ACUERDO DE TRANSMISIÓN DE DATOS PERSONALES
ACUERDO DE TRANSMISIÓN DE DATOS PERSONALES
DE [Nombre del Responsable] Y [Nombre del Encargado]
Entre los abajo firmantes, descritos así:
• Por una parte, [Nombre del Representante Legal del Responsable], mayor de edad, identificad[o/a] con la cédula de ciudadanía No. [Número de cédula del Representante Legal] con domicilio en Bogotá D.C., Colombia, actuando en representación de [Razón Social de quien realiza la transmisión], (en adelante “El Responsable”), sociedad legalmente constituida bajo las leyes colombianas identificada con NIT No. [ Incluir NIT] y domiciliada en la [Incluir dirección] de Bogotá D.C., obrando en calidad de Responsable del Tratamiento de Datos Personales, de conformidad con lo dispuesto en la Ley 1581 de 2012, y en este Contrato de Transmisión de Datos Personales; y,
• De otra parte, [Nombre/Razón social de quien actúa como Encargado] identificad[o/a] con [Identificación de quien actúa como Encargado /o el representante de la sociedad que actúa como Encargado], domiciliado en [domicilio de quien obra como Encargado], [actuando en representación de la sociedad, Persona jurídica que actúa como Encargado] (en adelante “El Encargado”), constituida legalmente bajo las leyes de Colombia, quien actúa en calidad de Encargado del Tratamiento de Datos Personales, de conformidad con lo dispuesto en la Ley 1581 de 2012, y en este Contrato de Transmisión nacional/internacional de Datos Personales;
Conjuntamente denominados las “Partes” e individualmente, una “Parte” y la “Otra Parte”, han celebrado el presente Contrato de Transmisión [nacional/internacional] de Datos Personales en observancia de las definiciones incluidas en la Cláusula Primera y, bajo las siguientes:
1. CONSIDERACIONES
- Que ambas Partes cuentan con la capacidad jurídica suficiente para suscribir el presente Contrato de Transmisión de Datos Personales (el “Contrato”).
- Que [Incluir Nombre del Responsable] ha recolectado, custodia y administra Bases de Datos Personales de [Clientes/Proveedores/Empleados/Contratistas], cuyo Tratamiento está basado en la Política de Tratamiento de Datos Personales de [Incluir Nombre del Responsable], que ha sido puesta de presente a la Otra Parte. [Incluir Nombre del Responsable] actúa como Responsable de Tratamiento con respecto a las Bases de Datos Personales mencionadas.
- Que entre El Responsable y El Encargado existe actualmente una relación derivada de [Nombre del Contrato Principal] (en adelante, el “Contrato Principal”).
- Que con ocasión de la relación derivada de la ejecución del Contrato Principal tiene lugar la Transmisión de Datos Personales en la cual, de conformidad con las definiciones previstas en el artículo 3 de la Ley 1581 de 2012, [Incluir Nombre del Responsable] actuará como Responsable de Tratamiento de Datos Personales y [Incluir Nombre del Encargada] actuará como Encargado de Tratamiento de Datos Personales, por lo que resulta necesario regular las obligaciones de las Partes en virtud de la misma.
- Que las cláusulas que se incluirán en el presente Contrato de Transmisión de Datos Personales se ajustan a las exigencias del artículo 25 del Decreto 1377 de 2013.
Por consiguiente, y en atención a las anteriores Consideraciones, las Partes han acordado celebrar el presente Contrato, el cual se regirá por las siguientes:
2. CLÁUSULAS
CLÁUSULA PRIMERA-. DEFINICIONES. Excepto que expresamente se indique lo contrario, los siguientes términos tendrán el significado establecido a continuación:
- “Autoridad de Protección de Datos Personales” significa la Superintendencia de Industria y Comercio o quien haga sus veces.
- “Autorización” significa el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales de [Clientes/Proveedores/Empleados/Contratistas].
