ANEXO DE INTERCAMBIO DE DATOS (DATOS DE LA COMPAÑÍA) Fecha de revisión: 12 de marzo de 2024

Shape1

Público


ANEXO DE INTERCAMBIO DE DATOS (DATOS DE LA COMPAÑÍA)

Fecha de revisión: 12 xx xxxxx de 2024

A los efectos de este Anexo de Intercambio de datos (Data Sharing Addendum, “DSA”), la entidad o afiliada xx Xxxxx Sharp & Dohme LLC que celebra el contrato u otra forma de acuerdo que hace referencia a este DSA (el “Acuerdo”) se denominará “Compañía” y todas las otras partes de dicho Acuerdo se denominarán colectivamente “Proveedor”. La Compañía y el Proveedor son cada uno una “Parte” y, en conjunto, las “Partes”.

Información general

  1. Las Partes celebraron el Acuerdo, y junto con el Acuerdo pueden celebrar órdenes de compra o de trabajo, acuerdos de proyecto, anexos al plan de proyecto, declaraciones de trabajo, órdenes de trabajo u otros términos de servicio (cada uno una “Declaración de trabajo”), que rigen los servicios allí contemplados (el “Propósito del intercambio de datos”).

  2. Las Partes desean complementar los términos del Acuerdo para garantizar que todo el intercambio de Información personal en relación con el Acuerdo se realice de conformidad con la Ley de Protección de Datos y para aclarar la función del Proveedor como controlador independiente de dichos datos.

Las Partes acuerdan lo siguiente:

  1. Actividades de Intercambio de datos. En relación con la Información personal Procesada en relación con el Acuerdo, el objeto, la naturaleza, el propósito y la duración del Intercambio, las categorías de Sujetos de datos en cuestión y las categorías de Información personal se especifican en el anexo del Acuerdo titulado “Detalles de Procesamiento de datos”.

  2. Aplicabilidad. Los términos de este DSA se aplican a cada Declaración de trabajo bajo el Acuerdo a menos que se especifique lo contrario en esa Declaración de trabajo.

  3. Obligaciones del Proveedor. Al Procesar Información personal en relación con el Acuerdo, el Proveedor deberá:

    1. Cumplir con la Ley de Protección de Datos y las obligaciones del Proveedor en virtud de este DSA, y en caso de que el Proveedor no pueda cumplir con estas obligaciones, el Proveedor deberá notificar a la Compañía de inmediato y tomar todas las acciones razonables y apropiadas que la Compañía considere necesarias para remediar el incumplimiento.

    2. Procesar Información personal únicamente según lo especificado en este DSA y el Acuerdo, excepto en los siguientes casos:

      1. El Proveedor obtuvo el consentimiento previo del sujeto de datos.

      2. Es necesario para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, regulatorios o judiciales específicos.

      3. Es necesario para proteger intereses vitales del sujeto de datos o de otra persona física.

      4. La ley aplicable exige lo contrario, en cuyo caso, el Proveedor deberá informar a la Compañía de ese requisito legal, a menos que lo prohíba la ley aplicable y hará todo lo posible para limitar la naturaleza y el alcance de cualquier divulgación requerida y solo divulgará la cantidad mínima de Información personal necesaria para cumplir con la ley aplicable.



    1. No divulgar ni transferir Información personal a ningún tercero sin que ese tercero celebre un acuerdo por escrito con términos que, como mínimo, protejan la Información personal como las obligaciones establecidas en este DSA y el Acuerdo.

    2. No vender, compartir, retener, usar o divulgar Información personal para otros fines que no sean los especificados en el Acuerdo o según lo autorizado en virtud de este DSA.

    3. Ser totalmente responsable de todos los actos o las omisiones de sus empleados, afiliadas, agentes, subcontratistas y otros representantes.

    4. Implementar y mantener programas escritos razonables y apropiados de seguridad y privacidad de la información, que incorporarán medidas físicas, técnicas y organizativas que sean proporcionales a la naturaleza de la Información personal Procesada en relación con el Acuerdo, que cumplan o superen las buenas prácticas de la industria (o estándares más altos que puedan requerirse en el Apéndice 1) y que protejan razonablemente contra un Incumplimiento de datos personales, incluida la capacitación de todo el personal responsable del Procesamiento de Información personal de manera suficiente para cumplir con los requisitos de este DSA, las medidas descritas en el Apéndice 1 y en la medida en que no se traten de otro modo en el Apéndice 1 y según corresponda:

      1. La seudonimización y el cifrado de la Información personal.

      2. La capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y servicios de Procesamiento.

      3. La capacidad de restaurar la disponibilidad y el acceso a la Información personal de manera oportuna en caso de un incidente físico o técnico.

