APÉNDICE DE TRATAMIENTO DE DATOS
APÉNDICE DE TRATAMIENTO DE DATOS
El presente Apéndice de Tratamiento de Datos (“Apéndice”) se añade al y forma parte del Acuerdo entre Conversant y el Colaborador de marketing o anunciante y es aplicable en los casos y en la medida en la que Conversant trate Información personal a la hora de proporcionar Servicios conforme al Acuerdo. Este Apéndice entrará en vigor desde la fecha de la firma de la última parte. Los anteriores términos con mayúscula inicial se definen a continuación.
En consideración de los compromisos mutuos contenidos aquí y por otra contraprestación válida y susceptible de apreciación pecuniaria, cuya recepción y suficiencia se reconocen por la presente, las partes acuerdan lo siguiente:
1. Definiciones e interpretación
Los términos con mayúscula inicial empleados en este Apéndice y no definidos de otra manera en la presente tendrán el significado que se dé a dichos términos en el Acuerdo. La interpretación adicional no vinculante de las definiciones que aparecen a continuación se adjunta en forma del Horario 2.
1.1 “Acuerdo” significa cualquier acuerdo por Servicios existente y válido celebrado entre las Partes, ya sea en la fecha del presente Apéndice o con posterioridad;
1.2 “Controlador” tiene el significado dispuesto en la Legislación europea de protección de datos;
1.3 “Conversant” significa la entidad de Conversant que constituya una parte del Acuerdo;
1.4 “Datos” significa información (incluyendo Información personal) sobre los visitantes de las propiedades digitales del Colaborador de marketing o anunciante o sobre sus clientes y sus clientes potenciales;
1.5 “Persona interesada” tiene el significado dispuesto en la Legislación europea de protección de datos;
1.6 “Legislación europea de protección de datos” significa (i) antes del 00 xx xxxx xx 0000, xx Xxxxxxxxx europea de protección de datos (Directiva 95/46/CE); (ii) desde el 25 xx xxxx de 2018 en adelante, el Reglamento general de protección de datos (Reglamento 2016/679) y cualquier modificación a este, su nueva promulgación o sustitución vigente de forma periódica; (iii) la Directiva sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE), enmendada por la Directiva 2009/136/CE, y cualquier modificación a esta, su nueva promulgación o sustitución vigente de forma periódica; y (iv) toda legislación de protección de datos estatal que sea aplicable o complemente a (i), (ii) o (iii);
1.7 “Colaborador de marketing o anunciante” es la entidad que constituye una parte del Acuerdo;
1.8 “Cláusulas tipo” significa las cláusulas contractuales tipo para la transmisión de Información personal por parte de los controladores en el Área Económica Europea a controladores asentados en países terceros (transmisión de controlador a controlador) de acuerdo con la decisión de la Comisión 2004/915/CE y tal y como se especifica y dispone en el Horario 1;
1.9 “Información personal” tiene el significado dispuesto en la Legislación europea de protección de datos;
1.10 “Tratamiento” tiene el significado que se le da en la Legislación europea de protección de datos y “Tratar”, “Tratamientos” y “Tratados” se interpretarán conforme a ello;
1.11 “Procesador” tiene el significado dispuesto en la Legislación europea de protección de datos;
1.12 “Servicios” significa los servicios que se especifican en el Acuerdo;
1.13 “Visitante” significa cualquier Persona interesada que hace clic en un anuncio o visita la página web del Colaborador de marketing o anunciante a través de un enlace en la página web del publicador, su correo electrónico u otra vía promocional aprobada por Conversant.
2. Relación con el Acuerdo
2.1 Las partes acuerdan que este Apéndice sustituirá el texto contradictorio de o se añadirá a, según proceda: (i) todo acuerdo de tratamiento de datos existente (incluyendo Cláusulas tipo a las que las partes se hubieran comprometido previamente en relación con los Servicios; y (ii) todo término de protección de datos y seguridad dentro del Acuerdo, en cada caso, según dicho acuerdo o término de tratamiento de datos se relacione con el Tratamiento de la Información personal dentro del alcance de este Apéndice.
2.2 Salvo por los cambios efectuados por el presente Apéndice, el Acuerdo continuará en vigor y sin cambios. En caso de conflicto entre el presente Apéndice y el Acuerdo, este Apéndice prevalecerá.
2.3 A menos que se disponga lo contrario de forma explícita en el presente Apéndice, cualquier reclamación presentada conforme a este Apéndice o en relación con él estará sujeta a los términos y condiciones, incluyendo sin limitación, las exclusiones y limitaciones establecidas en el Acuerdo.
