CONTRATO DE TRATAMIENTO DE DATOS DE CITRIX
Última revisión: 21 xx xxxxx de 2018
CONTRATO DE TRATAMIENTO DE DATOS DE CITRIX
Términos del Reglamento general de protección de datos de la Unión Europea
Este Contrato de tratamiento de datos (“Contrato”) aborda el tratamiento de los datos personales de los residentes de la Unión Europea en relación con los servicios de Citrix Cloud, los servicios de asistencia técnica o los servicios de consultoría con un contrato de servicios, una suscripción o una licencia de Citrix. Este Contrato se celebra entre el cliente usuario final (“Usted”) y la entidad contractual de Citrix (“Citrix”), y se incorpora como referencia en los contratos de dichos servicios. Su ubicación determina la entidad de Citrix según se identifica en xxxxx://xxx.xxxxxx.xx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxxx-xxxxxxxx.xxxx. Las Cláusulas contractuales tipo de la UE del Anexo 1 siempre se celebran entre Usted y Citrix Systems Inc., independientemente de Su ubicación.
Artículo 1. Definiciones
“Usted” (y “Su/Sus”) hace referencia al cliente final especificado en este Contrato.
“Datos personales” hace referencia a la información personal, tal como se define el término en el Artículo 4 del GDPR, existente en Sus entornos informáticos para los que se otorga acceso a Citrix con el fin de proporcionar los Servicios en virtud de este Contrato.
“Descripción de los servicios” hace referencia a la descripción de los Servicios que Citrix le proporciona.
Los términos usados pero no definidos en este Contrato (por ejemplo, “tratamiento”, “responsable del tratamiento”, “encargado del tratamiento”, “interesado”) tendrán el mismo significado que el establecido en el Artículo 4 del GDPR.
Artículo 2. Roles y ámbito
1. Los Términos del GDPR se aplican al tratamiento de los Datos personales por parte de Citrix.
2. Para los fines de los términos del GDPR, Usted y Citrix acuerdan que Usted es el responsable del tratamiento y que Citrix es el encargado del tratamiento de dichos Datos personales, excepto cuando Usted actúe como encargado del tratamiento de los Datos personales, en cuyo caso Citrix será el subencargado del tratamiento.
Artículo 3. Ámbito, tipo y finalidad del tratamiento de los Datos personales
1. El ámbito y la finalidad de la recopilación, el tratamiento o el uso de los Datos personales por parte de Citrix se describe en xxxx://xxx.xxxxxx.xx/xxxxxxxx/xxx-xxxxxxxx.xxxx o en los Términos del GDPR.
2. Usted determina el ámbito de los Datos personales para los que proporciona acceso a Citrix a fin de llevar a cabo los servicios. Por consiguiente, la recopilación, el tratamiento y el uso de los Datos personales pueden estar relacionados con las siguientes categorías de datos:
o Información personal: nombre, apellidos, fecha de nacimiento
o Datos de comunicaciones: teléfono, correo electrónico, correo postal
o Ámbito del producto: otros datos personales tal como se hayan definido para el producto o los servicios relevantes en xxx.xxxxxx.xx/xxxxxxxx.
o Otros: otros datos personales para los que proporcione acceso a Citrix en relación con el aprovisionamiento de los Productos o los Servicios.
Usted es responsable de proporcionar acceso a Citrix solo a los Datos personales que sean necesarios para el funcionamiento de los Servicios.
3. Según el Producto o los Servicios proporcionados, Usted y Citrix pueden acordar además la ubicación o la zona para el almacenamiento de los Datos personales.
Artículo 4. Tratamiento de datos
1. Citrix:
a) Tratará los Datos personales solo (i) según las instrucciones documentadas que Usted proporcione, tal como se haya especificado en el Contrato, o (ii) cuando lo requiera la legislación de la Unión o del Estado miembro a la que esté sujeto Citrix, en cuyo caso Citrix le informará por adelantado, a menos que lo prohíba la legislación.
b) Garantizará que las personas autorizadas para tratar los Datos personales hayan aceptado cumplir los requisitos de confidencialidad o se encuentren bajo una obligación estatutaria de confidencialidad pertinente.