      4. Un proceso para probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del Procesamiento.

      5. La capacidad de confirmar dentro de las 72 horas posteriores a la detección si un evento constituye un Incumplimiento de datos personales.

    5. En caso de un Incumplimiento de datos personales real o razonablemente presunto de la Información personal dentro de la custodia o el control del Proveedor o que resulte de los actos o las omisiones del Proveedor (un “Incumplimiento de datos personales del Proveedor”), el Proveedor deberá:

      1. Notificar a la Compañía sin excesiva demora (y en cualquier caso dentro de las 24 horas posteriores a tener conocimiento de un Incumplimiento de datos personales del Proveedor).

      2. Llevar a cabo una investigación adecuada y todos los esfuerzos correctivos necesarios para rectificar y evitar que se repita dicho Incumplimiento de datos personales del Proveedor de manera satisfactoria para la Compañía.

      3. Proporcionar de inmediato a la Compañía toda la información que la Compañía considere necesaria para permitirle cumplir con la Ley de Protección de Datos, incluso con respecto al mantenimiento de registros e informes, y toda otra información que la Compañía pueda solicitar razonablemente con respecto a un Incumplimiento de datos personales del Proveedor.

      4. Proporcionar aviso a todos los Sujetos de datos cuya Información personal pueda haberse visto afectada, con el contenido requerido según la Ley de Protección de Datos.

      5. Asumir la responsabilidad exclusiva de los costos y los gastos de cualquiera de las Partes por dicho aviso a los Sujetos de datos, ya sea que el aviso haya sido realizado por el Proveedor o la Compañía.

    6. Notificar de inmediato a la Compañía sin demoras excesivas y en cualquier caso dentro de las 24 horas posteriores a lo siguiente:

      1. Cualquier queja, consulta, solicitud o inquietud por parte de una autoridad de protección de datos competente u otra autoridad reguladora relacionada con la Información personal vinculada con el Acuerdo.

      2. Cualquier queja, consulta, solicitud o inquietud de un Sujeto de datos relacionada con la Información personal vinculada con el Acuerdo, incluida cualquier solicitud para ejercer derechos según la Ley de Protección de Datos o la Política de Privacidad de la Compañía o del Proveedor, por ejemplo, acceder (incluido solicitar información sobre cualquier procesamiento de su Información personal), rectificar, modificar, corregir, compartir, eliminar o dejar de Procesar su Información personal.

    7. Cumplir con todas las medidas razonables y apropiadas solicitadas por la Compañía y necesarias para que el Proveedor y la Compañía cumplan con sus respectivas obligaciones en virtud de la Ley de Protección de Datos y este DSA.

    8. No retener la Información personal durante más tiempo del necesario para lograr el Propósito del intercambio de datos, a menos que la ley aplicable exija lo contrario.

    9. Mantener la exactitud y la integridad de la Información personal que comparte la Compañía, de acuerdo con el formulario en que el Proveedor recibió dicha Información personal.

    10. Mantener todos los registros necesarios para poder demostrar que la Información personal solo se Procesó de acuerdo con los avisos, los consentimientos, las autorizaciones y los derechos aplicables, y según lo permitido en virtud de este DSA y para que cada Compañía y Proveedor cumplan con la Ley de Protección de Datos.

    11. En la medida en que el Proveedor deba Procesar Información personal sobre Sujetos de datos de cualquier país o región con restricciones en la transferencia transfronteriza de Información personal, el Proveedor solo lo hará de conformidad con la Ley de Protección de Datos, que puede incluir la celebración de las Cláusulas contractuales estándar o mecanismos similares destinados a proteger las transferencias de Información personal.