2.4 Ningún tercero que no sea una parte del presente Xxxxxxxx, sus sucesores o personas designadas autorizadas, tendrá derecho a hacer cumplir ninguno de sus términos.
2.5 La entidad de Conversant nombrada en el Acuerdo es la parte contratante de este Apéndice. Ninguna otra entidad de Conversant constituye una parte de este Apéndice, pero podría ser una parte de las Cláusulas tipo.
3. Cumplimiento con la Legislación europea de protección de datos
3.1 El Colaborador de marketing o anunciante puede divulgar o poner a disposición de Conversant de otra manera los Datos para que Conversant los trate con la finalidad de desempeñar los Servicios o según lo descrito en el Acuerdo (la “Finalidad permitida”).
3.2 El Colaborador de marketing o anunciante es el Controlador de los Datos que divulga o pone a disposición de Conversant de otra manera, y Conversant Tratará los Datos como Controlador autónomo e independiente con la Finalidad permitida estrictamente. Las partes no Tratarán los Datos colectivamente como Controladores conjuntos en ninguna circunstancia.
3.3 Cada parte afirma y garantiza que cumplirá con la Legislación europea de protección de datos en todo momento durante la vigencia del Acuerdo, lo cual incluirá: (i) tratar los Datos con arreglo a la Legislación europea de protección de datos y (ii) proporcionar a las Personas interesadas toda la información requerida de acuerdo con la Legislación europea de protección de datos para garantizar que estas comprendan cómo se Tratará su Información personal de conformidad con el Acuerdo.
3.4 Conversant pondrá en marcha las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos que conlleva el Tratamiento de datos por su parte conforme al Acuerdo y, en particular, contra la destrucción, pérdida, alteración, divulgación no autorizada de o el acceso a Información personal de forma accidental o ilegal.
3.5 En la medida en la que Conversant Trate toda Información personal con origen en el Área Económica Europea o Suiza en un país que no haya sido designado por la Comisión Europea o la Autoridad federal suiza de protección de datos (según proceda) por proporcionar este un nivel apropiado de protección de la Información personal, las partes reconocen y acuerdan que Conversant ofrecerá las salvaguardas necesarias (según lo previsto en la Legislación europea de protección de datos) para esta Información personal mediante el cumplimiento con sus obligaciones de conformidad con las Cláusulas tipo o la aplicación de cualquier otro mecanismo de exportación de datos legal y admisible con arreglo a la Legislación europea de protección de datos.
3.6 Siempre que Conversant contrate a un Procesador externo para Tratar los Datos en su nombre, Conversant cumplirá con los requisitos del Acuerdo y las leyes europeas de protección de datos y se asegurará de que dicho Procesador también lo haga. Conversant se hará plenamente responsable por los actos y omisiones de sus Procesadores como si fueran sus propios actos y omisiones.
3.7 Las Partes acuerdan proporcionar la asistencia razonable que sea necesaria a la otra parte para facilitarle el cumplimiento con cualquier solicitud de acceso de la persona interesada (bien relativa al acceso a Información personal, bien a su rectificación, restricciones en el Tratamiento, su eliminación, portabilidad o cualquier otro derecho) y para responder a cualquier otra consulta o queja de las Personas interesadas (“Solicitud de Persona interesada”) con arreglo a la Legislación europea de protección de datos.
3.8 Conversant emplea cookies y tecnologías de seguimiento similares (como identificadores de dispositivos móviles) para proporcionar sus servicios (“Cookies”). El Colaborador de marketing o anunciante deberá garantizar que las propiedades digitales desde las que se recopilan los Datos contengan los mecanismos de aviso y consentimiento apropiados requeridos por la Legislación europea de protección de datos de forma que Conversant pueda emplear Cookies legalmente para la Finalidad permitida.
3.9 Conversant proporcionará al Colaborador de marketing o anunciante, previa petición, aquella información relativa a las Cookies de Conversant que el Colaborador de marketing o anunciante pudiera requerir razonablemente, de forma que esta último pueda asegurarse de que dicha información se incluya en su política de privacidad. Conversant no utilizará los Datos recopilados a través de Cookies para la Finalidad permitida de ningún particular que se haya excluido de los Servicios.
3.10 Este apartado 3 seguirá vigente tras la terminación o el vencimiento del Acuerdo. Tras la terminación o el vencimiento del Acuerdo, ambas Partes podrán continuar Tratando los Datos en su poder siempre y cuando dicho Tratamiento cumpla con los requisitos de este apartado y de la Legislación europea de protección de datos.