- “Base(s) de Datos Transmitida(s) significa el conjunto organizado de Datos Personales de [Contratistas/Clientes/Proveedores/Empleados] que administra el Responsable, y que será transmitida a el ENCARGADO, en los términos del presente Contrato.
- “Contrato” significa este Contrato de Transmisión de Datos Personales firmado entre las Partes en cumplimiento a lo dispuesto por los artículos 24 y 25 del Decreto No. 1377 de 2013, así como por la Sección 5, artículo 2.2.2.25.5.1. y siguientes del Decreto Único Reglamentario No. 1074 de 2015.
- “Contrato Principal” significa la relación jurídica que subyace entre las Partes, y cuya ejecución requiere que el Responsable comunique Bases de Datos Personales dentro del territorio de la República de Colombia hacia una sociedad, o persona natural, que actuará como el Encargado de Tratamiento, para realizar actividades que
constituyen Tratamiento de Datos Personales, por cuenta del Responsable, y según las instrucciones del Responsable, y que corresponde a un contrato de [Nombre del Contrato Principal].
- “Dato(s) Personal(es)” significa, de acuerdo con la Ley No. 1581 de 2012, cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
- “Encargado del Tratamiento y/o Encargado” será [Incluir Nombre del Encargada]], el cual, por sí mismo o en asocio con otros, realiza el Tratamiento de Datos Personales por cuenta del Responsable del tratamiento, exclusivamente para el cumplimiento de las obligaciones consagradas en el Contrato Principal por cuenta y bajo las instrucciones del Responsable.
- “Incidente de Seguridad” significa cualquier violación a los códigos o medidas de seguridad y por la que se genere un riesgo de revelación no autorizada de la información de los Titulares de Datos Personales.
- “Instrucciones” se refiere a las instrucciones escritas y comunicadas del Responsable, a través de cualquier medio, al Encargado, relacionadas con el Tratamiento de Datos Personales.
- “Ley Aplicable” significa la normatividad colombiana aplicable al Contrato de Transmisión de Datos Personales, específicamente al contenido de los artículos 24 y 25 del Decreto 1377 de 2013, así como a la Sección 5, artículo 2.2.2.25.5.1. y siguientes, del Decreto Único Reglamentario 1074 de 2015.
- “Régimen General de Protección de Datos o RGPD” se refiere a la Ley No. 1581 de 2012 tal y como ésta sea modificada de tiempo en tiempo, el Decreto No. 1377 de 2013, y siguientes, del Decreto Único Reglamentario No. 1074 de 2015 y las demás normas complementarias.
- “Responsable del Tratamiento y/o Responsable” se refiere a [Incluir Nombre del Responsable] que, conforme a la norma colombiana, es la persona que por sí misma o en asocio con otros, decide sobre el Tratamiento de los Datos Personales que hacen parte de la(s) Base(s) de Datos que es(son) objeto de Transmisión a través del Contrato.
- “Política de Privacidad” significa la política de tratamiento de datos personales del Responsable, estructurada conforme a los estándares del marco normativo colombiano, y que se incluye como Anexo 1 a este Contrato.
- “Titular(es) o Titular(es) de Datos Personales” significa la persona natural cuyos Datos Personales sean objeto de Tratamiento por el Encargado, en la medida en que los mismos estén contenidos en los Datos Personales del Responsable, siendo
suministrados por el Responsable al Encargado, o recolectados en el marco de las Instrucciones del Responsable al Encargado.
- “Transmisión de Datos Personales y/o Transmisión” significa la comunicación de los Datos Personales por parte de un Responsable a un Encargado para que realice Tratamiento de los Datos Personales administrados por el Responsable, dentro del territorio colombiano, y que se regirá acorde con las finalidades e Instrucciones indicadas por el Responsable y por cuenta del mismo, en observancia de la política de tratamiento de datos personales del Responsable y la Ley Aplicable.