c) Tomará todas las medidas requeridas aplicables a Citrix como encargado del tratamiento de datos en virtud del Artículo 32 del GDPR, como se especifica más adelante en el Artículo 8 y en el Anexo 2, Anexo de seguridad de servicios de Citrix.
d) Respetará las condiciones a las que se hace referencia en el Artículo 5 para incorporar a otro encargado del tratamiento.
e) Le proporcionará asistencia razonable en el cumplimiento de Su obligación para responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el Capítulo III del GDPR.
f) Le ayudará a la hora de garantizar Su conformidad con las obligaciones en virtud de los Artículos 32 a 36 del GDPR, teniendo en cuenta la naturaleza del tratamiento y la información disponible para Citrix.
g) Devolverá o proporcionará una oportunidad para que Usted recupere todos los Datos personales después del aprovisionamiento de los servicios y eliminará las copias existentes conforme a lo siguiente: Usted dispondrá de treinta (30) días naturales para descargar Sus Datos personales después de la finalización del contrato y deberá ponerse en contacto con los servicios de asistencia técnica de Citrix a fin de obtener instrucciones y el acceso para la descarga. Si Usted no se pone en contacto con la asistencia técnica de Citrix con este fin antes de que transcurran 30 días naturales después de finalizar el aprovisionamiento de los servicios, Citrix eliminará Sus Datos personales lo antes posible una vez que Usted ya no pueda acceder a ellos, excepto cuando (i) se hayan eliminado copias de seguridad seguras durante operaciones ordinarias y
(ii) existan retenciones requeridas por la legislación aplicable; en el caso de (i) o de (ii), Citrix seguirá cumpliendo con las disposiciones relevantes de los Términos del GDPR hasta que se eliminen dichos datos.
h) Pondrá a Su disposición la información necesaria para demostrar la conformidad con las obligaciones establecidas en el Artículo 28 del GDPR, así como para permitir las auditorías realizadas por Usted o por Su auditor externo y contribuir a ellas, de acuerdo con el Artículo 11 que aparece más adelante.
i) Le notificará si, en la opinión de Citrix, alguna instrucción infringe el GDPR u otras provisiones de protección de datos de la Unión o de Estados miembro, teniendo presente que Citrix no tendrá obligación de inspeccionar o comprobar independientemente Su uso o tratamiento de los Datos personales.
j) Le comunicará y le proporcionará asistencia razonable para el cumplimiento de Sus obligaciones con respecto a cualquier incumplimiento relacionado con los Datos personales, de acuerdo con el Artículo 9 que se incluye más adelante.
2. Cuando Citrix incorpore a otro encargado del tratamiento para llevar a cabo actividades específicas de tratamiento en Su nombre, se exigirán a dicho encargado del tratamiento las mismas obligaciones de protección de datos establecidas en los Términos del GDPR como corresponda por medio de un contrato, o por otro instrumento jurídico de acuerdo con la legislación de la Unión o de un Estado miembro, de manera que se proporcionen las garantías suficientes para implementar las medidas técnicas y organizativas apropiadas para que el tratamiento cumpla con los requisitos aplicables del GDPR. Cuando el otro encargado del tratamiento no cumpla con sus obligaciones en materia de protección de datos, Citrix será responsable del cumplimiento de las obligaciones del otro encargado.
Artículo 5. Subtratamiento
1. De acuerdo con los términos de este Artículo 5, Usted da su consentimiento para que Citrix utilice subencargados para el tratamiento de los Datos personales.
2. Citrix garantizará que los subencargados del tratamiento quedarán obligados mediante contratos por escrito que les exigirán como mínimo el mismo nivel de protección de datos impuesto a Citrix en virtud de los Términos del GDPR.
3. Citrix seguirá siendo responsable en todo momento de la conformidad de los subencargados del tratamiento con los Términos del GDPR, según corresponda.
