centros de datos físicos que utiliza en el tratamiento de los Datos del Cliente y los Datos Personales, de la siguiente manera:
• Cuando un estándar o marco de control establezca auditorías, se iniciará una auditoría de dicho estándar o marco de control al menos anualmente.
• Cada auditoría se realizará de conformidad con los estándares y reglas del organismo regulador o de acreditación correspondiente a cada estándar o marco de control aplicable.
• Cada auditoría será realizada por auditores externos, independientes y cualificados en materia de seguridad, a elección y coste de Microsoft.
BOCM-20210330-26
Cada auditoría dará como resultado un informe de auditoría (“Informe de Auditoría de Microsoft”), que Microsoft pondrá a disposición en xxxxx://xxxxxxxxxxxx.xxxxxxxxx.xxx/ o en otra ubicación identificada por Microsoft. El Informe de Auditoría de Microsoft constituirá Información Confidencial de Microsoft y revelará claramente cualquier hallazgo importante del auditor. Microsoft remediará sin demora, a satisfacción del auditor, las cuestiones que se deriven de un Informe de Auditoría de Microsoft. Si el Cliente lo solicita, Microsoft le proporcionará cada Informe de Auditoría de Microsoft. El Informe de Auditoría de Microsoft estará sujeto a limitaciones de distribución y no revelación de Microsoft y del auditor.
En la medida que los requisitos de auditoría del Cliente en virtud de las Cláusulas Contractuales Tipo o de la Normativa sobre Protección de Datos no se puedan satisfacer razonablemente a través de los informes de auditoría o de las documentaciones o informaciones de cumplimiento que Microsoft
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 71
ponga a disposición de sus clientes con carácter general, Microsoft responderá sin demora a las instrucciones de auditoría adicionales del Cliente. Antes del inicio de una auditoría, el Cliente y Microsoft estipularán de mutuo acuerdo las condiciones de alcance, plazos, duración, control y evidencias, además de los honorarios de la auditoría, en el bien entendido de que esta necesidad de llegar a un acuerdo no permitirá que Microsoft retrase irrazonablemente la realización de la auditoría. En la medida que sea necesario para realizar la auditoría, Microsoft pondrá a disposición los sistemas de tratamiento, las instalaciones y las documentaciones de respaldo que sean relevantes para el tratamiento de los Datos del Cliente y los Datos Personales por parte de Microsoft, sus Filiales y sus Subencargados. Dicha auditoría será realizada por una firma de auditoría externa, independiente y acreditada, durante el horario laboral normal, con preaviso razonable a Microsoft, y estará sujeta a procedimientos de confidencialidad razonables. Ni el Cliente ni el auditor tendrán acceso a los datos de otros clientes de Microsoft ni a los sistemas o instalaciones de Microsoft que no estén involucrados en los Servicios Online. El Cliente será responsable de todos los costes y honorarios relacionados con dicha auditoría, incluidos todos los costes y honorarios razonables correspondientes a todo el tiempo que Microsoft dedique a dicha auditoría, además de los honorarios por los servicios que realice Microsoft. Si el informe de auditoría generado como resultado de la auditoría del Cliente incluyese alguna observación de falta de cumplimiento importante, el Cliente compartirá dicho informe de auditoría con Microsoft y Microsoft subsanará sin demora cualquier falta de incumplimiento importante.
Si las Cláusulas Contractuales Tipo son de aplicación, esta sección es adicional a lo previsto en la Cláusula 5, párrafo f, y en la Cláusula 12, párrafo 2, de las Cláusulas Contractuales Tipo. Nada de lo dispuesto en esta sección del DPA varía o modifica las Cláusulas Contractuales Tipo o los Términos del RGPD, ni afecta a ningún derecho de la autoridad de control o de los interesados que se derive de las Cláusulas Contractuales Tipo o de la Normativa sobre Protección de Datos. La presente sección se estipula en favor de Microsoft Corporation como tercero beneficiario.
Notificación de Incidentes de Seguridad
Si Microsoft tuviese conocimiento de una brecha de seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de los Datos del Cliente o los Datos Personales, o la revelación o acceso no autorizados a dichos datos, todo ello durante su tratamiento por parte de Microsoft (cada caso, un “Incidente de Seguridad”), Microsoft, sin demora ni dilación indebida, (1) notificará el Incidente de Seguridad al Cliente; (2) investigará el Incidente de Seguridad y proporcionará al Cliente información detallada sobre el Incidente de Seguridad; y (3) tomará medidas razonables para mitigar los efectos y minimizar los daños que resulten del Incidente de Seguridad.
Las notificaciones de Incidentes de Seguridad se remitirán a uno o más administradores del Cliente a través de cualquier medio que Microsoft seleccione, incluyendo correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que sus administradores mantengan en todo momento unos datos de contacto exactos en el portal de cada Servicio Online aplicable. El Cliente es el único responsable de cumplir con sus obligaciones con arreglo a las leyes relativas a la notificación de incidentes que sean aplicables al Cliente y de satisfacer las obligaciones de notificación a terceros relacionadas con cualquier Incidente de Seguridad.
Microsoft empleará esfuerzos razonables para ayudar al Cliente a satisfacer su obligación derivada del artículo 33 del RGPD u otra ley o reglamento aplicable, con respecto a notificar dicho Incidente de Seguridad a la correspondiente autoridad de control y a los interesados.
La notificación de un Incidente de Seguridad por parte de Microsoft, o la respuesta que Microsoft dé a un Incidente de Seguridad, según lo previsto en esta sección, no constituirá reconocimiento por parte de Microsoft en cuanto a incumplimiento o responsabilidad alguna con respecto al Incidente de Seguridad.
BOCM-20210330-26
El Cliente deberá notificar a Microsoft, sin demora, acerca de cualquier posible uso indebido que se haya producido en sus cuentas o credenciales de autenticación, o acerca de cualquier incidente de seguridad relacionado con un Servicio Online.
Pág. 72
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
Transferencia y ubicación de los datos Transferencias de datos
Los Datos del Cliente y los Datos Personales que Microsoft trate por cuenta del Cliente no se podrán transferir a, ni almacenar y tratar en, una ubicación geográfica si no es de conformidad con los Términos del DPA y con las garantías previstas más abajo en esta sección. Teniendo en cuenta dichas garantías, el Cliente designa a Microsoft para que transfiera los Datos del Cliente y los Datos Personales a los Estados Unidos o a cualquier otro país en el que operen Microsoft o sus Subencargados y para que almacene y trate los Datos del Cliente y los Datos Personales con la finalidad de prestar los Servicios Online, sin perjuicio de las demás disposiciones de los Términos del DPA.
Todas las transmisiones de Datos del Cliente y Datos Personales fuera de la Unión Europea, el Espacio Económico Europeo, Xxxxx Unido y Suiza para proporcionar los Servicios Online se regirán por las Cláusulas Contractuales Tipo que se encuentran en el Anexo 2.
Microsoft cumplirá con los requisitos establecidos por las leyes sobre protección de datos del Espacio Económico Europeo y de Suiza en relación con la recopilación, utilización, transmisión, retención y otras actividades de tratamiento de los Datos Personales procedentes del Espacio Económico Europeo, Xxxxx Unido y Suiza. Todas las transmisiones de Datos Personales a un tercer país o a una organización internacional estarán sujetas a las garantías pertinentes según lo descrito en el Artículo 46 del RGPD y dichas transmisiones y garantías estarán documentadas de conformidad con el Artículo 30(2) del RGPD.
Además, Microsoft posee certificación en virtud de los xxxxxx de Escudo de la Privacidad entre Unión Europea y Estados Unidos y entre Suiza y Estados Unidos, y los compromisos que conllevan, aunque Microsoft no se basa en el marco de Escudo de la Privacidad UE-EE. UU. como base jurídica para las transferencias de Datos Personales a la luz de la sentencia del Tribunal de Justicia de la UE en el caso C-311/18. Microsoft se compromete a notificar al Cliente si se determina que ya no puede seguir cumpliendo con su obligación de proporcionar el mismo nivel de protección que requieren los principios del Escudo de la Privacidad.
Ubicación de los Datos del Cliente en reposo
Para los Servicios Online Principales, Microsoft almacenará los Datos del Cliente en reposo dentro de determinadas áreas geográficas importantes (cada una, una Geoárea), según lo establecido en el Anexo 1 de los OST (o ubicación sucesora en los Derechos de Uso).
Microsoft no controla ni limita las regiones desde las que el Cliente o sus usuarios finales pueden acceder o mover los Datos del Cliente.
Conservación y eliminación de datos
En todo momento durante el periodo de vigencia de su suscripción, el Cliente tendrá la capacidad de acceder a los Datos del Cliente almacenados en cada Servicio Online, así como tendrá también la capacidad de extraerlos y eliminarlos.
