ADENDA PARA EL TRATAMIENTO DE DATOS DEL CLIENTE
ADENDA PARA EL TRATAMIENTO DE DATOS DEL CLIENTE
La presente Adenda para el tratamiento de datos (“ATD”) y los correspondientes Anexos serán de aplicación cuando HP actúe como Encargado del tratamiento de datos y trate Datos personales del Cliente por cuenta de este último con el fin de proporcionar los Servicios convenidos en el/los respectivo(s) contrato(s) suscrito(s) entre HP y el Cliente (“Contrato de servicios”). La presente ATD no será de aplicación cuando HP y el Cliente se consideren Responsables del tratamiento de datos por derecho propio. Los términos en mayúscula que no estén específicamente definidos en el presente documento tendrán el significado que se establece en el Contrato de servicios. En el supuesto de contradicción entre los términos del Contrato de servicios y la presente ATD en lo referente al tratamiento de Datos personales, prevalecerá esta ATD.
1 DEFINICIONES
1.1 “Cliente” hace referencia al cliente y usuario final de los Servicios HP;
1.2 “Datos personales del Cliente” hace referencia a los Datos personales respecto a los cuales el Cliente es el Responsable del tratamiento y que HP trata en calidad de Encargado del tratamiento o de Subencargado en el transcurso de la prestación de los Servicios;
1.3 “Responsable del tratamiento” hace referencia a la persona física o jurídica, autoridad, agencia o cualquier otro organismo público que, de forma independiente o en conjunto con otros, determine los fines y los medios del tratamiento de Datos personales; cuando dichos fines y medios del tratamiento estén determinados por la Legislación de privacidad y protección de datos correspondiente, el Responsable del tratamiento o los criterios de nombramiento del Responsable del tratamiento serán conformes a lo que indiquen las Leyes de privacidad y protección de datos aplicables;
1.4 “Encargado del tratamiento” hace referencia a cualquier persona física o jurídica, agencia o cualquier otro organismo público que trata Datos personales por cuenta de un Responsable del tratamiento o según las instrucciones de otro Encargado del tratamiento que actúe por cuenta de un Responsable del tratamiento;
1.5 “Leyes de privacidad y protección de datos” hace referencia a todas las leyes y normativas actuales y futuras aplicables al tratamiento, la seguridad, la protección y la retención de Datos personales y de la privacidad, que existan en las correspondientes jurisdicciones, incluido, a modo de ejemplo, la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas, cualesquiera leyes o reglamentos nacionales que transpongan las anteriores Directivas, el RGPD (cuando proceda), así como cualesquiera leyes de protección de datos de Noruega, Islandia, Liechtenstein, Suiza o el Xxxxx Unido (una vez el Xxxxx Unido cese de pertenecer a la UE) y cuantas modificaciones o sustituciones tengan lugar en dichas leyes y reglamentos;
1.6 “Interesado” tendrá el significado que se le asigna al término “interesado” conforme a las Leyes de privacidad y protección de datos aplicables e incluirá, como mínimo, toda persona física identificada o identificable con la que estén relacionados los Datos personales;
1.7 “UE” hace referencia a la Unión Europea y a los países que son miembros de la unión, en su conjunto;
1.8 “País europeo” hace referencia a un estado miembro de la UE, a Noruega, Islandia, Liechtenstein, Suiza y el Xxxxx Unido, una vez que este cese de ser un miembro de la UE;
1.9 “Cláusulas contractuales tipo de la UE” hace referencia a las cláusulas contractuales tipo de la UE para la transferencia de Datos personales a los Encargados del tratamiento de datos recogidas en la Decisión 2010/87/UE o sucesivas;
1.10 “Privacy Shield UE-EE. UU.” hace referencia al marco del Privacy Shield UE-EE. UU. establecido por el Departamento de Comercio de EE. UU. y la Comisión Europea, incluyendo sus eventuales modificaciones o sustituciones;
1.11 “RGPD” hace referencia al Reglamento General de Protección de Datos 2016/679 (UE) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
1.12 “Grupo HP” hace referencia a HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) y a todas las filiales de las que sea titular o ejerza un control mayoritario, con independencia de la jurisdicción en la que se hayan constituido o en la que operen;