    12. Excepto por los cambios realizados de conformidad con el cumplimiento de un estándar más alto de la industria o la Ley de Protección de Datos, el Proveedor mantendrá en vigor y aplicará de manera sistemática las prácticas de privacidad y seguridad de datos del Proveedor divulgadas a la Compañía en relación con cualquier diligencia debida que la Compañía haya realizado más recientemente sobre esas prácticas en relación con el Acuerdo; siempre que el Proveedor no pueda reducir los estándares en esas prácticas al divulgar posteriormente prácticas de privacidad y seguridad de datos que serían una degradación de las prácticas divulgadas anteriormente. El Proveedor declara y garantiza que todas las respuestas proporcionadas por el Proveedor en dicha diligencia debida son verdaderas, precisas y completas cuando se realizan, y que un representante autorizado del Proveedor completó dicha diligencia debida. El Proveedor deberá notificar de inmediato a la Compañía sobre todos los cambios importantes en las prácticas de privacidad y seguridad de datos del Proveedor.

    13. Si lo exige la Ley de Protección de Datos, designar a una persona a cargo de la protección de la Información personal e informar a la Compañía el nombre y el número de teléfono de la persona.

    14. El Proveedor reconoce y acepta que la firma de este DSA constituye su certificación de que comprende las restricciones establecidas en este DSA y que las cumplirá.

  1. Indemnización. Sin limitar ninguno de los derechos de la Compañía, ni las obligaciones del Proveedor en virtud del Acuerdo o de otro modo, las Partes acuerdan que el Proveedor indemnizará a la Compañía y sus afiliadas, y sus respectivos funcionarios, directores, empleados, contratistas, trabajadores temporales, subcontratistas, agentes y otros representantes (cada uno una “Parte indemnizada”) por cualquier pérdida, daño, multa, costo o gasto (incluidos gastos y desembolsos legales) incurridos por esa Parte indemnizada como resultado de un Incumplimiento de datos personales del Proveedor en relación con la Información personal Procesada por el Proveedor en relación con el Acuerdo. Cualquier responsabilidad en virtud de esta sección estará sujeta a las limitaciones o las exclusiones de responsabilidad aplicables en el Acuerdo, a menos que dicha responsabilidad sea el resultado de la negligencia del Proveedor o un acto indebido intencional, en cuyo caso no se aplicarán limitaciones o exclusiones.

  2. Definiciones

    1. Ley de Protección de Datos” significa cualquier ley aplicable de protección de datos, seguridad de datos o privacidad, incluido el Reglamento General de Protección de Datos de la Unión Europea (UE) y cualquier legislación nacional de implementación relacionada con este, la Ley de Portabilidad y Responsabilidad de los Seguros Médicos, la Ley de Derechos de Privacidad de California y cualquier otra ley nacional, estatal, federal, provincial o regional de protección de datos, seguridad de datos o privacidad.

    2. Información personal” significa cualquier dato vinculado con el Acuerdo relacionado con un individuo identificado o identificable, incluidos los datos que identifican a un individuo o que podrían usarse para identificar, localizar, rastrear o contactar a un individuo. La Información personal incluye tanto información de identificación directa, como un nombre, número de identificación o cargo único, como información de identificación indirecta, como fecha de nacimiento, identificador único de dispositivo móvil o portátil, información que podría usarse para identificar un hogar, número de teléfono, datos codificados con clave, identificadores en línea, como direcciones IP, o actividades, comportamientos o preferencias personales, e incluye cualquier dato que constituya “datos personales” según la Ley de Protección de Datos.

    3. Procesar” significa realizar cualquier operación o conjunto de operaciones sobre Información personal o conjuntos de Información personal, ya sea por medios automatizados, tales como recopilación, registro, organización, estructuración, almacenamiento, acceso, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición de otro modo, evaluación, análisis, presentación de informes, intercambio, alineación o combinación, restricción, borrado o destrucción.

    4. Incumplimiento de datos personales” significa una destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a Información personal, transmitida, almacenada o Procesada de otra manera.

    5. Cláusulas contractuales estándar” hace referencia a las cláusulas contractuales estándar para la transferencia de datos personales a países terceros, los cuales no proporcionan un nivel adecuado de protección de datos personales, según lo publicado por la Comisión Europea el 4 xx xxxxx de 2021, y su actualización periódica.

    6. En caso de que estas definiciones restrinjan o reduzcan el alcance de las definiciones relacionadas según la Ley de Protección de Datos, la definición se ampliará para que coincida con la definición según esa Ley.

    7. En ausencia de una definición en virtud de esta Sección, un término se interpretará de manera que cumpla con todas las Leyes de Protección de Datos aplicables.

  3. Interpretación.

    1. Los términos definidos utilizados en este DSA pero no definidos aquí tendrán el significado especificado en otras partes de este Acuerdo.

