ANEXO DEL RGPD

ANEXO DEL RGPD

El Anexo del RGPD forma parte de las Condiciones generales del Afiliado.

1. INTERPRETACIÓN Y APLICACIÓN

1.1. Las definiciones y las normas de interpretación que se establecen en las Condiciones generales son de aplicación para dicho Anexo del RGPD, salvo que se indique lo contrario a continuación.

1.2. En el presente Anexo del RGPD se aplican las siguientes definiciones y normas de interpretación:

1.2.1. “Plugin” hace referencia a las etiquetas de tracking, a la tecnología “adtech” y otro software de propiedad o utilizado por un tercero para incrustarlo en, o integrarlo con, cualquier sitio web, aplicaciones, correos electrónicos, servicios digitales u otros activos digitales, a efectos de: (i) revelar si se ha accedido o se ha utilizado el contenido de dicho activo; (ii) recopilar datos acerca de la utilización de dicho activo o de sus usuarios; (iii) recopilar datos obtenidos a partir de, o enviados a, dicho activo; (iv) permitir la prestación de servicios adicionales a los usuarios de dicho activo; o (v) proporcionar contenidos o funciones;

1.2.2. “Integración del plugin” hace referencia al Tratamiento de los datos personales que realiza AWIN en virtud del Acuerdo (y de cualquier acuerdo relacionado o complementario que suscriban las partes y cualquier tercero) a efectos de facilitar la integración del Servicio del afiliado con un Plugin utilizado de un tercero mediante el uso de la tecnología de AWIN;

1.2.3. “Subencargado del tratamiento” hace referencia a cualquier persona (excluyendo un empleado de alguna de las Partes) designada por alguna de las Partes o en su representación, para tratar los Datos personales en nombre de dicha Parte o de cualquier otra manera relacionada con el Acuerdo.

1.2.4. Los términos “Controlador”, “Procesador ”, “Sujeto de datos”,

“Datos personales”, “Violación de la seguridad de los Datos personales”, “Procesar” y “Procesando” tienen los significados que se indican en el RGPD.

1.3. El presente Anexo del RGPD es aplicable en la medida en que las partes traten Datos personales que estén relacionados con el Acuerdo.

1.4. En el caso de que se produzca alguna incoherencia entre las cláusulas de este Anexo del RGPD y las Condiciones generales, dicho Anexo sentará precedente, a menos que se establezca explícitamente por escrito lo contrario.

2. PROTECCIÓN DE DATOS Y COOKIES

2.1. AWIN y el Afiliado cumplirán sus obligaciones correspondientes conforme a lo establecido en el Reglamento de protección de datos. Cada una de las partes deberá proporcionar a la otra parte toda la cooperación que esta solicite razonablemente para permitir a la otra el cumplimiento del presente Anexo del RGPD.

General

2.2. De acuerdo con el Reglamento de protección de datos, el Afiliado deberá obtener el consentimiento revocable, inequívoco, informado, específico, libre y previo de cualquier

Visitante para el uso de cualquier cookie que AWIN coloque en el equipo de dicho Visitante tras efectuar un Clic.

2.3. El Afiliado no proporcionará Datos personales a AWIN sin el consentimiento previo por escrito de AWIN, salvo que así lo haya previsto este último para el funcionamiento ordinario de la Plataforma.

2.4. Con respecto a cualquier tratamiento que se realice con arreglo al Acuerdo para el que AWIN y el Afiliado actúan ambos como Responsables del tratamiento de los datos (ya sea conjuntamente o con cualquier Anunciante):

2.4.1. cada una de las partes proporcionará a la otra parte toda la cooperación que esta solicite razonablemente para permitir a la otra el cumplimiento del Reglamento de protección de datos.

