Adenda de Tratamiento de Datos
Adenda de Tratamiento de Datos
entre el Cliente
(el “Responsable del Tratamiento”)
y
Taric, S.A.U., entidad que desarrolla su actividad bajo la denominación de “Taric” (el “Encargado del Tratamiento” / “Taric”)
Índice
2. ÁMBITO DE APLICACIÓN DE LA ADENDA 6
4. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO 8
5. PERIODO DE VIGENCIA; EXTINCIÓN; DEVOLUCIÓN SUPRESIÓN DE LOS DATOS PERSONALES 8
6. RESPONSABILIDAD 8
7. AUDITORÍAS Y SOLICITUDES DE INFORMACIÓN 8
8. NOMBRAMIENTO DE SUBENCARGADOS 9
9. ENTIDADES VINCULADAS AUTORIZADAS 9
10. CLÁUSULAS CONTRACTUALES TIPO 10
11. DISPOSICIONES GENERALES 13
Anexo 1: Descripción del tratamiento 16
Anexo 2: Descripción de las medidas técnicas y organizativas 18
Anexo 4: Cláusulas Contractuales Tipo 24
LA PRESENTE ADENDA se suscribe
ENTRE:
(1) De una parte, el Cliente (el “Responsable del Tratamiento”); y
(2) De otra parte, Taric (el “Encargado del Tratamiento”), (individualmente, la “Parte”, y conjuntamente, las “Partes”). CONSIDERANDO:
1. Que la presente Xxxxxx se suscribe para establecer las garantías adecuadas en lo que respecta a la protección de la privacidad y seguridad de los Datos Personales que el Responsable del Tratamiento transfiera al Encargado del Tratamiento para su Tratamiento, a los que el Encargado del Tratamiento acceda con la autorización del Responsable del Tratamiento o que el Encargado del Tratamiento reciba para su Tratamiento por cuenta del Responsable del Tratamiento.
2. Que la presente Adenda forma parte del Contrato (o documento legalmente vinculante entre Taric y el Cliente) o los Términos de Uso (según sea de aplicación) existente entre Taric y el Cliente por el que Taric presta servicios para el Cliente (el “Contrato de Servicios”).
3. Que Taric pertenece desde 2018 al grupo Wisetech Global, sito en Australia, que por sí mismo y a través de sus Empresas Vinculadas, presta servicios de ámbito internacional.
4. Que, a partir de la firma de la presente Adenda, Taric va a prestar al Cliente sus servicios de soporte y mantenimiento de producto a través de la plataforma E-Request. El Cliente ha recibido la documentación informativa elaborada por Xxxxx en la que se detalla las nuevas operaciones y los cambios que esto supone.
5. Que los datos de los clientes a los que Taric tenga acceso con motivo del uso de E-Request serán tratado por el equipo de atención al cliente apropiado para ofrecer una respuesta adecuada, con independencia del país donde dicho equipo esté situado físicamente. El Cliente tendrá acceso al portal de E-Request para consultar el estatus de su solicitud.
6. Este modelo de prestación de soporte conlleva la necesidad de que las partes firmen el presente Contrato de Encargado de Tratamiento (la “Adenda”) a fin de cumplir con lo establecido en el Artículo 28 RGPD.
LAS PARTES PACTAN Y ACUERDAN LO SIGUIENTE:
1.1. En la presente Adenda, los siguientes términos en mayúsculas tendrán el significado que se indica a continuación:
“Adenda” | significa esta Adenda de Tratamiento de Datos |
“Entidad Vinculada” | significa cualquier entidad que controle a, esté controlada por o se encuentre bajo control común con la entidad en cuestión. A los efectos de esta definición, “control” (incluyendo los términos “controlada por” y “bajo control común con”, junto con sus significados correlativos), tal como se utiliza con respecto a la entidad en cuestión, significa la capacidad directa o indirecta de dirigir o ejercer una influencia de control sobre la gestión o las |
políticas de dicha entidad, ya sea mediante la tenencia de valores con derecho a voto, en virtud de un contrato o de otra manera; | |
“Australia” | significa la Mancomunidad de Australia y cada uno de sus estados y territorios; |
“Entidad Vinculada Autorizada” | significa cualquiera de las Entidades Vinculadas del Cliente que (a) esté sujeta a las leyes y normativas de protección de datos del EEE y/o sus estados miembros, de Suiza y/x xxx Xxxxx Unido, y (b) esté autorizada a utilizar los Servicios de conformidad con el Contrato de Servicios; |
“CCPA” | significa la Ley de Privacidad del Consumidor de California; |
“Cliente” | Significa el cliente del Contrato de Servicios; |
“Responsable del Tratamiento” | significa la entidad que determina los fines y medios del Tratamiento de los Datos Personales; |
“Encargado del Tratamiento” | significa la entidad que lleva a cabo el Tratamiento los Datos Personales por cuenta del Responsable del Tratamiento; |
“Leyes y Normativas de Protección de Datos” | significa todas las leyes y normativas, incluyendo todas las leyes y normativas internacionales, nacionales, estatales y locales, como las leyes y normativas del EEE y sus estados miembros, de Suiza, xxx Xxxxx Unido y de Australia, y la CCPA y demás leyes estadounidenses y estatales, aplicables al Tratamiento de los Datos Personales en virtud de la presente Adenda; |
“Interesado” | significa una persona física identificada o identificable cuyos Datos Personales son objeto de Tratamiento; |
“EEE” | significa el Espacio Económico Europeo; |
“UE” | significa la Unión Europea; |
“RGPD” | significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos); |
“Adenda del ICO UK” | significa el modelo de Adenda B.1.0 emitida por la Oficina del Comisario de Información (ICO por sus siglas en inglés) xxx Xxxxx Unido y presentada ante el Parlamento británico de conformidad con el art. 119A de la Ley de Protección de Datos xxx Xxxxx Unido |
de 2018 el 2 de febrero de 2022, con las modificaciones que pueda incorporar en cada momento en virtud del artículo 18 de sus cláusulas obligatorias; | |
“Instrucción” | significa la instrucción que el Responsable del Tratamiento envíe por escrito al Encargado del Tratamiento para solicitarle que lleve a cabo una acción específica con respecto a los Datos Personales (incluyendo despersonalización, bloqueo, supresión, puesta a disposición, etc.); |
“Datos Personales” | significa cualquier información relativa a una persona física identificada o identificable, entendiéndose por persona identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; |
“Violación de la Seguridad de los Datos Personales” | significa toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos; |
“Tratar/Tratado/ Tratamiento” | significa cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción; |
“Anexo” | significa el anexo o los anexos correspondiente(s) que se adjunta(n) a la presente Adenda y forma(n) parte integrante de la misma; |
“Servicios” | significa el Tratamiento de los Datos Personales por parte del Encargado del Tratamiento en relación con y a los efectos de los servicios que el Encargado del Tratamiento debe prestar al Responsable del Tratamiento de conformidad con el Contrato de Servicios, incluyendo los descritos en el Anexo 1 de la presente Adenda; |
“Cláusulas Contractuales Tipo”/”CCT” | significa el acuerdo suscrito entre el Responsable del Tratamiento y el Encargado del Tratamiento, que se adjunta a la presente Adenda como Anexo 4 de conformidad con la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 xx xxxxx de 2021, relativa a las cláusulas contractuales tipo para la transferencia de |
datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo; | |
“Subencargado” | significa cualquier encargado del tratamiento contratado por el Encargado del Tratamiento (o por cualquier otro Subencargado del Encargado del Tratamiento) que acepte recibir del Encargado del Tratamiento (o de cualquier otro Subencargado del Encargado del Tratamiento) Datos Personales con el fin exclusivo de llevar a cabo su Tratamiento por cuenta del Responsable del Tratamiento, de conformidad con sus Instrucciones y con lo dispuesto en el subcontrato formalizado por escrito; |
“Suiza” | significa la Confederación Suiza; |
“Xxxxx Unido” | significa el Xxxxx Unido de Gran Bretaña e Irlanda del Norte; |
“RGPD xxx Xxxxx Unido” | significa el RGPD que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud del artículo 3 de la Ley de (Retirada) de la Unión Europea de 2018 c. 16; |
“EE.UU.” | significa Estados Unidos de América; y |
Taric | significa la entidad que suscribe el Contrato de Servicios y la presente Adenda y que, de conformidad con el Contrato de Servicios, es Taric, S.A.U o una entidad vinculada, con domicilio social en Xxxx x Xxxxx 0, 0x, 00000, Xxxxxx, Xxxxxx. |
1.2. Los títulos y subtítulos de las cláusulas de la presente Adenda se incluyen exclusivamente a modo de referencia y para facilitar su lectura, no forman parte de la presente Adenda y no afectarán a su interpretación.