4. Ley y jurisdicción
Sin perjuicio de los derechos de las Personas interesadas y las Autoridades supervisoras con arreglo a las Cláusulas tipo, Conversant y el Colaborador de marketing o anunciante acuerdan que la ley rectora del presente Apéndice y el foro para la resolución de disputas relativas a él serán los
mismos que se estipulan en el Acuerdo, con independencia de los principios de conflictos entre leyes.
CELEBRADO por las partes en la fecha de la firma del Apéndice de la última parte.
Firmado en nombre y representación de CONVERSANT EUROPE LTD por: …………………………………………… (firma) Xxxxx Xxxxxx …………………………………………… (nombre escrito) Regional Vice President …………………………………………… (puesto) May 17, 2018 …………………………………………… (fecha) | Firmado en nombre y representación de COLABORADOR DE MARKETING / ANUNCIANTE por: …………………………………………… (firma) …………………………………………… (nombre escrito) …………………………………………… (puesto) …………………………………………… (nombre del anunciante) …………………………………………… (Número de cuenta/XXX) …………………………………………… (fecha) |
Firmado en nombre y representación de CONVERSANT LLC (anteriormente conocida como VALUECLICK, INC. Y CONVERSANT, INC.) por: …………………………………………… (firma) Xxxx Xxx …………………………………………… (nombre escrito) Sr. Vice President & Legal Counsel …………………………………………… (puesto) May 17, 2018 …………………………………………… (fecha) | Firmado en nombre y representación de COMMISSION JUNCTION LLC (anteriormente conocida como COMMISSION JUNCTION, INC.) por: …………………………………………… (firma) Xxxxxxx Xxxxx …………………………………………… (nombre escrito) VP, Analytics & Budgeting …………………………………………… (puesto) May 17, 2018 …………………………………………… (fecha) |
Horario 1 Cláusulas modelo
El colaborador de marketing o anunciante es la parte contratante del Acuerdo Dirección: la estipulada en el Acuerdo
en adelante, “el exportador de datos” y, por otra,
Conversant LLC (anteriormente conocida como Dotomi Inc.)
Dirección: 000 X. Xxxxx Xxxxxx Xxxxx, Xxxxxxx, Xxxxxxxx, 00000, Xxxxxxx Xxxxxx
A efectos de las presentes cláusulas, Conversant LLC incluye a sus empresas subsidiarias, como aplicable, Epsilon Data Management LLC, Commission Junction LLC, Conversant Media Systems Inc., Alliance Data FHC Inc., así como a su subsidiaria europea, Conversant Europe Ltd.
“en adelante, el importador de datos” cada uno, una “parte”; juntos, “las partes”. Definiciones
A los efectos de las presentes cláusulas:
a) “datos personales”, “categorías especiales de datos/datos sensibles”, “tratar/tratamiento”, “responsable del tratamiento”, “encargado del tratamiento”, “interesado” y “autoridad de control/autoridad” tendrán el mismo significado que en la Directiva 95/46/CE, de 24 de octubre de 1995 (por consiguiente, se entenderá por “autoridad” la autoridad competente responsable de la protección de datos en el territorio de establecimiento del exportador de datos);
b) por “exportador de datos” se entenderá el responsable del tratamiento que transfiera los datos personales;
c) por “importador de datos” se entenderá el responsable del tratamiento que acepte recibir datos personales procedentes del exportador de datos para su posterior tratamiento de conformidad con los términos de las presentes cláusulas y que no esté sujeto al sistema de un tercer país por el que se garantice una protección adecuada;
d) por “cláusulas” se entenderá las presentes cláusulas contractuales, que constituyen un documento independiente que no incluye condiciones comerciales establecidas por las partes en virtud de otros acuerdos comerciales.
Los detalles de la transferencia (así como los datos personales transferidos) se especifican en el anexo B, que forma parte integrante de las cláusulas.
I. Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
a) La recopilación, el tratamiento y la transferencia de los datos personales se han efectuado de conformidad con la legislación aplicable al exportador de datos.
b) Ha realizado esfuerzos razonables para determinar si el importador de datos es capaz de cumplir las obligaciones jurídicas que le incumben en virtud de las presentes cláusulas.
c) Facilitará al importador de datos, a petición de éste, copias de las leyes pertinentes en materia de protección de datos del país en que esté establecido el exportador de datos o referencias a las mismas (cuando proceda y excluyendo el asesoramiento jurídico).
d) Responderá en un período de tiempo razonable a las consultas de los interesados y de la autoridad relativas al tratamiento de los datos personales por parte del importador de datos, a menos que las partes hayan acordado que sea el importador quien responda a estas consultas. Aun en este supuesto, será el exportador quien deba responder, en la medida de lo razonablemente posible y a partir de la información de que razonablemente pueda disponer, si el importador de datos es incapaz de responder o no se muestra dispuesto a hacerlo.