4. Los subencargados del tratamiento están establecidos en la Lista de Subencargados del tratamiento que tiene a Su disposición. Al menos diez (10) días hábiles antes de que se otorgue autorización a nuevos Subencargados del tratamiento para que accedan a los datos personales, Citrix actualizará la Lista de Subencargados del tratamiento y le proporcionará un mecanismo para obtener un aviso de la actualización. Cuando Citrix sea un encargado del tratamiento (y no un subencargado), se aplicarán los siguientes términos:
a) Si Usted no aprueba a un nuevo Subencargado del tratamiento, podrá finalizar la suscripción del servicio afectado sin una penalización siempre que proporcione un aviso por escrito de la finalización, antes de que finalice el período de aviso, en el que se incluya una explicación del motivo por el que no se concede la aprobación.
b) Si el servicio afectado forma parte de una suite (o de una única compra similar de servicios), la finalización se aplicará a toda la suite.
c) Al momento de dicha finalización, Usted permanece obligado a efectuar todos los pagos requeridos por la orden de compra o por otra obligación contractual con el revendedor de ELA o con Citrix, y no tendrá derecho a reembolso ni a devolución del pago por parte del revendedor de ELA o de Citrix.
Artículo 6. Retransferencia y transferencia de datos internacional
1. Citrix puede transferir Datos personales a Estados Unidos o a otros países terceros en los que operen Citrix o sus encargados del tratamiento. Citrix seguirá los requisitos de los Términos del GDPR, independientemente de dónde se almacenen o se traten los Datos personales.
2. Adjuntas al presente en forma de Anexo 1 se encuentran las “Cláusulas contractuales tipo (“Encargado del tratamiento”)” especificadas en la Decisión de la Comisión Europea del 5 de febrero de 2010 sobre cláusulas contractuales tipo para la transferencia de datos a encargados del tratamiento establecidos en países terceros bajo la Directiva Europea de Protección de datos. Cuando Usted proporcione Datos personales regidos por el Reglamento general de protección de datos y no haya otra base legítima para la transferencia internacional de dichos Datos personales, se aplicarán las “Cláusulas contractuales tipo (“Encargado del tratamiento”)” especificadas en dicha Decisión. En tal caso, el Artículo 1 del Anexo 2 (Anexo de seguridad de servicios de Citrix) constituirá el Apéndice II de las Cláusulas contractuales tipo (descripción de medidas de seguridad técnicas y organizativas). En el caso de que la Decisión se considere no válida, las partes acceden a negociar de manera
oportuna y de buena fe los términos sustitutivos que se requieran para la transferencia internacional de dichos Datos personales. Para ver más información relativa a las auditorías realizadas bajo las Cláusulas contractuales tipo, consulte más adelante el Artículo 11, Auditorías.
3. Además, Citrix puede tratar y divulgar los Datos personales: (a) a entidades afiliadas por motivos coherentes con el Contrato y los Términos del GDPR; (b) en conexión con cualquier fusión, adquisición, venta, bancarrota o cualquier otro tipo de reorganización anticipada o real de su negocio, total o parcialmente, sujeto a la obligación de proteger los Datos personales de acuerdo con los términos del Contrato; (c) por motivos legales, incluidos la aplicación de sus derechos, la detección y prevención del fraude, la protección frente a daños a los derechos o la propiedad de Citrix, a Citrix o a Sus usuarios, o al público; y (c) tal como lo requiera la legislación, ya sea como respuesta a una citación, una orden judicial o administrativa, o cualquier otro instrumento vinculante (cada uno de ellos, una “Demanda”). Excepto en los casos en los que quede prohibido por ley, Citrix comunicará al Cliente cualquier Demanda lo antes posible y le proporcionará la asistencia razonablemente necesaria para que Usted responda a la Demanda de manera oportuna.
Artículo 7. Asistencia en su respuesta a las solicitudes de los interesados
1. Citrix pondrá a Su disposición los Datos personales de Sus interesados y la capacidad de atender las solicitudes de los interesados para ejercer uno o más de sus derechos en virtud del GDPR de manera coherente con la funcionalidad del Producto y del rol de Citrix como encargado del tratamiento. Citrix cumplirá con las solicitudes razonables para ayudarle con Su respuesta.
2. Si Citrix recibe una solicitud de Su interesado para ejercer uno o más de sus derechos en virtud del GDPR, Citrix redirigirá al interesado para que le envíe la su solicitud directamente a Usted.
Artículo 8. Términos de seguridad específicos
Citrix mantendrá medidas y prácticas de seguridad para la protección de los Datos personales según lo establecido en el Anexo 2 de este Contrato (Anexo de seguridad de servicios de Citrix). Citrix puede actualizar las prácticas especificadas en este Anexo 2, siempre que las medidas proporcionadas en cualquier término del Servicio en ningún caso proporcionen menos protección que la contemplada a partir de la fecha de entrada en vigor de dicho término.