1.3. Salvo que del contexto se desprenda lo contrario, las palabras en singular incluirán el plural y viceversa, las referencias a cualquier género incluirán todos los demás géneros y las referencias a personas incluirán personas jurídicas, asociaciones no constituidas y sociedades, tengan o no en cada caso personalidad jurídica. Las referencias a la palabra “incluir” o “incluyendo” se interpretarán sin limitación alguna.
1.4. Las referencias a expositivos, anexos y cláusulas se entenderán hechas a expositivos, anexos y cláusulas de la presente Adenda, salvo que se especifique lo contrario, y las referencias a apartados dentro de un anexo se entenderán hechas a apartados de dicho anexo, salvo que se especifique lo contrario.
1.5. Las referencias en la presente Adenda a cualquier ley, disposición legal o norma se entenderán hechas a la ley, disposición legal o norma en su versión modificada, ampliada o promulgada en cada momento. Cualquier referencia a “escritura” o “por escrito” incluye los faxes y cualquier método de reproducción de palabras o texto en forma legible y no transitoria (como el correo electrónico), salvo que se indique expresamente lo contrario.
2. ÁMBITO DE APLICACIÓN DE LA ADENDA
2.1. El objeto, la naturaleza y la finalidad, de la presente Adenda, así como las categorías de Datos Personales e Interesados afectados se indican en el Anexo 1 de la presente Adenda.
2.2. La presente Xxxxxx se aplicará, en relación con los Servicios:
2.2.1. a todos los Datos Personales que sean enviados a partir de la fecha de la presente Adenda por el Responsable del Tratamiento o en su nombre al Encargado del Tratamiento para su Tratamiento;
2.2.2. a todos los Datos Personales a los que acceda el Encargado del Tratamiento con la autorización del Responsable del Tratamiento para su Tratamiento a partir de la fecha de la presente Adenda; y
2.2.3. a todos los Datos Personales que el Encargado del Tratamiento reciba para su Tratamiento por cuenta del Responsable del Tratamiento.
El Encargado del Tratamiento se obliga a llevar a cabo el Tratamiento de los Datos Personales a los que se aplica la presente Adenda de conformidad con las disposiciones establecidas en la presente Adenda y, en particular:
3.1. se obliga a no Tratar los Datos Personales para ningún fin específicamente distinto de la prestación de los Servicios previstos en la presente Adenda. El Encargado del Tratamiento se compromete asimismo a no vender ni alquilar los Datos Personales para ningún fin;
3.2. se obliga a llevar a cabo el Tratamiento de los Datos Personales exclusivamente por cuenta del Responsable del Tratamiento y cumpliendo en todo momento las Instrucciones que el Responsable del Tratamiento le proporcione de conformidad con la presente Adenda. La presente Adenda y el Contrato de Servicios constituyen las Instrucciones documentadas completas y definitivas a la fecha de firma del Contrato de Servicios que el Responsable del Tratamiento proporciona al Encargado del Tratamiento para que lleve a cabo el Tratamiento de los Datos Personales. Cualesquiera instrucciones adicionales o alternativas deberán ser acordadas expresamente y por separado por las Partes. Las Instrucciones proporcionadas verbalmente deberán ser confirmadas de inmediato y por escrito por el Responsable del Tratamiento. Si el Encargado del Tratamiento no puede cumplir las Instrucciones por cualquier causa, se compromete a notificar dicha circunstancia sin demora al Responsable del Tratamiento, salvo que la legislación aplicable al Encargado del Tratamiento prohíba dicha notificación por motivos importantes de interés público. En el supuesto de que el Encargado del Tratamiento considere que el cumplimiento de cualesquiera Instrucciones del Responsable del Tratamiento infringe las Leyes y Normativas de Protección de Datos, lo notificará por escrito al Responsable del Tratamiento sin demora;
3.3. en el ámbito de sus competencias, se obliga a estructurar su organización corporativa interna para garantizar el cumplimiento de los requisitos específicos de protección de Datos Personales. El Encargado del Tratamiento adoptará las medidas técnicas y organizativas oportunas para proteger adecuadamente los Datos Personales cuyo Tratamiento lleve a cabo en nombre del Responsable del Tratamiento frente a su utilización indebida y su pérdida de conformidad con los requisitos previstos en las Leyes y Normativas de Protección de Datos. Se adjunta como Anexo 2 de la presente Adenda un resumen de las medidas técnicas y organizativas acordadas a la firma de la presente Adenda entre las Partes. El Encargado del Tratamiento supervisa regularmente el cumplimiento de estas medidas. El Encargado del Tratamiento podrá modificar las medidas técnicas y organizativas adoptadas para proteger adecuadamente los Datos Personales del Responsable del Tratamiento frente a su utilización indebida y pérdida, siempre y cuando dichas modificaciones no reduzcan significativamente la seguridad general de los Servicios durante el plazo de suscripción;
3.4. manifiesta que las personas encargadas del Tratamiento de los Datos Personales del Responsable del Tratamiento se han comprometido a preservar la confidencialidad o han asumido una obligación legal de confidencialidad;
3.5. se obliga a no divulgar directa o indirectamente los Datos Personales a ninguna persona, firma o entidad sin el previo consentimiento por escrito del Responsable del Tratamiento, excepto a aquellos socios, directivos, administradores, empleados, contables, abogados, contratistas independientes, trabajadores temporales, colaboradores, agentes o representantes del Encargado del Tratamiento que en cada momento sean empleados o contratados por el Encargado del Tratamiento, presten sus servicios al Encargado del Tratamiento o actúen en nombre de éste y necesiten acceder de buena fe a dichos Datos Personales (conjuntamente, los “Representantes”) y a aquellos Subencargados que intervengan en el Tratamiento de los Datos Personales y están sujetos a las obligaciones a las que se
refiere la cláusula 3.3, o salvo que lo exija cualquier ley o normativa aplicable al Encargado del Tratamiento, a sus Representantes o Subencargados;
3.6. se obliga a notificar al Responsable del Tratamiento por escrito y sin retrasos injustificados:
3.6.1. cualquier Violación de la Seguridad de los Datos Personales. Dicha notificación se realizará, cuando sea posible, en un plazo máximo de 72 horas desde que el Encargado del Tratamiento sea consciente de la existencia de la Violación de la Seguridad de los Datos Personales e incluirá, dependiendo de la naturaleza del Tratamiento y la información de que disponga el Encargado del Tratamiento, la información pertinente para ayudar razonablemente al Responsable del Tratamiento a garantizar el cumplimiento de sus propias obligaciones de notificación en virtud de las Leyes y Normativas de Protección de Datos. En la medida en que no sea posible proporcionar toda la información pertinente al mismo tiempo, el Encargado del Tratamiento podrá proporcionar la información por fases sin retrasos injustificados;
3.7. teniendo en cuenta la naturaleza del Tratamiento, se obliga a prestar asistencia razonable al Responsable del Tratamiento y con cargo a éste adoptando medidas técnicas y organizativas adecuadas, siempre y cuando sea razonablemente posible, para cumplir la obligación del Responsable del Tratamiento de responder a las solicitudes de ejercicio de los derechos del Interesado de conformidad con lo previsto en las Leyes y Normativas de Protección de Datos;
3.10. manifiesta que el Encargado del Tratamiento ha nombrado a un delegado de protección de datos en la medida exigida por las Leyes y Normativas de Protección de Datos. El Encargado del Tratamiento proporcionará los datos de contacto de la persona designada a solicitud del Responsable del Tratamiento; y
3.11. se obliga a prestar asistencia razonable al Responsable del Tratamiento y con cargo a éste para garantizar el cumplimiento de la obligación de realizar evaluaciones de impacto en la protección de datos, así como consultas previas a las autoridades de control, teniendo en cuenta la naturaleza del Tratamiento y la información de que dispone el Responsable del Tratamiento.
4. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO
El Responsable del Tratamiento manifiesta y garantiza que cualquier divulgación de Datos Personales realizada por él mismo o en su nombre al Encargado del Tratamiento cuenta con el consentimiento del Interesado o es lícita.
5. PERIODO DE VIGENCIA; EXTINCIÓN; DEVOLUCIÓN SUPRESIÓN DE LOS DATOS PERSONALES
La presente Adenda surtirá sus efectos a la fecha de la entrada en vigor del Contrato de Servicios entre las Partes al que se incorpora la presente Adenda y se extinguirá automáticamente en aquel de los supuestos siguientes que se produzca en último lugar: (a) a la cancelación o extinción de las obligaciones del Encargado del Tratamiento en relación con los Servicios o (b) a la finalización del Tratamiento de los Datos Personales por parte del Encargado del Tratamiento.
A la extinción de la presente Adenda, el Encargado del Tratamiento deberá devolver al Responsable del Tratamiento o suprimir, a elección del Responsable del Tratamiento, todos los Datos Personales Tratados por cuenta del Responsable del Tratamiento, salvo que la legislación aplicable exija la
conservación de los Datos Personales. Cuando sea requerido para ello por el Responsable del Tratamiento, el Encargado del Tratamiento deberá confirmar por escrito el cumplimiento de dichas obligaciones.
Las Partes acuerdan que las limitaciones de responsabilidad establecidas en el Contrato de Servicios, si las hubiera, se apliquen también al incumplimiento de las disposiciones de la presente Adenda o a cualquier daño que pueda derivarse de la infracción de las Leyes y Normativas de Protección de Datos por parte del Encargado del Tratamiento o de cualquier Subencargado. Nada de lo dispuesto en esta cláusula afectará a las disposiciones restantes sobre responsabilidad del Contrato de Servicios, incluyendo cualquier exclusión especifica respecto de cualquier limitación de responsabilidad.
7. AUDITORÍAS Y SOLICITUDES DE INFORMACIÓN
El Responsable del Tratamiento podrá, durante el horario laboral habitual, sin interferir significativamente en el desarrollo de la actividad del Encargado del Tratamiento y tras preavisarle con una antelación razonable, auditar personalmente al Encargado del Tratamiento o designar a un auditor externo, que deberá asumir obligaciones de confidencialidad y no competir con el Encargado del Tratamiento, para que lleve a cabo dicha auditoría exclusivamente con cargo al Responsable del Tratamiento.
El Responsable del Tratamiento se compromete a auditar a Taric no más de una vez al año y únicamente tras haber avisado con una antelación razonable, i.e. mínima de treinta (30) días, salvo que existan indicios de incumplimiento o la auditoría sea requerida por una autoridad de control en materia de protección de datos, un tribunal competente o en virtud de las Leyes y Normativas de Protección de Datos aplicables tras una Violación de la Seguridad de los Datos Personales en el Encargado del Tratamiento que afecte a los Datos Personales del Responsable del Tratamiento.
Antes de iniciar cualquier auditoría in situ, el Responsable del Tratamiento y el Encargado del Tratamiento acordarán mutuamente el alcance, calendario y duración de la auditoría. El Encargado del Tratamiento proporcionará al Responsable del Tratamiento, cuando sea requerido para ello y dentro de un plazo razonable, la información pertinente para facilitar cualquier auditoría del Tratamiento objeto de la presente Adenda. Al decidir sobre una auditoría, el Responsable del Tratamiento tendrá en cuenta las certificaciones de que disponga el Encargado del Tratamiento o los informes de auditoría proporcionados por éste.
El Responsable del Tratamiento asegurará y será responsable de garantizar la confidencialidad de los resultados del informe de auditoría, salvo que su divulgación sea exigida por una autoridad de control en materia de protección de datos, un tribunal competente o en virtud de las Leyes y Normativas de Protección de Datos aplicables. El Encargado del Tratamiento repercutirá al Responsable del Tratamiento los costes razonables en los que se haya incurrido al responder a las solicitudes de información y al prestar asistencia en relación con las auditorías.
8. NOMBRAMIENTO DE SUBENCARGADOS
8.1. En virtud de la presente Xxxxxx, el Responsable del Tratamiento presta su consentimiento y concede su autorización general para la contratación de los Subencargados por el Encargado del Tratamiento. La actual lista de Subencargados – que puede ser actualizada por el Encargado del Tratamiento – se puede encontrar en el Anexo 3 de la presente Adenda.
8.2. El Encargado del Tratamiento deberá notificar la contratación de cualquier nuevo Subencargado al Responsable del Tratamiento antes de autorizar al Subencargado a llevar a cabo el Tratamiento de los Datos Personales en el marco de la prestación de los Servicios. Para ejercer su derecho a oponerse a que el Encargado del Tratamiento recurra a un nuevo Subencargado, el Responsable del Tratamiento deberá notificarlo por escrito al Encargado del Tratamiento en los diez (10) días siguientes a la
recepción de la notificación del Encargado del Tratamiento. En el supuesto de que el Responsable del Tratamiento se oponga a la utilización de un nuevo Subencargado y dicha oposición esté debidamente fundamentada y justificada, el Encargado del Tratamiento hará todo lo posible para ofrecer al Responsable del Tratamiento una modificación de los Servicios o, alternativamente, recomendará una modificación de la configuración o uso de los Servicios por parte del Responsable del Tratamiento que sea razonable desde un punto de vista comercial para evitar que el nuevo Subencargado cuestionado lleve a cabo el Tratamiento de Datos Personales sin que ello suponga una carga injustificada para el Responsable del Tratamiento. Si el Encargado del Tratamiento no puede ofrecer dicha modificación en un plazo razonable, que no deberá ser superior a treinta (30) días, el Responsable del Tratamiento podrá poner fin a aquella parte de los Servicios que no pueda ser prestada por el Encargado del Tratamiento sin recurrir al nuevo Subencargado cuestionado, notificándolo por escrito al Encargado del Tratamiento.
8.3. El referido Tratamiento por parte de un Subencargado se llevará a cabo de conformidad con un contrato formalizado por escrito que no sea menos restrictivo que la presente Adenda. Dicho contrato exigirá que el Subencargado únicamente lleve a cabo el Tratamiento de los Datos Personales para prestar los Servicios especificados en el contrato y no que no lleve a cabo el Tratamiento de los Datos Personales para sus propios fines.
8.4. Ninguna actividad de Tratamiento desarrollada por un Subencargado liberará al Encargado del Tratamiento de sus obligaciones derivadas de la presente Adenda, y el Encargado del Tratamiento será plenamente responsable frente al Responsable del Tratamiento del trabajo y las actividades de cada uno de sus Subencargados, con sujeción a las limitaciones del Contrato de Servicios.
9. ENTIDADES VINCULADAS AUTORIZADAS
Las Partes reconocen y aceptan que, al firmar el Contrato de Servicios, el Responsable del Tratamiento celebra la presente Adenda en nombre y representación de sus Entidades Vinculadas Autorizadas (en la medida en que dichas Entidades Vinculadas estén autorizadas en virtud del Contrato de Servicios aplicable) y que, en consecuencia, se suscribe una Adenda por separado entre el Encargado del Tratamiento y cada una de dichas Entidades Vinculadas Autorizadas, con sujeción a las disposiciones del Contrato de Servicios o documento análogo que lo sustituya y de esta cláusula
9. Cada una de las Entidades Vinculadas Autorizadas se obliga a cumplir las obligaciones derivadas de la presente Adenda y, en la medida en que sea aplicable, del Contrato de Servicios.
El Responsable del Tratamiento manifiesta y garantiza que ha sido debidamente autorizado por sus Entidades Vinculadas Autorizadas para suscribir la presente Adenda en nombre y representación de sus Entidades Vinculadas Autorizadas.
10. CLÁUSULAS CONTRACTUALES TIPO, TRANSFERENCIAS INTERNACIONALES
10.2. A los efectos de las transferencias de datos a las que se refiere la cláusula 10.1, las CCT formarán parte integrante de la presente Adenda y se aplicarán de la forma especificada en las cláusulas 10.3 a 10.17 siguientes, que contienen disposiciones operativas para la aplicación de las CCT,
(a) al Responsable del Tratamiento; y
(b) a las Entidades Vinculadas Autorizadas del Responsable del Tratamiento,
en la medida en que cualquiera de las entidades mencionadas esté sujeta a las Leyes y Normativas de Protección de Datos de la UE, del EEE y/o de sus estados miembros, de Suiza y/x xxx Xxxxx Unido. A los efectos de las CCT, la Adenda del ICO UK y esta cláusula 10, El Responsable del Tratamiento o sus Entidades Vinculadas serán, individual o conjuntamente, el “Exportador de Datos”, y Taric será el “Importador de Datos”.
