ANEXO DE TRATAMIENTO DE DATOS
ANEXO DE TRATAMIENTO DE DATOS
El presente Anexo de tratamiento de datos (este “Anexo”) se celebra entre Symantec Limited en su nombre y en nombre de la compañía Symantec como se especifica en el Acuerdo (“Symantec”) y la compañía identificada a continuación, a sunombre y según se requiera, en nombre de sus compañías afiliadas(“Cliente”).
POR CUANTO, el Cliente ha adquirido ciertos Servicios proporcionados por Symantec que implican el Tratamiento de Datos personales de acuerdo conla Legislación aplicable.
POR CUANTO, el presente Anexo sirve como el contrato vinculante mencionadoen el artículo 28 (3) del RGPD que establece el objeto, la duración del tratamiento, la naturaleza y el propósito del tratamiento, el tipo de datos personales y las categorías de los interesados, así como las obligaciones y los derechos del Responsable del tratamiento de datos, que pueden complementarse con los términos y condiciones aplicables a los Servicios prestados por Symantec al Cliente (el “Acuerdo”).
POR CUANTO, en el suministro de Servicios por parte de Symantec al Cliente de conformidad con el Acuerdo, el Cliente actúa como Responsable del tratamiento y Symantec actúa como Encargado del tratamiento conrespecto a los Datos personales o, según el caso, el Cliente actúa como Encargado del tratamiento para sus clientes usuarios finales, incluidaslas empresas afiliadas de los clientes finales (como Responsables finales) y Symantec actuará como un Subencargado segúnlas instrucciones del Cliente frente a sus clientes usuarios finales.
Las partes acuerdan lo siguiente:
1. Definiciones. A menos que se defina locontrarioen el Acuerdo, todos los términos en mayúscula utilizados en este Anexo tendrán el significado que se les atribuye aquí.
"Legislación aplicable” significa: (i) el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y el Consejo del 27 xx xxxxx de 2016 sobre la protección de las personas físicas en relación con el Tratamiento de Datos personales y la libre circulaciónde dichos datos, y la Directiva 95/46/CE derogada (“GDPR”); (ii) en la medida en que sean aplicables a los Servicios, cualquier otra ley sobre protecciónde datos de la UE o de un Estado miembro de la UE en relación con el Tratamiento de Datos personales en virtud del presente Acuerdo; y (iii) a partir de la fecha en que el Xxxxx Unido abandona la UE, incluso en ausencia de un acuerdo entre el EEE y el Xxxxx Unido (el "Brexit sinacuerdo") , la Ley de Protección de Datos del Reino Unido de 2018 (“DPA del Reino Unido de 2018”).
“Responsable del tratamiento o Responsable” tiene el significado que se le otorga en la Legislaciónaplicable y,
a los fines de este Anexo, se refiere al Cliente, incluso cuandoactúa en nombre de su cliente usuario final.
“Interesado” tiene el significado que se le atribuye en la Legislaciónaplicable.
“EEE” significa el Espacio Económico Europeo.
“Datos personales” tiene el significado que se le atribuye en la Legislación aplicable y, a los fines de este Anexo, se relaciona con los Datos personales tratados por Symantec como se describe en la sección 4.
“Violación de la seguridad de los datos personales” tiene el significado que se le atribuye en la Legislación
aplicable.
“Tratamiento” tiene el significado que se le atribuye en la Legislaciónaplicable y "tratamiento", "tratamientos" y "tratado" se interpretarán en consecuencia.
“Encargado del tratamiento o Encargado” tiene el significadoque se le atribuye en la Legislación aplicable y, a los fines de este Anexo, se refiere a Symantec.
“Servicios” hace referencia a los Servicios en línea y otros servicios ofrecidos por Symantec y adquiridos por el
Cliente.
“Cláusulas contractuales tipo” hace referencia a las Cláusulas contractuales tipo de conformidad conla Decisión de la Comisión Europea del 5 de febrero de 2010 sobre cláusulas contractuales tipo para la transferencia de Datos personales a los Encargados establecidos en países terceros en virtud de la Directiva establecida en el apéndice 1 y que forma parte de este Anexo.
