Microsoft Customer Agreement
Cláusulas contractuales tipo para la Argentina
Las partes acuerdan que el Contrato del cliente de Microsoft (el “contrato”) queda modificado como sigue:
1. Términos Definidos
En el presente, Acuerdo de Modificación, todos los términos no definidos aquí tendrán el significado que se les asigna en la Sección Definiciones del contrato.
2. Cláusulas Estándar de Argentina: Aplicación a las transferencias de datos de clientes
Para los “Online Services”, todas las transferencias de datos de clientes fuera de Argentina procesados por Microsoft y/o por los agentes de Microsoft se regirán por las Cláusulas Estándar de Argentina adjuntas a este Acuerdo de Modificación como Anexo 1. A los efectos de estas transferencias, los Términos de Procesamiento de Datos (según se define en los Términos de Servicios Online) también incluyen las cláusulas Estándar de Argentina. Este párrafo y el Anexo 1 al presente se consideran incluidos en la Sección 4 (“Seguridad, Privacidad y Protección de Datos”), Subsección 4. (b) del contrato.
Anexo 1: Cláusulas Contractuales Estándar para Argentina
Para los fines de la Ley Nº 25.326 de Protección de Datos Personales de la República Argentina y su Decreto Reglamentario Nº 1558/2001, para la transferencia de datos personales a encargados del tratamiento establecidos en otros países que no garantizan un nivel adecuado de protección de datos, el Cliente (como exportador de datos) y Microsoft Corporation (como importador de datos, cuya firma aparece a continuación), cada uno de ellos una “parte” y en conjunto “las partes”, han aceptado las siguientes Cláusulas Contractuales (las “Cláusulas” o “Cláusulas Contractuales Tipo”) con el fin de citar las protecciones con respecto al resguardo de la privacidad, los derechos fundamentales y a las libertades de las personas para la transferencia de los datos personales especificados en el Apéndice 1 por parte del exportador de datos.
Cláusula 1: Definiciones
a. “datos personales”, “datos sensibles”, “tratar/tratamiento”, “responsable de la base de datos”, y “titular de los datos” tendrán el mismo significado que la Ley Nº 25.326 de Protección de Datos Personales de la República Argentina;
b. “el encargado del tratamiento” es la persona física o jurídica, autoridad pública, proveedor de servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable de la base de datos;
c. “el exportador de datos” es el responsable de la base de datos que transmite los datos personales en los términos del art. 25 de la Ley Nº 25.326 de Datos Personales de la República Argentina;
d. “el importador de datos” es el encargado del tratamiento que acepta recibir los datos personales del exportador de datos con el fin de tratarlos en su nombre después de la transferencia, de acuerdo con sus instrucciones y con los términos de las Cláusulas y la Ley Nº 25.326 de Protección de Datos Personales de la República Argentina;
e. “el subencargado del tratamiento” es cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos, que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento de los datos personales del importador, datos destinados exclusivamente a actividades de tratamiento que se llevarán a cabo en nombre del exportador de datos después de la transferencia, de acuerdo con sus instrucciones, con los términos de las Cláusulas y con los términos de la subcontratación por escrito;
f. “la legislación de protección de datos aplicable” es la Ley Nº 25.326 de Protección de Datos Personales de la República Argentina, su Decreto Reglamentario Nº 1558/2001 y las Disposiciones emitidas por la Agencia de Acceso a la Información Pública de la República Argentina;
g. “medidas de seguridad técnicas y organizativas” son las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o la pérdida accidental, la alteración, la revelación o el acceso no autorizados, en particular cuando el tratamiento implica la transferencia de datos a través de una red, y contra cualquier otra forma de procesamiento ilícita. y
h. “órgano de contralor” es la Agencia de Acceso a la Información Pública de la República Argentina.
Cláusula 2: Detalles de la transferencia
Los detalles de la transmisión y, en concreto, de los datos sensibles (cuando sea aplicable) se especifican en el Apéndice 1 abajo.
Cláusula 3: Derechos del Titular de los Datos
1. El titular de los datos puede aplicar contra el exportador de datos esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e) y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 en su carácter de titular de los datos.