1.13 “Datos personales” hace referencia a cualquier información relativa a una persona física en vida, identificada o identificable, o conforme a la definición aplicable de acuerdo con las Leyes de privacidad y protección de datos. Persona identificable se considerará la que puede ser identificada, directa o indirectamente, en particular mediante referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicos de su identidad física, fisiológica, genética, mental, económica, cultural o social;
1.14 “Incidente de datos personales” tendrá el significado que las Leyes de privacidad y protección de datos aplicables asignan a los términos “incidente de seguridad”, “violación de la seguridad de los datos” o “violación de la seguridad de los datos personales”, pero incluirá cualquier situación en la que HP tenga conocimiento de que los Datos personales del cliente han sido objeto, o son susceptibles de ser objeto, de un acceso, una divulgación, una alteración, una pérdida, una destrucción o un uso por parte de personas no autorizadas, y de manera no autorizada;
1.15 “tratar”, “tratados”, “tratamiento” o “tratada” hace referencia a cualquier operación o conjunto de operaciones que se realicen sobre los Datos personales, sea o no a través de medios automáticos, incluido, a modo de ejemplo, el acceso, la recogida, el registro, la organización, la estructuración, la retención, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o, en general, la puesta a disposición, el cotejo, la combinación, el bloqueo, la limitación, el borrado y la destrucción de Datos personales, así como a cualesquiera definiciones equivalentes en las Leyes de privacidad y protección de datos aplicables en la medida en que dichas definiciones sobrepasen a la definición presente;
1.16 “Tercer País” hace referencia a todos los países ajenos a Países europeos y demás países a los que les sea aplicable una decisión de adecuación con arreglo al Artículo 25(6) de la Directiva europea sobre Protección de datos o al Artículo 45 del RGPD;
1.17 “Servicios” hace referencia a servicios, incluidos productos y soporte, que HP suministre en virtud del Contrato de servicios;
1.18 “Contrato de servicios” hace referencia al contrato entre HP y el Cliente para la contratación o la compra de Servicios a HP; y
1.19 “Subencargado” hace referencia a cualquier entidad contratada por HP o por cualquier otro Subencargado de HP que reciba Datos personales del Cliente para llevar a cabo actividades de tratamiento por cuenta del Cliente.
2 ALCANCE Y CUMPLIMIENTO DE LA LEGISLACIÓN
2.1 La presente ATD será únicamente de aplicación al tratamiento de Datos personales del cliente por parte de HP en relación con la prestación de los Servicios a cargo de HP y cuando HP actúe en calidad de Encargado del tratamiento por cuenta del Cliente, siendo éste el Responsable del tratamiento. La presente ATD no será de aplicación cuando HP y el Cliente se consideren Responsables del tratamiento de datos por derecho propio.
2.2 Las categorías de Interesados, los tipos de Datos personales del Cliente tratados y los fines del tratamiento figuran indicados en el Anexo 1 de la presente ATD. HP tratará Datos personales del Cliente durante la vigencia del Contrato de servicios (o más tiempo, tal y como lo exija la legislación aplicable).
2.3 El Cliente, en su uso de los Servicios de HP, tendrá la responsabilidad en exclusiva del cumplimiento de todas las Leyes de privacidad y protección de datos aplicables con respecto a la exactitud, la calidad y la legalidad de los Datos personales del Cliente que HP vaya a tratar en relación con los Servicios. Además, el Cliente se asegurará de que las instrucciones que facilita a HP en relación con el tratamiento de Datos personales del Cliente cumplen todas las Leyes de privacidad y protección de datos aplicables y no hará que HP incumpla sus obligaciones en virtud de dichas Leyes de privacidad y protección de datos aplicables.
2.4 Si el Cliente usa los Servicios para tratar categorías de Datos personales que no figuren expresamente contempladas en esta ATD, el Cliente actúa por su propia cuenta y riesgo y HP no será responsable de ninguna posible falta de cumplimiento relacionada con dicho uso.