10.4. A los efectos de las cláusulas 8.5 y 16(d) de las CCT, las Partes acuerdan que Taric únicamente proporcionará al Exportador de Datos la certificación de la supresión de los Datos Personales si así se solicita por escrito.
10.5. A los efectos de la cláusula 8.6(a) de las CCT, el Exportador de datos será el único responsable de determinar de forma independiente si las medidas técnicas y organizativas establecidas en el Anexo II de las CCT cumplen sus requisitos. El Exportador de Datos reconoce que, a la firma del Contrato de Servicios y teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Tratamiento de los Datos Personales, así como los riesgos para las personas, las medidas técnicas y organizativas adoptadas por Taric proporcionan un nivel de seguridad adecuado al riesgo respecto a los Datos Personales.
10.6. A los efectos de las cláusulas 8.9(a)-(c) de las CCT, Taric tratará las solicitudes de información del Exportador de Datos de conformidad con la cláusula 3.8 de la presente Adenda.
10.7. A los efectos de las cláusulas 8.9(c)-(e) de las CCT, cualquier auditoría se llevará a cabo de conformidad con la cláusula 7 de la presente Adenda.
10.8. A los efectos de la cláusula 9.a de las CCT, se aplicará lo siguiente:
10.8.1. Taric cuenta con la autorización general del Exportador de Datos para contratar Subencargados de conformidad con la cláusula 8 de la presente Adenda. La lista de Subencargados – que puede ser actualizada por el Encargado del Tratamiento - se adjunta como Anexo 3 a la presente Adenda. Taric deberá informar al Exportador de Datos de cualquier cambio en los Subencargados siguiendo el procedimiento establecido en la cláusula 8 de la presente Adenda.
10.8.2. En el supuesto de que Taric suscriba el Módulo 3 de las CCT (que regula las transferencias de Datos Personales entre Encargados del Tratamiento) con un Subencargado en relación con la prestación de los Servicios, el Exportador de Datos faculta en virtud de la presente Adenda a Taric y a sus Entidades Vinculadas para autorizar de forma general, en nombre del Exportador de Datos, la contratación de otros Subencargados por parte de los Subencargados que intervengan en la prestación de los Servicios, así como para decidir y aprobar la incorporación o sustitución de cualquiera de dichos Subencargados.
10.9. A los efectos de la cláusula 11 de las CCT y con sujeción a la cláusula 3.6.2 de la presente Adenda, Taric comunicará a los Interesados, a través de su sitio web, el nombre de la persona de contacto autorizada para tramitar sus reclamaciones. Taric deberá informar al Exportador de Datos si recibe una reclamación de un Interesado o si surge cualquier controversia con un Interesado relativa a los Datos Personales en relación con la prestación de los Servicios, y deberá poner la reclamación o la controversia en conocimiento del Exportador de Datos sin retrasos injustificados y en todo caso en un plazo máximo de 48 horas laborables. Taric no tendrá ninguna otra obligación de tramitar la solicitud, salvo que se acuerde lo contrario con el Exportador de Datos en cada caso individual.
10.10. A los efectos de la cláusula 12 de las CCT, se aplicará lo siguiente:
10.10.1. La responsabilidad de Taric en virtud de la cláusula 12(a) de las CCT estará sujeta a las limitaciones del Contrato de Servicios.
00.00.0.Xx responsabilidad de Taric en virtud de la cláusula 12(b) de las CCT se limitará a los daños y perjuicios ocasionados por su Tratamiento cuando no haya cumplido con aquellas de sus obligaciones derivadas de la RGPD que estén específicamente dirigidas a los Encargados del Tratamiento, o si ha actuado al margen o en contra de las Instrucciones legales del Exportador de Datos, tal y como se especifica en el artículo 82(2) de la RGPD.
10.10.3. Xxxxx estará exenta de responsabilidad en virtud de la cláusula 10.10.2 de la presente Xxxxxx si demuestra que no es en modo alguno responsable del hecho que haya ocasionado los daños y perjuicios de conformidad con el artículo 82, apartado 3, del RGPD.
10.11. A los efectos de la cláusula 13 de las CCT, se aplicará lo siguiente:
10.11.1. Cuando el Exportador de Datos esté establecido en un Estado miembro de la UE, la autoridad de control responsable de garantizar el cumplimiento del RGPD por parte del Exportador de Datos en lo que respecta a la transferencia de datos actuará como autoridad de control competente en materia de protección de datos.
10.11.2. Cuando el Exportador de Datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del RGPD de conformidad con su artículo 3, apartado 2, y haya designado a un representante de conformidad con el artículo 27, apartado 1, del RGPD, la autoridad de control del Estado miembro de la UE en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del RGPD actuará como autoridad de control competente en materia de protección de datos.
10.11.3. Cuando el Exportador de Datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del RGPD de conformidad con su artículo 3, apartado 2, sin estar obligado a designar a un representante de conformidad con el artículo 27, apartado 2, del RGPD, el Comisionado de Hamburgo para la Protección de Datos y la Libertad de Información actuará como autoridad de control competente en materia de protección de datos.
10.12. A los efectos de la cláusula 15(1)(a) de las CCT, se aplicará lo siguiente:
10.12.1. El Importador de Datos deberá notificar al Exportador de Datos (únicamente) y no al/a los Interesado/s si
(a) recibe una solicitud jurídicamente vinculante de comunicación de Datos Personales transferidos de conformidad con las CCT presentada por una autoridad pública, incluyendo autoridades judiciales, en virtud de las leyes del país de destino; o
(b) tiene conocimiento de que las autoridades públicas han tenido acceso directo a los Datos Personales transferidos de conformidad con las CCT en virtud de las leyes del país de destino.
10.12.2. El Exportador de Datos será enteramente responsable de notificar con prontitud al/a los Interesado(s) cuando sea necesario.
10.13.El Derecho aplicable a los efectos de la cláusula 17 de las CCT será el Derecho que se aplique al Contrato de Servicios. Si el Contrato de Servicios no se rige por la legislación de un Estado miembro de la UE, las CCT se regirán por el Derecho de España.
10.14.A los efectos de la cláusula 18(b) de las CCT, los tribunales de la ciudad de Madrid, España, tendrán competencia exclusiva para resolver cualquier controversia derivada de las CCT.
10.15.El Anexo de las CCT se cumplimentará como sigue:
(a) El contenido del apartado 1 del Anexo 1 de la presente Adenda conformará el Anexo I.A de las CCT.
(b) El contenido del apartado 2 del Anexo 1 de la presente Adenda conformará el Anexo I.B de las CCT.
(c) El contenido del apartado 3 del Anexo 1 de la presente Adenda conformará el Anexo I.C de las CCT.
(d) El contenido del Anexo 2 de la presente Adenda conformará el Anexo II de las CCT.
(e) El contenido del Anexo 3 de la presente Adenda conformará el Anexo III de las CCT.
10.16.En lo respecta a cualquier transferencia de Datos Personales regulada por las Leyes y Normativas de Protección de Datos de Suiza, las Partes acuerdan que las CCT se aplicarán a dicha transferencia de conformidad con las cláusulas 10.3 a 10.15 de la presente Adenda, tal como se especifica detalladamente a continuación:
(a) En las CCT, las referencias generales y específicas al RGPD y a la legislación de la UE o de sus Estados miembros tendrán el mismo significado que la referencia equivalente en las Leyes y Normativas de Protección de Datos de Suiza;
(c) A los efectos de la cláusula 18(b) de las CCT, los tribunales de Suiza tendrán competencia exclusiva para resolver cualquier controversia que se derive de las CCT tal y como se especifica en este apartado;
(d) A los efectos de la cláusula 18(c) de las CCT, el término “Estado miembro” no se interpretará de manera que se prive a los Interesados en Suiza de la posibilidad de ejercer acciones judiciales para defender sus derechos en su lugar de residencia habitual (es decir, Suiza); y
(e) Las CCT también se aplican a la transferencia de información relativa a una persona jurídica identificada o identificable cuando dicha información está protegida de forma similar a los Datos Personales en virtud de las Leyes y Normativas de Protección de Datos de Suiza hasta que dichas leyes se modifiquen para dejar de aplicarse a una persona jurídica.