Excepto en el caso de las pruebas gratuitas y de los servicios de LinkedIn, Microsoft conservará los Datos del Cliente que sigan almacenados en el Servicio Online en una cuenta con funcionalidad limitada durante los 90 días siguientes a la expiración o terminación de la suscripción del Cliente, de tal modo que el Cliente pueda extraer los datos. Una vez finalice ese periodo de conservación de 90 días, Microsoft desactivará la cuenta del Cliente y eliminará los Datos del Cliente y los Datos Personales dentro de los siguientes 90 días, salvo que Microsoft tenga obligación o permiso de la ley aplicable, o tenga autorización en virtud de este DPA, para conservar esos datos.
BOCM-20210330-26
Es posible que el Servicio Online no admita la conservación o extracción de software que haya proporcionado el Cliente. Microsoft no incurrirá en responsabilidad alguna por eliminar los Datos del Cliente o los Datos Personales según se describe en esta sección.
Compromiso de confidencialidad como encargado del tratamiento
Microsoft se asegurará de que su personal involucrado en el tratamiento de los Datos del Cliente y los Datos Personales (i) únicamente tratará tales datos según las instrucciones del Cliente o según
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 73
se describe en este DPA, y (ii) tendrá la obligación de mantener la confidencialidad y seguridad de tales datos, incluso tras cesar dichas personas en sus funciones. Microsoft llevará a cabo actividades periódicas y obligatorias de formación y concienciación sobre la seguridad y privacidad de los datos para sus empleados con acceso a Datos del Cliente y Datos Personales de acuerdo con la Normativa sobre Protección de Datos y los estándares del sector aplicables.
Notificaciones y controles sobre el uso de Subencargados
Microsoft podrá contratar a Subencargados para que presten ciertos servicios limitados o auxiliares por cuenta de Microsoft. El Cliente consiente esta contratación, así como la designación de las Filiales de Microsoft como Subencargados. Estas autorizaciones constituirán el consentimiento previo y por escrito del Cliente para la subcontratación por parte de Microsoft del tratamiento de los Datos del Cliente y los Datos Personales en la medida que dicho consentimiento sea necesario en virtud de las Cláusulas Contractuales Tipo o los Términos del RGPD.
Microsoft es responsable de que los Subencargados cumplan las obligaciones que Microsoft asume en este DPA. Microsoft pondrá a disposición información sobre los Subencargados en un sitio web de Microsoft. Cuando contrate a un Subencargado, Microsoft se asegurará, a través de un contrato por escrito, de que el Subencargado solamente pueda acceder a, y utilizar, los Datos del Cliente o Datos Personales con la única finalidad de prestar los servicios que Microsoft le haya contratado, prohibiéndole utilizar los Datos del Cliente o los Datos Personales para cualquier otra finalidad. Microsoft se asegurará de que los Subencargados se obliguen, mediante contratos por escrito, a proporcionar, al menos, el mismo nivel de protección de datos que se exige a Microsoft en el DPA, incluidas las limitaciones sobre revelación de Datos Procesados. Microsoft se compromete a supervisar a los Subencargados para asegurarse de que se cumplan estas obligaciones contractuales.
Cada cierto tiempo, Microsoft podrá contratar a nuevos Subencargados. Microsoft notificará al Cliente (actualizando el sitio web y proporcionando al Cliente un mecanismo para obtener notificación de dicha actualización) acerca de cualquier nuevo Subencargado al menos 6 meses antes de proporcionar al Subencargado acceso a los Datos del Cliente. Además, Microsoft notificará al Cliente (actualizando el sitio web y proporcionando al Cliente un mecanismo para obtener notificación de dicha actualización) acerca de cualquier nuevo Subencargado al menos 30 días antes de proporcionar al Subencargado acceso a Datos Personales distintos de los incluidos en los Datos del Cliente. Si Microsoft contrata a un nuevo Subencargado para un nuevo Servicio Online, Microsoft notificará al Cliente antes de que ese Servicio Online pase a estar disponible.
Si el Cliente no aprobase a un nuevo Subencargado, el Cliente podrá terminar cualquier subscripción relativa al Servicios Online afectado, sin penalización alguna, remitiendo para ello, antes de que finalice el periodo de notificación en cuestión, una notificación escrita de terminación. Junto con la notificación de terminación, el Cliente también podrá incluir una explicación de los motivos para la no aprobación, con el fin de permitir que Microsoft pueda reevaluar a dicho nuevo Subencargado a la luz de las inquietudes manifestadas. Si el Servicio Online afectado formase parte de una suite (o de una contratación conjunta de servicios de carácter similar), la terminación se aplicará a la suite completa. Tras la terminación, Microsoft retirará, de cualquier factura posterior que emita al Cliente o a su revendedor, las obligaciones de pago asociadas a toda subscripción relativa al Servicio Online que haya sido objeto de terminación.
Instituciones educativas
BOCM-20210330-26
Si el Cliente es una agencia o institución educativa a la cual se apliquen las regulaciones de la ley estadounidense Family Educational Rights and Privacy Act, 20 U.S.C. § 1232g (FERPA), Microsoft reconoce que, a los efectos del DPA, Microsoft constituye un “school official” con “legitimate educational interests” en los Datos del Cliente, tal y como se definen dichos términos en virtud de FERPA y sus regulaciones de implementación, y Microsoft se compromete a cumplir las limitaciones y requisitos impuestos por la norma estadounidense 34 CFR 99.33(a) a los “school officials”.
El Cliente comprende que Microsoft puede poseer información de contacto limitada —o no poseer información de contacto en absoluto— relativa a los estudiantes y a los padres de los estudiantes. Por consiguiente, el Cliente será responsable de obtener cualquier consentimiento parental que pueda ser necesario bajo la ley aplicable para el uso que cualquiera de los usuarios finales haga del
Pág. 74
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
Servicio Online y el Cliente será asimismo responsable de transmitir, por cuenta de Microsoft, la notificación a los estudiantes (o al progenitor del estudiante, si se tratase de un estudiante menor de 18 años que no asista a una institución postsecundaria) referente a cualquier orden judicial o requerimiento legalmente emitido que exija la revelación de los Datos del Cliente en posesión de Microsoft, según pueda exigir la legislación aplicable.
CJIS Customer Agreement
Microsoft proporciona ciertos servicios de nube gubernamental (“Servicios Cubiertos”) de acuerdo con la política estadounidense FBI Criminal Justice Information Services (“CJIS”) Security Policy (“CJIS Policy”). La CJIS Policy rige el uso y la transmisión de la información del sistema de justicia penal. Todos los Servicios Cubiertos CJIS de Microsoft se regirán por los términos y condiciones del acuerdo CJIS Customer Agreement que se encuentra aquí: xxxx://xxx.xx/XXXXXxxxxxxxXxxxxxxxx.
HIPAA Business Associate
En el supuesto de que, tal y como se definen estos términos en la norma estadounidense 45 CFR
§ 160.103, el Cliente es una “covered entity” o un “business associate” e incluye “protected health information” en los Datos de Cliente, entonces la formalización del contrato de licencias por volumen del Cliente incluye la formalización del acuerdo HIPAA Business Associate Agreement (“BAA”), cuyo texto completo identifica los Servicios Online a los que se aplica y está disponible en xxxx://xxx.xx/XXX. El Cliente pueden optar por excluirse del BAA enviando la siguiente información a Microsoft mediante una notificación por escrito escrita (según los términos del contrato de licencias por volumen del Cliente):
• el nombre legal completo del Cliente y cualquier Filial con respecto a la que se esté ejercitando esta opción; y
• si el Cliente tiene varios contratos de licencias por volumen, el contrato de licencias por volumen al que se aplica la exclusión.
California Consumer Privacy Act (CCPA)
Si Microsoft trata Datos Personales dentro del ámbito de la CCPA, Microsoft asume los siguientes compromisos adicionales ante el Cliente. Microsoft tratará los Datos del Cliente y los Datos Personales por cuenta del Cliente y no conservará, utilizará ni revelará esos datos con otros fines que no sean los establecidos en los Términos del DPA y los permitidos en virtud de la CCPA, incluso en virtud de cualquier exención sobre “venta” (“sale”). En ningún caso venderá Microsoft esos datos. Estos términos sobre la CCPA no limitan ni reducen los compromisos en materia de protección de datos que Microsoft asume ante el Cliente en los Términos del DPA, en los Derechos de Uso o en cualquier otro acuerdo entre Microsoft y el Cliente.
Datos Biométricos
Si el Cliente utiliza un Servicio Online para tratar Datos Biométricos, el Cliente es responsable de: (i) notificar a los interesados, incluso con respecto a los periodos de conservación y destrucción; (ii) obtener el consentimiento de los interesados; y (iii) eliminar los Datos Biométricos, todo ello según proceda y sea necesario en virtud de la Normativa sobre Protección de Datos aplicable. Microsoft tratará esos Datos Biométricos siguiendo las instrucciones documentadas del Cliente (tal y como se describe más arriba en la sección titulada “Roles y responsabilidades como responsable y encargado del tratamiento”) y protegerá esos Datos Biométricos de acuerdo con los términos de seguridad y protección de datos de este DPA. A los efectos de esta sección, el concepto “Datos Biométricos” tendrá el significado establecido en el artículo 4 del RGPD y, en su caso, en términos equivalentes previstos en otras Normativas sobre Protección de Datos.