2.5 En caso de que HP proporcione al Cliente Datos personales de algún empleado de HP o un empleado de HP proporcione Datos personales directamente al Cliente, que este último trate para gestionar su uso de los Servicios, el Cliente habrá de tratar esos Datos personales de acuerdo con sus políticas de privacidad y con las Leyes de privacidad y protección de datos aplicables. HP procederá a proporcionar este tipo de Datos personales únicamente en caso de que resulte lícito a efectos de gestión contractual, gestión del servicio, a efectos de seguridad o para verificar la debida revisión de antecedentes del Cliente.
3 OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
3.1 Sin perjuicio de ningún aspecto en contrario recogido en el Contrato de servicios, en relación con los Datos personales del Cliente, HP habrá de:
3.1.1 tratar Datos personales del Cliente únicamente de acuerdo con las instrucciones documentadas del Cliente (que podrán ser de carácter específico o general, conforme a lo estipulado en el Contrato de servicios o según lo que indique el Cliente). Sin perjuicio de lo anterior, HP podrá tratar Datos personales del Cliente conforme a lo que exija la legislación aplicable. En esta situación, HP adoptará las debidas medidas para informar al Cliente de dicha exigencia antes de tratar los datos, salvo que así lo prohíba la legislación;
3.1.2 asegurarse de que únicamente el personal autorizado, que haya realizado la formación apropiada en la protección y manejo de Datos personales y que esté sujeto al respeto de la confidencialidad de los Datos personales del Cliente, tenga acceso a los mismos;
3.1.3 implementar las medidas técnicas y organizativas apropiadas para protegerse contra la destrucción, pérdida o alteración no autorizadas o ilícitas, así como contra la divulgación o el acceso no autorizados de los Datos personales del Cliente. Estas medidas serán las apropiadas para el perjuicio que pueda resultar de cualquier tratamiento ilícito o no autorizado, de la pérdida, destrucción o daños accidentales o del robo de Datos personales del Cliente, y teniendo en cuenta la naturaleza de los Datos personales del Cliente que deban protegerse.
3.1.4 sin demora injustificada y en la medida permitida por la ley, informar al Cliente de cualesquiera peticiones de Interesados que pretendan ejercer sus derechos al amparo de las Leyes de privacidad y protección de datos aplicables y, previa solicitud por escrito del Cliente y con cargos x xxxxx de este último, teniendo en cuenta la naturaleza del tratamiento, asistir al Cliente mediante la implementación de las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para ayudar al Cliente a satisfacer su obligación de responder a las referidas peticiones. En la medida en que los Datos personales del Cliente no estén accesibles al Cliente a través de los Servicios que se prestan en virtud del Contrato de servicios, HP, siempre que lo permita la legislación y previa solicitud del Cliente, pondrá su empeño, dentro de lo comercialmente razonable, en asistir al Cliente para responder a dichas peticiones en caso de que la respuesta a las mismas sea obligatoria a tenor de las Leyes de privacidad y protección de datos aplicables;
3.1.5 previa solicitud por escrito del Cliente y con cargos x xxxxx de este, teniendo en cuenta la naturaleza del tratamiento y la información disponible para HP, asistir al Cliente respecto a sus obligaciones en virtud de los Artículos 32 a 36 del RGPD o de disposiciones equivalentes con arreglo a las Leyes de privacidad y protección de datos aplicables. HP se reserva el derecho a cobrar una tasa adicional por la asistencia prestada en virtud de la presente cláusula 3.1.5 y de las cláusulas 3.1.3 y 3.1.4; y
3.1.6 previa solicitud por escrito del Cliente, borrar o devolverle cualesquiera Datos personales del Cliente una vez finalizada la prestación de los Servicios, salvo que la legislación aplicable exija el almacenamiento de los Datos personales del Cliente.