(a) La “fecha de inicio” a los efectos de la parte 1 de la Adenda del ICO UK será la fecha de firma del Anexo 1 por parte del Responsable del Tratamiento, tal como se especifica en la cláusula 10.18 de la presente Adenda;
(b) “Las partes” a los efectos de la parte 1 de la Adenda del ICO UK serán Taric, como Importador de Datos, y el Responsable del Tratamiento y sus Entidades Vinculadas Autorizadas, como Exportador de Datos, tal como se especifica en la cláusula 10.2 de la presente Adenda y en los apartados 1.1 y 1.2 del Anexo 1 cumplimentado y firmado;
(c) Los “contactos clave” a los efectos de la parte 1 de la Adenda del ICO UK serán las personas
especificadas en los apartados 1.1 y 1.2 del Anexo 1 cumplimentado y firmado;
(d) Las “CCT de la Adenda” a los efectos de la parte 1 de la Adenda del ICO UK serán las CCT especificadas en las cláusulas 10.3 a 10.15 de la presente Adenda;
(e) La “Información del Anexo” a los efectos de la parte 1 de la Adenda del ICO UK será la información
incluida en el Anexo 1 al Anexo 3, tal como se especifica en la cláusula 10.15 de la presente Adenda.
(f) A los efectos de la parte 1 de la Adenda del ICO UK, el Importador de Datos podrá resolver la Adenda del ICO UK con sujeción a las condiciones establecidas en el apartado 19 de la Adenda del ICO UK.
10.18.Taric ha firmado previamente el apartado 1 del Anexo 1 con la intención de obligarse una vez firmado dicho apartado por el Responsable del Tratamiento. La cumplimentación y la firma del apartado 1.1 del Anexo 1 por parte del Responsable del Tratamiento en su propio nombre y en nombre y representación de sus Entidades Vinculadas Autorizadas se considerarán constitutivas de la firma y la aceptación de las CCT y, en la medida en que resultase aplicable, de la Adenda del ICO UK, conforme se especifican para ambos casos en esta cláusula 10. Al suscribir el Responsable del Tratamiento las CCT y, en la medida en que resultase aplicable, la Adenda del ICO UK en nombre y representación de las Entidades Vinculadas Autorizadas, dichas Entidades Vinculadas Autorizadas (en la medida en que cualquiera de ellas esté autorizada en virtud del Contrato de Servicios aplicable) pasarán a ser parte de las CCT y, en la medida en que resultase aplicable, de la Adenda del ICO UK como Exportador/es de Datos adicional/es en virtud del Anexo 1 de la presente Adenda, con sujeción a las disposiciones de la presente Adenda y de esta cláusula 10.
Cada Entidad Vinculada Autorizada se compromete a cumplir las obligaciones derivadas de las CCT y, en la medida en que sea aplicable, las obligaciones derivadas de la Adenda del ICO UK, conforme se especifican para ambos casos en esta cláusula 10. Todo acceso y uso de los Servicios por parte de las Entidades Vinculadas Autorizadas deberá cumplir lo dispuesto en las CCT y, en la medida en que resultase aplicable, la Adenda del ICO UK, conforme se especifican para ambos casos en esta cláusula 10, y cualquier incumplimiento de las disposiciones de las CCT y, en la medida en que resultase aplicable, de la Adenda del ICO UK por parte de una Entidad Vinculada Autorizada se considerará como un incumplimiento por parte del Responsable del Tratamiento.
10.20. El Responsable del Tratamiento declara y garantiza completar y firmar la sección "exportador de datos" en la sección 1 del Anexo 1 el día de la firma del Contrato de Servicios. El Responsable del Tratamiento devolverá la sección 1 del Anexo 1 completa y firmada a Taric por correo electrónico a xxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xxx dentro de los diez (10) días posteriores a la firma del Contrato de Servicios.
11. DISPOSICIONES GENERALES
11.1. Cualquier modificación o ampliación de la presente Adenda (incluyendo sus Anexos) deberá formalizarse por escrito para que surta efectos. Lo dispuesto anteriormente se aplicará también a la modificación del requisito de formalización por escrito que se establece en esta cláusula. El requisito de formalización por escrito previsto en esta cláusula no incluye ni faxes ni ningún método de reproducción de palabras o texto en forma legible y no transitoria (como el correo electrónico).
11.2. En el supuesto de que cualquiera de las disposiciones de la presente Adenda sea o pase a ser inválida, dicha circunstancia no afectará a la validez de las disposiciones restantes. En tal caso, las Partes estarán obligadas a redactar conjuntamente una disposición legalmente válida que refleje de la forma más aproximada posible el sentido de la disposición inválida. Lo dispuesto anteriormente se aplicará de la misma forma a cualquier laguna existente en la presente Adenda.
11.3. Las obligaciones del Encargado del Tratamiento derivadas de disposiciones legales o de una resolución dictada por un órgano judicial o regulador no se verán afectadas por la presente Adenda.
11.4. La presente Adenda no sustituye los derechos comparables o adicionales que se establezcan el Contrato de Servicios en relación con el Tratamiento de los Datos Personales del Responsable del Tratamiento. En caso de conflicto o incoherencia entre la presente Adenda y el Contrato de Servicios, prevalecerá la presente Adenda.
11.5. En caso de conflicto o incoherencia entre la presente Adenda y las CCT, prevalecerán estas últimas.
11.6. En caso de conflicto o incoherencia entre las CCT y la Adenda del ICO UK, prevalecerá esta última, salvo cuando (y en la medida en que) las disposiciones de las CCT que sean incoherentes o entren en conflicto con la Adenda del ICO UK proporcionen una mayor protección a los Interesados, en cuyo caso dichas disposiciones prevalecerán sobre la Adenda del ICO UK.
11.7. La presente Adenda se regirá por la misma legislación que el Contrato de Servicios entre las Partes, salvo en el caso de las CCT, que se regirán por la legislación aplicable de conformidad con las cláusulas 17 de las CCT y 10.3 de la presente Adenda, así como en el caso de las transferencias de datos reguladas por la cláusula 10.17 del RGPD xxx Xxxxx Unido de la presente Adenda, en relación con el apartado 15(m) del Adenda del ICO UK.
Lista de Anexos:
Anexo 1: Descripción del Tratamiento
Anexo 2: Descripción de las medidas técnicas y organizativas Anexo 3: Subencargados
Anexo 4: Cláusulas Contractuales Tipo
Página de firmas
Firmado como un contrato.
Firmado en nombre de Taric por: |
Firma del apoderado |
Nombre del apoderado (en letras) |
Cargo (en letras) |
Fecha de firma |
Declaración de los apoderados del Cliente que firman el presente documento
Al firmar el presente documento, cada apoderado, administrador o secretario del Cliente manifiesta y garantiza que ha leído el presente documento, que es un representante debidamente autorizado del Cliente y que está plenamente facultado y autorizado individualmente (en el caso de un único apoderado) o conjuntamente (en el caso de dos apoderados) para firmar el presente documento y obligar al Cliente de conformidad con sus términos.
Firmado en nombre de (Cliente) por: | ||
su primer o único apoderado/administrador: | su segundo apoderado/administrador (si es necesario): | |
Firma | Firma | |
Nombre (en letras) | Nombre (en letras) | |
Cargo (en letras) | Cargo (en letras) | |
Fecha de firma | Fecha de firma |
Anexo 1: Descripción del tratamiento
1. LISTA DE PARTES Exportador de Datos
El Exportador de Datos es:
El Cliente según está definido, que es una entidad que desea obtener soluciones de software y servicios relacionados del importador de datos y la provisión y recepción de estos servicios puede implicar el tratamiento de Datos Personales.
Nombre, puesto y datos de contacto de la persona de contacto:
Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: Prestación de los Servicios de conformidad con el Contrato de Servicios y como se describe más detalladamente en esta Adenda.
Nombre, firma y fecha:
Rol (responsable/encargado): A los efectos de las Cláusulas Contractuales Tipo establecidas en el Anexo 4 de esta Adenda, el Cliente y/o su Entidad Vinculada Autorizada actúa como Responsable del Tratamiento.