e) Pondrá a disposición de los interesados, que son terceros beneficiarios a tenor de la cláusula III, y a petición de éstos, una copia de las cláusulas, a menos que éstas contengan información confidencial, en cuyo caso podrá suprimir dicha información. De producirse ese supuesto, el exportador de datos informará por escrito a los interesados del motivo de la supresión y del derecho que les asiste a informar de ello a la autoridad. Asimismo, el exportador de datos acatará cualquier decisión de la autoridad relativa al acceso al texto completo de las cláusulas por parte de los interesados, siempre que éstos hayan acordado guardar el secreto de la información suprimida. El exportador de datos facilitará igualmente a la autoridad, a petición de ésta, una copia de las cláusulas.
II. Obligaciones del importador de datos
El importador de datos acuerda y garantiza lo siguiente:
a) habrá puesto en práctica las medidas técnicas y organizativas que resulten necesarias para proteger los datos personales contra su destrucción accidental o ilícita, su pérdida o alteración accidentales o su divulgación o acceso no autorizados, y que garanticen el nivel de seguridad apropiado a los riesgos que entraña el tratamiento y a la naturaleza de los datos que han de protegerse;
b) habrá puesto a punto procedimientos que garanticen que cualquier tercero al que dé acceso a los datos personales, incluidos los encargados del tratamiento, respetarán y preservarán la confidencialidad y seguridad de los datos personales. Ninguna persona que actúe bajo la autoridad del importador de datos, incluidos los encargados del tratamiento, deberá tratar los datos personales a menos que reciba instrucciones del importador de datos. Esta disposición no se aplicará a las personas autorizadas o requeridas por la legislación o la reglamentación a tener acceso a los datos personales;
c) no tiene motivos para creer, en el momento de suscribir las presentes cláusulas, en la existencia de ninguna disposición legal de ámbito local que pueda tener un efecto negativo importante sobre las garantías estipuladas en las cláusulas e informará al exportador de datos (el cual, cuando así se le pida, transmitirá dicha notificación a la autoridad) si tuviera conocimiento de la existencia de alguna disposición de esta índole;
d) tratará los datos personales para los fines descritos en el anexo B, y tiene autoridad legal para ofrecer las garantías y cumplir los compromisos previstos en las cláusulas;
e) comunicará al exportador de datos un punto de contacto dentro de su organización autorizado a responder a las consultas que guarden relación con el tratamiento de datos personales y
cooperará de buena fe con el exportador de datos, el interesado y la autoridad respecto de tales consultas dentro de un período de tiempo razonable. En caso de que el exportador de datos haya cesado de existir jurídicamente, o si así lo hubieran acordado las partes, el importador de datos asumirá la responsabilidad en lo relativo al cumplimiento de las disposiciones de la letra e) de la cláusula I;
f) facilitará al exportador de datos, a petición de éste, pruebas que demuestren que dispone de suficientes recursos financieros para cumplir las responsabilidades que le incumben en virtud de la cláusula III (por ejemplo, una póliza de seguro);
g) pondrá a disposición del exportador de datos, a petición razonable de éste, sus instalaciones de tratamiento de datos, sus ficheros y toda la documentación necesaria para el tratamiento, a efectos de revisión, auditoría o certificación. Estas labores serán realizadas, previa notificación razonable y durante horas laborables normales, por el exportador de datos (o por un inspector o auditor imparcial e independiente por él designado y al que no se haya opuesto razonablemente el importador de datos) a fin de determinar si se cumplen las garantías y los compromisos previstos en las presentes cláusulas. La solicitud estará sujeta a cualquier consentimiento o aprobación necesarios de las autoridades reguladoras o de control en el país del importador de datos. El importador hará todo lo posible por obtener dicho consentimiento o dicha aprobación con la debida antelación;
h) tratará los datos personales, a su discreción, de conformidad con:
i) la legislación en materia de protección de datos del país en que esté establecido el exportador de datos,
ii) las disposiciones pertinentes (1) de cualquier decisión de la Comisión adoptada de conformidad con el apartado 6 del artículo 25 de la Directiva 95/46/CE, cuando el importador de datos cumpla las disposiciones pertinentes de dicha autorización o decisión y esté establecido en un país en el que una1 u otra sean aplicables, pero él mismo no esté cubierto por las mismas a efectos de la transferencia o transferencias de datos personales (2), o
iii) los principios relativos al tratamiento de datos recogidos en el anexo A. Opción elegida por el importador de datos: _
Iniciales del importador de datos: _;
i) no revelará ni transferirá datos personales a terceros responsables del tratamiento establecidos fuera del Espacio Económico Europeo (EEE), a menos que notifique la transferencia al exportador de datos y
i) el tercero responsable del tratamiento someta los datos a tratamiento de conformidad con una decisión de la Comisión en la que se haga constar que un tercer país ofrece la protección adecuada,
ii) el tercero responsable del tratamiento suscriba las presentes cláusulas o cualquier otro acuerdo de transferencia de datos aprobado por una autoridad competente en la Unión Europea,
(1) Por “disposiciones pertinentes” se entenderán las disposiciones de una autorización o decisión que no sean de ejecución (las cuales se regirán por las presentes cláusulas).