4 SUBTRATAMIENTO
4.1 El Cliente autoriza a HP a transferir Datos personales del Cliente o dar acceso a los Datos personales del Cliente a miembros del Grupo HP y terceros en calidad de Subencargados (y permitir a los Subencargados que designen a otros de acuerdo con la cláusula 4.1) a efectos de prestar los Servicios y demás fines recogidos en el apartado de 'Actividades de tratamiento' del Anexo 1. HP seguirá siendo responsable de que su Subencargado cumpla las obligaciones de la presente ATD. HP se asegurará de que todo Subencargado al cual HP transfiera Datos personales del Cliente suscribe contratos escritos con HP en los que se exija al Subencargado someterse a unos términos al menos igual de protectores que los estipulados en la presente ATD. HP pondrá a disposición del Cliente la lista actual de Subencargados para los Servicios contemplados en el Contrato de servicios.
4.2 HP puede nombrar un nuevo Subencargado en cualquier momento y sin justificación, siempre mediante aviso al Cliente con diez (10) días de antelación y que éste no se oponga de forma legítima a dichos cambios durante el plazo concedido. Las objeciones legítimas deben incluir argumentos
razonables y documentados relacionados con el incumplimiento de las Leyes de privacidad y protección de datos aplicables por parte de un determinado Subencargado. En caso de que las objeciones sean legítimas, en opinión de HP, esta se abstendrá de recurrir al Subencargado en cuestión en lo referente al tratamiento de los Datos personales del Cliente. En estos casos, HP hará lo posible, dentro de lo razonable, por (i) poner a disposición del Cliente un cambio en los Servicios de HP o (ii) recomendar un cambio en la configuración o el uso de los Servicios por parte del Cliente para evitar que el Subencargado al que se objeta se ocupe del tratamiento de Datos personales del Cliente. Si HP no puede ofrecer dicho cambio en un plazo de tiempo razonable, que no habrá de superar los noventa (90) días, el Cliente podrá rescindir el Servicio que HP no pueda suministrar sin recurrir al Subencargado al que se objete, cursando a HP aviso por escrito.
5 INCIDENTES DE DATOS PERSONALES
5.1 HP informará al Cliente sin demora injustificada en caso de que tenga conocimiento de cualquier Incidente de datos personales que implique los Datos personales del Cliente, y adoptará los pasos que el Cliente exija y en los plazos por él indicados, dentro de lo razonable, para reparar el Incidente de datos personales y aportar la información posterior que el Cliente solicite, dentro de lo razonable. HP se reserva el derecho a cobrar una tasa adicional por la asistencia prestada en virtud de la presente cláusula 5.1, salvo que, y en la medida en que, el Cliente demuestre que dicha asistencia sea necesaria en razón de un incumplimiento de esta ATD por parte de HP.
6 TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES DEL CLIENTE
6.1 HP podrá transferir Datos personales del Cliente fuera del país en el que se hayan recogido originalmente, siempre y cuando dicha transferencia sea necesaria en relación con los Servicios y tenga lugar de acuerdo con las Leyes de privacidad y protección de datos aplicables.
6.2 Disposiciones europeas específicas
6.2.1 En la medida en que los Datos personales del Cliente se transfieren de un País europeo al Tercer País, HP facilitará los mecanismos de transferencia enumerados a continuación, que serán de aplicación a toda transferencia, en el orden de prioridad establecido en la cláusula
6.2.2 y de acuerdo con las Leyes de privacidad y protección de datos aplicables:
6.2.1.1 Privacy Shield UE-EE. UU: HP dispone de la certificación de Privacy Shield UE-EE. UU. para los Datos personales del Cliente y garantiza que conservará dicha certificación e informará diligentemente al Cliente en caso de que no la renueve, la pierda o la modifique de modo que el tratamiento de los Datos personales del Cliente deje de corresponder al alcance de la certificación.
6.2.1.2 Cláusulas contractuales tipo de la UE: Las Cláusulas contractuales tipo de la UE se incorporan en su totalidad y en virtud del presente documento a esta ATD y, en la medida aplicable, HP se asegurará de que sus Subencargados cumplen las obligaciones del importador de datos (según se define en las Cláusulas contractuales tipo de la UE). En la medida en que exista alguna contradicción entre esta ATD y las Cláusulas contractuales tipo de la UE, prevalecerán los términos de estas últimas.