- “Tratamiento” significa cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
CLÁUSULA SEGUNDA-. OBJETO. El presente Contrato tiene como objeto establecer las condiciones aplicables a la operación de la Transmisión de Datos Personales que tiene lugar con ocasión del cumplimiento de las obligaciones consagradas en el Contrato Principal entre Responsable y Encargado en el cual el Encargado ejecutará sus tareas contratadas por el Responsable. Mediante este Contrato las Partes acuerdan la Transmisión de Datos Personales a favor del Encargado, la cual ocurre de acuerdo con las Instrucciones del Responsable y en cumplimiento a las finalidades indicadas por el mismo como Responsable para el Tratamiento de los Datos Personales.
CLÁUSULA TERCERA-. FINALIDAD Y ALCANCE DE LA TRANSMISIÓN. La(s)
Base(s) de Datos Transmitida(s) del RESPONSABLE será(n) sometida(s) a Tratamiento por el Encargado única y exclusivamente en cumplimiento a las Instrucciones del Responsable.
La(s) Base(s) de Datos Transmitida(s) del Responsable se utilizará(n) entonces, por el Encargado, únicamente para el desarrollo de las siguientes actividades y finalidades por cuenta exclusiva del Responsable:
- [Incluir Finalidades].
- [Incluir Finalidades].
- Para cualquier otra finalidad relacionada con ocasión de las obligaciones derivadas del Contrato Principal y de la relación entre Responsable y Encargado, El Encargado deberá contar con autorización e Instrucciones previas del Responsable.
PARÁGRAFO-. El Encargado está facultado al Tratamiento de los Datos Personales que transmita el Responsable, por el tiempo necesario para la ejecución de las obligaciones derivadas del Contrato Principal o la relación entre las Partes siempre bajo el alcance y finalidades que determine el Responsable. En ningún caso la Transmisión Nacional/Internacional de los Datos Personales comprenderá la cesión de los derechos de propiedad derivados de la existencia de los Datos Personales del Responsable.
CLÁUSULA CUARTA-. OBLIGACIONES DEL RESPONSABLE. En virtud del
presente Contrato, adicional a las obligaciones que impone la norma aplicable, el Responsable, declara y se obliga a:
- Proveer Instrucciones claras y por escrito para el Tratamiento de la(s) Base(s) de Datos Transmitida(s), bajo la Transmisión y declara que las mismas corresponden y están de acuerdo con las finalidades que han sido autorizadas previamente por el Titular de los Datos Personales.
- En caso de requerir obtener Autorización previa para esta Transmisión, declara contar con capacidad suficiente de disponer y decidir sobre la(s) Base(s) de Datos Transmitida(s) y haber obtenido la correspondiente Autorización del Titular, o de su representante legal, y haber conservado copia de la misma a través de medios que permitan su posterior consulta.
- Garantizará a los Titulares, mediante los mecanismos dispuestos legalmente para tal fin, el ejercicio de los derechos que les corresponden como Titulares de Datos Personales.
- Cumplir y acatar en su integridad las respectivas obligaciones de acuerdo con el mencionado rol de Responsable y conforme a la Ley Aplicable.
CLÁUSULA QUINTA-. OBLIGACIONES DEL ENCARGADO. En virtud del presente Contrato, además de las obligaciones consagradas en el artículo 18 de la Ley 1581 de 2012, el Encargado, declara y se obliga a:
(i) Dar Tratamiento, en nombre del Responsable, a la(s) Base(s) de Datos Transmitida(s) de acuerdo con el presente Contrato y de conformidad con las Instrucciones del Responsable para tal fin. El Encargado declara conocer y acatar el contenido de la política de tratamiento de datos personales por el Responsable, así como los estándares de seguridad del Responsable.
El Responsable tiene derecho a realizar auditorías y/o evaluaciones al cumplimiento de los controles de seguridad de la información personal para proteger los activos implicados durante la ejecución del presente Contrato. Los procesos en los que el Encargado realice Tratamiento sobre la(s) Base(s) de Datos Transmitida(s), deben asegurar como mínimo:
- Seguridad: que los sistemas en los que se aloje(n) la(s) Base(s) de Datos Transmitida(s) están protegidos contra accesos, usos y modificaciones no autorizados (físicos y lógicos).