2. Cumplimiento con las leyes vigentes. Cada una de las partes cumplirá con la Legislación aplicable que le corresponda. En particular, el Cliente cumplirá con sus obligaciones en carácter de Responsable (o en nombre del Responsable) y Symantec cumplirá con sus obligaciones en carácter de Encargado.
3. Obligaciones del Cliente. El Cliente como Responsable (o en nombre del Responsable final) se compromete a que todas las instrucciones para el Tratamiento de Datos personales en virtuddel Acuerdo o este Anexo o según lo acordado o configurado de otro modo cumplan con la Legislación aplicable, y dichas instrucciones no harán de ninguna manera que Symantec infrinja cualquier Legislaciónaplicable. El Cliente es el único responsable de garantizar la exactitud, la calidad y la legitimidad de los Datos personales tratados por Symantec, incluidos los medios por los cuales el Cliente adquirió los Datos personales.
4. Tratamiento de datos. Symantec tratará los Datos personales con el único propósito de habilitar, optimizar y proporcionar los Servicios y/o para los fines especificados en el Acuerdo y este Anexo. Symantec tratará los Datos personales como se describe en la tabla a continuación de acuerdocon las instrucciones del Cliente que se encuentran documentadas en el Acuerdoy este Anexo durante el plazo del Acuerdo. Symantec no accederá a dichos Datos personales, y tampoco los utilizará ni tratará, excepto cuando sea necesario para proporcionar los Servicios.
A menos que lo prohíba la ley aplicable, Symantec notificará al Cliente si, en su opinión, una instrucción infringe cualquier ley del Estado miembro de la UE a la que esté sujeto, en cuyo caso Symantec tendrá derecho a suspender la ejecución de dicha instrucción hasta que el Cliente confirme por escrito que dicha instrucción es válida en virtud de la leydel Estado miembrode la UE.
Cualquier instrucción adicional que refiera a la manera en que Symantec trata los Datos personales requerirá un acuerdo previo por escrito entre Symantec y el Cliente, incluidos, cuando corresponda, cualquier tarifa adicional que deba pagar el Cliente.
Como parte de la configuración de los Servicios, ciertas funciones de seguridad y detratamiento de datos están disponibles para el Cliente. El Cliente es responsable de configurar correctamente los Servicios para cumplir con sus requisitos específicos de Tratamiento y seguridad, que pueden incluir el uso de tecnología de seudonimizacióno cifrado para proteger los Datos personales contra el accesono autorizado.
Symantec no divulgará Datos personales a ningúngobierno, excepto cuandosea necesario para cumplir con la ley aplicable o una orden válida y vinculante de un organismode aplicación de la ley (como una citación u orden judicial). En el caso de que Symantec reciba una orden vinculante de un organismo de aplicación de la ley en
relación con Datos personales, y siempre que Symantec no tenga una prohibiciónlegal para hacerlo, Symantec notificará al Cliente acerca de la solicitud que recibió.
Symantec garantizará que las personas encargadas de tratar Datos personales se hayan comprometido con la confidencialidad y/o se encuentren obligadas en virtud de obligaciones relacionadas con la Legislación aplicable u otras disposiciones legales.