Cómo ponerse en contacto con Microsoft
BOCM-20210330-26
Si el Cliente considera que Microsoft no está cumpliendo con sus compromisos de privacidad o seguridad, el Cliente puede ponerse en contacto con atención al cliente o utilizar el formulario web
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 75
sobre privacidad de Microsoft, que se encuentra en xxxx://xx.xxxxxxxxx.xxx/?xxxxxxx0000000. La dirección postal de Microsoft es:
Microsoft Enterprise Service Privacy
Microsoft Corporation One Microsoft Way
Redmond, Washington 98052, USA
Microsoft Ireland Operations Limited es el representante de protección de datos de Microsoft para el Espacio Económico Europeo y Suiza. El representante de privacidad de Microsoft Ireland Operations Limited se encuentra disponible en la siguiente dirección:
Microsoft Ireland Operations, Ltd.
Attn: Data Protection One Microsoft Place
South County Business Park Leopardstown
Xxxxxx 00, X00 X000, Xxxxxxx
Apéndice A: Medidas de seguridad
BOCM-20210330-26
Microsoft ha implementado y mantendrá en vigor las siguientes medidas de seguridad para los Datos del Cliente en los Servicios Online Principales, las cuales, junto con los compromisos de seguridad previstos en este DPA (incluyendo los Términos del RGPD), constituyen la única responsabilidad de Microsoft con respecto a la seguridad de esos datos.
Dominio | Prácticas |
Organización de la seguridad de la información | Responsables de seguridad. Microsoft ha designado a uno o varios delegados de seguridad responsables de coordinar y supervisar las reglas y los procedimientos de seguridad. Roles y responsabilidades en materia de seguridad. El personal de Microsoft con acceso a los Datos del Cliente está sujeto a obligaciones de confidencialidad. Programa de gestión de riesgos. Microsoft realizó una evaluación de riesgos antes de tratar los Datos del Cliente o de lanzar el servicio de Servicios Online. Microsoft conserva sus documentos de seguridad de conformidad con sus requisitos de conservación después de que ya no se encuentren en vigor. |
Gestión de activos | Inventario de activos. Microsoft mantiene un inventario de todo soporte físico en que se almacenan los Datos del Cliente. El acceso a los inventarios de dichos soportes físicos está restringido al personal de Microsoft autorizado por escrito para tener dicho acceso. Manejo de activos Microsoft clasifica los Datos del Cliente para ayudar a identificarlos y para posibilitar que el acceso a ellos se encuentre apropiadamente restringido. Microsoft impone restricciones respecto de la impresión de los Datos del Cliente y tiene procedimientos para la eliminación de los materiales impresos que contengan Datos del Cliente. El personal de Microsoft debe obtener la autorización de Microsoft antes de almacenar Datos del Cliente en dispositivos portátiles, de acceder de forma remota a Datos del Cliente o de tratarlos fuera de las instalaciones de Microsoft. |
Seguridad relativa a los recursos humanos | Formación en seguridad. Microsoft informa a su personal acerca de los procedimientos de seguridad pertinentes y de sus roles respectivos. Microsoft además informa a su personal acerca de las posibles consecuencias de incumplir las reglas y los procedimientos de seguridad. Microsoft solo utilizará datos anónimos durante la formación. |
Seguridad física y del entorno | Acceso físico a las instalaciones. Microsoft limita el acceso a las instalaciones donde se encuentran los sistemas de información que tratan Datos del Cliente a personas autorizadas e identificadas. Acceso físico a los componentes. Microsoft mantiene registros de los soportes físicos entrantes y salientes que contienen Datos del Cliente. Estos registros incluyen el tipo de soporte físico, emisor/destinatario autorizados, fecha y hora, el número de soportes físicos y los tipos de Datos del Cliente que contienen. Protección contra disrupciones. Microsoft utiliza una variedad de sistemas estándares del sector para proteger contra la pérdida de datos debida a fallos en el suministro de energía o interferencias en las líneas. Eliminación de componentes. Microsoft utiliza procesos estándares del sector para eliminar los Datos del Cliente cuando ya no son necesarios. |
Gestión de las comunicaciones y las operaciones | Política operativa. Microsoft mantiene documentos de seguridad que describen sus medidas de seguridad y los procedimientos y responsabilidades pertinentes de su personal que tiene acceso a los Datos del Cliente. Procedimientos de recuperación de datos De forma continua, aunque en ningún caso con menos frecuencia que una vez a la semana (a menos que ninguno de los Datos del Cliente se hayan actualizado durante ese periodo), Microsoft mantiene múltiples copias de los Datos del Cliente desde donde se pueden recuperar los Datos del Cliente. Microsoft almacena las copias de los Datos del Cliente y los procedimientos de recuperación de datos en un lugar distinto de donde está ubicado el equipo informático principal que trata los Datos del Cliente. Microsoft tiene implementados procedimientos específicos que rigen el acceso a las copias de los Datos del Cliente. Microsoft revisa los procedimientos de recuperación de datos al menos cada seis meses, con excepción de los procedimientos de recuperación de datos de los Servicios xx Xxxxx Government, que se evalúan cada doce meses. |
Pág. 76
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
Xxxxxxx | Xxxxxxxxx |
Microsoft registra los esfuerzos de restauración de datos, lo que incluye la persona responsable, la descripción de los datos restaurados y, cuando corresponda, la persona responsable y qué datos (si los hubo) tuvieron que ingresarse de forma manual en el proceso de recuperación de datos. Software malicioso. Microsoft cuenta con controles antimalware que ayudan a evitar que un software malicioso consiga acceso no autorizado a los Datos del Cliente, incluido software malicioso proveniente de redes públicas. Datos más allá de los límites Microsoft cifra (o permite que el Cliente cifre) los Datos del Cliente que se transmiten por redes públicas. Microsoft restringe el acceso a los Datos del Cliente presentes en soportes físicos que salen de sus instalaciones. Registro de eventos. Microsoft registra (o permite que el Cliente registre) el acceso y uso de los sistemas de información que contienen Datos del Cliente, registrando el identificador de acceso, la hora, la autorización concedida o denegada y la actividad pertinente. | |
Control de acceso | Política de acceso. Microsoft mantiene un registro de los privilegios de seguridad de las personas que tienen acceso a los Datos del Cliente. Autorización de acceso Microsoft mantiene y actualiza un registro del personal autorizado a acceder a los sistemas de Microsoft que contienen Datos del Cliente. Microsoft desactiva las credenciales de autenticación que no se han utilizado durante un periodo que no superior a seis meses. Microsoft identifica al personal que puede conceder, modificar o cancelar el acceso autorizado a los datos y recursos. Microsoft se asegura de que, cuando más de una persona tenga acceso a sistemas que contienen Datos del Cliente, esas personas tienen identificadores o inicios de sesión separados. Privilegio mínimo Al personal de soporte técnico solo se le permite tener acceso a los Datos del Cliente cuando sea necesario. Microsoft restringe el acceso a los Datos del Cliente solo a aquellas personas que necesitan dicho acceso para desempeñar su trabajo. Integridad y confidencialidad Microsoft indica a su personal que debe desactivar las sesiones administrativas cuando salga de las instalaciones que Microsoft controla o cuando los equipos queden desatendidos. Microsoft almacena contraseñas de una forma que las hace ininteligibles mientras están vigentes. Autenticación Microsoft utiliza prácticas estándares del sector para identificar y autenticar a los usuarios que intentan acceder a los sistemas de información. Cuando los mecanismos de autenticación se basan en contraseñas, Microsoft exige que las contraseñas se renueven de forma periódica. Cuando los mecanismos de autenticación se basan en contraseñas, Microsoft exige que la contraseña tenga al menos ocho caracteres de longitud. Microsoft se asegura de que los identificadores desactivados o expirados no se concedan a otras personas. Microsoft supervisa (o permite que el Cliente supervise) los intentos reiterados de conseguir acceso al sistema de información mediante una contraseña inválida. Microsoft mantiene procedimientos estándares del sector para desactivar las contraseñas que se hayan dañado o que hayan sido reveladas de forma involuntaria. Microsoft utiliza prácticas de protección con contraseña estándares del sector, lo que incluye prácticas diseñadas para mantener la confidencialidad y la integridad de las contraseñas cuando son asignadas y distribuidas, así como durante el almacenamiento. Diseño de red. Microsoft cuenta con controles para evitar que las personas asuman derechos de acceso que no se les han asignado para conseguir acceso a Datos del Cliente para los que no tienen acceso autorizado. |
Gestión de incidentes de seguridad de la información | Proceso de respuesta ante incidentes Microsoft mantiene un registro de las brechas de seguridad con la correspondiente descripción de la brecha, el periodo de tiempo, las consecuencias de la brecha, el nombre de la persona que informó de la brecha y de la persona a la que se informó sobre la brecha y el procedimiento para recuperar los datos. Para cada brecha de seguridad que constituya un Incidente de Seguridad, Microsoft proporcionará una notificación (como se describe más arriba en la sección “Notificación de Incidentes de Seguridad”) sin dilación indebida y, en cualquier caso, en un plazo de 72 horas. Microsoft hace un seguimiento (o permite que el Cliente haga un seguimiento) de las revelaciones de Datos del Cliente, incluyendo qué datos que se han revelado, a quién y en qué momento. Supervisión del servicio. El personal de seguridad de Microsoft verifica los registros al menos cada seis meses para proponer esfuerzos de corrección, si fuera necesario. |
Gestión de la continuidad del negocio | Microsoft mantiene planes de emergencia y contingencia para las instalaciones en que están ubicados los sistemas de información de Microsoft que tratan los Datos del Cliente. El almacenamiento redundante de Microsoft y sus procedimientos para recuperar datos están diseñados para intentar reconstruir los Datos del Cliente en su estado original o replicado por última vez desde antes del momento en que se perdieron o destruyeron. |
Anexo 1: Notas Servicios Profesionales
BOCM-20210330-26
Los Servicios Profesionales se prestan sujetos a los “Términos de los Servicios Profesionales” que se encuentran a continuación. Sin embargo, si los Servicios Profesionales se prestan en virtud de un contrato independiente, entonces se aplicarán los términos de ese contrato independiente a dichos Servicios Profesionales.