- Disponibilidad: Los sistemas están disponibles para operación y uso, según lo acordado.
- Confidencialidad: La información contenida en la(s) Base(s) de Datos Transmitida(s) clasificada como confidencial es protegida como se comprometió y se acordó.
- Procesamiento de la Integridad: El procesamiento de los sistemas es completo, preciso, a tiempo y autorizado.
- Privacidad: La información personal es tratada conforme a las leyes aplicables en Colombia y de acuerdo con la política de tratamiento de datos personales del Responsable que se encuentra en la página web [Incluir enlace a la Política de Tratamiento de Datos del Encargado] así como en el Anexo No.1 del presente acuerdo.
(ii) Salvaguardar la seguridad de la(s) Base(s) de Datos Transmitida(s) por parte del Responsable y/o cualquier Dato Personal recolectado por el Responsable, y que puedan ser objeto de la Transmisión de acuerdo con la Ley Aplicable.
(iii) Guardar la confidencialidad absoluta respecto del Tratamiento de la(s) Base(s) de Datos Transmitida(s) del Responsable, incluyendo extender el deber de confidencialidad a los empleados u otro personal que pueda tener acceso y/o relación con el Tratamiento de la(s) Base(s) de Datos Transmitida(s) del Responsable a través de la firma de un acuerdo de confidencialidad. El personal del Encargado está obligado a comportarse de forma consistente con las directrices de confidencialidad que se impongan en el presente Contrato y las instrucciones del Responsable que lo adicionen o complementen en lo particular a la preservación de la confidencialidad de la información.
(iv) Capacitar a su personal (empleados y subcontratistas) respecto de las medidas y estándares de seguridad que debe mantener respecto del Tratamiento de la(s) Base(s) de Datos Transmitida(s). El personal del Encargado sólo procederá con Tratamiento de Datos Personales, en cuanto sea necesario para el cumplimiento de las Instrucciones del Responsable.
(v) Cumplir con las obligaciones del Responsable de conformidad con la Política de Tratamiento de Datos Personales previamente compartidas.
(vi) Garantizar el ejercicio de derechos de Titulares procediendo con la entrega al Responsable de cualquier solicitud, consulta, petición, reclamo, entre otros, mediante los cuales el Titular de Datos Personales, contenidos en la(s) Base(s) de Datos Transmitida(s) del Responsable, pretenda el acceso, supresión, divulgación, corrección o bloqueo de Datos Personales que sean objeto de Tratamiento en vista a la ejecución del presente Contrato. El Encargado solo responderá de forma directa cuando sea requerido para tal fin por la Ley Aplicable a su propia gestión. En todo caso, deberá informar al Responsable de cualquier consulta o reclamo interpuesto por los Titulares de las Base(s) de Datos Transmitida(s).
(vii)Proceder con la actualización y rectificación de la información contenida en la(s) Base(s) de Datos Transmitida(s) del Responsable siempre y cuando el Responsable dé Instrucciones expresas y específicas para ese fin.
(viii) Remitir al Responsable toda la información sobre Incidentes de Seguridad o violaciones a los códigos de seguridad que determinen la existencia de riesgos en la administración de la información de los Titulares y en particular, toda aquella información que el Responsable requiera para informar a la autoridad de protección de datos y/o a los Titulares sobre dichas violaciones o incidentes de seguridad. En el informe de los Incidentes de Seguridad el Encargado deberá ofrecer una narración detallada de los mismos y contener cuando mínimo la siguiente información: Fecha de ocurrencia o de conocimiento del incidente; tipo de incidente; identificación del incidente; causa probable de la materialización del incidente; tipo y cantidad de Datos Personales y personas naturales comprometidas; y cualquier medida de mitigación adaptada por el Encargado con respecto al Incidente de Seguridad.
(ix) Permitir auditorías a sus procesos internos con los que realiza Tratamiento a la(s) Base(s) de Datos Transmitida(s) del Responsable.