Categorías de Datos personales (*) | (a) Detalles de contacto que incluyen, entre otros, nombre, cargo y nivel del cargo, direcciones de correo electrónico comerciales, números de teléfono y domicilios de oficina. (b) Direcciones de correo electrónico, direcciones IP y otra información de identificación de redes y dispositivos o software. (c) Datos en línea (por ejemplo, usodel sitio web, actividades y preferencias de navegación y otros datos de tráficoweb). (d) Datos de registro, que pueden incluir ciertas direcciones IP de origen y destino, nombre de host, Id. de usuario, direcciones URL, nombres de políticas, direcciones de correo electrónico, marcas de fecha y hora, volúmenes de datos, actividad y contenido del correoelectrónico. (e) Cualquier Dato personal que pueda aparecer en (i) correos electrónicos y comunicaciones web (incluidos sus archivos adjuntos) enviados por el empleado o los usuarios de la red del Cliente o recibidos por ellos, (ii) cualquier Dato personal que pueda ser compartidopor los empleados o usuarios del Cliente conaplicaciones en la nube utilizadas en la red de exportadores de datos y (iii) solicitudes técnicas y de soporte presentadas por el Cliente o en su nombre. (f) Cualquier otro correo electrónico y actividad web relacionados con los Datos personales que se requieran para la prestación de los Servicios. |
Categorías de Interesados (*) | Los empleados, representantes, clientes, proveedores y/o cualquier otro contacto comercialdel Cliente, incluidos los remitentes y destinatarios de correos electrónicos, según corresponda. |
(*) Se puede encontrar una descripción complementaria de las categorías de Datos personales e Interesados en xxx.xxxxxxxx.xx (xxxxx://xxx.xxxxxxxx.xxx/xx/xx/xxxxxxx)
5. Medidas técnicas y organizativas. Teniendo en cuenta la tecnología, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del Tratamiento, así como el riesgo de la posibilidad y la gravedad de las variaciones para los derechos y las libertades de las personas físicas, Symantec deberá, en relación con los Datos personales, implementar las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad de los Datos personales adecuado al riesgo, como se documenta en el apéndice 2 del Anexo y/o en xxxxx://xxx.xxxxxxxx.xxx/xx/xx/xxxxx/xxxxxxxx-xxxxx-xxxxxx o cualquier sitioweb sucesor.
Al evaluar el nivel adecuado de seguridad, Symantec deberá tener en cuenta, en particular, los riesgos que representa el Tratamiento, en especial, los resultantes de la destrucción, pérdida, alteración o divulgación no autorizada de los Datos personales transmitidos, almacenados o tratados de otra manera o los resultantes del accesoa dichos datos.
El Cliente es el únicoresponsable de evaluar si las medidas de seguridadimplementadas por Symantec conforme a la presente sección 5 para la prestaciónde los Servicios cumplen consus propios estándares y requisitos.
6. Derechos de los Interesados. Teniendoen cuenta la naturaleza del Tratamiento y la información disponible para Symantec, Symantec ayudará al Cliente con las medidastécnicas y organizativas adecuadas, en la medida de lo posible, para responder a las solicitudes de los Interesados que ejercen sus derechos conforme a la Legislación aplicable. A tal efecto, Symantec: (i) en la medida permitida por la ley aplicable, notificará de inmediato al Cliente acerca de cualquier solicitud recibida directamente de los Interesados para visualizar, corregir o eliminar sus Datos personales sin responder a esa solicitud; y (ii) después de recibir una solicitud por escritodel Cliente, proporcionará al Cliente la información que Symantec tenga disponible para ayudarlo razonablemente a cumplir con sus obligaciones de responder a los Interesados que ejercen sus derechos conforme a la Legislación aplicable.
7. Evaluaciones de impacto de la protección de datos. En el casode que el Cliente esté obligadopor la Legislación aplicable a realizar una evaluación de impacto de la protección de datos, y si el Cliente lo solicita por escrito a Symantec, Symantec ayudará cuando sea razonablemente posible, según la naturaleza del Tratamiento y la información disponible para Symantec, en el cumplimiento de la obligación del Cliente relacionada con el uso de los Servicios por parte del Cliente, siempre que el Cliente no tenga otro modo de acceso a la información relevante. Si lo exige la Legislación aplicable, Symantec proporcionará asistencia razonable al Cliente en la cooperación o consulta previa conlas autoridades de Protecciónde datos en relación con cualquier evaluación de impacto de protección de datos aplicable.