2. El titular de los datos puede aplicar contra el importador de datos esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el titular de los datos puede aplicarlas contra dicha entidad.
3. El titular de los datos puede aplicar contra el subencargado del tratamiento esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que el exportador de datos y el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o se hayan vuelto insolventes, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el titular de los datos puede aplicarlas contra dicha entidad. Dicha responsabilidad externa del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.
4. Las partes no se oponen a que el titular de los datos sea representado por una asociación u otro organismo si así lo desea expresamente, siempre que lo permita la legislación nacional.
Cláusula 4: Obligaciones del exportador de datos
El exportador de datos acepta y garantiza:
a. que el tratamiento, incluida la transferencia en sí, de los datos personales se ha realizado y seguirá realizándose de conformidad con las disposiciones pertinentes de la legislación de protección de datos aplicable y no infringe las disposiciones pertinentes de la República Argentina;
b. que se ha indicado y durante el período de duración de los servicios de tratamiento de datos personales se indicará al importador de datos que procese los datos personales transmitidos únicamente en nombre del exportador de datos y de acuerdo con la legislación de protección de datos aplicable y las Cláusulas;
c. que el importador de datos ofrecerá garantías suficientes en relación con la aplicación de medidas de seguridad técnicas y organizativas, incluyendo aquéllas especificadas en el
Anexo 2 a continuación;
d. que después de la evaluación de los requisitos de la legislación de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra su destrucción accidental o ilícita o contra la pérdida accidental, la alteración o la revelación o el acceso no autorizados, especialmente donde el tratamiento implica la transferencia de datos a través de una red, y contra cualquier otra forma de tratamiento ilícito, y que estas medidas garantizan un nivel de seguridad apropiado para los riesgos que presenta el tratamiento y la naturaleza de los datos que deben protegerse, teniendo en cuenta la vanguardia y el costo de su implementación;
e. que garantizará la aplicación de medidas de seguridad técnicas y organizativas;
f. que cumplirá con todos los requisitos exigidos por la Ley N° 25.326 de Protección de Datos Personales de la República Argentina para la transferencia a un tercer país sin protección adecuada;
g. reenviar cualquier notificación recibida por parte del importador de datos o cualquier subencargado del tratamiento conforme a la Cláusula 5(b) y a la Cláusula 8(3) al órgano de contralor de protección de datos, si el exportador de datos decide continuar la transferencia o levantar la suspensión;
h. poner a disposición de los titulares de los datos, previa solicitud, una copia de las Cláusulas, con la excepción del Anexo 2, y una breve descripción de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento, que tiene que realizarse de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
i. que, en caso de subtratamiento, esta actividad la lleva a cabo un subencargado del tratamiento de acuerdo con la Cláusula 11, el que proporciona al menos el mismo nivel de protección de los datos personales y de los derechos del titular de los datos que el importador de datos en virtud de las Cláusulas; y
j. que garantizará el cumplimiento de la Cláusula 4(a) a (i).