(2) Sin embargo, si se elige esta opción, serán de aplicación las disposiciones del punto 5 del anexo A, relativo a los derechos de acceso, rectificación, supresión y bloqueo, que prevalecerán sobre cualquier disposición comparable de la decisión de la Comisión en cuestión.
iii) se haya brindado a los interesados, tras haber sido informados de los fines de la transferencia, de las categorías de destinatarios y del hecho de que los países a los cuales se exportan los datos podrían tener una normativa diferente en materia de protección de datos, la oportunidad de formular objeciones, o
iv) por lo que respecta a las transferencias ulteriores de datos sensibles, los interesados hayan dado su consentimiento inequívoco.
III. Responsabilidad y derechos de terceros
a) Cada una de las partes será responsable ante la otra por los daños que le hubiese provocado como resultado del incumplimiento de las cláusulas. La responsabilidad entre partes se limitará al daño realmente sufrido, quedando específicamente descartadas las indemnizaciones punitivas (es decir, las que tienen como fin castigar a una de las partes por conducta improcedente). Cada una de las partes deberá responder ante los interesados por los daños que le hubiese provocado como resultado de la conculcación de los derechos de terceros reconocidos en las cláusulas. Ello no afecta a la responsabilidad del exportador de datos con arreglo a la legislación que le sea aplicable en materia de protección de datos.
b) Las partes acuerdan que los interesados, en calidad de terceros beneficiarios, podrán invocar frente al importador o el exportador de datos la presente cláusula y las letras b), d) y e) de la cláusula I, las letras a), c), d), e), h) e i) de la cláusula II, la letra a) de la cláusula III, la cláusula V, la letra d) de la cláusula VI y la cláusula VII por incumplimiento de sus obligaciones contractuales respectivas en lo tocante a sus datos personales, y, a tal fin, se someten a la jurisdicción del país de establecimiento del exportador de datos. En aquellos casos en que se alegue incumplimiento por parte del importador de datos, el interesado deberá instar en primer lugar al exportador a que emprenda acciones apropiadas para hacer valer sus derechos frente a aquél; si el exportador no emprende dichas acciones en un plazo de tiempo razonable (que, en circunstancias normales, será de un mes), el interesado podrá hacer valer sus derechos directamente contra el importador de datos. Los interesados podrán proceder directamente contra el exportador de datos cuando éste no haya realizado esfuerzos razonables para determinar si el importador de datos es capaz de cumplir las obligaciones jurídicas que le incumben en virtud de las cláusulas (recaerá en el exportador de datos la carga de probar que efectivamente realizó esfuerzos razonables).
IV. Legislación aplicable
Las presentes cláusulas se regirán por la legislación del país en que esté establecido el exportador de datos, a excepción de las disposiciones legales y reglamentarias relativas al tratamiento de datos personales por parte del importador de datos con arreglo a la letra h) de la cláusula II, que sólo serán aplicables si éste hubiera optado por ellas en dicha cláusula.
V. Resolución de conflictos con los interesados o con la autoridad
a) En caso de conflicto o de reclamación interpuesta contra una o ambas partes por un interesado o por la autoridad en relación con el tratamiento de datos personales, la una informará a la otra sobre esta circunstancia y ambas cooperarán con objeto de alcanzar una solución amistosa lo antes posible.
b) Las partes acuerdan responder a cualquier procedimiento de mediación no vinculante y de acceso no restringido que haya sido iniciado por un interesado o por la autoridad. Si deciden participar en el procedimiento, podrán hacerlo a distancia (p. ej. por teléfono u otros medios electrónicos). Las partes acuerdan asimismo estudiar la posibilidad de participar en cualquier otro
mecanismo de arbitraje, mediación u otra índole puesto a punto con vistas a la resolución de conflictos en materia de protección de datos.
c) Cada una de las partes se compromete a acatar cualquier decisión de los tribunales competentes o de la autoridad del país de establecimiento del exportador de datos cuyas decisiones sean finales y contra la que no pueda entablarse recurso alguno.