8. Auditoría de medidas técnicas y organizativas. A pedido del Cliente, Xxxxxxxx acuerda poner a disposición de este toda la información necesaria para demostrar sucumplimiento con las políticas de protección de datos y los procedimientos implementados como parte de los Servicios. Se informa al cliente que Symantec realiza periódicamente auditorías internas que cumplen con los estándares reconocidos del sector, como ISO 27001 u otra certificación de seguridadvigente en ese momento, a exclusivo criterio de Symantec.
Previa solicitud por escrito (no más de una vez al año), Symantec proporcionará al Cliente los detalles de la auditoría más reciente realizada por Symantec en relación con los Servicios. Si una auditoría realizada por Symantec identifica problemas de seguridadconsiderados de alto riesgo por los estándares del sector, Symantec notificará al Cliente acerca de las acciones correctivas implementadas por Symantec para solucionar dichos problemas y confirmar a su debido tiempoel retorno al estado de cumplimiento adecuado. Si después de revisar la información mencionada anteriormente proporcionada por Xxxxxxxx, el Cliente tiene razones serias y justificadas para creer que existen problemas de seguridad importantes en relaciónconlos Servicios, el Cliente podrá, a suexclusivocosto, verificar el cumplimientode Symantec con sus obligaciones de protección de datos según lo especificado en este Anexo de la siguiente manera: (i) enviando un cuestionario de evaluación de seguridad a Symantec; y (ii) si las respuestas de Symantec al cuestionario no resuelven las inquietudes del Cliente, el Cliente podrá realizar una auditoría en línea o (si se considera necesario) en el sitio en forma de reuniones conlos expertos en seguridad de la información de Symantec, previa notificación por escrito conun mínimo de treinta (30) días hábiles de anticipación. De acuerdocon lo antedicho, ambas partes acuerdan que cualquier verificación de seguimiento se limitará a una vez al año y se llevará a cabo con un mínimo de interrupción de las operaciones comerciales normales de Symantec y conforme al acuerdo de Symantec sobre el alcance y los plazos. El Cliente puede realizar la verificación descrita anteriormente, ya sea por sí mismo o mediante un auditor externo acordado mutuamente, siempre que el Cliente o su auditor autorizado firme un Acuerdo de no divulgación ("NDA") acordado mutuamente. El Cliente será responsable de cualquier acciónque realice su auditor autorizado. Toda la información divulgada por Xxxxxxxx en virtudde la presente sección 8 se considerará Información confidencial de Symantec, y el Cliente no deberá divulgar ningún informe de auditoría
a ningún tercero, salvo que así lo exija la ley, una orden judicial o una orden administrativa expedida por un organismo gubernamental.
9. Notificaciones de Violación de la seguridad. En caso de que Symantec advierta una Violación de la seguridad de datos personales que afecte los Datos personales tratados por Symantec como parte de la prestación de los Servicios, Symantec notificará al Cliente sin demoras indebidas después de conocer dicha Violación de la seguridad de datos personales y deberá cooperar con el Cliente y realizar los pasos comerciales razonables acordados con el Cliente para ayudar en la investigación, mitigación y remediación de dicha Violación de la seguridad de datos personales. Symantec proporcionará todo el apoyo y la cooperación razonablemente necesarios para que el Cliente pueda cumplir con sus obligaciones legales en caso de una Violación de la seguridad de datos personales de conformidad con los artículos 33 y 34 del RGPD, o según corresponda en el Xxxxx Unidodespués del Brexit en virtud de las disposiciones xxxxxxxxxxx xx xx XXX xxx Xxxxx Xxxxx xx 0000.
10. Subtratamiento. El Cliente acepta que Xxxxxxxx puede contratar a compañías afiliadas de Symantec o a terceros proveedores como Subencargados en virtud del Acuerdoy este Anexo (“Subencargados”) y le otorga, en este acto, a Symantec una autorizacióngeneral por escrito para la contratación de dichos Subencargados en la prestación de los Servicios. Symantec restringirá las actividades de Tratamiento realizadas por los Subencargados solo a lo estrictamente necesario para prestar los Servicios al Cliente de conformidad con el Acuerdo y este Anexo. Symantec impondrá obligaciones contractuales apropiadas por escrito a los Subencargados que no supongan un nivel de protección inferior que este Anexo, y Symantec seguirá siendo responsable del cumplimiento de los Subencargados con las obligaciones en virtud de este Anexo.