Artículo 9. Incumplimiento relaiconado con los Datos personales
Citrix le notificará sin excesivo retraso después de conocer un incumplimiento en relación con los Datos personales. Dichas notificaciones, al menos:
a) Describirán la naturaleza del incumplimiento de los Datos personales, especificando, cuando sea posible, las categorías y el número aproximado de Sus interesados afectados, así como las categorías y el número aproximado de los registros de Datos personales correspondientes.
b) Proporcionarán el nombre y los datos de contacto del director de protección de datos o de cualquier otra persona que pueda proporcionar más información.
c) Describirán las medidas tomadas o propuestas para abordar el incumplimiento relacionado con los Datos personales, incluidas, cuando proceda, medidas para mitigar los efectos adversos posibles.
Artículo 10. Registros de actividades de tratamiento
Citrix mantendrá todos los registros de actividades de tratamiento requeridos por el Artículo 30(2) del GDPR.
Artículo 11. Derecho de auditoría
Usted puede llevar a cabo auditorías del tratamiento de Sus Datos personales por parte de Citrix según requiera la legislación. Usted asumirá los costes de dicha auditoría, que se deberá realizar en horario laboral normal, sin interrumpir la actividad de Citrix y de acuerdo con los requisitos y las reglas de seguridad de Citrix. Antes de una auditoría, Citrix le proporcionará la información solicitada razonablemente y la evidencia asociada para que pueda cumplir con Sus obligaciones correspondientes, y Usted deberá revisar esta información antes de llevar a cabo cualquier auditoría independiente.
Puede usar un auditor externo con el consentimiento de Citrix, que no se podrá denegar sin motivos razonables. Antes de que realizar una auditoría externa, el auditor deberá firmar un contrato de confidencialidad adecuado con Citrix.
Artículo 12. Modificación, complementación y término
1. Citrix puede modificar o complementar los Términos del GDPR, y le comunicará a Usted el aviso correspondiente, en los siguientes casos: (i) si lo requiere una autoridad de supervisión u otras entidades gubernamentales o normativas; (ii) si fuera necesario para cumplir con la legislación vigente; (iii) para implementar las cláusulas contractuales tipo establecidas por la Comisión Europea; o (iv) para cumplir con un código de conducta aprobado o un mecanismo de certificación aprobado o certificado en virtud de los Artículos 40 y 42 del GDPR.
2. Sin perjuicio de los Términos del GDPR, Citrix puede proporcionar en un momento dado información adicional y detalles sobre cómo se ejecutarán los Términos del GDPR en su documentación de directivas, de privacidad o técnica específica del producto.
3. Los Términos del GDPR se considerarán aplicables en cuanto entre el vigor el Reglamento general de protección de datos.
Firmado por Usted Nombre: Cargo: Firma autorizada | Firmado por Citrix Nombre: Xxxxxxx Xxxxx Cargo: Vicepresidente Sénior y Consejero general Firma autorizada |
Anexo 1: Cláusulas contractuales tipo (“Encargado del tratamiento”)
del tratamiento en terceros países
Para la finalidad del Artículo 26(2) de la Directiva 95/46/CE relativa a la transferencia datos personales a encargados del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.
Usted
(el exportador de datos)
Y
Nombre de la organización de importación de datos:
Citrix Systems, Inc. (incluidas sus afiliadas)
Dirección: 000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000
Tel.:x0 000 000 0000; fax: + 0 000 000 0000; correo electrónico: xxxxxxxxxxxx@xxxxxx.xxx
Individualmente, una “parte”, en su conjunto, las “partes”,
(el importador de datos)
HAN ACORDADO las siguientes Cláusulas contractuales (las Cláusulas) para aducir las medidas de protección adecuadas en cuanto a la protección de las libertades y los derechos fundamentales y de privacidad de las personas físicas en relación con la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.
Cláusula 1
Definiciones
Para la finalidad de las Cláusulas:
(a)“Datos personales”, “categorías especiales de datos”, “trato/tratamiento”, “responsable del tratamiento”, “encargado del tratamiento”, “interesado” y “autoridad de supervisión” tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1).