TRANSPARENCia

2.4.2. El Afiliado deberá adoptar las medidas necesarias para facilitar a los Sujetos de datos información sobre cómo este, o en nombre de este, procesan sus Datos personales, incluyendo como mínimo toda la información que se exige en los artículos 13, 14 y 26 del RGPD, de forma concisa, transparente y fácilmente accesible, utilizando para ello un lenguaje claro y sencillo (el“Aviso sobre el procesamiento equitativo del Afiliado“);

2.4.3. AWIN deberá adoptar las medidas necesarias para facilitar a los Sujetos de datos información sobre cómo este, o en nombre de este, procesan sus Datos personales, incluyendo como mínimo toda la información que se exige en los artículos 13, 14 y 26 del RGPD, de forma concisa, transparente y fácilmente accesible, utilizando para ello un lenguaje claro y sencillo (el“Aviso sobre el procesamiento equitativo de AWIN“);

2.4.4. El Afiliado deberá incluir un enlace al Aviso sobre el tratamiento equitativo de AWIN actual (enlace) en el Aviso sobre el procesamiento equitativo del Afiliado.

PERSONAL

2.4.5. Cada una de las partes deberá adoptar medidas razonables para garantizar la fiabilidad de todos los empleados, representantes o contratistas que puedan tener acceso a los Datos personales, y siempre deberán asegurarse de que el acceso:

2.4.5.1. se limite estrictamente a aquellas personas que necesitan conocer o acceder a los Datos personales correspondientes; y

2.4.5.2. sea estrictamente necesario para los fines del Acuerdo y cumpla el Reglamento de protección de datos en el contexto de las obligaciones de esa persona.

2.4.6. Cada parte deberá asegurarse de que todas las personas a las que se hace referencia en la Cláusula 2.4.5 cumplan los compromisos de confidencialidad o las obligaciones legales o profesionales de confidencialidad.

Seguridad y confidencialidad de los Datos

2.4.7. Cada una de las partes deberá, en relación con los Datos personales, aplicar las medidas técnicas y organizativas apropiadas para garantizar que cuenten con un nivel adecuado de seguridad, incluidas, según corresponda, las medidas que se mencionan en el artículo 31(1) del RGPD. Al hacerlo, cada una de las partes deberá tener en cuenta:

2.4.7.1. el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento; y

2.4.7.2. los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas,

2.4.8. Al evaluar la adecuación del nivel de seguridad, cada una de las partes deberá tener particularmente en cuenta los riesgos que presente el procesamiento de los Datos, incluidos los ocasionados por la destrucción, pérdida o alteración accidental o ilícita de Datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Subprocesadores del procesamiento

2.4.9. En relación con el Procesador o Subprocesador de datos que se proponga, cada una de las partes deberá:

2.4.9.1. antes de que elProcesador o Subprocesador de datos realice el primer procesamiento de los Datos personales, proceder con la diligencia debida para asegurarse de que dicho Procesador o Subprocesador pueda proporcionar el nivel adecuado de protección de los Datos personales que exige el Reglamento en materia de protección de datos aplicable; y

2.4.9.2. asegurarse de que el acuerdo que se establezca con dicho Procesador o Subprocesador de datos se rija por un contrato escrito en el que se incluyan condiciones que cumplan los requisitos que se establecen en el artículo 28(3) del RGPD.

Derechos de los Sujetos de datos

2.4.10. Cada una de las partes deberá cumplir sus obligaciones cuando responda a solicitudes de Sujetos de datos de ejercicio de sus derechos conforme a lo establecido en el Reglamento de protección de datos. A menos que las partes acuerden lo contrario por escrito, el primer destinatario de cualquier solicitud de un sujeto de datos para ejercer sus derechos conforme al Reglamento de datos será el principal responsable de su respuesta. Asimismo, cada una de las partes deberá proporcionar a la otra toda la cooperación que solicite razonablemente para permitir a la otra parte el cumplimiento de esta cláusula.

derechos de los sujetos de datos

2.4.11. Cada una de las partes deberá:

2.4.11.1. notificar a la otra parte sin demoras indebidas tan pronto como tenga conocimiento de que se ha producido una violación de los datos que afecte a Datos personales (“ Violación de la seguridad de los Datos de la Plataforma“); y