Importador de Datos
El Importador de Datos es:
Taric según está definido, una compañía que presta soluciones de software y servicios relacionados a sus clientes.
Nombre, puesto y datos de contacto de la persona de contacto:
Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: Prestación de los Servicios de conformidad con el Contrato de Servicios y como se describe más detalladamente en esta Adenda.
Nombre, firma y fecha:
Rol (responsable/encargado): A los efectos de las Cláusulas Contractuales Tipo establecidas en el Anexo 4 de esta Adenda, Taric actúa como Encargado del Tratamiento.
2. DESCRIPCIÓN DE LA TRANSFERENCIA Interesados
Los Datos Personales transferidos corresponden con las siguientes categorías de Interesados:
• Clientes
• Clientes potenciales.
• Empleados
• Proveedores
• Agentes autorizados
• Personas de contacto
Categorías de Datos Personales
Los Datos Personales transferidos se refieren a las siguientes categorías de datos:
• Datos Personales Maestros (Datos Personales Clave)
• Datos de contacto
• Datos contractuales clave (relaciones contractuales/jurídicas, intereses contractuales o sobre productos)
• Historial del cliente
• Datos de facturación y pagos del contrato
• Información divulgada (de terceros, por ejemplo, agencias de verificación de solvencia o directorios públicos).
Datos sensibles transferidos (si procede) y restricciones o garantías aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan *
• N/A
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de una vez o de forma periódica)
Los datos se transfieren de forma constante y periódica.
Naturaleza del tratamiento y finalidad de la trasferencia y tratamiento posterior
Taric tratará los datos del Cliente para dar cumplimiento a las obligaciones contractuales existentes entre las partes y prestar los servicios de soporte y mantenimiento a los que se refieren el Contrato de Servicios y la presente Adenda a través de la plataforma E-Request.
El plazo durante el cual se conservarán los Datos Personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo
Salvo que las leyes y normativas locales aplicables exijan un periodo diferente, los datos personales se conservarán hasta aquel de los hechos siguientes que se produzca en primer lugar: 1) el desmantelamiento programado de la(s) base(s) de datos aplicable(s) como consecuencia de la extinción del Contrato de Servicios; o 2) la confirmación por escrito, del Cliente a Taric, de que el Cliente ya no necesita que se conserven los datos.
En caso de transferencia a (Sub)encargados, especificar también el objeto, naturaleza y duración del tratamiento
Conforme se establece en el Contrato de Servicios y en la presente Adenda.
3. AUTORIDAD DE CONTROL COMPETENTE
Para identificar la(s) autoridad(es) de control competente(s) de conformidad con la cláusula 13 de las CCT, consúltese la cláusula 10.11 de la presente Adenda, la cláusula 10.16(b) de la presente Adenda y la cláusula 10.17 de la presente Adenda en relación con el apartado 15(k) de la Adenda del ICO UK.
La lista actualizada de las autoridades de control competentes en materia de protección de datos en la UE/el EEE y sus datos de contacto puede consultarse en xxxxx://xxxx.xxxxxx.xx/xxxxx- edpb/about-edpb/members_es. Se puede contactar con la autoridad de control competente xxx Xxxxx Unido de la forma indicada en xxxxx://xxx.xxx.xx/xxxxxx/xxxxxxx-xx/ y con la autoridad de control competente de Suiza de la forma indicada en xxxxx://xxx.xxxxx.xxxxx.xx/xxxxx/xx/xxxx/xxx-xxxxx/xxxxxxx.xxxx.
Anexo 2: Descripción de las medidas técnicas y organizativas
Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el Importador de Datos:
Confidencialidad (artículo 32(1) lit. (b) RGPD)
• Control de acceso físico
Se impide el acceso no autorizado a las instalaciones de tratamiento de datos, por ejemplo, mediante tarjetas magnéticas o con chip, llaves, sistemas electrónicos de apertura de puertas, servicios de seguridad de las instalaciones y/o personal de seguridad en las entradas, sistemas de alarma, sistemas de vídeo/CCTV;
• Control de acceso electrónico
Se impide el uso no autorizado de los sistemas de tratamiento y conservación de datos, por ejemplo, mediante contraseñas (seguras), mecanismos automáticos de bloqueo, autenticación de dos factores, cifrado de soportes de datos/dispositivos de almacenamiento;
• Control interno de acceso (permisos para que el usuario pueda ejercer sus derechos de acceso y rectificación de los datos)
Prohibición xx xxxx, copiar, rectificar o suprimir los datos de forma no autorizada dentro del sistema, por ejemplo, concepto de autorización de derechos, derechos de acceso basados en la necesidad, registro de eventos de acceso al sistema;
• Control de aislamiento
El Tratamiento aislado de los datos, que se recogen con distintos fines, por ejemplo, soporte a múltiples clientes, sandboxing; y
• Pseudonimización (artículo 32, apartado 1, letra a, RGPD; artículo 25, apartado 1, RGPD)
El Tratamiento de Datos Personales de tal forma que los datos no puedan asociarse a un Interesado específico sin la ayuda de información adicional, siempre y cuando dicha información adicional se conserve por separado y esté sujeta a medidas técnicas y organizativas adecuadas.
Integridad (artículo 32(1) lit. (b) RGPD)
• Control de transferencia de datos
Prohibición xx xxxx, copiar, rectificar o suprimir datos de forma no autorizada mediante transferencia o transporte electrónico, por ejemplo, cifrado, redes privadas virtuales (VPN), firma electrónica; y
• Control de entrada de datos
Verificación de si se han introducido, rectificado o suprimido datos personales en un sistema de tratamiento de datos y por quién, por ejemplo: registro, gestión de documentos.
Disponibilidad y resiliencia (artículo 32(1) lit. (b) RGPD)
• Control de disponibilidad
Prevención de la destrucción o pérdida accidental o intencionada, por ejemplo: estrategia de realización de copias de seguridad (online/físicas; dentro/fuera de las instalaciones), sistema de alimentación ininterrumpida (SAI), protección contra virus, cortafuegos, procedimientos de notificación y planes de contingencia; y
• Recuperación rápida (artículo 32(1) letra (c) RGPD).
Proceso de verificación, evaluación y valoración regulares (artículo 32, apartado 1, letra d) RGPD; artículo 25, apartado 1, RGPD)
• Gestión de la protección de datos;
• Gestión de respuestas a incidencias;
• Protección de datos desde el diseño y por defecto (artículo 25, apartado 1, RGPD);
• Control de pedidos o contratos; y
• Prohibición del tratamiento de datos por parte de terceros, de conformidad con el artículo 28 RGPD, sin las correspondientes instrucciones del cliente, por ejemplo: acuerdos contractuales claros e inequívocos, gestión de pedidos formalizados, controles estrictos sobre selección de proveedores, obligación de evaluación previa, controles de seguimiento de supervisión.
Medidas de seguridad
1. El Importador de Datos/Subencargado ha establecido y mantendrá un programa de seguridad de conformidad con las normas del sector.
2. En concreto, el programa de seguridad del Importador de Datos/Subencargado incluirá:
Control de acceso a las áreas de tratamiento
El Importador de Datos/Subencargado ha adoptado medidas adecuadas para evitar el acceso de personas no autorizadas a los equipos de tratamiento de datos (en concreto, teléfonos, servidores de bases de datos y aplicaciones y hardware relacionado) en los que se tratan o utilizan los datos personales, incluyendo:
• El establecimiento de zonas de seguridad;
• La protección y restricción de las vías de acceso;
• El establecimiento de autorizaciones de acceso para empleados y terceros, incluyendo la documentación correspondiente;
• El registro, control y rastreo de todos los accesos al centro de datos donde se alojan los Datos Personales; y
• La protección del centro de datos donde se alojan los Datos Personales mediante un sistema de alarma de seguridad y otras medidas de seguridad adecuadas.
Control de acceso a los sistemas de tratamiento de datos
El Importador de Datos/Subencargado aplica medidas adecuadas para evitar que sus sistemas de tratamiento de datos sean utilizados por personas no autorizadas, incluyendo:
• La utilización de tecnologías de cifrado adecuadas;
• La identificación del terminal y/o del usuario del terminal al Importador de Datos/Subencargado y a los sistemas de tratamiento;
• El bloqueo temporal automático del terminal del usuario si se deja inactivo, siendo necesario identificarse e introducir la contraseña para volver a abrirlo;
• El bloqueo temporal automático del identificador de usuario cuando se introducen varias contraseñas erróneas, el registro de eventos, el control de intentos de intrusión (alertas); y
• El registro, control y rastreo de todos los accesos al contenido de los datos.