(b) | “Exportador de datos” hace referencia al responsable del tratamiento que transfiere los datos personales. |
(c) | “Importador de datos” hace referencia al encargado del tratamiento que acepta recibir del exportador de datos los datos personales para tratarlos en su nombre después de la transferencia de acuerdo con sus instrucciones y los términos de las Cláusulas, quien no está sujeto al sistema de un tercer país destinado a garantizar la protección adecuada con el significado del Artículo 25(1) de la Directiva 95/46/CE. |
(d) | “Subencargado del tratamiento” hace referencia a cualquier encargado del tratamiento incorporado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte |
recibir del importador de datos o de cualquier otro subencargado del tratamiento del importador de datos los datos personales previstos exclusivamente para completar actividades de tratamiento en nombre del exportador de datos después de la transferencia, de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato por escrito.
(e)“Leyes de protección de datos aplicables” hace referencia a la legislación que protege los derechos y las libertades fundamentales de las personas y, en particular, su derecho a la privacidad en relación con el tratamiento de los datos personales aplicables a un responsable del tratamiento de datos en el Estado miembro en el que está establecido el exportador de datos.
(f)“Medidas de seguridad técnicas y organizativas” hace referencia a las medidas destinadas a proteger los datos personales frente a la destrucción accidental o ilegal, la pérdida accidental, la modificación o la divulgación o el acceso no autorizados, en particular cuando el tratamiento suponga la transmisión de datos a través de una red, y frente a todas las demás formas ilegales de tratamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales (cuando corresponda) se especifican en el Apéndice 1, que forma una parte integral de las Cláusulas.
Cláusula 3
Cláusula xxx xxxxxxx beneficiario
1.El interesado puede obligar al exportador de datos a que aplique esta Cláusula, la Cláusula 4(b) hasta (i), la Cláusula 5(a) hasta (e), y desde (g) hasta (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 como tercero beneficiario.
2.El interesado puede obligar al importador de datos a que aplique esta Cláusula, la Cláusula 5(a) hasta (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 en casos en los que el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante contrato o por operación legal, en cuyo caso dicha entidad adquiriría los derechos y obligaciones del exportador de datos y el interesado podría obligarle a aplicar las Cláusulas anteriores.
3.El interesado datos puede obligar al subencargado del tratamiento a que aplique esta Cláusula, la Cláusula 5(a) hasta (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 en casos en los que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o hayan entrado en situación de insolvencia, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante contrato o por operación legal, en cuyo caso dicha entidad adquiriría los derechos y obligaciones del exportador de datos y el interesado podría obligarle a aplicar las Cláusulas anteriores. Dicha responsabilidad frente a terceros del subencargado del tratamiento estará limitada a sus propias operaciones de tratamiento en virtud de las Cláusulas.
4.Las partes no se oponen a que el interesado quede representado por una asociación o por otra entidad si el interesado así lo desea y si lo permite la legislación nacional.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
(a) | El tratamiento, incluida la propia transferencia, de los datos personales se ha llevado a cabo y se seguirá llevando a cabo de acuerdo con las disposiciones relevantes de la legislación de protección de datos aplicable (y, |
si procede, se ha notificado a las autoridades relevantes del Estado miembro donde está establecido el exportador de datos) y no infringe las disposiciones relevantes de dicho estado.
(b)Ha proporcionado instrucciones al importador de datos, y las seguira proporcionando mientras duren los servicios de tratamiento de datos personales, para que trate los datos personales transferidos solo en nombre del exportador de datos y de acuerdo con la legislación de protección de datos aplicable y las Cláusulas.
(c)El importador de datos proporcionará suficientes garantías en relación con las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato.
(d)Tras la evaluación de los requisitos de la legislación de protección de datos aplicable, las medidas de seguridad son las adecuadas para proteger los datos personales frente a la destrucción accidental o ilegal, la pérdida accidental, la modificación, la divulgación o el acceso no autorizados, en particular cuando el tratamiento suponga la transmisión de datos a través de una red, y frente a todas las demás formas ilegales de tratamiento, y estas medidas garantizan un nivel de seguridad adecuado para los riesgos presentados por el tratamiento y la naturaleza de los datos que se van a proteger teniendo en cuenta el nivel tecnológico y el coste de su implementación.