Los Servicios Profesionales a los que se aplica esta Nota no son Servicios Online y no están sujetos a las demás disposiciones de los Derechos de Uso o del DPA salvo que se prevea expresamente lo contrario en los Términos de los Servicios Profesionales establecidos a continuación.
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 77
Tratamiento de los Datos de Servicios Profesionales; titularidad
Microsoft utilizará y tratará los Datos de Servicios Profesionales únicamente de acuerdo con las instrucciones documentadas del Cliente y según se describe a continuación, incluyendo las limitaciones indicadas, (a) para prestarlos Servicios Profesionales al Cliente y (b) para las operaciones comerciales legítimas de Microsoft incidentales a la prestación de los Servicios Profesionales al Cliente. Por lo que respecta a las partes, el Cliente conserva todos los derechos, la titularidad y los intereses sobre los Datos de Servicios Profesionales. Microsoft no adquiere ningún derecho sobre los Datos de Servicios Profesionales, salvo por los derechos que el Cliente concede a Microsoft para prestar los Servicios Profesionales al Cliente. Este párrafo no afecta los derechos de Microsoft sobre el software o los servicios que Microsoft licencia al Cliente.
Tratamiento de datos para prestar los Servicios Profesionales al Cliente
A los efectos de este DPA, “prestar” Servicios Profesionales consiste en:
• Proporcionar los Servicios Profesionales, lo cual incluye proporcionar servicios de soporte técnico, planificación profesional, asesoramiento, asistencia, migración de datos, despliegue y desarrollo de software o soluciones;
• Solucionar problemas (prevención, detección, investigación, mitigación y reparación de problemas, incluidos Incidentes de Seguridad); y
• Mejora constante (mantenimiento de los Servicios Profesionales, incluida la instalación de las actualizaciones más recientes e implementación de mejoras a la confiabilidad, eficacia, calidad y seguridad).
Al prestar los Servicios Profesionales, Microsoft no utilizará ni tratará los Datos de Servicios Profesionales para: (a) la elaboración de perfiles de usuarios, (b) publicidad o fines comerciales similares, o (c) investigación xx xxxxxxx dirigida a crear nuevas funcionalidades, servicios o productos, ni para ninguna otra finalidad, salvo que dicho uso o tratamiento se realice de acuerdo con las instrucciones documentadas del Cliente.
Tratamiento de datos para las operaciones comerciales legítimas de Microsoft
A los efectos de este DPA, las “operaciones comerciales legítimas de Microsoft” consisten en: (1) facturación y administración de la cuenta; (2) compensación (por ejemplo, cálculo de comisiones de nuestros empleados e incentivos para nuestros partners); (3) generación de informes internos y modelado de negocio interno (por ejemplo, previsiones, ingresos, planificación de capacidad, estrategia de producto); (4) combate contra fraudes, delitos cibernéticos o ataques cibernéticos que pudieran afectar a Microsoft o a los Productos de Microsoft; (5) mejora de las funcionalidades básicas de accesibilidad, privacidad o eficiencia energética; y (6) generación de informes financieros y cumplimiento de obligaciones legales (con sujeción a las limitaciones de revelación descritas a continuación), siendo cada uno de estos puntos incidental a la prestación de Servicios Profesionales al Cliente.
Al llevar a cabo actividades de tratamiento para las operaciones comerciales legítimas de Microsoft, Microsoft no utilizará ni tratará los Datos de Servicios Profesionales para: (a) la elaboración de perfiles de usuarios, (b) publicidad o fines comerciales similares o (c) ninguna otra finalidad, distinta de las finalidades establecidas en esta sección.
Revelación de los Datos de Servicios Profesionales
El apartado titulado “Revelación de Datos Procesados”, incluido en la sección de este DPA titulada “Términos de Protección de Datos”, se aplicará a las interacciones sobre Servicios Profesionales del Cliente con respecto a los Datos de Servicios Profesionales.
BOCM-20210330-26
Tratamiento de Datos Personales; RGPD
Los Datos Personales proporcionados a Microsoft por o en nombre el Cliente a través de una interacción con Microsoft para obtener Servicios Profesionales también son Datos de Servicios Profesionales.
En la medida que Microsoft sea un encargado o subencargado del tratamiento de Datos Personales sujeto al RGPD, los Términos del RGPD establecidos en el Anexo 3 regirán dicho tratamiento y las
Pág. 78
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
partes también aceptan los siguientes términos en este apartado (“Tratamiento de Datos Personales; RGPD”):
Roles y responsabilidades como responsable y encargado del tratamiento
El Cliente y Microsoft convienen en que el Cliente es el responsable de los Datos Personales incluidos en los Datos de Servicios Profesionales y que Microsoft es el encargado del tratamiento de dichos datos, salvo (a) cuando el Cliente esté actuando como encargado del tratamiento de los Datos Personales, en cuyo caso Microsoft será un subencargado, o (b) cuando se establece de otro modo en estos Términos de los Servicios Profesionales. Cuando Microsoft actúa como encargado o subencargado del tratamiento de los Datos Personales, tratará los Datos Personales únicamente según las instrucciones documentadas del Cliente. El Cliente acepta que su contrato de licencias por volumen (incluidos los Términos del DPA y cualquier actualización aplicable), junto con cualquier declaración de servicios acordada entre las partes, constituyen las instrucciones documentadas finales y completas que el Cliente imparte a Microsoft con respecto al tratamiento de los Datos Personales contenidos en los Datos de Servicios Profesionales. Cualquier instrucción adicional o alternativa habrá de ser acordada siguiendo el procedimiento para modificar el contrato de licencias por volumen del Cliente o las declaraciones de servicios. En cualquier caso en que se aplique el RGPD y el Cliente actúe como encargado del tratamiento, el Cliente garantiza a Microsoft que el responsable pertinente ha autorizado las instrucciones del Cliente, incluida la designación de Microsoft como encargado o subencargado del tratamiento.
En la medida que Microsoft utilice o trate Datos de Servicios Profesionales sujeto al RGPD en relación con las operaciones comerciales legítimas de Microsoft incidentales a la prestación de los Servicios Profesionales al Cliente, Microsoft cumplirá con las obligaciones propias de un responsable independiente bajo el RGPD para dicho tratamiento. Microsoft acepta las responsabilidades adicionales de un “responsable” según el RGPD para el tratamiento de datos en relación con sus operaciones comerciales legítimas con la finalidad de: (a) actuar de conformidad con los requisitos regulatorios, en la medida exigida por el RGPD; y (b) proporcionar una mayor transparencia a los clientes y confirmar la responsabilidad de Microsoft en ese tratamiento. Microsoft emplea garantías para proteger los Datos de Servicios Profesionales objeto de tratamiento, incluyendo aquellas identificadas en este DPA y las contempladas en el artículo 6(4) del RGPD. Con respecto al tratamiento de Datos Personales que Microsoft realice en virtud de este párrafo, Microsoft asume los compromisos establecidos en el Apéndice 3 del Anexo 2 —Cláusulas Contractuales Tipo (encargados del tratamiento)— del presente DPA; a estos efectos, (i) si Microsoft revelase, con arreglo al Apéndice 3, Datos Personales que hayan sido transferidos en relación con sus operaciones comerciales legítimas, dicha revelación se considerará una “Revelación Relevante” y
(ii) los compromisos establecidos en el Apéndice 3 serán de aplicación a dichos Datos Personales.
Detalles del tratamiento
Las partes reconocen y aceptan lo siguiente:
• Objeto. El objeto del tratamiento se limita a los Datos Personales que se encuentran dentro del alcance de la sección de estos Términos de los Servicios Profesionales titulada “Tratamiento de los Datos de Servicios Profesionales; titularidad” y del RGPD.
• Duración del tratamiento. La duración del tratamiento será acorde con las instrucciones del Cliente y estos Términos de los Servicios Profesionales.