Control de acceso para utilizar áreas específicas de los sistemas de tratamiento de datos
El Importador de Datos/Subencargado se compromete a garantizar que las personas autorizadas a utilizar su sistema de tratamiento de datos solo puedan acceder a los datos en el ámbito y en la medida de sus respectivos permisos de acceso (autorización) y que los Datos Personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización. Esto se consigue a través de diversas medidas, incluyendo:
• Políticas y formación para empleados en lo que respecta a los derechos de acceso de cada empleado a los Datos Personales;
• Capacidad de control respecto de las personas que suprimen, añaden o modifican los Datos Personales;
• Divulgación de datos sólo a personas autorizadas, incluyendo la asignación de derechos de acceso y funciones diferenciadas; y
• Uso de tecnologías de cifrado adecuadas; y
• Control de archivos y destrucción de datos controlada y documentada.
Control de disponibilidad
El Importador de Datos/Subencargado aplica medidas adecuadas para garantizar la protección de los Datos Personales frente a su destrucción o pérdida accidental, incluyendo:
• Redundancia de infraestructuras; y
• Almacenamiento de copias de seguridad en un lugar alternativo y disponibilidad de estas para restaurar los datos personales en caso de fallo del sistema primario.
Control de la transmisión
El Importador de Datos/Subencargado aplica medidas adecuadas para evitar que los Datos Personales sean leídos, copiados, rectificados o suprimidos por personas no autorizadas durante su transmisión o durante el traslado de los soportes de almacenamiento de datos. Esto se consigue a través de diversas medidas, incluyendo:
• Uso de tecnologías adecuadas de cortafuegos, VPN y cifrado para proteger las pasarelas y los conductos por los que viajan los datos; y
• En la medida de lo posible, todas las transmisiones de datos se registran, controlan y rastrean.
Control de entrada
El Importador de Datos/Subencargado aplica medidas de control de entrada adecuadas, incluyendo:
• Una política de autorización para la introducción, lectura, modificación y supresión de datos;
• Autenticación del personal autorizado;
• Medidas de protección para la introducción de datos en la memoria, así como para la lectura, modificación y supresión de los datos conservados;
• Utilización de credenciales o códigos de autentificación únicos (contraseñas);
• Acceso bajo llave a las instalaciones de tratamiento de datos (a las salas que albergan el hardware informático y los equipos relacionados);
• Desconexión automática de las sesiones de usuario que no se han utilizado durante un periodo de tiempo significativo;
• Acreditación de la autorización de entrada en la organización del Importador de
Datos/Subencargado; y
• Registro electrónico de entradas.
Separación del tratamiento con fines diferentes
El Importador de Datos/Subencargado aplica medidas adecuadas para garantizar que los datos recogidos para diferentes fines puedan ser tratados por separado, incluyendo las siguientes:
• El acceso a los datos se separa entre los usuarios adecuados mediante la función de seguridad de la aplicación;
• Los módulos de la base de datos del Importador de Datos/Subencargado separan qué datos se utilizan para qué fin, es decir, por funcionalidad y función;
• A nivel de las bases de datos, los datos se conservan en bases de datos separadas para cada cliente con credenciales que sólo acceden a bases de datos individuales.
• Las interfaces, los procesos por lotes y los informes están diseñados únicamente para fines y funciones específicos, por lo que los datos recogidos para fines específicos se Tratan por separado.
Documentación
El Importador de Datos/Subencargado conservará documentación relativa a las medidas técnicas y organizativas adoptadas en caso de que se realicen auditorías y como prueba. El Importador de Datos/Subencargado adoptará medidas razonables para garantizar que sus empleados y las demás personas presentes en el lugar de trabajo correspondiente conozcan y cumplan las medidas técnicas y organizativas establecidas en el presente Anexo 2.
Control
El Importador de Datos/Subencargado aplicará medidas adecuadas para controlar las restricciones de acceso a sus administradores de sistemas y para garantizar que éstos actúen de conformidad con las instrucciones recibidas. Esto se consigue a través de diversas medidas, incluyendo:
• Nombrar individualmente a los administradores de los sistemas;
• Adoptar medidas adecuadas para documentar los registros de acceso de los administradores de los sistemas a la infraestructura de modo que dichos registros se conserven en un lugar seguro, se documenten con exactitud y no sufran modificaciones durante al menos seis meses;
• Llevar a cabo auditorías anuales de la actividad de los administradores de los sistemas para evaluar el cumplimiento de las tareas asignadas, las instrucciones recibidas por el Importador de Datos/Subencargado y la legislación aplicable;
• Mantener una lista actualizada con los datos de identificación de los administradores de los sistemas (por ejemplo, nombre, apellidos, función o área organizativa) y las tareas asignadas, y proporcionar dicha lista puntualmente al exportador de datos cuando lo solicite.
Anexo 3: Subencargados
El Responsable del Tratamiento ha autorizado la utilización de los siguientes Subencargados a través del grupo WiseTech Global Limited del que forma parte Taric:
Compañía | Dirección | Descripción del servicio | Duración del tratamiento |
Las Entidades Vinculadas del Importador de Datos que figuran en la tabla de subencargados internos que figura más adelante | Consúltese la tabla de subencargados internos que figura más adelante | Centros de datos | Durante el periodo de vigencia del Contrato de Licencia y Mantenimiento y del Contrato de Productos y Servicios y hasta que se complete el desmantelamiento de las bases de datos del Exportador de Datos |
Microsoft Ireland Operations Limited Microsoft Pty Ltd | C/o Microsoft Operations Pte Ltd Dept. 551, Volume Licensing, 00 Xxxxx Xxxxxx, #00-00 Xxxxxxx Xxxxx, Xxxxxxxxx 000000 República de Singapur 0 Xxxxxx Xxxx, Xxxxx Xxxx XXX 0000, Xxxxxxxxx | Intercambio - correo electrónico SharePoint - herramientas de colaboración Microsoft Teams: herramientas de colaboración Defender ATP - protección frente a amenazas Azure -IaaS, PaaS, SaaS | Durante el periodo de vigencia del Contrato de Licencia y Mantenimiento y del Contrato de Productos y Servicios y hasta que se complete el desmantelamiento de las bases de datos del Exportador de Datos |
Proofpoint Inc. | 000 Xxxx Xxxxx, Xxxxxxxxx, XX 00000, XX.XX. | Filtrado/cuarentena de correos electrónico | Durante el periodo de vigencia del Contrato de Licencia y Mantenimiento y del Contrato de Productos y Servicios y hasta que se complete el desmantelamiento de las bases de datos del Exportador de Datos, en el entendimiento, no obstante, de que el periodo de conservación de cualquier correo electrónico concreto puesto en cuarentena será de dos semanas contadas a partir de su recepción. |
Iron Mountain Australian Group Pty ltd | Australia Headquarters 000 Xxxxxxx Xx, Xxxx Xxxxxxxxx XXX 0000 | Conservación fuera de las instalaciones | Durante el periodo de vigencia del Contrato de Mantenimiento y Licencia y del Contrato de Productos y Servicios y hasta la finalización del periodo de conservación requerido posteriormente |
Aryaka Networks, Inc. | 0000 Xxxxxxx Xxxxx, Xxxxx 000, Xxx Xxxxx, XX 00000, XX.XX. | Servicios de aceleración de la red a través de Internet | Durante el periodo de vigencia del Contrato de Mantenimiento y Licencia y del Contrato de Productos y Servicios y hasta que se complete el desmantelamiento de las bases de datos del Exportador de Datos |
Subencargados internos
Nombre de la Compañía | País | Dirección |
WiseTech Global Limited | Australia | Xxxx 0x, 00 X’Xxxxxxx Xxxxxx, Xxxxxxxxxx XXX, Xxxxxxxxx |
WiseTech Global (US) Inc. | EE.UU. | 0000 Xxxx Xxxxxxxxx Xxxx, Xxxxxxxxxx XX 00000, EE.UU. |
CargoWise GmbH | Alemania | c/o Softship GmbH, Xxxxxxxxxxx 00-00, 00000, Xxxxxxx, Xxxxxxxx |
Taric Canarias, S.A.U | España | X/ Xx Xxxxx, 0, 0X, 00000, Xxxxx Xxxx Xx Xxxxxxxx, Xxxxxx |
Taric Trans, S.L.U | España | X/ Xxxxxx Xxxx, Xxx 0, XX 0, PTA A2, Ed Volpelleressant Xxxxx xxx Xxxxxx, Barcelona, España |
Anexo 4: Cláusulas Contractuales Tipo
(Módulo dos: transferencia de responsable a encargado)
SECCIÓN I
Cláusula 1
Finalidad y ámbito de aplicación
(a) La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) (Reglamento general de protección de datos)1, exige para la transferencia de datos personales a un tercer país.