Cláusula 5: Obligaciones del importador de datos
El importador de datos acepta y garantiza:
a. tratar los datos personales sólo en nombre del exportador de datos y en cumplimiento de sus instrucciones, la legislación de protección de datos aplicable y las Cláusulas; si no puede cumplir por cualquier motivo, acepta informar oportunamente al exportador de datos de su incapacidad de cumplimiento, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o terminar el contrato;
b. que no tiene ninguna razón para creer que la legislación aplicable a la misma le impide cumplir con las instrucciones recibidas del exportador de datos y con sus obligaciones en virtud del contrato y que, en caso de un cambio en esta legislación, que podría tener un efecto adverso sustancial sobre las garantías y obligaciones que se establecen en las Cláusulas, se notificará oportunamente el cambio al exportador de datos, tan pronto
como tenga conocimiento, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o terminar el contrato;
c. que tiene implementadas medidas de seguridad técnicas y organizativas,incluyendo aquéllas que se especifican en el Anexo 2 antes de tratar los datos personales transmitidos;
d. que notificará de forma oportuna al exportador sobre:
(i) cualquier solicitud legalmente vinculante que realice una autoridad judicial para revelar los datos personales, a menos que se prohíba, por ejemplo, en virtud de la legislación penal para mantener la confidencialidad de una investigación judicial,
(ii) cualquier acceso accidental o no autorizado, y
(iii) cualquier solicitud recibida directamente de los titulares de datos, sin responder a esa solicitud, a menos que de otro modo se haya autorizado;
e. hacer frente de forma oportuna y adecuada a todas las consultas del exportador de datos con relación a su tratamiento de los datos personales sujetos a la transferencia y de cumplir con el asesoramiento del órgano de contralor en lo que respecta al tratamiento de los datos transmitidos;
f. a petición del exportador de datos, presentar sus instalaciones de tratamiento de datos para la realización de auditorías de las actividades de tratamiento incluidas en las Cláusulas, las cuales deberá realizar el exportador de datos o un organismo de inspección integrado por miembros independientes, que cuenten con las calificaciones profesionales necesarias, vinculados por un deber de confidencialidad y seleccionados por el exportador de datos, donde corresponda, de común acuerdo con el órgano de contralor ;
g. poner a disposición del interesado, previa solicitud, una copia de las Cláusulas o de cualquier contrato de subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial; con la excepción del Anexo 2, que será reemplazado por una breve descripción de las medidas de seguridad en los casos en que el interesado no pueda obtener una copia del exportador de datos;
h. que, en caso de subtratamiento, se ha informado previamente al exportador de datos y se ha obtenido su consentimiento previo por escrito;
i. que los servicios de tratamiento del subencargado del tratamiento se realizarán de acuerdo con la Cláusula 11; y
j. enviar oportunamente al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento pactado en virtud de las Cláusulas.
Cláusula 6: Responsabilidad
1. Las partes aceptan que el titular de los datos que haya sufrido daños como resultado de algún incumplimiento de las obligaciones previstas en la Cláusula 3 o en la Cláusula 11 por parte de cualquiera de las partes o del subencargado del tratamiento tiene derecho a percibir una indemnización del exportador de datos por el daño sufrido.
2. Si, de acuerdo con el párrafo 1, el titular de los datos no puede presentar una reclamación de indemnización contra el exportador de datos, que surja de un incumplimiento de
cualquiera de las obligaciones a las que se hace referencia en la Cláusula 3 o en la Cláusula 11 por parte del importador de datos o de su subencargado del tratamiento, debido a que el exportador de datos ha desaparecido de hecho, ha dejado de existir legalmente o se ha vuelto insolvente, el importador de datos acepta que el titular de los datos puede presentar una reclamación contra el importador de datos como si se tratara del exportador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, en cuyo caso el titular de los datos puede hacer cumplir sus derechos en contra de dicha entidad. Las partes reconocen que estas Cláusulas regulan los servicios de tratamiento de datos prestados por el importador de datos al exportador de datos, a petición de este último y con el único propósito de prestar tales servicios, de conformidad con el art. 25 de la Ley Nº 25.326; por ello estas Cláusulas no constituyen - y no podrá interpretarse que constituyan - una cesión de datos en los términos del art. 11 de la Ley Nº 25.326.
El importador de datos no puede alegar un incumplimiento de obligaciones de un subencargado del tratamiento con el fin de evitar sus propias responsabilidades.
3. Si un titular de datos personales no puede presentar una reclamación contra el exportador de datos o el importador de datos al que se hace referencia en los párrafos 1 y 2, que surja de un incumplimiento de cualquiera de las obligaciones a las que se hace referencia en la Cláusula 3 o en la Cláusula 11 por parte del subencargado del tratamiento, debido a que el exportador de datos y el importador de datos han desaparecido de hecho, han dejado de existir legalmente o se han vuelto insolventes, el subcontratista acepta que el titular de los datos puede presentar una reclamación contra el subencargado del tratamiento de los datos con relación a sus propias operaciones de tratamiento en virtud de las Cláusulas, como si se tratara del exportador de datos o del importador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por procedimiento legal, en cuyo caso el titular de los datos puede hacer cumplir sus derechos en contra de dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.