BOCM-20210330-26
• Naturaleza y finalidad del tratamiento. La naturaleza y finalidad del tratamiento será prestar los Servicios Profesionales de conformidad con el contrato de licencias por volumen del Cliente y cualquier declaración de servicios, así como para las operaciones comerciales legítimas de Microsoft incidentales a la prestación de los Servicios Profesionales al Cliente (tal y como se describe en más detalle en la sección de estos Términos de los Servicios Profesionales titulada “Tratamiento de los Datos de Servicios Profesionales; titularidad”).
• Categorías de datos. Los tipos de Datos Personales tratados por Microsoft al prestar los Servicios Profesionales incluyen (i) los Datos Personales que el Cliente decida incluir en los Datos de Servicios Profesionales; y (ii) aquellos expresamente identificados en el artículo 4 del RGPD. Los tipos de Datos Personales que el Cliente decida incluir en los Datos de Servicios Profesionales pueden corresponder a cualquier categoría de Datos Personales identificada en
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 79
los registros que mantiene el Cliente. En su calidad de responsable, de acuerdo con el artículo 30 del RGPD, incluyendo las categorías de Datos Personales que se establecen en el Apéndice 1 del Anexo 2 —Cláusulas Contractuales Tipo (encargados del tratamiento)— de este DPA.
• Interesados. Las categorías de interesados son los representantes y usuarios finales del Cliente, tales como los empleados, contratistas, colaboradores y clientes, y pueden incluir cualquier otra categoría de interesados identificada en los registros que mantiene el Cliente, en su calidad de responsable, con arreglo al artículo 30 del RGPD, incluyendo las categorías de interesados que se establecen en el Apéndice 1 del Anexo 2 —Cláusulas Contractuales Tipo (encargados del tratamiento)— de este DPA.
Derechos de los interesados; asistencia con las solicitudes
Con respecto a los Datos de Servicios Profesionales que el Cliente almacene en un Servicio Online, Microsoft se regirá por las obligaciones establecidas en el apartado titulado “Derechos de los interesados; asistencia con las solicitudes”, incluido en la sección de este DPA titulada “Términos de Protección de Datos”. Con respecto a los restantes Datos de Servicios Profesionales, Microsoft eliminará o devolverá todas las copias de los Datos de Servicios Profesionales con arreglo a lo previsto más abajo en la sección titulada “Eliminación o devolución de datos”.
Registro de actividades de tratamiento
En la medida que el RGPD requiera que Microsoft recopile y mantenga registros de determinada información relacionada con el Cliente, el Cliente deberá, cuando se le solicite, proporcionar dicha información a Microsoft y la mantendrá precisa y actualizada. Microsoft podrá poner dicha información a disposición de la autoridad de control si así lo exige el RGPD.
Seguridad de los datos
Prácticas y políticas de seguridad
Microsoft implementará y mantendrá en vigor medidas técnicas y organizativas apropiadas para proteger los Datos de Servicios Profesionales frente actos accidentales o ilícitos de destrucción, pérdida, alteración, revelación no autorizada de, o acceso a, los datos personales transmitidos, almacenados o tratados. Esas medidas estarán establecidas en una Política de Seguridad de Microsoft. Microsoft pondrá a disposición del Cliente esa política, así como otra información sobre las prácticas y políticas de seguridad de Microsoft que el Cliente solicite razonablemente.
Responsabilidades del Cliente
El apartado titulado “Responsabilidades del Cliente”, incluido en la sección de este DPA titulada “Términos de Protección de Datos”, se aplicará a las interacciones del Cliente relativas a Servicios Profesionales con respecto a los Datos de Servicios Profesionales. Además, con respecto a cualquier interacción del Cliente relativa a Servicios Profesionales, el Cliente se compromete a no proporcionar a Microsoft Datos de Servicios Profesionales (distintos de los Datos de Soporte) que estén sujetos a regulación en virtud de las leyes estadounidenses FERPA (Family Educational Rights and Privacy Act, , 20 U.S.C. § 1232g) o HIPAA (Health Insurance Portability and Accountability Act of 1996, Pub. L. 104-191).
Notificación de Incidentes de Seguridad
BOCM-20210330-26
El apartado titulado “Notificación de Incidentes de Seguridad”, incluido en la sección de este DPA titulada “Términos de Protección de Datos”, se aplicará a las interacciones del Cliente relativas a Servicios Profesionales con respecto a los Datos de Servicios Profesionales.
Transferencias de datos
Los Datos de Servicios Profesionales que Microsoft trate por cuenta del Cliente no se podrán transferir a, ni almacenar y tratar en, una ubicación geográfica si no es de conformidad con los Términos de los Servicios Profesionales y las garantías previstas más abajo en esta sección. Teniendo en cuenta dichas garantías, el Cliente designa a Microsoft para que transfiera los Datos
Pág. 80
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
de Servicios Profesionales a los Estados Unidos o a cualquier otro país en el que operen Microsoft o sus Subencargados y para que almacene y trate los Datos de Servicios Profesionales con la finalidad de prestar los Servicios Profesionales, sin perjuicio de las demás disposiciones de los Términos de los Servicios Profesionales.
Todas las transmisiones de Datos de Servicios Profesionales fuera de la Unión Europea, el Espacio Económico Europeo, Xxxxx Unido y Suiza para proporcionar los Servicios Profesionales se regirán por las Cláusulas Contractuales Tipo que se encuentran en el Anexo 2.
Microsoft cumplirá con los requisitos establecidos por las leyes sobre protección de datos del Espacio Económico Europeo y de Suiza en relación con la recopilación, utilización, transmisión, retención y otras actividades de tratamiento de los Datos Personales procedentes del Espacio Económico Europeo, Xxxxx Unido y Suiza. Todas las transmisiones de Datos Personales a un tercer país o a una organización internacional estarán sujetas a las garantías pertinentes según lo descrito en el Artículo 46 del RGPD y dichas transmisiones y garantías estarán documentadas de conformidad con el Artículo 30(2) del RGPD.
Además, Microsoft posee certificación en virtud de los xxxxxx de Escudo de la Privacidad entre Unión Europea y Estados Unidos y entre Suiza y Estados Unidos, y los compromisos que conllevan, aunque Microsoft no se basa en el marco de Escudo de la Privacidad UE-EE. UU. como base jurídica para las transferencias de Datos Personales a la luz de la sentencia del Tribunal de Justicia de la UE en el caso C-311/18. Microsoft se compromete a notificar al Cliente si se determina que ya no puede seguir cumpliendo con su obligación de proporcionar el mismo nivel de protección que requieren los principios del Escudo de la Privacidad.
Eliminación o devolución de datos
Microsoft deberá eliminar o devolver todas las copias de Datos de Servicios Profesionales una vez queden satisfechas las finalidades comerciales para las que se recopilaron o transmitieron los Datos de Servicios Profesionales, o antes si así lo solicita el Cliente, salvo que Microsoft tenga obligación o permiso de la ley aplicable, o tenga autorización en virtud de este DPA, para conservar esos datos.
Compromiso de confidencialidad como encargado del tratamiento
Microsoft se asegurará de que su personal involucrado en el tratamiento de los Datos de Servicios Profesionales (i) únicamente tratará tales datos según las instrucciones del Cliente o según se describe en estos Términos de los Servicios Profesionales, y (ii) tendrá la obligación de mantener la confidencialidad y seguridad de tales datos, incluso tras cesar dichas personas en sus funciones. Microsoft llevará a cabo actividades periódicas y obligatorias de formación y concienciación sobre la seguridad y privacidad de los datos para sus empleados con acceso a Datos de Servicios Profesionales de acuerdo con la Normativa sobre Protección de Datos y los estándares del sector aplicables.
Notificaciones y controles sobre el uso de Subencargados
Microsoft podrá contratar a Subencargados para que presten ciertos servicios limitados o auxiliares por cuenta de Microsoft. El Cliente consiente esta contratación, así como a la designación de las Filiales de Microsoft como Subencargados. Estas autorizaciones constituirán el consentimiento previo y por escrito del Cliente para la subcontratación por parte de Microsoft del tratamiento de los Datos de Servicios Profesionales en la medida que dicho consentimiento sea necesario en virtud de las Cláusulas Contractuales Tipo o de los Términos del RGPD.
BOCM-20210330-26
Microsoft es responsable de que los Subencargados que tratan Datos de Servicios Profesionales cumplan las obligaciones que Microsoft asume en el Anexo 1 del DPA. Microsoft se asegurará, a través de un contrato por escrito, de que el Subencargado solamente pueda acceder a, y utilizar, los Datos de Servicios Profesionales con la única finalidad de prestar los servicios que Microsoft le ha contratado, prohibiéndole utilizar los Datos de Servicios Profesionales para cualquier otra finalidad. Microsoft se asegurará de que los Subencargados se obliguen, mediante contratos por escrito, a proporcionar, al menos, el mismo nivel de protección de datos que se exige a Microsoft en los presentes Términos de los Servicios Profesionales. Microsoft se compromete a supervisar a los Subencargados para asegurarse de que se cumplan estas obligaciones contractuales.