VI. Resolución de las cláusulas
a) En caso de que el importador de datos incumpla las obligaciones que le incumben en virtud de las presentes cláusulas, el exportador de datos podrá suspender temporalmente la transferencia de datos personales al importador hasta que se subsane el incumplimiento o se resuelva el contrato.
b) En caso de que:
i) la transferencia de datos personales al importador de datos haya sido suspendida temporalmente por el exportador de datos durante un período de tiempo superior a un mes de conformidad con lo dispuesto en la letra a);
ii) el cumplimiento por parte del importador de datos de las presentes cláusulas tenga como consecuencia el incumplimiento de sus obligaciones legales o reglamentarias en el país de importación;
iii) el importador de datos incumpla de forma sustancial o persistente cualquier garantía o compromiso previstos en las presentes cláusulas;
iv) una decisión final contra la que no pueda entablarse recurso alguno de un tribunal competente del país de establecimiento del exportador de datos o de la autoridad establezca que el importador o el exportador de datos han incumplido las cláusulas; o
v) se haya solicitado la administración judicial o la liquidación del importador de datos, ya sea a título personal o como empresario, y dicha solicitud no haya sido desestimada en el plazo previsto al efecto con arreglo a la legislación aplicable; se emita una orden de liquidación; se designe a un administrador para algunos de sus activos; se nombre, si el importador es un particular, un síndico de la quiebra; el importador de datos haya solicitado la declaración de concurso de acreedores; o se encuentre en una situación análoga ante cualquier jurisdicción;
el exportador de datos, sin perjuicio del ejercicio de cualquier otro derecho que le pueda asistir contra el importador de datos, podrá resolver las presentes cláusulas, en cuyo caso, y si así se lo pide, informará a la autoridad. En los casos contemplados en los incisos i), ii), o iv), también podrá proceder a la resolución el importador de datos.
c) Cualquiera de las partes podrá resolver las presentes cláusulas si: i) la Comisión hace constar que el país (o cualquier sector del mismo) al cual se transfieren los datos y en el que son tratados por el importador de datos garantiza un nivel de protección adecuado de conformidad con el apartado 6 del artículo 25 de la Directiva 95/46/CE (o cualquier texto que la sustituya), o ii) la Directiva 95/46/CE (o cualquier texto que la sustituya) llega a ser directamente aplicable en ese país.
d) Las partes acuerdan que la resolución de las presentes cláusulas en cualquier momento, en cualquier circunstancia y por cualquier motivo —a excepción de la resolución con arreglo a la letra
c) de la cláusula VI— no las eximirá del cumplimiento de las obligaciones y condiciones
estipuladas en las cláusulas en lo que respecta al tratamiento de los datos personales transferidos.
VII. Variación de las cláusulas
Las partes se comprometen a no modificar las presentes cláusulas a no ser para actualizar parte de la información contenida en el anexo B, en cuyo caso informarán a la autoridad siempre que ésta así lo pida. Ello no será óbice para que las partes puedan añadir cláusulas comerciales adicionales cuando sea necesario.
VIII. Descripción de la transferencia
Los detalles de la transferencia y de los datos personales se especifican en el anexo B. Las partes acuerdan que el anexo B podrá contener información empresarial de carácter confidencial que no revelarán a terceros, excepto cuando lo exija la legislación o en respuesta a un organismo regulador o gubernamental competente, o cuando sea necesario en virtud de la letra e) de la cláusula I. Las partes podrán introducir anexos adicionales para regular otras transferencias, los cuales se presentarán a la autoridad siempre que ésta así lo pida. Como alternativa, el anexo B podrá redactarse de forma que abarque múltiples transferencias.
Fecha:..........................................
Por el IMPORTADOR de DATOS Por el EXPORTADOR de DATOS
...................................................... .............................................................
ANEXO A
PRINCIPIOS RELATIVOS AL TRATAMIENTO DE DATOS
1) Limitación de la finalidad: Los datos personales se tratarán, se utilizarán posteriormente o se divulgarán sólo para los fines descritos en el anexo B o para los fines autorizados posteriormente por el interesado.
2) Calidad y proporcionalidad de los datos: Los datos personales deberán ser precisos y, en caso necesario, se mantendrán actualizados. Los datos personales serán adecuados, pertinentes y no excesivos en relación con los fines para los que se transfieran y para los que se traten posteriormente.