Symantec pondrá a disposición del Cliente una lista de todos los Subencargados utilizados por Symantec en la prestación de Servicios en xxx.xxxxxxxx.xxx/xx/xx/xxxxxxx. Symantec puede modificar la lista de Subencargados agregando o reemplazando Subencargados en cualquier momento y cualquier cambio importante en la lista de Subencargados se divulgará en la ubicaciónespecífica del Servicio correspondiente en xxx.xxxxxxxx.xxx/xx/xx/xxxxxxx mediante notificación con treinta (30) días hábiles de anticipación a cualquier cambioque entre en vigor. El Cliente tendrá derecho a objetar a un nuevo Subencargados notificando a Symantec por escrito acerca de los motivos de su objeción dentro del períodode notificación de treinta (30) días mencionado anteriormente y, en tal caso, el Cliente tendrá derecho a cancelar los Servicios correspondientes.
11. Transferencias de Datos personales a Subencargados. El Cliente reconoce y acepta que Xxxxxxxx puede tratar Datos personales para facilitar o prestar los Servicios, ya sea en el EEE o en países que pueden tener diferentes leyes de protección de datos (“Otro/s país/es”). En el caso de que Symantec tenga la intención de transferir Datos personales a Subencargados establecidos en Otro país y, si así lo requiere la Legislación aplicable, Symantec formalizará, en nombre del Cliente y en su carácter de exportador de datos, Cl áusulas contractuales tipo en el formulario provisto en el apéndice 1 con los Subencargados como importadores de datos, a menos que la transferencia de Datos Personales ocurra a través de un medio alternativo permitido por la Legislación aplicable. Para evitar dudas, en casode realizarse un Brexit sin acuerdo: (a) El Xxxxx Unido se considerará Otro país en el sentidode RGPD para los fines de la presente sección 11; y (b) todos los países que no seanel Xxxxx Unido y los Estados miembro de la UE se considerarán Otros países en el sentido de la DPA del Reino Unido de 2018.
12. Devolución o eliminación de Datos personales. En la medida en que la eliminación de Datos personales no se especifique en el Acuerdo, al recibir una solicitud por escritodel Cliente, Symantec eliminará o devolverá, según se determine más fácilmente a su exclusivocriterio, los Datos personales en un plazorazonable que Symantec deberá confirmar.
13. Acuerdo completo; conflicto. Salvo por las modificaciones en virtud de este Anexo, el Acuerdo permanecerá en plena vigencia y efecto. En caso de producirse un conflicto entre el Acuerdo y este Anexo, prevalecerán las disposiciones de este Anexo.
14. Ejemplares y entrega por fax o correo electrónico. Este Anexopodrá suscribirse en unoo más ejemplares, cada uno de los cuales se considerará un original, pero juntos, dichos ejemplares constituiránun único documento. Las firmas se pueden intercambiar por fax o correo electrónico, y cada intercambio de firmas de esa manera tendrá la misma validez que la de una firma original.
15. Firmante autorizado. Los firmantes declaranque están debidamente autorizados a firmar el Anexo en nombre de sus respectivas compañías.
Apéndice(s): Apéndice 1: Cláusulas contractuales tipo
Apéndice 2: Auditoría de medidas técnicas y organizativas Acordadoy aceptado a partir de la fecha de la firma que se indica a continuación:
Firma del Cliente
Nombre del Cliente: Con domicilioen: |
Firma: |
Nombre y cargo impresos: |
Fecha de la firma: |
Firma de Symantec
Symantec Limited Ballycoolin Business Park, Blanchardstown, Xxxxxx 00, Xxxxxxx |
Firma: |
Nombre y cargo impresos: Xxxx XxXxxxxxx - Customer Service Specialist |
Fecha de la firma: 29-July-2019 |
APÉNDICE 1
[Formulario tipo provisto a título informativo segúnlo especificado en la sección 11.