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 81
Con respecto a los Datos de Servicios Profesionales distintos de Datos de Soporte, la lista de los Subencargados de Microsoft está disponible bajo solicitud. Si se solicita dicha lista, entonces, como mínimo 30 días antes de autorizar a un nuevo Subencargado el acceso a Datos Personales, Microsoft actualizará la lista y proporcionará al Cliente un mecanismo para obtener notificación de dicha actualización.
Si el Cliente no aprobase a un nuevo Subencargado, el Cliente podrá terminar la interacción relativa a los Servicios Profesionales afectados, remitiendo para ello, antes de que finalice el periodo de notificación en cuestión, una notificación escrita de terminación. Junto con la notificación de terminación, el Cliente también podrá incluir una explicación de los motivos para la no aprobación, con el fin de permitir que Microsoft pueda reevaluar a dicho nuevo Subencargado a la luz de las inquietudes manifestadas.
Con respecto a los Datos de Soporte, el uso de Subencargados por parte de Microsoft en relación con la prestación de soporte técnico para los Servicios Online se regirá por las mismas restricciones y procedimientos que rigen el uso de Subencargados en relación con los Servicios Online, tal y como se establece en el apartado titulado “Notificaciones y controles sobre el uso de Subencargados”, incluido en la sección del DPA titulada “Términos de Protección de Datos”.
Términos adicionales para los Datos de Soporte Seguridad de los Datos de Soporte
Microsoft implementará y mantendrá en vigor medidas técnicas y organizativas apropiadas para proteger los Datos de Soporte. Tales medidas cumplirán con los requisitos establecidos en los estándares ISO 27001, ISO 27002 e ISO 27018
Instituciones educativas
Con respecto a los Datos de Soporte, se aplicarán también los reconocimientos y compromisos de Microsoft, así como las responsabilidades del Cliente con respecto a obtener el consentimiento parental y trasladar notificaciones, que se estipulan en el apartado titulado “Instituciones educativas” que se encuentra en la sección del DPA titulada “Términos de Protección de Datos”.
California Consumer Privacy Act (CCPA)
Si Microsoft trata Datos Personales dentro del ámbito de la CCPA, Microsoft asume los siguientes compromisos adicionales ante el Cliente. Microsoft tratará los Datos de Servicios Profesionales y los Datos Personales por cuenta del Cliente y no conservará, utilizará ni revelará esos datos con otros fines que no sean los establecidos en los Términos del DPA y los permitidos en virtud de la CCPA, incluso en virtud de cualquier exención sobre “venta” (“sale”). En ningún caso venderá Microsoft esos datos. Estos términos sobre la CCPA no limitan ni reducen los compromisos en materia de protección de datos que Microsoft asume ante el Cliente en los Términos del DPA, en los Derechos de Uso o en cualquier otro acuerdo celebrado entre Microsoft y el Cliente.
Datos Biométricos
Si el Cliente utiliza un Servicio Profesional para tratar Datos Biométricos, el Cliente es responsable de: (i) notificar a los interesados, incluso con respecto a los periodos de conservación y destrucción;
BOCM-20210330-26
(ii) obtener el consentimiento de los interesados; y (iii) eliminar los Datos Biométricos, todo ello según proceda y sea necesario en virtud de la Normativa sobre Protección de Datos aplicable. Microsoft tratará esos Datos Biométricos siguiendo las instrucciones documentadas del Cliente (tal y como se describe más arriba en la sección titulada “Roles y responsabilidades como responsable y encargado del tratamiento”) y protegerá esos Datos Biométricos de acuerdo con los términos de seguridad y protección de datos de este DPA. A los efectos de esta sección, el concepto “Datos Biométricos” tendrá el significado establecido en el artículo 4 del RGPD y, en su caso, en términos equivalentes previstos en otras Normativas sobre Protección de Datos.
Pág. 82
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
Anexo 2: Cláusulas Contractuales Tipo (encargados del tratamiento)
La formalización del contrato de licencias por volumen por parte del Cliente incluye la formalización de este Anexo 2, el cual está firmado por Microsoft Corporation.
En los países en que se requiera aprobación regulatoria para el uso de las Cláusulas Contractuales Tipo, las Cláusulas Contractuales Tipo no pueden ser invocadas conforme a la Decisión 2010/87/UE (de febrero de 2010) de la Comisión Europea para legitimar la exportación de datos procedentes de dichos países, salvo que el Cliente tenga la aprobación regulatoria necesaria.
A partir del día 25 xx xxxx de 2018, las referencias que las Cláusulas Contractuales Tipo efectúan a diversos artículos de la Directiva 95/46/CE se tratarán como referencias a los artículos del RGPD apropiados y pertinentes.
A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos, el Cliente (en lo sucesivo, el “exportador de datos”) y Microsoft Corporation (en lo sucesivo, el “importador de datos”, cuya firma aparece más abajo), cada una de ellos “la parte”, y conjuntamente “las partes”, acuerdan las siguientes cláusulas contractuales (en lo sucesivo, las “cláusulas” o “Cláusulas Contractuales Tipo”) con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.
Cláusula 1: Definiciones
A los efectos de las presentes cláusulas:
a) «datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
b) por «exportador de datos» se entenderá el responsable del tratamiento que transfiera los datos personales;
c) por «importador de datos» se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
d) por «subencargado del tratamiento» se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito;
e) por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;
BOCM-20210330-26
f) por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 83
Cláusula 2: Detalles de la transferencia
Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.
Cláusula 3: Cláusula xx xxxxxxx beneficiario
1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.
2. Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.
3. Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.
4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.
Cláusula 4: Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;
b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;
c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;
BOCM-20210330-26
d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
Pág. 84
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
e) asegurará que dichas medidas se lleven a la práctica;
f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;
g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra
b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;
h) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
i) que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y
j) que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.
Cláusula 5: Obligaciones del importador de datos
El importador de datos acuerda y garantiza lo siguiente:
a) tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;
d) notificará sin demora al exportador de datos sobre:
i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación xx xxx a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación llevada a cabo por una de dichas autoridades,
ii) todo acceso accidental o no autorizado,
iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;
BOCM-20210330-26
e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;
f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 85
independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;
g) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos;
h) que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;
i) que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;
j) enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con arreglo a las cláusulas.
Cláusula 6: Responsabilidad
1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.
2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad.
El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.
3. En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencargado del tratamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.
BOCM-20210330-26
Cláusula 7: Mediación y jurisdicción
1. El importador de datos acuerda que, si el interesado invoca en su contra derechos xx xxxxxxx beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:
a) someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control;
Pág. 86
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.
2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.
Cláusula 8: Cooperación con autoridades de control
1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.
2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con arreglo al apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.
Cláusula 9: Legislación aplicable.
Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.
Cláusula 10: Variación del contrato
Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.
Cláusula 11: Subtratamiento de datos
1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas. En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula xx xxxxxxx beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado
BOCM-20210330-26
1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas
3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber …
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 87
4. El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.
Cláusula 12: Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales
1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.
2. El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1.
Apéndice 1 a las Cláusulas Contractuales Tipo
Exportador de datos: El Cliente es el exportador de datos. El exportador de datos es un usuario de los Servicios Online o Servicios Profesionales según se define en el DPA y los OST.
Importador de datos: El importador de datos es MICROSOFT CORPORATION, un proveedor mundial de software y servicios.
Interesados: Los interesados incluyen a los representantes del exportador de datos y los usuarios finales, incluidos empleados, contratistas, colaboradores y clientes del exportador de datos. Los interesados también pueden incluir a las personas físicas que intentan ponerse en contacto o transmitir información personal a los usuarios de los servicios proporcionados por el importador de datos. Microsoft reconoce que, en función del uso que el Cliente haga del Servicio Online o Servicios Profesionales, el Cliente puede decidir incluir datos personales de cualquiera de los siguientes tipos de interesados en los datos personales:
• Empleados, contratistas y trabajadores temporales (actuales, antiguos, potenciales) del exportador de datos;
• Dependientes de lo anterior;
• Colaboradores/personas de contacto (personas naturales) o empleados del exportador de datos; contratistas o trabajadores temporales de personas jurídicas colaboradoras/personas de contacto (actuales, antiguos, potenciales);
• Usuarios (por ejemplo, clientes, pacientes, visitantes, etc.) y otros interesados que sean usuarios de los servicios del exportador de datos;
• Socios, partes interesadas o personas que colaboran, comunican o interactúan activamente con empleados del exportador de datos y/o utilizan herramientas de comunicación como aplicaciones y sitios web proporcionados por el exportador de datos;
BOCM-20210330-26
• Partes interesadas o personas que interactúan pasivamente con el exportador de datos (por ejemplo, porque están sujetos a una investigación o son mencionados en documentos o correspondencia recibida del, o enviada al, exportador de datos);
• Menores de edad; o
• Profesionales con privilegios profesionales (por ejemplo, médicos, abogados, notarios, trabajadores religiosos, etc.).