(b) Las partes:
i. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo
«exportador de datos»), y
ii. la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directa o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»)
han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).
(c) El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo I.B.
(d) El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte xxx xxxxxx.
Cláusula 2
Efecto e invariabilidad de las cláusulas
(a) El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales
1 Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe por cuenta de una institución u organismo de la Unión como responsable del tratamiento, se considera que la utilización del presente pliego de cláusulas al recurrir a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estén armonizados el presente pliego de cláusulas y las obligaciones en materia de protección de datos que imponga el contrato u otro acto jurídico celebrado entre el responsable y el encargado con arreglo al artículo 29, apartado 3, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915.
siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
(b) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3
Terceros beneficiarios
(a) Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes:
i. Cláusulas 1, 2, 3, 6 y 7
ii. Cláusula 8.1, letra b) y cláusula 8.9, letras a), c), d) y e);
iii. Cláusula 9, letras a), c), d) y e);
iv. Cláusula 12, letras a), d) y f);
v. Cláusula 13;
vi. Cláusula 15.1, letras c), d) y e);
vii. Cláusula 16, letra e);
viii. Cláusula 18, letras a) y b).
(b) Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados
Cláusula 4 Interpretación
(a) Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.
(b) El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
(c) El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.
Cláusula 5 Jerarquía
En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.
Cláusula 6
Descripción de la transferencia o transferencias
Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B
Cláusula 7 (opcional) Cláusula de incorporación
(Se ha deįado en blanco intencionadamente.)
SECCIÓN II - OBLIGACIONES DE LAS PARTES
Cláusula 8
Garantías en materia de protección de datos
El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.
8.1. Instrucciones
(a) El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato.
(b) El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones.
8.2. Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del exportador de datos.
8.3. Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el anexo II y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.
8.4. Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.
8.5. Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.
Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los
requisitos de la cláusula 14, letra a).
8.6. Seguridad del tratamiento
(a) El importador de datos y, durante la transferencia, también el exportador de datos, aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la pseudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de pseudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
(b) El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
(c) En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.
(d) El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
8.7. Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.
8.8. Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea2 (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:
i. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;
ii. el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;
iii. si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o
iv. si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.
La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.
8.9. Documentación y cumplimiento
(a) El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.
(b) Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos.
(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.
(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.
(e) Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.
Cláusula 9
Recurso a subencargados
(a) El importador de datos cuenta con una autorización general del exportador de datos para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o
2 El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación xxx xxxxxxx interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI de este. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.
sustituciones de subencargados previstas en dicha lista con al menos diez (10) días de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeción.
(b) Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios3. Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula
8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.
(c) El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.
(e) El importador de datos pactará con el subencargado una cláusula xx xxxxxxx beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.
Cláusula 10
Derechos del interesado
(a) El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo.
(b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.
(c) En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del exportador de datos.
Cláusula 11 Reparación
(a) El importador de datos informará a los interesados, de forma transparente y en un formato de
fácil acceso, mediante notificación individual o en su página web, del punto de contacto
3 Este requisito podrá satisfacerse si el subencargado se adhiere al presente pliego de cláusulas, con elección del módulo correspondiente, con arreglo a la cláusula 7.
autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.
(b) En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.
(c) El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho xx xxxxxxx beneficiario con arreglo a la cláusula 3, la decisión del interesado de:
i. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 13;
ii. ejercitar una acción judicial en el sentido de la cláusula 18.
(d) Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
(e) El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.
(f) El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.
Cláusula 12 Responsabilidad
(a) Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause
por cualquier vulneración del presente pliego de cláusulas.
(b) El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas.
(c) A pesar de lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación.
(d) Las partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra c), de los daños o perjuicios causados por el importador de datos (o su subencargado), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos.
(e) Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.
(f) Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.
(g) El importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.
Cláusula 13 Supervisión
(a) [Cuando el exportador de datos esté establecido en un Estado miembro de la UE:] La
autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente.
[Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679, de conformidad con el artículo 3, apartado 2, y haya nombrado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679:] La autoridad de control del Estado miembro en que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, indicada en el anexo I.C, actuará como autoridad de control competente.
[Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de la Comisión, de conformidad con el artículo 3, apartado 2, y no haya nombrado a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679 de la Comisión:] La autoridad de control de uno de los Estado miembros en que estén situados los interesados cuyos datos personales se transfieran en virtud del presente pliego de cláusulas en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado, indicada en el anexo I.C, actuará como autoridad de control competente.
(b) El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.
SECCIÓN III - DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14
Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
(a) Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
(b) Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:
i. las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector
económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;
ii. el Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables4.
iii. las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.
(c) El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.
(d) Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud.
(e) El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a).
(f) De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e).
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
4 Por lo que se refiere al efecto de dicho Derecho y prácticas en el cumplimiento del presente pliego de cláusulas, a la hora de realizar una valoración integral de esta cuestión pueden tenerse en cuenta distintos aspectos. Uno de estos aspectos puede ser que haya experiencia práctica pertinente y documentada en casos anteriores de solicitudes de comunicación por parte de las autoridades públicas, o la ausencia de tales solicitudes, en un período suficientemente representativo. Con esto se quiere decir, en particular, los registros internos u otra documentación elaborados de forma continua con la diligencia debida y certificados en los niveles más altos de la dirección siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir el presente pliego de cláusulas, deberá estar respaldada por otros elementos pertinentes y objetivos; corresponde a las partes valorar minuciosamente si la suma de estos factores es suficientemente determinante, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las partes deben tener en cuenta si su experiencia práctica está corroborada y no se ve desmentida, por información que sea fiable y de dominio público o accesible de cualquier otro modo acerca de la existencia o ausencia de solicitudes en el mismo sector o acerca de la aplicación de la normativa de que se trate en la práctica, como jurisprudencia e informes de organismos de supervisión independientes.
15.1. Notificación
(a) El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:
i. recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o
ii. tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.
(b) Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos.
(c) En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.).
(d) El importador de datos se compromete a conservar la información a que se refieren las letras
a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.
(e) Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.
15.2. Control de la legalidad y minimización de datos
(a) El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos.
(b) El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.
(c) El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la
solicitud.
SECCIÓN IV - DISPOSICIONES FINALES
Cláusula 16
Incumplimiento de las cláusulas y resolución del contrato
(a) El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.
(b) En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f).
(c) El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
i. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
ii. el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o
iii. el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.
En este supuesto, informará a la autoridad de supervisión competente de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.
(d) Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo se aplicará a las copias de los datos. El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.
(e) Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
Cláusula 17 Derecho aplicable
El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de los terceros beneficiarios. Las partes acuerdan que sea el Derecho de (especificar Estado Miembro).
Cláusula 18
Elección del foro y jurisdicción
(a) Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.
(b) Las partes acuerdan que sean los tribunales de (especificar Estado Miembro).
(c) Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual.
(d) Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.
APÉNDICE
NOTA ACLARATORIA:
Se debe poder distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, por tanto, determinar la función o funciones respectivas de las partes en cuanto exportador(as) de datos y/o importador(as) de datos. No es imprescindible cumplimentar y firmar apéndices separados por cada transferencia o categoría de transferencias y/o relación contractual si se puede lograr un nivel de transparencia equivalente cumplimentando un solo apéndice. No obstante, cuando sea necesario para garantizar claridad suficiente, deben utilizarse apéndices separado.
(Ver Anexo 1 de esta Adenda)
ANEXO I
ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS, EN ESPECIAL MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
(Ver Anexo 2 de esta Adenda)
ANEXO III - LISTA DE SUBENCARGADOS
(Ver Anexo 3 de esta Adenda)
* * *