A dejar en blanco.]
DECISIÓN DE LA COMISIÓN C(2010)593
relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos enterceros países
A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los
encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protecciónde los datos Nombre de la entidadexportadora de los datos: .....................................................................................................
Dirección:....................................................................................................................................................................
Tel.: ............................................................. ; Fax:...........................................; E-mail:.............................................
Otros datos necesarios para identificar a la entidad:
……………………………………………………………
(en lo sucesivo,el exportador de datos)
y
Nombre de la entidadimportadora de los datos:.......................................................
Dirección:......................................................................................................................
Tel.: .............................................................; Fax: ...........................................; E-mail: ...........................................
Otros datos necesarios para identificar a la entidad:
…………………………………………………………………
(en losucesivo, el importador de datos)
cada una de ellas «la parte»; conjuntamente «las partes»,
ACUERDAN las siguientes cláusulas contractuales (en lo sucesivo, las «cláusulas») con objeto de ofrecer garantías suficientes respecto de la protecciónde la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el apéndice 1.
Cláusula 1
Definiciones
A los efectos de laspresentes cláusulas:
(a) «datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento»,
«encargadodel tratamiento», «interesado» y «autoridadde control» tendrán el mismosignificado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1);
(b) por «exportador de datos» se entenderá el responsable del tratamiento que transfiera los datos personales;
(c) por «importador de datos» se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad consus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protecciónadecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
(d) por «subencargado del tratamiento» se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargadode este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluidopor escrito;
(e) por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estadomiembro en que está establecidoel exportador de datos;
(f) por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra sudestrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia, en particular, las categoríasespeciales de los datos personales, quedan especificados si procede en el apéndice 1,que forma parte integrantede las presentes cláusulas.
Cláusula 3
Cláusula detercero beneficiario
1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.
2. Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, lasletras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.
3. Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumidola totalidadde las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministeriode la ley, a resultas de locualasuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Dicha responsabilidadcivil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arregloa las cláusulas
4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza losiguiente:
(a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;
(b) ha dado al importador de datos, y dará durante la prestaciónde los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protecciónde datos aplicable y con las cláusulas;
(c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;
(d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizanun nivel de seguridad apropiado a los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
(e) asegurará que dichas medidas se lleven a la práctica;
(f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de quese efectúeaquella, o encuantosea posible, de que sus datos podrían ser transferidos a un tercer país que noproporciona la protección adecuada en el sentido de la Directiva 95/46/CE E;
(g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridadde control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en casode que decida proseguir la transferencia o levantar la suspensión;
(h) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
(i) que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y
(j) que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.
Cláusula 5
Obligaciones del importador de datos
El importador de datos acuerda y garantiza lo siguiente:
(a) tratará los datos personales transferidos soloen nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ellosindemora al exportador de datos, en cuyo casoeste estará facultado para suspender la transferencia de los datos o rescindir el contrato;
(b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
(c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indicanen el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;
(d) notificará sin demora al exportador de datos sobre:
(i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación xx xxx a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación levada a cabo por una de dichas autoridades,
(ii) todo acceso accidental o no autorizado,
(iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;
(e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opiniónde la autoridad de control en lo que respecta al tratamientode los datos transferidos;
(f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuandocorresponda, de conformidadconla autoridad de control;
(g) pondrá a disposiciónde los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contratoexistente para el subtratamiento de los datos, a menos que lascláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos;
(h) que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;
(i) que los servicios de tratamientopor el subencargado del tratamiento se llevarána cabo de conformidad con la cláusula 11;
(j) enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamientoque concluya conarregloa las cláusulas.
Cláusula 6
Responsabilidad
1. Las partes acuerdan que los interesados que hayansufrido daños comoresultadodel incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derechoa percibir una indemnizacióndel exportador de datos para el dañosufrido.
2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministeriode la ley, en cuyocasolos interesados podránexigir sus derechos a dicha entidad.
El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.