6.2.2 En el supuesto de que los Servicios estén cubiertos por más de un mecanismo de transferencia, la transferencia de los Datos personales del Cliente estará sujeta a un solo mecanismo de transferencia de acuerdo con el siguiente orden de prioridad: 1) la certificación de HP del Privacy Shield UE-EE. UU.; y 2) las Cláusulas contractuales tipo de la UE.
7 AUDITORÍAS
7.1 Previa solicitud por escrito del Cliente, HP pondrá a disposición de este toda la información necesaria para demostrar el cumplimiento de las obligaciones estipuladas en las Leyes de privacidad y protección de datos aplicables; no obstante, HP no estará obligada a proporcionar información confidencial de carácter comercial. No más de una vez al año y a expensas del Cliente, HP permitirá y contribuirá a auditorías e inspecciones a cargo del Cliente o del auditor tercero que aquel autorice, sin que dicho auditor sea un competidor de HP. Las Partes acordarán mutuamente el alcance de tales auditorías, incluidas las condiciones de confidencialidad, con anterioridad a su inicio.
8 RESPONSABILIDAD
8.1 La responsabilidad de HP derivada o relacionada con su tratamiento de los Datos personales del Cliente de acuerdo con la presente ATD (ya sea por contrato, delito civil o en base a cualquier otro fundamento jurídico de responsabilidad) estará sujeta a las disposiciones de limitación de responsabilidad que se estipulan en el Contrato de servicios.
Anexo 1
Detalles del tratamiento
HP podrá actualizar periódicamente el presente Anexo 1 para reflejar cambios en las actividades de tratamiento.
Categorías de Interesados
• Empleados, clientes, agentes y subcontratistas del Cliente. Tipos de Datos personales
Los Datos personales del Cliente que HP trata en relación con su prestación de los Servicios estarán determinados y controlados por el Cliente en calidad de Responsable del tratamiento y de acuerdo con la declaración de trabajo y/o los pedidos de compra/de cambio correspondientes, pero podrán incluir, a modo de ejemplo:
• Datos de contacto: como un nombre, un número de teléfono profesional, una dirección de correo electrónico profesional y la dirección del trabajo;
• Datos de credenciales de seguridad: como el número de identificación o de placa de empleado;
• Datos de uso de producto: como páginas impresas, modo de impresión, soporte utilizado, marca de tinta o de tóner, tipo de archivo impreso (.pdf, .jpg, etc.), aplicación usada para la impresión (Word, Excel, Adobe Photoshop, etc.), tamaño del archivo, sello de tiempo, así como uso y estado de otros suministros de impresión;
• Datos de rendimiento: eventos de impresión, características y alertas usadas como advertencias de “nivel bajo de tinta”, uso de tarjetas fotográficas, fax, escáner, servidor web integrado e información técnica adicional que varía según el producto;
• Datos del dispositivo: información sobre ordenadores, impresoras y/o dispositivos como el sistema operativo, cantidad de memoria, región, idioma, zona horaria, número de modelo, fecha de primer inicio, edad del dispositivo, fecha de fabricación del dispositivo, versión del navegador, fabricante del ordenador, puerto de conexión, estado de la garantía, identificadores únicos del dispositivo, identificadores publicitarios e información técnica adicional que varía según el producto;
• Datos de la aplicación: información relacionada con aplicaciones de HP como la localización, el idioma, las versiones de software, las opciones de datos compartidos y detalles de actualización; y
• Otros Datos personales que un Interesado proporciona cuando interactúa en persona, en línea, por teléfono o por correo con los centros de servicio, los servicios de asistencia y demás canales de atención al cliente para facilitar el suministro de Servicios HP y para responder a las consultas del Cliente y/o del Interesado.