(e)Garantizará la conformidad con las medidas de seguridad.
(f)Si la transferencia supone categorías especiales de datos, se ha comunicado al interesado (o se le comunicará antes o muy poco después de la transferencia) que sus datos podrían transmitirse a un tercer país que no proporciona la protección adecuada según el significado de la Directiva 95/46/CE.
(g)Se enviará toda notificación recibida del importador de datos o de cualquier subencargado del tratamiento de acuerdo con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad de supervisión de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión.
(h)Pondrá a disposición de los interesados cuando lo soliciten una copia de las Cláusulas, con la excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato correspondiente a los servicios de subtratamiento que se deba realizar de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se puede quitar dicha información comercial.
(i) | En el caso del subtratamiento, la actividad de tratamiento la lleva a cabo un subencargado del tratamiento de acuerdo con la Cláusula 11, el cual proporciona al menos el mismo nivel de protección de los datos personales y los mismos derechos del interesados que el importador de datos en virtud de las Cláusulas. |
(j)Garantizará la conformidad con las Cláusulas 4(a) hasta (i).
Cláusula 5
Obligaciones del importador de datos (2)
El importador de datos acuerda y garantiza lo siguiente:
(a) | Tratar los datos personales solo en nombre del exportador de datos y en conformidad con sus instrucciones y con las Cláusulas; si no puede asegurar dicha conformidad por cualquier motivo, accede a notificar lo antes posible al exportador de datos acerca de la imposibilidad de la conformidad, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o a finalizar el contrato. |
(b)No tiene motivo para creer que la legislación aplicable le impida el cumplimiento de las instrucciones recibidas del exportador de datos y sus obligaciones según el contrato y que, en el caso de un cambio de dicha legislación que pueda tener un probable efecto adverso importante sobre las garantías y obligaciones especificadas por las Cláusulas, notificará lo antes posible dicho cambio al exportador de datos en cuanto llegue a su conocimiento, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o a finalizar el contrato.
(c)Ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de tratar los datos personales transferidos.
(d)Notificará al exportador de datos lo antes posible sobre lo siguiente:
(i) | Las solicitudes legalmente vinculantes de divulgación de los datos personales por parte de una autoridad de orden público, a menos exista alguna prohibición al respecto, como una prohibición bajo la legislación penal para mantener la confidentialidad de una investigación de orden público. |
(ii)El acceso accidental o no autorizado.
(iii) | Las solicitudes recibidas directamente de los interesados sin responder a dichas solicitudes, a menos que exista alguna autorización para hacerlo. |
(e)Tratar lo antes posible y de la manera adecuada todas las consultas del exportador de datos relacionadas con su tratamiento de los datos personales objeto de la transferencia y seguir los consejos de la autoridad de supervisión en relación con el tratamiento de los datos transferidos.
(f)A petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento cubiertas por las Cláusulas, la cual llevará a cabo el exportador de datos o una entidad de inspecciones compuesta por miembros independientes, que tenga las cualificaciones profesionales requeridas, que actúe bajo obligación de confidencialidad y haya sido seleccionada por el exportador de datos, cuando proceda, de acuerdo con la autoridad de supervisión.
(g)Pondrá a disposición del interesado cuando lo solicite una copia de las Cláusulas o cualquier contrato existente para el subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se puede quitar dicha información comercial, con la excepción del Apéndice 2, que se reemplazará por una descripción resumida de las medidas de seguridad en los casos en los que el interesado no pueda obtener una copia del exportador de datos.
(h) | En el caso de subtratamiento, ha notificado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito. |
(i) | Los servicios de tratamiento por parte del subencargado del tratamiento se llevarán a cabo de acuerdo con la Cláusula 11. |
(j) | Enviar lo antes posible al exportador de datos una copia de los contratos de subencargado del tratamiento que firme en virtud de las Cláusulas. |
Cláusula 6
Responsabilidad
1.Las partes acuerdan que, si un interesado sufre daños debido al incumplimiento de las obligaciones especificadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subencargado del tratamiento, dicho interesado tendrá derecho a recibir indemnización del exportador de datos por los daños sufridos.