2.4.11.2. facilitar a la otra parte información suficiente para que esta pueda cumplir cualquier obligación de comunicar o informar a los Sujetos de datos de la Violación de la seguridad de los datos de la Plataforma en virtud o en relación con el Reglamento de protección de datos;

2.4.11.3. consultar pertinentemente a la otra parte sobre la estrategia de comunicaciones externas y relaciones públicas relacionada con la Violación de la seguridad de los datos de la Plataforma;

2.4.11.4. con arreglo al artículo 2.4.11, no notificar al órgano regulador de la protección de datos la Violación de la seguridad de los datos de la Plataforma sin haber obtenido previamente la autorización de la otra parte para ello; y

2.4.11.5. no emitir ninguna nota de prensa o comunicarse con ningún miembro de la prensa en relación con la Violación de la seguridad de los datos de la Plataforma sin haber obtenido la autorización previa por escrito para ello de la otra parte.

2.4.12. La notificación que se establece en la Cláusula 2.4.11.1, deberá como mínimo:

2.4.12.1. describir la naturaleza de la violación de la seguridad de los Datos personales, las categorías y números de los Interesados afectados, y las categorías y números de los expedientes de Datos Personales afectados:

2.4.12.2. describir las consecuencias probables de la violación de la seguridad de los Datos personales; y

2.4.12.3. describir las medidas tomadas o propuestas para gestionar la violación de la seguridad de los Datos personales.

2.4.13. El Afiliado deberá cooperar con AWIN y adoptar estas medidas comerciales razonables tal como se lo indique AWIN a fin de ayudar en la investigación, mitigación y subsanación de la Violación de la seguridad de los datos de la Plataforma.

TRANSFERNCIAS DE DATOS

2.4.14. Ninguna de las partes deberá realizar ninguna transferencia de Datos personales a países que se encuentren fuera del EEE (Espacio Económico Europeo) que incumpla el Reglamento de protección de datos.

2.5. En la medida en que el Afiliado sea un Controlador de Datos y AWIN sea un Procesador de Datos (o, según corresponda, el Afiliado sea un Procesador de Datos y AWIN sea un Subprocesador), incluso con respecto a cualquier Integración de Plugins:

2.5.1. El Afiliado garantiza y se compromete en estos términos que cualquier Procesamiento en virtud del Acuerdo, que realice AWIN o cualquier Anunciante que actúe como Procesador de datos de los datos en nombre del Afiliado que actúe como Controlador de datos, incluido cualquier Procesamiento de Datos personales relacionado con el Afiliado y cualquier Usuario no autorizado, cumple el Reglamento de protección de datos; y que; es titular de todos los derechos o consentimientos necesarios para la transferencia de datos personales fuera del EEE por parte de AWIN o de cualquier Anunciante.

2.5.2. Awin será:

2.5.2.1. Procesar Datos Personales únicamente para los fines de Integración de Plugins, o de otra manera de acuerdo con las instrucciones del Afiliado, incluyendo al respecto la eliminación o devolución de Datos Personales;

2.5.2.2. poner a disposición del Afiliado la información solicitada con respecto a los Datos Personales, al menos 30 días antes de la notificación por escrito y durante el horario laboral, necesaria para demostrar el cumplimiento de esta Cláusula 2.5.2, incluyendo permitir y contribuir a las razonables auditorías, realizadas por el Afiliado o por el auditor designado por el Afiliado (dichos auditores designados estarán sujetos a la aprobación previa por escrito de AWIN);

2.5.2.3. notificar rápidamente al Afiliado si recibe alguna solicitud de un Sujeto de Datos para ejercer sus derechos en virtud de la Ley de Protección de Datos, y proporcionar al Afiliado cualquier cooperación razonablemente solicitada para permitirle responder a dichas solicitudes;

2.5.2.4. contratar Subencargados del tratamiento de acuerdo con el artículo 28(4) del RGPD, y el Afiliado por la presente otorga una autorización general a AWIN de acuerdo con el artículo 28(2) del RGPD para contratar Subencargados del tratamiento. AWIN informará al Afiliado de cualquier cambio que se pretenda realizar en relación con la adición o sustitución de los Subencargados del tratamiento;

2.5.2.5. cumplir las cláusulas 2.4.5 – 2.4.8 y 2.4.11 – 2.4.14.