Actividades de tratamiento
HP usará los Datos personales del Cliente tratados en relación con el Contrato de servicios para gestionar la relación con el Cliente y proporcionarle Servicios. HP podrá tratar Datos personales del Cliente para:
• prestar servicios de gestión xx xxxxx como los Servicios de impresión gestionada y Dispositivo como servicio;
• mantener datos de contacto y registro exactos para ofrecer unos servicios de soporte y mantenimiento integrales, incluida la asistencia de garantía ampliada y el pack de atención, así como la facilitación de reparaciones y devoluciones;
• facilitar el acceso x xxxxxxxx para la realización y finalización de pedidos de productos y servicios, a efectos de administración de cuentas y organización de expediciones y entregas;
• mejorar el rendimiento y el funcionamiento de productos, soluciones, servicios y soporte, incluida la asistencia de garantía y las pertinentes actualizaciones del soporte lógico inalterable y del software, así como de alertas que aseguren el continuo funcionamiento del dispositivo o servicio;
• ocuparse de las comunicaciones administrativas con el Cliente respecto a los Servicios. Ejemplos de comunicaciones administrativas serían las respuestas a consultas o solicitudes del Cliente, comunicaciones relativas a la finalización de un servicio o a la garantía, notificaciones de retiradas de producto por seguridad o las correspondientes actualizaciones de empresa relativas a fusiones, adquisiciones o desinversiones;
• mantener la integridad y seguridad de los sitios web, productos, servicios y las funciones de HP e impedir y detectar amenazas de seguridad, fraudes y demás actividades delictivas o maliciosas que puedan poner en riesgo la información del Cliente;
• verificar la identidad del Cliente, incluyendo la solicitud del nombre en llamadas telefónicas y el número de identificación o de placa de empleado para el suministro de servicios de mantenimiento remoto de HP;
• cumplir las correspondientes leyes, normativas, órdenes judiciales y peticiones del gobierno o de la policía y proteger a los empleados y demás clientes, así como resolver litigios; y
• ofrecer una experiencia adaptada, personalizar los Servicios y las comunicaciones y crear recomendaciones.
CLÁUSULAS CONTRACTUALES TIPO («ENCARGADOS DEL TRATAMIENTO»)
Las presentes Cláusulas contractuales tipo (encargados del tratamiento) se adjuntan y forman parte integral del Acuerdo de protección de datos (“ATD”) entre HP y el Cliente.
A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos.
Nombre de la entidad exportadora de los datos: Ver Apéndice 1
Dirección: ...................................................................................................................................................................
Tel. ...................................;. Fax .................................;. correo electrónico: ........................................................
Otros datos necesarios para identificar a la entidad:
................................................................................................................................................................
(en lo sucesivo, el exportador de datos)
y
Nombre de la entidad importadora de los datos: Ver Apéndice 1
Dirección:....................................................................................................................................................................................................
Tel. ....................................;. Fax ...................................;. correo electrónico: ............................................
Otros datos necesarios para identificar a la entidad:
........................................................................................................................................................................................
(en lo sucesivo, el importador de datos)
cada una de ellas «la parte»; conjuntamente «las partes»
ACUERDAN las siguientes cláusulas contractuales (en lo sucesivo, las «cláusulas») con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el apéndice 1.
A los efectos de las presentes cláusulas:
Cláusula 1
Definiciones
a) «datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento», «encargado del trata‐ miento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE xxx Xxxxx‐ mento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos1;
b) por «exportador de datos» se entenderá el responsable del tratamiento que transfiera los datos personales;
c) por «importador de datos» se entenderá el encargado del tratamiento que acuerde en recibir del exportador de datos, datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
d) por «subencargado del tratamiento» se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito;
1 Las partes podrán reproducir en esta cláusula las definiciones y significados de la Directiva 95/46/CE si consideran que ello beneficia a la autonomía del contrato.
e) por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;
f) por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, espe‐ cialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.
Cláusula 3
Cláusula xx xxxxxxx beneficiario
1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.
2. Los interesados podrán exigir al importador de datos el cumplimiento dela presente cláusula, las letrasa) a e) y
g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.
3. Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.
4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;
b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;
c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;
d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
e) asegurará que dichas medidas se lleven a la práctica;
f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;
g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;
h) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios
de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
i) que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y
j) que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.