Cláusula 7: Mediación y jurisdicción
1. El importador de datos acepta que si el titular de los datos invoca en su contra derechos de terceros beneficiarios y/o indemnizaciones de reclamaciones por daños en virtud de las Cláusulas, el importador de datos aceptará la decisión del titular de los datos, respecto de :
a. llevar el conflicto a mediación de una persona independiente o, donde corresponda, de una autoridad de control;
b. llevar el conflicto a los tribunales de la República Argentina .
2. Las partes aceptan que la elección hecha por el titular de los datos no va a afectar sus derechos sustantivos o procedimentales a obtener soluciones de acuerdo con otras disposiciones del derecho nacional o internacional.
Cláusula 8: Cooperación con órgano de contralor
1. El exportador de datos acepta depositar una copia de este contrato al órgano de contralor si esta así lo requiere o si el depósito se exige en virtud de la legislación de protección de datos aplicable.
2. Las partes aceptan que el órgano de contralor tiene el derecho de llevar a cabo una auditoría del importador de datos, así como de cualquier subencargado del tratamiento, que tenga el mismo alcance y esté sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación de protección de datos aplicable.
3. El importador de datos informará oportunamente al exportador de datos acerca de la existencia de una legislación aplicable a éste o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos o de cualquier subencargado del tratamiento, conforme al párrafo 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la Cláusula 5 (b).
Cláusula 9: Legislación Aplicable.
Las Cláusulas se regirán según la legislación de la República Argentina .
Cláusula 10: Variación del contrato
Las partes se comprometen a no variar o modificar las Cláusulas. Esto no impide que las partes agreguen cláusulas sobre temas relacionados con negocios en caso necesario, siempre y cuando no contradigan la Cláusula y la legislación de protección de datos aplicable.
Cláusula 11: Subtratamiento
1. El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará solo por medio de un contrato por escrito con el subencargado del tratamiento que imponga las mismas obligaciones al subencargado del tratamiento que las impuestas al importador de datos en virtud de las Cláusulas. Cuando el subencargado del tratamiento no cumpla con sus obligaciones de protección de datos en virtud de dicho contrato por escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho contrato.
2. El contrato previo por escrito entre el importador de datos y el subencargado del tratamiento también deberá establecer una cláusula xx xxxxxxx beneficiario, tal como se establece en la Cláusula 3, para los casos en que el titular de los datos no pueda presentar la reclamación de indemnización a la que se hace referencia en el párrafo 1 de la Cláusula 6, contra el exportador de datos o el importador de datos, debido a que han desaparecido de hecho, han dejado de existir legalmente o se han vuelto insolventes y ninguna entidad sucesora ha asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por procedimiento legal. Dicha responsabilidad externa del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para subtratamiento del contrato a los que se hace referencia en el párrafo 1 se regirán por la legislación de la República Argentina.
4. El exportador de datos mantendrá una lista de contratos de subtratamiento pactados en
virtud de las Cláusulas y notificados por el importador de datos conforme a la Cláusula 5 (j), la que se actualizará al menos una vez al año. La lista estará disponible para el órgano de contralor de protección de datos del exportador de datos.
Cláusula 12: Obligación después del término de los servicios de tratamiento de datos personales
1. Las partes aceptan que a la terminación de la provisión de servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento deberán, a elección del exportador de datos, devolver todos los datos personales transferidos y las copias de los mismas al exportador de datos o destruir todos los datos personales y certificar este hecho al exportador de datos, a menos que la legislación aplicable al importador de datos le impida devolver o destruir la totalidad o una parte de los datos personales transferidos. En ese caso, el importador de datos garantizará la confidencialidad de los datos personales transmitidos y dejará de tratar activamente los datos personales transmitidos.
2. El importador de datos y el subencargado del tratamiento garantizan que, a petición del exportador de datos y/o del órgano de contralor, presentará sus instalaciones de tratamiento de datos para una auditoría de las medidas a las que se hace referencia en el párrafo 1.
Apéndice 1 a las Cláusulas Contractuales Tipo
Exportador de datos: El Cliente es el exportador de datos. El exportador de datos es un usuario de los Servicios Online según se define en la sección de los OST titulada “Seguridad y tratamiento de datos: Medidas de Seguridad Técnicas y Organizativas Adicionales”.