Pág. 88
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
Categorías de datos: Los datos personales transmitidos incluyen correos electrónicos, documentos y otros datos en formato electrónico en el contexto de los Servicios Online o Servicios Profesionales. Microsoft reconoce que, en función del uso que el Cliente haga del Servicio Online o Servicios Profesionales, el Cliente puede decidir incluir datos personales de cualquiera de las siguientes categorías en los datos personales:
• Datos personales básicos (por ejemplo, lugar de nacimiento, calle y número de domicilio [dirección], código postal, ciudad de residencia, país de residencia, número de teléfono móvil, nombre, apellido, iniciales, dirección de correo electrónico, género, fecha de nacimiento), incluidos datos personales básicos sobre familiares e hijos;
• Datos de autenticación (por ejemplo, nombre de usuario, contraseña o código PIN, pregunta de seguridad, registro de auditoría);
• Información de contacto (por ejemplo, direcciones, correo electrónico, números de teléfono, identificadores de redes sociales, detalles de contacto para emergencias);
• Números de identificación únicos y firmas (por ejemplo, número del Seguro Social, número de cuenta bancaria, número de pasaporte y documento de identificación, licencia de conducir y datos de registro del vehículo, direcciones IP, número de empleado, número de estudiante, número de paciente, firma, identificador único en cookies de seguimiento o tecnología similar);
• Identificadores seudónimos;
• Información financiera y de seguros (por ejemplo, número de seguro, nombre y número de cuenta bancaria, nombre y número de la tarjeta de crédito, número de factura, ingresos, tipo de seguro, comportamiento de pago, solvencia crediticia);
• Información comercial (por ejemplo, historial de compras, ofertas especiales, información sobre suscripciones, historial de pagos);
• Información biométrica (por ejemplo, análisis de ADN, de huellas digitales y de iris);
• Datos de ubicación (por ejemplo, identificación de celda, datos de red de geolocalización, ubicación al inicio/término de una llamada, datos de ubicación derivados del uso de puntos de acceso WiFi);
• Fotos, videos y audios;
• Actividad en Internet (por ejemplo, historial de navegación, historial de búsquedas, actividades de lectura, televisión, radio);
• Identificación del dispositivo (por ejemplo, número IMEI, número de tarjeta SIM, dirección MAC);
• Elaboración de perfiles (por ejemplo, sobre la base de comportamientos delictivos o antisociales observados, o perfiles seudónimos basados en las URL visitadas, flujos de clics, registros de navegación, direcciones IP, dominios, aplicaciones instaladas o perfiles basados en preferencias de marketing);
• Datos de selección y recursos humanos (por ejemplo, declaración de estado laboral, información de candidatos [como currículo, historial laboral, historial educativo], datos sobre el trabajo y el cargo, incluidas las horas trabajadas, evaluaciones y salario, detalles de permiso de trabajo, disponibilidad, términos del empleo, detalles de impuestos, detalles de pagos, detalles de seguro y ubicación y organizaciones);
BOCM-20210330-26
• Datos de educación (por ejemplo, historial de educación, educación actual, calificaciones y resultados, grado académico más alto alcanzado, discapacidades ligadas al aprendizaje);
• Información de nacionalidad y residencia (por ejemplo, ciudadanía, estado de naturalización, estado civil, nacionalidad, situación migratoria, datos del pasaporte, detalles de residencia o permiso de trabajo);
• Información tratada apara la realización de una tarea efectuada para el interés público o en el ejercicio de una autoridad oficial;
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 89
• Categorías especiales de datos (por ejemplo, origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud, datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relacionados con delitos o antecedentes penales); o
• Cualquier otro dato personal identificado en el artículo 4 del RGPD.
Operaciones de tratamiento: Los datos personales transferidos serán sometidos a las operaciones básicas de tratamiento siguientes:
a. Duración y objeto del tratamiento de datos. La duración del tratamiento de datos se corresponderá con el periodo de vigencia designado en virtud del contrato de licencias por volumen celebrado entre el exportador de datos y la entidad de Microsoft a la cual se anexan estas Cláusulas Contractuales Tipo (“Microsoft”). El objeto del tratamiento de datos es la prestación de Servicios Online y los Servicios Profesionales.
b. Ámbito y finalidad del tratamiento de datos. El ámbito y la finalidad del tratamiento de datos personales se describe en la sección “Tratamiento de los Datos Personales; RGPD” del DPA. El importador de datos opera una red global de centros de datos e instalaciones de administración/soporte, y el tratamiento puede realizarse en cualquier jurisdicción en que el importador de datos o sus subencargados del tratamiento operen dichas instalaciones, de acuerdo con la sección “Prácticas y Políticas de Seguridad” del DPA.
c. Acceso a Datos del Cliente y Datos Personales. Durante el periodo de vigencia establecido en el correspondiente contrato de licencias por volumen, el importador de datos deberá, a su elección y según sea necesario en virtud de la legislación aplicable que transponga el artículo 12(b) de la Directiva de Protección de Datos de la Unión Europea: (1) brindará al exportador de datos la posibilidad de rectificar, suprimir o bloquear los Datos del Cliente y datos personales o bien (2) efectuará dichas rectificaciones, supresiones o bloqueos en su nombre.
d. Instrucciones del exportador de datos. Por lo que concierne a los Servicios Online y Servicios Profesionales, el importador de datos actuará únicamente de conformidad con las instrucciones del exportador de datos según se las transmita Microsoft.
e. Eliminación o devolución de Datos del Cliente y Datos Personales. Tras el vencimiento o la terminación del uso del exportador de datos de los Servicios Online o Servicios Profesionales, este podrá extraer los Datos del Cliente y datos personales y el importador de datos eliminará dichos datos, de acuerdo con los Términos del DPA aplicables al contrato.
Subcontratistas: De acuerdo con el DPA, el importador de datos podrá contratar a otras empresas para que presten servicios limitados en su nombre, como proporcionar soporte al cliente. Se permitirá a tales subcontratistas obtener Datos del Cliente y datos personales solo para prestar los servicios para los cuales el importador de datos los ha contratado y se les prohíbe utilizar dichos datos para cualquier otra finalidad.
Apéndice 2 a las Cláusulas Contractuales Tipo
Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c):
BOCM-20210330-26
1. Personal. El personal del importador de datos no tratará los Datos del Cliente o datos personales sin autorización. El personal tiene la obligación de mantener la confidencialidad de dichos Datos del Cliente y datos personales y dicha obligación continuará incluso después de finalizada la relación laboral.
2. Contacto de Privacidad de los Datos. El ejecutivo de privacidad de datos del importador de datos se encuentra disponible en la siguiente dirección:
Microsoft Corporation Attn: Chief Privacy Officer
Pág. 90
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
0 Xxxxxxxxx Xxx Xxxxxxx, XX 00000 XXX
3. Medidas técnicas y organizativas. El importador de datos ha implementado y mantendrá en vigor adecuadas medidas técnicas y organizativas, controles internos y rutinas de seguridad de la información dirigidas a proteger los Datos del Cliente y datos personales, según se define en la sección Prácticas y Políticas de Seguridad del DPA, frente a actos accidentales de pérdida, destrucción o alteración, actos no autorizados de revelación o acceso o actos ilícitos de destrucción, de la siguiente manera: Las medidas técnicas y organizativas, los controles internos y las rutinas de seguridad de la información establecidos en la sección Prácticas y Políticas de Seguridad del DPA se entienden incorporados a este Apéndice 2 mediante esta referencia y son vinculantes para el importador de datos como si estuvieran establecidos en este Apéndice 2 en su totalidad.
Apéndice 3 a las Cláusulas Contractuales Tipo Addendum de Garantías Adicionales
Mediante el presente Addendum de Garantías Adicionales adjunto a las Cláusulas Contractuales Tipo (este “Addendum”), Microsoft Corporation (“Microsoft”) proporciona garantías adicionales al Cliente, así como reparación adicional a los interesados a los que se refieren los datos personales del Cliente.
Este Addendum complementa y forma parte de las Cláusulas Contractuales Tipo, si bien no las varía ni modifica.
1. Impugnación de requerimientos. Adicionalmente a lo previsto en la Cláusula 5(d)(i) de las Cláusulas Contractuales Tipo, en el supuesto de que Microsoft recibiese, procedente de un tercero, un requerimiento para la revelación obligatoria de cualquier dato personal que haya sido transferido al amparo de las Cláusulas Contractuales Tipo, Microsoft se compromete a lo siguiente:
a. Microsoft empleará todo esfuerzo razonable para redirigir a ese tercero a que solicite los datos directamente al Cliente;
b. Microsoft notificará sin demora al Cliente, a menos que lo prohíba la legislación aplicable al requirente, y, si se le prohíbe notificar al Cliente, Microsoft empleará todos los esfuerzos legales para obtener el derecho que se levante la prohibición, con el fin de comunicar al Cliente tanta información como sea posible, tan pronto como sea posible; y
c. Microsoft empleará todos los esfuerzos legales para impugnar el requerimiento de revelación sobre la base de cualquier deficiencia legal relativa a la legislación del requirente o sobre la base de cualquier conflicto con la legislación de la Unión Europea o con la legislación del Estado Miembro aplicable.