2.6. En la medida que AWIN sea Controlador de datos y el Afiliado sea Procesador de datos, (o, según corresponda, AWIN sea Procesador de datos y el Afiliado sea un Subprocesador de datos), el Afiliado deberá:

2.6.1. tratar los Datos personales únicamente conforme a las instrucciones documentadas de AWIN, incluidas aquellas relacionadas con la eliminación o la devolución de los Datos personales;

2.6.2. ayudar a AWIN en todos los aspectos que sean necesarios para permitir que este cumpla el Reglamento de protección de datos o ayudarle a cumplirlo;

2.6.3. notificar inmediatamente a AWIN si recibe alguna solicitud de un Sujeto de Datos para ejercer sus derechos bajo la Ley de Protección de Datos, y proporcionar a AWIN cualquier cooperación razonablemente solicitada para permitir que AWIN responda a dichas solicitudes;

2.6.4. poner a disposición de AWIN toda la información solicitada en relación con los Datos personales, además de, por escrito con al menos 30 días de antelación y durante el horario laboral normal, permitir a AWIN o a cualquier Anunciante que proceda, o a cualquiera de sus auditores o asesores, acudir a las oficinas del Afiliado para inspeccionar los sistemas y los registros del mismo en la medida en que así lo determine AWIN o cualquier Anunciante correspondiente y que sea necesario para demostrar que el Afiliado cumple el presente Apéndice; así como

2.6.5. cumplir las cláusulas 2.4.4 – 2.4.9 y 2.4.11 – 2.4.14.

2.7. El Afiliado no utilizará ningún informe que se haya generado mediante el uso de la Plataforma para crear perfiles de los Visitantes, tal como se define en el RGPD.

2.8. El Afiliado no contribuirá por acción u omisión a que AWIN pueda realizar un acto que infrinja cualquiera de sus obligaciones con arreglo al Reglamento de protección de datos.

3 GENERALIDADES

BREXIT

3.1 En el contexto de la salida del Reino Unido de la Unión Europea, si la transferencia de datos personales al Xxxxx Unido constituye una transferencia de datos personales a un tercer país de conformidad con el artículo 44 del RGPD, a falta de una decisión de adecuación de conformidad con el artículo 45(3):

3.1.1 se considerará que las partes han suscrito cláusulas contractuales tipo emitidas por la Comisión Europea, de vez en cuando, para las transferencias de datos de controladores establecidos en el EEE a:

3.1.1.1 Controladores establecidos fuera del EEE; y/o

3.1.1.2 Procesadores establecidos fuera del EEE;

inmediatamente después de la notificación por escrito al Publisher (incluyendo la publicación de una notificación en la Plataforma), en los términos que AWIN considere oportunos, siempre que tales términos satisfagan los requisitos de una salvaguardia apropiada de conformidad con el Artículo 46 del GDPR.

Cambios

3.2 AWIN puede, siempre que lo notifique por escrito con al menos 7 días de antelación al Afiliado

(incluyendo la publicación de una notificación en la Interfaz), realizar variaciones vinculantes al Acuerdo, que AWIN considere razonablemente necesario para cumplir los requisitos del Reglamento de datos.

4 LIMITACIÓN DE RESPONSABILIDAD

4.1 Cada parte será responsable de cualquier incumplimiento del Reglamento de protección de datos y consecuentemente no existirá responsabilidad conjunta alguna entre las partes con respecto a dicho incumplimiento.