0.Xx un interesado no puede interponer una demanda de indemnización contra el exportador de datos conforme al apartado 1, surgida a raíz de un incumplimiento por parte del importador de datos o su subencargado del tratamiento de cualquiera de las obligaciones especificadas en la Cláusula 3 o en la Cláusula 11, porque el exportador de datos haya desaparecido de hecho, haya dejado de existir legalmente o haya entrado en situación de insolvencia, el importador de datos acuerda que el interesado puede interponer una demanda contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante contrato o por operación legal, en cuyo caso el interesado podría exigir sus derechos a dicha entidad.
El importador de datos no puede aludir al incumplimiento de las obligaciones por parte de un subencargado del tratamiento para evitar sus propias responsabilidades.
0.Xx un interesado no puede interponer una demanda contra el exportador de datos o el importador de datos especificados en los apartados 1 y 2, surgida a raíz de un incumplimiento por parte del subprocesador de cualquiera de las obligaciones especificadas en la Cláusula 3 o en la Cláusula 11, porque tanto el exportador de datos como el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o hayan entrado en situación de insolvencia, el subprocesador acuerda que el interesado puede interponer una demanda contra el subprocesador de datos en relación con sus propias operaciones de procesamiento bajo las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o del importador de datos mediante contrato o por operación legal, en cuyo caso el interesado podría exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento estará limitada a sus propias operaciones de tratamiento en virtud de las Cláusulas.
Cláusula 7
Mediación y jurisdicción
1.En caso de que el interesado le reclame derechos xx xxxxxxx beneficiario o interponga demandas de indemnización por daños con arreglo a las Cláusulas, el importador de datos acuerda aceptar la decisón del interesado con respecto a lo siguiente:
(a)Someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de supervisión.
(b) | Someter el conflicto a los tribunales del Estado miembro en el que esté establecido el exportador de datos. |
2.Las partes acuerdan que la elección del interesado no perjudicará a sus derechos sustantivos o procedimentales a buscar remedios legales de conformidad con otras disposiciones de Derecho nacional o internacional.
Cláusula 8
Cooperación con las autoridades de supervisión
1.El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de supervisión si así lo requiere o si la legislación de protección de datos aplicable exige dicho depósito.
2.Las partes acuerdan que la autoridad de supervisión está facultada para auditar al importador de datos y a cualquier subencargado del tratamiento, en la misma medida y con las mismas condiciones aplicables a una auditoría del exportador de datos conforme a la legislación de protección de datos vigente.
3.El importador de datos notificará lo antes posible al exportador de datos en caso de que exista legislación que se le aplique a él o a cualquier subencargado del tratamiento que impida la auditoría del importador de datos o el subencargado del tratamiento, con xxxxxxx xx xxxxxxxx 0. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la Cláusula 5(b).
Cláusula 9
Legislación vigente
Las Cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
Cláusula 10
Variación del contrato
Las partes se comprometen a no realizar variaciones ni modificaciones en las Cláusulas. Esto no excluye que las partes puedan agregar cláusulas sobre problemas relacionados con sus negocios en caso necesario, siempre que no contradigan las Cláusulas.
Cláusula 11
Subtratamiento
1.El importador de datos no subcontratará ninguna de sus operaciones de tratamiento llevadas a cabo en nombre del exportador de datos con arreglo a las Cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las Cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subprocesador en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las Cláusulas (3). En los casos en que el subencargado del tratamiento no pueda cumplir sus obligaciones de protección de datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho contrato.
2.El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula xx xxxxxxx beneficiario, tal como se establece en la Cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización especificada en el apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de hecho, hayan dejado de existir legalmente o hayan entrado en situación de insolvencia y no haya ninguna entidad sucesora que asuma todas las obligaciones legales del exportador de datos o del importador de datos mediante contrato o por operación legal. Dicha responsabilidad frente a terceros del subencargado del tratamiento estará limitada a sus propias operaciones de tratamiento en virtud de las Cláusulas.
3.Las disposiciones del contrato relacionadas con los aspectos de protección de datos del subtratamiento especificadas en el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido nominalmente el exportador de datos.
4.El exportador de datos conservará una lista con los contratos de subtratamiento celebrados con arreglo a las Cláusulas y notificados por el importador de datos en virtud de la Cláusula 5(j), la cual se actualizará al menos una vez al año. La lista estará disponible para la autoridad de supervisión de protección de datos del exportador de datos.