Cláusula 5
Obligaciones del importador de datos2
El importador de datos acuerda y garantiza lo siguiente:
a) tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instruc‐ ciones y las cláusulas. Encaso de que no pueda cumplirestos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;
d) notificará sin demora al exportador de datos sobre:
i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación xx xxx a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confiden‐ cialidad de una investigación levada a cabo por una de dichas autoridades,
ii) todo acceso accidental o no autorizado,
iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;
e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;
f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de con‐ formidad con la autoridad de control;
g) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos;
h) que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;
i) que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;
j) enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con arreglo a las cláusulas.
Cláusula 6
Responsabilidad
1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del
2 Las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses recogidos en el artículo 13, apartado 1, de la Directiva 95/46/CE, es decir, si dichas obligaciones constituyen una medida necesaria para la salvaguardia de la seguridad del Estado; la defensa; la seguridad pública; la prevención, investigación, detección y enjuiciamiento de delitos o infracciones de la deontología en las profesiones reguladas; un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de otras personas, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de obligaciones que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otras, las sanciones reconocidas en el ámbito internacional, las obligaciones de notificación en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.
tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.
2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugardel exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad.
El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.
3. En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencargado del tratamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos envirtud de las cláusulasen el lugardel exportadorde datos o del importadorde datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.
Cláusula 7
Mediación y jurisdicción
1. El importador de datos acuerda que, si el interesado invoca en su contra derechos xx xxxxxxx beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:
a) someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control;
b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.
2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.
Cláusula 8
Cooperación con las autoridades de control
1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.
2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencar‐ gado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquiersubencargado no permita auditar al importadorni a los subencargados, con arreglo al apartado
2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.
Cláusula 9
Legislación aplicable
Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.
Cláusula 10
Variación del contrato
Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.
Cláusula 11
Subtratamiento de datos
1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas3. En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de
3 Este requisito
puede verse satisfecho si el subencargado es cosignatario del contrato acordado entre el exportador de datos y el importador de datos con arreglo a la presente Decisión.
protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula xx xxxxxxx beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponerlademanda deindemnizacióna queserefiereelapartado 1 de lacláusula 6 contra el exportador de datoso el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas
3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.
4. El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.
Cláusula 12
Obligacionesuna vez finalizada la prestación de losservicios de tratamiento de los datos personales
1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales trans‐ feridos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.
2. El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1.
Apéndice 1
A las cláusulas contractuales tipo
El presente apéndice forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.
Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente apéndice.
Exportador de datos
El exportador de datos es (especifique brevemente sus actividades correspondientes a la transferencia):
El exportador de datos es la entidad jurídica que ha formalizado el Contrato de servicios y todas las filiales del Cliente establecidas en un País europeo que han contratado Servicios de acuerdo con el Contrato de servicios.
Importador de datos
El importador de datos es (especifique brevemente sus actividades correspondientes a la transferencia):
HP Inc. (1501 Page Mill Road, Palo Alto, CA 94304) junto con todas las subsidiarias de las que tenga la propiedad o control mayoritarios, con independencia de la jurisdicción en la que se hayan constituido o en la que operen (“Grupo HP”), en calidad de proveedores de los Servicios estipulados en el correspondiente Contrato de servicios.
Interesados Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquense): Ver Anexo 1 ‐ ATD.
Categorías de datos Los datos personales transferidos se refieren a las siguientes categorías de datos (especifíquense): Ver Anexo 1 ‐ ATD.
Categorías especiales de datos (si es pertinente) Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifíquense): Ver Anexo 1 ‐ ATD.
Operaciones de tratamiento
Los datos personales transferidos serán sometidos a las operaciones básicas de tratamiento siguientes (especifíquense):
Ver Anexo 1 ‐ ATD.
Apéndice 2
A las cláusulas contractuales tipo
El presente Xxxxxxxx forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.
Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de conformidadcon la letra d) de la cláusula 4 y la letra c) de la cláusula 5 (o documento o legislación adjuntos):
El importador de datos mantendrá las garantías administrativas, físicas y técnicas para la protección, la seguridad y la confidencialidad de los Datos personales tratados en relación con la prestación de Servicios que se ofrecen en virtud del correspondiente Contrato de servicios. Las garantías específicas podrán variar en función de la naturaleza de los Servicios que se presten en virtud del Contrato de servicios.