(x) Garantizar que sus empleados, contratistas y/o colaboradores que tengan acceso a la(s) Base(s) de Datos cuentan con la suficiente autorización acorde a su posición y/o rol para desarrollar las actividades encargadas por parte del Responsable
CLÁUSULA SEXTA-. CONFIDENCIALIDAD. Las Partes acuerdan mantener toda la información emanada, circulada, transmitida y/o intercambiada en el marco de la celebración, ejecución, y terminación del presente Contrato, bajo la más estricta reserva y confidencialidad con respecto a terceros, incluidos el personal del Encargado salvo que esté autorizado para realizar Tratamiento a la(s) Base(s) de Datos Transmitida(s) del Responsable.
PARÁGRAFO PRIMERO-. Se entiende por “Información Confidencial”, la información escrita, gráfica, electromagnética, o la recibida o transmitida bajo cualquier otra forma, medio o tecnología actual o futura, incluyendo, pero sin limitarse a en la(s) Base(s) de Datos Transmitida(s) del Responsable, o cualquier otra información que se clasifique como privada o confidencial por las Partes.
PARÁGRAFO SEGUNDO-. A menos que se establezca lo contrario en este Contrato, las Partes mantendrán como confidencial y harán sus mejores esfuerzos para que todos sus respectivos empleados, agentes, representantes, así como sus accionistas y sociedades vinculadas – sean matrices, filiales o subsidiarias- mantengan en forma confidencial la totalidad de los Datos Personales de la(s) Base(s) de Datos Transmitida(s), documentos y, otro material, escrito o grabado o representado identificado por la Parte que la entrega como de naturaleza confidencial perteneciente a esta última y, excepto lo contemplado en este Contrato, no revelará, publicará, usará ni permitirá a otros usar los mismos.
PARÁGRAFO TERCERO-. La restricción anterior no será aplicable a ninguna información que: (i) llegue a estar generalmente disponible para el público de cualquier manera o forma sin culpa alguna de la parte receptora, ni sus respectivos empleados, agentes o representantes; (ii) sea entregada para ser revelada por la Parte receptora con el consentimiento de la Parte que la entrega y/o del Titular de los Datos Personales (en caso de aplicar); o (iii) cuando dicha revelación es requerida por un tribunal o autoridad pública, en ejercicio de sus funciones, o es de otra forma requerida por la Ley Aplicable o es necesaria con el fin de establecer derechos bajo este Contrato o cualquier otra estipulación a la que aquí se haga referencia.
PARÁGRAFO CUARTO-. La violación de las obligaciones o prohibiciones a que se refiere la presente Cláusula podrá dar lugar a la instauración de las acciones civiles y penales correspondientes. Sin perjuicio de lo anterior, en el evento en que el Encargado incumpla su obligación de mantener la confidencialidad de esta información, sin perjuicio de las acciones a que haya lugar, el Responsable podrá también exigir y/o reclamar el pago de la indemnización por la totalidad de los perjuicios que le pueda generar la violación.
PARÁGRAFO QUINTO–. El cumplimiento de la obligación de confidencialidad tendrá la misma duración del Contrato Principal y hasta por cinco (5) años siguientes a la fecha de terminación del Contrato Principal.
CLÁUSULA SÉPTIMA-. INDEMNIDAD. Las Partes conocen, declaran y aceptan que el presente Contrato está supeditado al Régimen General de Protección de Datos, y que en su xxxx saber y entender, el presente Contrato de Transmisión de Datos Personales cumple en su totalidad con los mandatos legales aplicables. En caso de que la autoridad competente requiera la revisión del presente Contrato las Partes se mantendrán indemnes de reclamaciones o quejas que puedan surgir con ocasión del mismo salvo que exista una negligencia por alguna de las Partes.
CLÁUSULA OCTAVA-. SUBCONTRATISTAS. La subcontratación por parte del Encargado a un tercero subcontratista para el tratamiento de la(s) Base(s) de Datos del Responsable y/o la ejecución de las Instrucciones del Responsable está prohibida, salvo autorización previa y escrita por el Responsable. En caso de autorización el tercero subcontratista deberá cumplir con las obligaciones de seguridad, confidencialidad e información dispuestas en el Régimen General de Protección de Datos, el presente contrato, así como en las Instrucciones del Responsable.