Cláusula 12
Obligaciones tras la finalización de los servicios de tratamiento de datos personales
1.Las partes acuerdan que, al finalizar el aprovisionamiento de los servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento devolverán, a elección del exportador de datos, todos los datos personales transferidos y las copias respectivas al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que lo han llevado a cabo, a menos que la legislación aplicable al importador de datos le impida devolver o destruir los datos personales transferidos, ya sea total o parcialmente. En ese caso, el importador de datos garantizará la confidencialidad de los datos personales transferidos y no volverá a tratar activamente los datos personales transferidos.
2.El importador de datos y el subencargado del tratamiento garantizan que, tras la solicitud por parte del exportador de datos o de la autoridad de supervisión, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas especificadas en el apartado 1.
En nombre del exportador de datos:
Nombre (escrito con todas sus letras): … Cargo: …
Dirección: …
Otra información necesaria para que el contrato sea vinculante (si la hubiera):
Firma…
En nombre del importador de datos:
Nombre (escrito con todas sus letras): Xxxxxxx Xxxxx Cargo: Vicepresidente Xxxxxx y Consejero general
Dirección: 000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000 (XX. XX.)
Otra información necesaria para que el contrato sea vinculante (si la hubiera):
Firma…
(1) Las partes podrán reproducir en esta Cláusula las definiciones y los significados de la Directiva 95/46/CE si consideran que ello beneficia a la autonomía del contrato.
(2) Las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses recogidos en el Artículo 13(1) de la Directiva 95/46/CE, es decir, si dichas obligaciones constituyen una medida necesaria para la salvaguardia de la seguridad del Estado, la defensa, la seguridad pública, la prevención, investigación, detección y enjuiciamiento de delitos o infracciones de la deontología en las profesiones reguladas, un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de otras personas, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de obligaciones que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otras, las sanciones reconocidas en el ámbito internacional, las obligaciones de notificación en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.
(3) Este requisito puede verse satisfecho si el subencargado del tratamiento es cosignatario del contrato acordado entre el exportador de datos y el importador de datos con arreglo a la presente Decisión.
Apéndice 1 de las Cláusulas contractuales tipo
El presente Xxxxxxxx forma parte integrante de las Cláusulas y deberá ser cumplimentado y suscrito por las partes.
Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente Apéndice.
Exportador de datos
El exportador de datos es (especifique brevemente Sus actividades correspondientes a la transferencia):
Uso de productos, servicios y soluciones de TI de Citrix, tal como se describe en la Descripción de Servicios de Citrix.
Importador de datos
El importador de datos es (especifique brevemente las actividades correspondientes a la transferencia):
Aprovisionamiento de productos, servicios y soluciones de TI de Citrix, tal como se describe en la Descripción de Servicios de Citrix.
Interesados
Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquense): Tal como se describe en el Artículo 3 del Contrato.
Categorías de datos
Los datos personales transferidos se refieren a las siguientes categorías de datos (especifíquense): Tal como se describe en el Artículo 3 del Contrato.
Categorías especiales de datos (si procede)
Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifíquense): Tal como se describe en el Artículo 3 del Contrato.
Operaciones de tratamiento
Los datos personales transferidos serán sometidos a las operaciones básicas de tratamiento siguientes (especifíquense):
Tal como se describe en la Descripción del Servicio.
EXPORTADOR DE DATOS Nombre: Cargo: Firma autorizada | IMPORTADOR DE DATOS Nombre: Xxxxxxx Xxxxx Cargo: Vicepresidente Sénior y Consejero general Firma autorizada |
Apéndice 2 de las Cláusulas contractuales tipo
El presente Xxxxxxxx forma parte integrante de las Cláusulas y deberá ser cumplimentado y suscrito por las partes.
Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c) (o el documento o la legislación adjuntos):
Las medidas de seguridad técnicas y organizativas se describen en el Anexo de seguridad de servicios de Citrix (Anexo 2 del Contrato).
EXPORTADOR DE DATOS Nombre: Cargo: Firma autorizada | IMPORTADOR DE DATOS Nombre: Xxxxxxx Xxxxx Cargo: Vicepresidente Sénior y Consejero general Firma autorizada |