Importador de datos: El importador de datos es MICROSOFT CORPORATION, un productor mundial de software y servicios.
Titular de los datos: Los titulares de los datos incluyen a los representantes del cliente del exportador de datos y los usuarios finales, incluidos empleados, contratistas, colaboradores y clientes del exportador de datos. Los titulares de los datos también pueden incluir a personas que intentan comunicar o transmitir información personal a los usuarios de los servicios proporcionados por el importador de datos.
Categorías de datos: Los datos personales transmitidos son correo electrónico, documentos y otros datos en formato electrónico, en el contexto de los Servicios Online.
Operaciones de tratamiento: Los datos personales transmitidos estarán sujetos a las siguientes actividades básicas de tratamiento:
a. Duración y Objeto del Tratamiento de Datos. La duración del tratamiento de datos será del periodo de vigencia designado en virtud del contrato de licencias por volumen correspondiente entre el exportador de datos y la entidad de Microsoft al cual se anexan estas Cláusulas Contractuales Tipo (“Microsoft”). El objetivo del tratamiento de datos es la provisión de Servicios Online.
b. Alcance y Fin del Tratamiento de Datos. El alcance y la finalidad del tratamiento de datos personales se describen en los DPT. El importador de datos opera una red global de centros de datos e instalaciones de administración/soporte, y el tratamiento puede realizarse en cualquier jurisdicción donde el importador de datos o sus subencargados del tratamiento operen dichas instalaciones.
c. Acceso a Datos de Cliente. Durante el periodo de vigencia designado en virtud del contrato de licencias por volumen aplicable, el importador de datos, a su elección y conforme sea necesario en virtud de los arts. 13, 14 y 16 de la Ley Nº 25.326 de Protección de Datos Personales de la República Argentina: (1) proporcionará al exportador de datos la capacidad de corregir, eliminar o bloquear los Datos de Cliente o (2) realizará tales correcciones, eliminaciones o bloqueos en su nombre.
d. Instrucciones del Exportador de Datos. Para los Servicios Online, el importador de datos sólo actuará según las instrucciones del exportador de datos, según las transmita Microsoft.
e. Eliminación o Devolución de Datos de Cliente. Tras la expiración o terminación del uso del exportador de datos de los Servicios Online, éste podrá extraer los Datos de Cliente y el importador de datos eliminará dichos datos, de acuerdo con los OST aplicables al contrato.
Subcontratistas: El importador de datos podrá contratar a otras empresas para que presten servicios limitados en su nombre, como proporcionar soporte al cliente. Se permitirá a tales subcontratistas obtener Datos de Cliente sólo para prestar los servicios para los cuales el
importador de datos los ha contratado, y se les prohíbe utilizar dichos datos para cualquier otro efecto.
Apéndice 2 a las Cláusulas Contractuales Tipo
Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c):
1. Personal. El personal del importador de datos no procesará los Datos del Cliente sin autorización. El personal tiene la obligación de mantener la confidencialidad de todos los Datos de Cliente y dicha obligación continuará incluso después de terminada la relación laboral.
2. Contacto de Privacidad de los Datos. El ejecutivo de privacidad de datos del importador de datos se encuentra disponible en la siguiente dirección:
Microsoft Corporation Attn: Chief Privacy Officer 0 Xxxxxxxxx Xxx Xxxxxxx, XX 00000 XXX
3. Medidas Técnicas y Organizativas. El importador de datos ha implementado y mantendrá las medidas técnicas y organizativas apropiadas, los controles internos y las rutinas de seguridad de la información que tienen el objetivo de proteger los Datos de Cliente, según se define en los DPT, frente a la pérdida accidental, destrucción o alteración, a la revelación o el acceso no autorizados o a la destrucción ilícita, de la siguiente manera: Las medidas técnicas y organizativas, los controles internos y las rutinas de seguridad de la información establecidos en los DPT se incorporan a este Apéndice 2 mediante esta referencia y son vinculantes para el importador de datos, como si estuvieran establecidos en este Apéndice 2 en su totalidad.