PARÁGRAFO ÚNICO. RESPONSABILIDAD SOLIDARIA. Sin perjuicio de lo anterior el Encargado y el tercero subcontratista serán solidariamente responsables respecto al incumplimiento de cualquier disposición consagrada en el Régimen General de Protección de Datos, el presente contrato, así como en las Instrucciones del Responsable.
CLÁUSULA NOVENA-. INCIDENTES DE SEGURIDAD. El Encargado reportará al Responsable cualquier Incidente de Seguridad que ocurra con respecto a la(s) Base(s) de
Datos Transmitida(s) del Responsable. La notificación por parte del Encargado al Responsable deberá efectuarse por escrito en un plazo no mayor a cinco (5) días calendario desde la ocurrencia del Incidente de Seguridad, y contendrá una descripción del Incidente de Seguridad, la relación de los Datos Personales que fueron afectados por el respectivo Incidente, con respecto a la(s) Base(s) de Datos Transmitida(s), y las medidas de seguridad adoptadas para mitigar dicho Incidente de Seguridad, además de la información indicada en el numeral 8 de la Cláusula sexta sobre las obligaciones del Encargado.
CLÁUSULA DÉCIMA-. CLÁUSULA PENAL. El incumplimiento del Encargado, de sus Representantes , empleados, colaboradores o subcontratista a cualquiera de las obligaciones previstas en el Régimen General de Protección de Datos, este Contrato o las instrucciones del Responsable, sea que cause o no un perjuicio al Responsable o a los Titulares, dará en todo caso lugar al pago por parte del Encargado y a favor del Responsable de una sanción equivalente a [Dependiendo Del Valor Del Contrato Principal, Poner Un Porcentaje Del Mismo Como Penalidad A Favor De Responsable], sin perjuicio de la reparación integral de los perjuicios que eventualmente se causen.
CLÁUSULA DÉCIMA PRIMERA-. TERMINACIÓN. El presente Contrato podrá terminarse por las siguientes causas:
- Por el cumplimiento de las obligaciones principales del presente Contrato.
- Por la extinción de las obligaciones del Encargado sobre las gestiones administrativas, operativas y comerciales sobre los Datos Personales gestionados en nombre del Responsable en materias relacionadas con el Contrato Principal.
- Por la terminación del tiempo acordado para el Tratamiento de la(s) Base(s) de Datos Transmitida(s) del Responsable acordado.
- Por ser declarada cualquiera de las partes en estado judicial de suspensión de pagos, quiebra o concurso de acreedores y fuese demostrada una situación de insolvencia o cese de actividades, o se iniciase un proceso de liquidación o disolución.
- Por decisión del Responsable, en cualquier momento dando un preaviso xx xxxx (10) días hábiles.
- Por las demás causas previstas en la legislación vigente y aplicable.
PARÁGRAFO ÚNICO: Sin perjuicio de la casual de terminación del presente Contrato, El Encargado deberá devolver o eliminar las Bases de Datos entregadas en transmisión, a solicitud del Responsable, en un periodo no mayor a cinco (5) días hábiles.
CLÁUSULA DÉCIMA SEGUNDA-. NOTIFICACIONES. Cualquier notificación o comunicación exigida, permitida o requerida bajo este Contrato, deberá ser hecha a través de los siguientes datos de contacto:
- RESPONSABLE: Incluir Lugar De Notificación Del Responsable]
- ENCARGADO: [Incluir Lugar De Notificación Del Encargado]
El [Día] de [Mes] de [Año] las Partes han consentido en el objeto y términos de este Contrato, en constancia de lo cual firman en dos ejemplares del mismo tenor.
EL RESPONSABLE | EL ENCARGADO | |
Representante legal o apoderado Nombre: Identificación: | Representante legal o apoderado Nombre: Identificación: |