    2. Las palabras “incluye” e “incluido” se interpretarán en el sentido de “incluir, entre otros”.

    3. En relación con el Propósito del intercambio de datos en virtud del Acuerdo, el Proveedor puede Procesar Información personal de una afiliada de la Compañía o más. En tal caso, cualquiera de esas afiliadas de la Compañía se considerará un “Controlador” de la Información personal y un beneficiario externo de este DSA, y tendrá derecho a basarse en todos los derechos y las protecciones otorgados a la Compañía en virtud de este DSA y a hacerlos cumplir, independientemente de si esa afiliada se ha designado como parte del Acuerdo o este DSA.

    4. Este DSA se incorpora y forma parte del Acuerdo.

    5. En caso y en la medida de cualquier conflicto entre los términos del Acuerdo y este DSA, prevalecerán los términos de este DSA, excepto si los términos del Acuerdo protegen más la Información personal Procesada en relación con el Acuerdo, en cuyo caso prevalecerán los términos que brinden más protección de ese Acuerdo.

    6. En caso y en la medida de cualquier conflicto entre los términos de este DSA y las Cláusulas contractuales estándar, prevalecerán los términos de las Cláusulas contractuales estándar.

    7. Excepto que se modifiquen expresamente en este documento, los términos del Acuerdo permanecerán plenamente vigentes.

    8. Si este DSA está redactado en español y en un idioma extranjero, en caso de que haya diferencias entre el texto en español y el texto en el idioma extranjero, prevalecerá el texto en español.

    9. Las secciones y otros títulos de este DSA son solo para facilitar la referencia y no constituirán parte ni afectarán de otro modo el significado o la interpretación de este DSA.

    10. Los anexos y los apéndices de este DSA se considerarán parte integral de este en la misma medida que si se hubieran establecido textualmente en este DSA.

    11. Las disposiciones de este DSA son independientes. Si alguna frase, cláusula o disposición es inválida o inaplicable total o parcialmente, dicha invalidez o inaplicabilidad afectará únicamente a dicha frase, cláusula o disposición, y el resto de este DSA permanecerá plenamente vigente.

    12. Este DSA rige cualquier Procesamiento de Información personal en relación con el Propósito del intercambio de datos y complementa los términos del Acuerdo aplicable al Propósito del intercambio de datos, excepto cuando la Compañía y el Proveedor hayan celebrado otro DSA aplicable a algún Propósito del intercambio de datos.


    1. Este DSA se puede celebrar entre cualquier cantidad de contrapartes, las cuales, en conjunto, constituirán el mismo acuerdo. Cualquier Parte podrá celebrar este DSA mediante la ejecución de dicha contraparte.


    1. Este DSA constituye el acuerdo completo entre las Partes con respecto al asunto de este DSA y (en la medida que lo permita la ley) reemplaza todas las representaciones o los acuerdos orales o escritos anteriores entre las Partes con respecto a ese tema, siempre que nada de lo incluido en este DSA y ninguna de las Partes intenten excluir cualquier responsabilidad por declaraciones fraudulentas.


    1. La ley vigente y las disposiciones de jurisdicción del Acuerdo se aplicarán a este DSA.


  1. Límites de actualizaciones.



    1. Cuando las Partes renueven, modifiquen, emitan una nueva Declaración de Trabajo bajo, o de cualquier manera modifiquen el Acuerdo o cualquier Declaración de Trabajo bajo el Acuerdo (un "Evento Desencadenante"), el documento más reciente bajo "Data Sharing Addendum (Company Data)" ubicado en xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxxxxx/ reemplazará y sustituirá los términos de este DSA hasta el siguiente Evento Desencadenante, a menos que se presente una objeción dentro de los 30 días siguientes a la ocurrencia del evento desencadenante. No obstante lo anterior, puede haber situaciones que requieran una enmienda inmediata a los términos de este DSA, lo cual solo ocurrirá por razones articuladas en 7(b), y solo se hará de buena fe y después de asegurar que los nuevos términos o términos modificados se limiten a aquellos necesarios para cumplir con la nueva Ley de Protección de Datos aplicable, jurisprudencia o guías emitidas por las autoridades de protección de datos relevantes.