3) Transparencia: Se deberá facilitar a los interesados toda la información necesaria para garantizar el tratamiento xxxx de los datos (p. ej. información sobre los fines del tratamiento y sobre la transferencia), a menos que el exportador de datos ya haya proporcionado dicha información.
4) Seguridad y confidencialidad: El responsable del tratamiento deberá adoptar medidas técnicas y organizativas para garantizar el nivel de seguridad apropiado a los riesgos que entraña el tratamiento de los datos, por ejemplo contra su destrucción accidental o ilícita, su pérdida o alteración accidentales o su divulgación o acceso no autorizados. Las personas que actúen bajo la autoridad del responsable del tratamiento, incluido el encargado del tratamiento, no deberán tratar los datos a menos que reciban instrucciones del responsable.
5) Derechos de acceso, rectificación, supresión y bloqueo de los datos: Según prevé el artículo 12 de la Directiva 95/46/CE, los interesados tendrán derecho a conocer, ya sea directamente o a través de un tercero, los datos personales que sobre ellos posea una organización, salvo cuando las peticiones puedan considerarse claramente abusivas, ya sea por haberse planteado a intervalos irrazonables, por su número o su carácter repetitivo o sistemático, o por no ser necesario para los datos en cuestión recabar el consentimiento del interesado a tenor de la legislación del país del exportador de datos. A condición de que la autoridad haya dado su aprobación previa, tampoco será necesario recabar el consentimiento del interesado para acceder a los datos cuando el hacerlo pudiera dañar gravemente los intereses del importador de datos o de otras organizaciones que tengan trato con él y estos intereses deban prevalecer sobre los intereses en materia de derechos y libertades fundamentales del interesado. No será necesario determinar las fuentes de los datos personales cuando ello no sea posible realizando esfuerzos razonables o cuando para ello sea necesario conculcar los derechos de terceras personas. El interesado tendrá derecho a solicitar la rectificación, modificación o supresión de los datos personales cuando sean inexactos o su tratamiento no cumpla los principios establecidos en el presente anexo. De existir argumentos de peso para poner en duda la legitimidad de la petición, la organización podrá exigir otras justificaciones antes de proceder a la rectificación, modificación o supresión de los datos. No será preciso notificar la rectificación, modificación o supresión de los datos a las terceras personas entre las que hayan sido divulgados cuando ello requiera un esfuerzo desproporcionado. Los interesados también deberán poder oponerse al tratamiento de los datos personales que les conciernan cuando existan motivos legítimos imperiosos relacionados con su situación particular. La carga de la prueba en relación con cualquier negativa en este sentido recaerá en el importador de datos. En caso de negativa, el interesado podrá acudir a la autoridad para tratar de subsanarla.
6) Datos sensibles: El importador de datos tomará las medidas adicionales (por ejemplo en materia de seguridad) que sean necesarias para proteger los datos sensibles de conformidad con las obligaciones que le incumben en virtud de la cláusula II.
7) Utilización de datos con fines de márketing: Cuando el tratamiento de los datos se realice con fines de márketing directo, deberán existir procedimientos efectivos que permitan al interesado ejercer en cualquier momento el derecho de «exclusión» de sus datos personales para tales fines.
8) Decisiones automatizadas: A los efectos del presente anexo, se entenderá por «decisión automatizada» una decisión del exportador o del importador de datos que tenga efectos jurídicos sobre el interesado o que le afecte de manera significativa y que esté basada únicamente en un tratamiento automatizado de datos personales destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc. El importador de datos no adoptará ninguna decisión automatizada relativa a los interesados, a no ser que:
a) i) esas decisiones hayan sido adoptadas por el importador de datos en el momento de suscribir o ejecutar un contrato con el interesado, y
ii) se brinde al interesado la oportunidad de debatir los resultados de una decisión automatizada pertinente con un representante de la parte que haya tomado dicha decisión o de presentarle observaciones;
O
b) la legislación aplicable al exportador de datos establezca lo contrario.
Interesados
ANEXO B
DESCRIPCIÓN DE LA TRANSFERENCIA
(Deberá ser cumplimentado por las partes)
Los datos personales transferidos se refieren a las siguientes categorìas de interesados (especifiquense):
- Clientes potenciales, clientes, socios comerciales y proveedores del Exportador de datos (que sean personas físicas)
- Empleados o personas de contacto de los clientes potenciales, clientes, socios comerciales y proveedores del Exportador de datos
Finalidad de la transferencia o transferencias
La transferencia persigue los siguientes objetivos (especifiquense):
La transmisión de datos es necesaria para que el Importador de datos proporcione los Servicios indicados en el Acuerdo.