3. En casode que el interesadonopueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente oser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencargado del tratamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumidola totalidadde las obligaciones jurídicas del exportador de datos odelimportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos conarregloa las presentes cláusulas.
Cláusula 7
Mediación y jurisdicción
1. El importador de datos acuerda que, si el interesado invoca en su contra derechos xx xxxxxxx beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesadode:
(a) someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control;
(b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.
2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional
Cláusula 8
Cooperación con las autoridades de control
1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridadde control si así lo requiere o si el depósitoes exigido por la legislación de protecciónde datos aplicable.
2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que loharía respecto del exportador de datos conforme a la legislación de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, conarregloal apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.
Cláusula 9
Legislación aplicable
Las cláusulas se regiránpor la legislación del Estado miembro de establecimientodel exportador de datos.
Cláusula 10
Variación del contrato
Las partes se comprometen a no variar o modificar laspresentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas consus negocios en casonecesario siempre que no contradigan lascláusulas.
Cláusula 11
Subtratamiento de datos
1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos conarreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdoescrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas (3). En los casos en que el subencargadodel tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho
acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargadodel tratamiento de datos con arregloa dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula xx xxxxxxx beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamientode datos conarregloa las cláusulas.
3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontrataciónde operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.
4. El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulasy notificados por el importador de datos de conformidad conla letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposiciónde la autoridadde control de protección de datos del exportador de datos.
Cláusula 12
Obligaciones una vez finalizada la prestación de los servicios de tratamientode los datos personales
1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discrecióndel exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.
2. El importador de datos y el subencargadogarantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadasen el apartado 1.
En nombre del exportador de datos:
Nombre (completo):
Cargo:
Dirección:
Otros datos necesarios convistas a la obligatoriedad del contrato (en casode existir):
Firma……………………………………….
(Sello de la organización)
En nombre del importador de los datos:
Nombre (completo):
Cargo:
Dirección:
Otros datos necesarios convistas a la obligatoriedad del contrato (en casode existir):
Firma……………………………………….
(Sello de la organización)
El presente apéndice forma parte integrante de las cláusulas y deberá ser cumplimentadoy suscrito por las partes.
Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquierinformación que deba incluirse en el presente apéndice.
Exportador de datos
El exportador de datos es (especifique brevemente sus actividades correspondientes a la transferencia): Como se especifica en la Adenda
Importador de datos
El importador de datos es (especifique brevemente sus actividades correspondientes a la transferencia): Como se especifica en la Adenda
Interesados
Los datos personales transferidos se refieren a lassiguientes categorías de interesados (especifíquense): Como se especifica en la Adenda
Categorías de datos
Los datos personales transferidos se refieren a lassiguientes categorías de datos (especifíquense): Como se especifica en la Adenda
Categorías especiales de datos (si es pertinente)
Los datos personales transferidos se refieren a lassiguientes categorías especiales de datos (especifíquense): Como se especifica en la Adenda
Operaciones de tratamiento
Los datos personales transferidos serán sometidos a las operaciones básicas de tratamiento siguientes (especifíquense):
Prestaciónde los servicios
El presente Xxxxxxxx forma parte integrante de las cláusulas y deberá ser cumplimentadoy suscritopor las partes.
Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de conformidad con la letra d) de la cláusula 4 y la letra c) de la cláusula 5 (o documentoo legislación adjuntos):
Como se especifica en el apéndice 2 del Anexo.
Medidas técnicas y organizativas
Symantec ha adoptadoy mantendrá las medidas deseguridadadministrativas, técnicas, físicas y deprocedimiento apropiadas, consistentes con las prácticas de información internacional, para la protección de la seguridad, confidencialidad e integridaddelos datos personales tal y como sedescribe en el portal de Confianza del cliente de Symantec, al que se puede acceder en xxxx://xxx.xxxxxxxx.xxx/xxxxxxx/xxxxxx/xxxxxxxx-xxxxx-xxxxx, o si Symantec lo proporciona deotro modo quepueda resultarrazonable.
* * *