    2. En el evento de que ocurra cualquiera de los siguientes escenarios, las Partes acuerdan de inmediato con los términos más recientes publicados en la dirección anterior, a menos que se presente una objeción dentro de los 30 días tras el aviso de la Compañía de los nuevos términos proporcionados a todas las entidades que han solicitado recibir aviso en xxxxxxx_xxxxxxx@xxx.xxx:

      1. la Ley de Protección de Datos aplicable ha sido actualizada de manera que los términos contractuales existentes de este DSA son inadecuados para satisfacer los requisitos de la ley actualizada,

      2. hay un cambio en la Ley de Protección de Datos aplicable y las Partes tienen un interés razonable y legítimo en modificar estos términos debido al cambio xx xxx, por ejemplo y sin limitación, eliminando requisitos que ya no son necesarios, o


      1. hay nueva jurisprudencia o guías emitidas por las autoridades de protección de datos relevantes que tienen un efecto comparable a un cambio en la ley descrito en (i) o (ii) arriba.

  1. Aplicabilidad de los Apéndices. Las Cláusulas contractuales estándar adjuntas al presente como Apéndice 2 y los anexos adjuntos como Apéndice 3 se aplicarán únicamente en la medida en que lo exija la Ley de Protección de Datos aplicable. Las Partes acuerdan cumplir con dichas cláusulas y anexos únicamente en la medida en que se alineen y sean necesarios en virtud de los requisitos de la Ley de Protección de Datos aplicable en cada jurisdicción respectiva.

  2. Aviso. Los avisos proporcionados en virtud de este DSA (cada uno un “Aviso”) se realizarán por escrito. Los Avisos proporcionados en virtud de este DSA se realizarán de conformidad con las disposiciones de aviso del Acuerdo aplicable, junto con las copias enviadas a la Compañía por correo electrónico, a xxx_xxxxxxx_xxxxxx@xxx.xxx, marcadas con una línea de asunto de “DSA Notice from Supplier” (Aviso de DSA por parte del Proveedor) o, en el caso de un Incumplimiento de datos personales, “Urgent: Personal Data Breach Notice” (Urgente: Aviso de Incumplimiento de datos personales).





APÉNDICE 1: Medidas de seguridad de Tecnología de la Información

  1. Seguridad de la red: el Proveedor mantendrá políticas, procedimientos y sistemas de seguridad
    de la red e implementará seguridad de la red y actividades coherentes con las mejores prácticas
    en la industria del Proveedor, pero, como mínimo, incluirán: aprovisionamiento de firewall de red, detección de intrusiones y evaluaciones de vulnerabilidad periódicas (en ningún caso con menos frecuencia que anualmente). En ningún caso lo anterior aplicado a la Información personal de la Compañía será menos estricto y brindará menos protección que aquello aplicado por el Proveedor para la protección de sus propios datos y sistemas de naturaleza similar.

  2. Seguridad de aplicaciones: el Proveedor proporcionará, mantendrá y respaldará cualquiera de sus software y sistemas proporcionados o utilizados en relación con los servicios o los productos en virtud del Acuerdo y las actualizaciones, las mejoras y las correcciones de errores posteriores de manera que estén y permanezcan a salvo de vulnerabilidades, al utilizar prácticas o estándares de la industria reconocidos y comparables según lo establecido en el párrafo 9 a continuación.

  3. Seguridad de datos: sin limitar las obligaciones de confidencialidad del Proveedor u otras obligaciones para proteger los datos y otra información de la Compañía o sus afiliadas, incluida cualquier Información personal, según el Acuerdo o este DSA, el Proveedor almacenará toda la Información personal de acuerdo con las mejores prácticas de la industria y de conformidad con todas las leyes aplicables, y utilizará medidas de seguridad, que incluyen, entre otras, cifrado y firewalls, para proteger dicha Información personal contra la divulgación o el uso no autorizados. Dichas medidas no serán menos rigurosas que aquellas que implemente el Proveedor para sus propios datos de naturaleza similar. Cuando el Proveedor almacena Información personal en las instalaciones externas de un tercero, el Proveedor debe haber cumplido con los términos de este DSA relacionados con la divulgación de Información personal a terceros o la subcontratación de servicios o productos a terceros, y solo utilizará las instalaciones de almacenamiento externas de un tercero que de otro modo sean razonablemente aceptables para la Compañía, sin limitar lo anterior, y que cumplan plenamente con todas las disposiciones de este Apéndice.