Categorìas de datos
Los datos personales transferidos entran dentro de las siguientes categorìas de datos (especifiquense):
- Nombre y apellidos
- Información de contacto (correo electrónico, teléfono, dirección física)
- Datos de identificación
Otros: el uso de comunicaciones generales de marketing y transaccionales, así como de información personal, por parte del Exportador de datos puede abarcar categorías amplias de cualquier información pertinente a la relación del Exportador de datos con la persona interesada, y puede variar periódicamente. El Exportador de datos será responsable de garantizar que toda recopilación y uso de dicha Información personal esté conforme con y sea acorde a cualquier consentimiento exigido por ley.
Para mayor claridad y evitar toda duda, el Exportador de datos no proporcionará al Importador de datos y el Exportador de datos no introducirá (ni solicitará que se introduzca) ninguna Categoría especial de datos dentro de un Servicio o Solución alojado por el Importador de datos, categorías que incluyen: información confidencial tal y como queda definida en las leyes de protección de datos, información personal relativa a condenas y actos delictivos e información personal relativa a datos bancarios, número de la seguridad social, identificación fiscal, número de pasaporte, número de identificación gubernamental y otros datos expresamente regulados.
Destinatarios
Los datos personales transferidos podràn ser facilitados ùnicamente a los siguientes destinarios o categorìas de destinatarios (especifiquense):
La entidad descrita en estas cláusulas tipo como el importador de datos.
Proveedores que colaboren con el importador de datos en la reventa o la colocación de anuncios, incluyendo el alojamiento y la focalización de campañas, su creación y obtención, la verificación y conciliación de la distribución de la campaña y el análisis y la comunicación del rendimiento de la campaña, su visibilidad, actividades de fraude y post-impresión.
Datos sensibles (cuando proceda)
Los datos personales transferidos entra dentro de las siguientes categorìas de datos sensibles (especifiquense):
El Exportador de datos no proporcionará al Importador de datos y el Exportador de datos no introducirá (ni solicitará que se introduzca) ninguna Categoría especial de datos dentro de un Servicio o Solución alojado por el Importador de datos, categorías que incluyen: números de cuentas financieras, números de seguridad social, número de la seguridad social, números de identificación fiscal, números de pasaporte, números de identificación gubernamental de cualquier tipo, datos altamente regulados expresamente (p. ej., datos financieros o sanitarios).
Informaciòn sobre el registro de protecciòn de datos del exportador de datos (cuando proceda)
El Exportador de datos deberá notificar la información de registro de protección de datos al Importador de datos de forma periódica, cuando proceda.
Otras informaciònes ‘utiles (perìodo màximo de almacenamiento y cualquier otra informaciòn pertinente)
La Información personal transmitida puede almacenarse por un máximo de dos años tras la terminación de los Servicios.
Puntos de contacto para consultas en materia de protecciòn de datos Importador de datos Exportador de datos
El Exportador de datos deberá notificar los puntos de contacto para consultas relativas a la protección de datos al Importador de datos o a petición del Importador de datos de forma periódica. |
Horario 2
Interpretación de las definiciones de acuerdo con la Legislación europea de protección de datos
El presente Xxxxxxx 2 no es vinculante para las Partes y establece el significado actual de los términos que aparecen a continuación empleados en el Apéndice. El presente Xxxxxxx ese ofrece únicamente a título informativo y está sujeto a cambios de acuerdo con las modificaciones de la Legislación europea de protección de datos.
“Controlador” significa la persona física o jurídica, la autoridad pública, agencia u otro organismo que, de forma independiente o conjunta con otros, establezca los propósitos y medios de tratamiento de la información personal; en caso de que los propósitos y medios de dicho tratamiento hayan sido dispuestos por la Legislación europea de protección de datos, el controlador o los criterios específicos para su designación podrán estar estipulados por la Legislación europea de protección de datos;
“Persona interesada” significa la persona física identificada o identificable; (una persona física identificable es aquella a la que se puede identificar, directa o indirectamente, en particular con referencia a un dato identificador, como el nombre, el número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física);
“Datos personales” significa cualquier información relacionada con la Persona interesada;
“Tratamiento” significa cualquier operación o conjunto de operaciones que se lleve a cabo sobre la información personal o conjuntos de información personal, ya sea por medios automáticos o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o puesta a disposición de otra manera, el alineamiento o la combinación, la restricción, la eliminación o destrucción; y “Tratar”, “Tratamientos” y “Tratado” se interpretará de acuerdo con lo anterior; y
“Procesador” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que trate información personal en nombre del controlador.