A los efectos de este apartado, emplear esfuerzos legales no incluye realizar acciones que puedan resultar en sanciones civiles o penales, tales como desacato al tribunal, en virtud de la legislación de la jurisdicción relevante.
BOCM-20210330-26
2. Indemnización a los interesados. Con sujeción a lo previsto en los apartados 3 y 4, Microsoft indemnizará a un interesado con respecto a los daños materiales y no materiales que se le ocasionen como consecuencia de una revelación, por parte de Microsoft, de datos personales del interesado que hayan sido transferidos al amparo de las Cláusulas Contractuales Tipo en respuesta a un requerimiento procedente de una autoridad pública u organismo gubernamental no perteneciente a la Unión Europea o al Espacio Económico Europeo (una “Revelación Relevante”). No obstante lo anterior, Microsoft no tendrá obligación de indemnizar al interesado en virtud de este apartado 2 en la medida que el interesado ya haya recibido compensación —sea de Microsoft o de otro origen— con respecto a esos mismos daños.
3. Condiciones de la indemnización. La indemnización prevista en el apartado 2 está condicionada a que el interesado demuestre, a satisfacción razonable de Microsoft, que:
a. Microsoft ha participado en una Revelación Relevante;
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 91
b. la Revelación Relevante tuvo su origen en un procedimiento oficial dirigido contra el interesado por parte de una autoridad pública u organismo gubernamental no perteneciente a la Unión Europea o al Espacio Económico Europeo; y
c. la Revelación Relevante ha ocasionado directamente que el interesado sufra daños materiales o no materiales.
Corresponde al interesado la carga de probar las condiciones (a) a (c) anteriores.
No obstante lo anterior, Microsoft no tendrá obligación de indemnizar al interesado en virtud del apartado 2 si Microsoft establece que la Revelación Relevante no infringió sus obligaciones bajo el Capítulo V del RGPD.
4. Alcance de los daños. La indemnización prevista en el apartado 2 se ceñirá a daños materiales y no materiales según lo previsto en el RGPD y excluye daños consecuenciales y cualquier otro daño que no sea resultado del incumplimiento del RGPD por parte de Microsoft.
5. Ejercicio de los derechos. Los derechos otorgados a los interesados en virtud de este Addendum pueden ser ejercitados por los interesados contra Microsoft, con independencia de cualquier restricción prevista en las Cláusulas 3 a 6 de las Cláusulas Contractuales Tipo. El interesado únicamente podrá presentar una reclamación basada en este Addendum si lo hace a título individual o no como parte de una acción de clase, colectiva, de grupo o de representación. Los derechos otorgados a los interesados en virtud de este Addendum son personales del interesado y no pueden ser cedidos.
6. Notificación de cambios. Adicionalmente a lo previsto en la Cláusula 5(b) de las Cláusulas Contractuales Tipo, Microsoft declara y garantiza que no tiene razón alguna para considerar que la legislación aplicable a Microsoft o a sus subencargados —incluyendo la legislación aplicable en cualquier país al que se transfieran datos personales, ya sea por Microsoft o a través de un subencargado— le impide satisfacer las instrucciones recibidas del exportador de datos y las obligaciones que asume en virtud de este Addendum o de las Cláusulas Contractuales Tipo, y que en el supuesto de que se produjese un cambio en dicha legislación que sea susceptible de tener un efecto sustancial adverso sobre las garantías y obligaciones establecidas en este Addendum o en las Cláusulas Contractuales Tipo, Microsoft notificará sin demora dicho cambio al Cliente tan pronto como tenga conocimiento del mismo, en cuyo caso el Cliente tendrá derecho a suspender la transferencia de datos y/o a terminar el contrato.
7. Terminación. Este Addendum terminará automáticamente si la Comisión Europea —o la autoridad de control competente de un Estado Miembro o un tribunal competente de la Unión Europea o de un Estado Miembro— aprueba un mecanismo legal y diferente de transferencia que sea aplicable a las transferencias de datos cubiertas por las Cláusulas Contractuales Tipo (y si dicho mecanismo fuese aplicable únicamente a algunas de las transferencias de datos, este Addendum terminará únicamente con respecto a dichas transferencias) y que no requiera las garantías adicionales previstas en este Addendum.
Anexo 3: Términos de conformidad con el Reglamento General de Protección de Datos de la Unión Europea
BOCM-20210330-26
Microsoft asume los compromisos dispuestos en los presentes Términos del RGPD para todos los clientes a partir del día 25 xx xxxx de 2018. Estos compromisos son vinculantes para Microsoft con respecto al Cliente, sin importar (1) cuál sea la versión de los OST y el DPA aplicable a una concreta suscripción a Servicios Online; o (2) cualquier otro contrato que haga referencia al presente anexo.
A los efectos de los presentes Términos del RGPD, el Cliente y Microsoft convienen en que el Cliente es el responsable de los Datos Personales y que Microsoft es el encargado del tratamiento de dichos datos, con la salvedad de que, si el Cliente está actuando en calidad de encargado del tratamiento de los Datos Personales, entonces Microsoft es un subencargado. Los presentes Términos del RGPD se aplican al tratamiento de Datos Personales que Microsoft realice por cuenta del Cliente dentro del ámbito de aplicación del RGPD. Los presentes Términos del RGPD no limitan ni reducen
Pág. 92
MARTES 30 XX XXXXX DE 2021
B.O.C.M. Núm. 75
los compromisos en materia de protección de datos que Microsoft asume ante el Cliente en los Derechos de Uso o en cualquier otro acuerdo entre Microsoft y el Cliente. Los presentes Términos del RGPD no se aplican cuando Microsoft es el responsable del tratamiento de los Datos Personales.
Obligaciones pertinentes con arreglo al RGPD: artículos 28, 32 y 33
1. Microsoft no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del Cliente. En el caso de una autorización escrita de carácter general, Microsoft informará al Cliente de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al Cliente la oportunidad de oponerse a dichos cambios. (Artículo 28(2))
2. El tratamiento por Microsoft se regirá por los presentes Términos del RGPD con arreglo al Derecho de la Unión Europea (“Unión”) o de los Estados miembros, que vinculan a Microsoft respecto del Cliente. En el contrato de licencias por volumen del Cliente, que incluye los presentes Términos del RGPD, se establecen el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de Datos Personales, las categorías de interesados, y las obligaciones y derechos del Cliente. En particular, Microsoft:
(a) tratará los Datos Personales únicamente siguiendo instrucciones documentadas del Cliente, inclusive con respecto a las transferencias de Datos Personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique a Microsoft; en tal caso, Microsoft informará al Cliente de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
(b) garantizará que las personas autorizadas para tratar los Datos Personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria
(c) tomará todas las medidas necesarias de conformidad con el artículo 32 del RGPD;
(d) respetará las condiciones indicadas en los párrafos 1 y 3 para recurrir a otro encargado del tratamiento;
(e) asistirá al Cliente, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III del RGPD;
(f) ayudará al Cliente a garantizar el cumplimiento de las obligaciones establecidas en los artículos
32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición de Microsoft
(g) a elección del Cliente, suprimirá o devolverá todos los Datos Personales al Cliente una vez finalice la presentación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los Datos Personales bajo el Derecho de la Unión o de los Estados miembros;
(h) pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el artículo 28 del RGPD, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Cliente o de otro auditor autorizado por el Cliente.
Microsoft informará inmediatamente al Cliente si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros. (Artículo 28(3))
BOCM-20210330-26
3. Cuando Microsoft recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Cliente, se impondrá a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados Miembros, las mismas obligaciones de protección de datos que las estipuladas en los presentes Términos del RGPD, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del RGPD. Si ese otro
B.O.C.M. Núm. 75
MARTES 30 XX XXXXX DE 2021
Pág. 93
encargado incumple sus obligaciones de protección de datos, Microsoft seguirá siendo plenamente responsable ante el Cliente por lo que respecta al cumplimiento de las obligaciones del otro encargado. (Artículo 28(4))
4. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Cliente y Microsoft aplicarán medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
(a) la seudonimización y el cifrado de Datos Personales;
(b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento;
(c) la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida en caso de incidente físico o técnico; y
(d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. (Artículo 32(1))
5. Al evaluar la adecuación del nivel de seguridad, se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. (Artículo 32(2))
6. El Cliente y Microsoft tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del Cliente o de Microsoft y tenga acceso a Datos Personales solo pueda tratar dichos datos siguiendo instrucciones del Cliente, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros. (Artículo 32(4))
7. Microsoft notificará sin dilación indebida al Cliente las violaciones de la seguridad de los Datos Personales de las que tenga conocimiento. (Artículo 33(2)). Dicha notificación incluirá la información que un encargado debe proporcionar a un responsable con arreglo al artículo 33(3), en la medida que dicha información esté razonablemente disponible para Microsoft.
BOCM-20210330-26
(03/9.879/21)
xxxx://xxx.xxxx.xx BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID D. L.: M. 19.462-1983 ISSN 1989-4791