  4. Almacenamiento de datos: toda la Información personal se almacenará, procesará y mantendrá únicamente en los recursos informáticos y de almacenamiento designados por el Proveedor, y ninguna Información personal se procesará ni transferirá en ningún momento a ningún dispositivo informático portátil ni a ningún medio de almacenamiento portátil, a menos que ese dispositivo o medio de almacenamiento esté en uso como parte de los procesos de respaldo y recuperación designados por el Proveedor y esté cifrado de conformidad con el párrafo 6 a continuación. El Proveedor almacenará toda la Información personal de respaldo como parte de sus procesos de respaldo y recuperación designados.

  5. Transmisión de datos: cualquier transmisión o intercambio electrónico de Información personal con la Compañía o terceros se realizará a través de medios seguros (mediante HTTPS,
    SFTP o equivalente) y únicamente de conformidad con el párrafo 6 a continuación.

  6. Cifrado de datos: el Proveedor acepta que toda la Información personal almacenada en cualquier dispositivo informático portátil o en cualquier medio de almacenamiento portátil, incluidos todos los datos de respaldo de la Compañía, se mantendrá en forma cifrada, mediante una solución de cifrado compatible comercialmente. Las soluciones de cifrado se implementarán con no menos de una clave de 128 bits para cifrado simétrico y una longitud de clave de 2048 bits (o más) para cifrado asimétrico.

  7. Reutilización de datos: salvo que sea necesario para proporcionar los servicios o los productos en virtud del Acuerdo o según lo permita este DSA, el Proveedor no distribuirá, reutilizará ni compartirá ninguna Información personal en otras aplicaciones, entornos o unidades comerciales del Proveedor.

  8. Aviso de incumplimiento de seguridad: en caso de un incumplimiento de datos personales o de cualquiera de las obligaciones de seguridad del Proveedor, además de sus obligaciones en virtud del Acuerdo o el DSA, el Proveedor deberá notificar a la Compañía de dicho evento dentro de las 24 horas posteriores al descubrimiento por teléfono y correo electrónico al número de teléfono
    y la dirección de correo electrónico que se indican a continuación:

Número de teléfono para Aviso de incumplimiento de seguridad: 000-000-0000

Merck Global Operations Center (“GOC”) (Seleccione la opción “Interrupción del servicio de TI” (Esta opción es actualmente la número 1. GOC puede contactar al equipo de respuesta ante el Incumplimiento de datos personales cibernéticos xx Xxxxx).

Correo electrónico para Aviso de incumplimiento de seguridad: XXX@Xxxxx.xxx

  1. Estándares de la industria: según corresponda a los servicios o los productos en virtud del Acuerdo, los estándares de la industria generalmente reconocidos incluyen, entre otros, los estándares y puntos de referencia actuales establecidos y mantenidos por lo siguiente:

    1. Center for Internet Security: consulte xxxx://xxx.xxxxxxxxxx.xxx

    2. Normas de Seguridad de Datos para la Industria de las Tarjetas de Pago (Payment Card Industry Data Security Standards, PCI DSS): consulte xxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/

    3. Instituto Nacional de Estándares y Tecnología: consulte xxxx://xxxx.xxxx.xxx

    4. Ley Federal de Administración de Seguridad de la Información (Federal Information Security Management Act, FISMA): consulte xxxx://xxxx.xxxx.xxx

    5. Serie ISO/IEC 27000: consulte xxxx://xxx.xxx00000xxxxxxxx.xxx/

    6. Organización para el Avance de los Estándares de Información Estructurada (Organization for the Advancement of Structured Information Standards, OASIS): consulte xxxx://xxx.xxxxx-xxxx.xxx/

    7. Proyecto Top Ten” del Proyecto abierto de seguridad de aplicaciones web (Open Web Application Security Project, OWASP): consulte xxxx://xxx.xxxxx.xxx

    8. Enumeración de debilidades comunes (Common Weakness Enumeration, CWE): consulte xxxx://xxx.xxxxx.xxx o 25 errores principales de programación según CWE/SANS: xxxx://xxx.xxxxx.xxx/xxx00/

    9. Instituto SANS: consulte xxxx://xxx.xxxx.xxx

    10. Errores más peligrosos de software xxxx://xxx.xxxx.xxx/xxx00-xxxxxxxxxxx-xxxxxx/



APÉNDICE 2

En caso de que la Compañía exporte Información personal de una manera que requiera el Módulo 1 de las Cláusulas contractuales estándar, se aplicarán los siguientes términos:

Se incorpora al presente como referencia el texto del cuerpo del Módulo 1 (Controlador a Controlador) de las Cláusulas contractuales estándar adjuntas a la decisión de implementación (UE) 2021/914 de la Comisión del 4 xx xxxxx de 2021. Los aspectos opcionales se describen a continuación:

  1. Se omite la cláusula 7 (cláusula de atraque).

  2. Para la cláusula 11, se omite el texto opcional.

  3. Para la cláusula 17, se elige la opción 1; el estado miembro es Países Bajos.

  4. Para la cláusula 18, el foro elegido son los Países Bajos.



ANEXO I AL APÉNDICE 2

A. LISTA DE PARTES

Consulte el Acuerdo

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Consulte el Anexo del Acuerdo titulado “Detalles del Procesamiento de datos”.

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

Commission Nationale de l'Informatique et des Libertés - CNIL
0 Xxxxx xx Xxxxxxxx

TSA 80715

00000 XXXXX XXXXX 07
Tel. x00 0 00 00 00 00
Fax x00 0 00 00 00 00
Website: xxxx://xxx.xxxx.xx/





ANEXO 2 AL APÉNDICE 2: MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Consulte el Apéndice 1 del DSA al que se adjuntan estas Cláusulas. Además, el importador de datos se asegurará de que todos los datos personales estén seudonimizados y cifrados cuando corresponda. Además, al recibir una solicitud de una autoridad gubernamental relacionada con los datos personales sujetos a estas Cláusulas, el importador de datos y sus afiliadas garantizan que (i) las demandas de acceso por parte de servicios de inteligencia o autoridades similares en los EE. UU. o en otros lugares, y (ii) cualquier “deber de divulgación” de los datos personales descritos en el Anexo 1B será impugnado por el Importador de datos y sus afiliadas de conformidad con las leyes y las regulaciones aplicables antes de su extracción.

APÉNDICE 3

Requisitos legales estatales, nacionales, regionales y provinciales adicionales



ANEXO XXX XXXXX UNIDO: Ley de Protección de Datos de 2018

Este Apéndice 3 incorpora como referencia el Anexo de Transferencia internacional de datos a las Cláusulas contractuales estándar de la Comisión de la UE, versión B1.0, vigentes al 21 xx xxxxx de 2022, se considerará ejecutado en su totalidad por todas las partes del Acuerdo, cubrirá todas las transferencias aplicables según el DSA e incluirá todas las cláusulas obligatorias de la Parte 2.



ANEXO DE SUIZA: FADP

  1. En la medida en que las transferencias de datos descritas en el Apéndice 2 estén sujetas a la Ley Federal sobre Protección de Datos (Federal Act on Data Protection, “FADP”), las referencias al Reglamento General de Protección de Datos (General Data Protection Regulation, RGPD) deben entenderse como referencias a la Ley Federal sobre Protección de Datos de Suiza.

  2. Durante el tiempo que lo exija la FADP, los datos personales de las personas jurídicas estarán protegidos de conformidad con estas Cláusulas al igual que las personas físicas que sean sujetos de datos.

  3. Cláusula 13: Supervisión paralela

    1. Cuando la transferencia de datos se rige por la FADP: El Comisionado Federal de Protección de Datos e Información (Federal Data Protection and Information Commissioner, “FDPIC”) es el organismo de supervisión competente.

    2. Cuando la transferencia de datos se rige por el GDPR: Se aplicarán los criterios de la Cláusula 13(a).

  4. Cláusula 18(c): Elección de foro y jurisdicción: un sujeto de datos que tenga su residencia habitual en Suiza también podrá presentar acciones judiciales contra el exportador o el importador de datos ante los tribunales de Suiza.



ANEXO DE CANADÁ: Ley 25 de Quebec

        1. Cualquier aviso requerido en virtud de este DSA en relación con un Incumplimiento de datos personales, y cualquier aviso similar requerido en virtud del Acuerdo, también será necesario para eventos que constituyan un incumplimiento o intento de incumplimiento de este DSA por parte del Proveedor.

        2. Si se requiere obtener consentimiento en relación con los términos de este DSA, el Proveedor también debe conservar la evidencia de todos los consentimientos durante tres (3) años después de la finalización del Acuerdo.

Document Metadata

Filed: March 12th, 2024