DPA PARA EEE/REINO UNIDO/SUIZA
DPA PARA EEE/XXXXX UNIDO/SUIZA
Si se indica que es aplicable en el SDPA entre el Cliente y el Proveedor, y el Cliente actúa como responsable del tratamiento y el Proveedor como encargado, este DPA para EEE/Xxxxx Unido/Suiza ("DPA") complementará el SDPA en lo que respecta a las obligaciones del Proveedor con relación a su tratamiento de Datos personales de EEE/Xxxxx Unido/Suiza y/o el Acuerdo. En la medida en que alguno de los términos del presente DPA entre en conflicto con alguno de los términos del SDPA, este DPA prevalecerá y sustituirá al SDPA (a menos que el SDPA proporcione un mayor nivel de protección a los Datos personales de EEE/Xxxxx Unido/Suiza).
1. DEFINICIONES. Según su uso en el presente DPA, los siguientes términos en mayúscula tendrán los significados indicados a continuación. El resto de términos deberán interpretarse según lo establecido en el SDPA.
"Responsable", "encargado", "interesado", "violación de la seguridad de los datos" y "tratamiento" tendrán el significado que se les otorgue en las normativas de EEE/Xxxxx Unido/Suiza. A efectos de este DPA, una "violación de la seguridad de los datos" se incluirá en la definición de "Incidente de seguridad de la información" en el SDPA.
"Datos personales de EEE/Xxxxx Unido/Suiza" hacen referencia, si procede, a (i) Datos personales a los que les fueran aplicables leyes de protección de datos de la Unión Europea ("UE") o un Estado miembro de la UE o del EEE cuando corresponda antes de su tratamiento por parte del Proveedor ("Datos personales del EEE"); (ii) Datos personales a los que les fueran aplicables leyes de protección xx Xxxxx Unido cuando corresponda antes de su tratamiento por parte del Proveedor ("Datos personales xx Xxxxx Unido") y (iii) Datos personales a los que les fueran aplicables leyes federales suizas sobre protección de datos (por sus siglas en inglés, “FADP”, Federal Act on Data Protection) antes de su tratamiento por parte del Proveedor ("Datos personales de Suiza").
"Normas de EEE/Xxxxx Unido/Suiza" hacen referencia al RGPD, la Directiva 2002/58/CE, la Directiva sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE) 2003, la Directiva sobre seguridad de las redes y sistemas de información (la Directiva NIS), la Ley federal suiza sobre protección de datos y cualquier legislación y/o regulación que las implemente o se remita a ellas, o que modifique, sustituya, vuelva a promulgar o consolide cualquiera de ellas, y todas las demás leyes aplicables relacionadas con el tratamiento de datos personales y privacidad en cualquier jurisdicción relevante, incluyendo, si procede, guías y códigos de prácticas expedidos por autoridades de control.
"RGPD" hace referencia, en cada caso, en la medida aplicable a las actividades de tratamiento: (i) Reglamento (UE) 2016/679 (el "RGPD UE"); y (ii) el RGPD según sea aplicable como parte de la ley doméstica xx Xxxxx Unido en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) 2018 y en su forma enmendada mediante el Reglamento de protección de datos, privacidad y comunicaciones electrónicas (modificaciones, etc.) (salida UE) 2019 (en su forma enmendada) (el "RGPD UK").
"Área protegida" significa (a) con relación a los Datos personales del EEE, los Estados miembros de la UE y del EEE y cualquier país, territorio, sector u organización internacional según los cuales esté en vigor una decisión sobre el carácter adecuado según el artículo 45 del RGPD UE; (b) con relación a los Datos personales xx Xxxxx Unido, Xxxxx Unido y cualquier país, territorio, sector u organización internacional según los cuales esté en vigor una decisión sobre el carácter adecuado según las regulaciones de adecuación xx Xxxxx Unido; y (c) en el caso de los Datos personales suizos, cualquier país, territorio, sector u organización internacional que estén reconocidos como adecuados en virtud de las leyes de Suiza.
1
Última actualización: 7 xx xxxx de 2024
"Ley relevante" significa: (a) con relación a los Datos personales del EEE, cualquier legislación de la UE o un Estado miembro de la UE o del EEE; (b) con relación a los Datos personales xx Xxxxx Unido, cualquier legislación de cualquier parte xxx Xxxxx Unido; y (c) con relación a los Datos personales de Suiza, cualquier legislación de Suiza.
"Cláusulas contractuales tipo" o "SCC", por sus siglas en inglés significa:
(a) con relación a los Datos personales del EEE, las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el RGPD UE, adoptado por la Comisión Europea en virtud de la Decisión de aplicación de la Comisión (UE) 2021/914, incluido el texto del módulo dos de dichas cláusulas en la medida en que el Cliente actúe como responsable y el Proveedor actúe como encargado, y sin incluir las cláusulas marcadas como opcionales ("SCCs UE");
(b) con relación a los Datos personales xx Xxxxx Unido, el Apéndice de transferencia internacional de datos a las SCC UE, promulgado por el Comisionado de Información y presentado al Parlamento de conformidad con la sección 119A de la Ley de protección de datos 2018 el 2 de febrero de 2022, pero según lo permitido por la cláusula 17 de dicho Apéndice, las partes acuerdan modificar el formato de la información especificada en la Parte 1 del Apéndice de manera que:
1. la información detallada de las partes en la tabla 1 deba ser según lo definido en el Apéndice 1, Anexo 1 de este DPA (sin requisito de firma);
2. a los efectos de la tabla 2, el Apéndice debe añadirse a las SCC UE (incluida la selección de módulos y la no aplicación de cláusulas opcionales según lo indicado arriba) y la sección del SDPA titulada "Subcontratistas" selecciona la opción y los plazos para la cláusula 9; y
3. la información del apéndice indicada en la tabla 3 se especifica en el Apéndice 1, Anexo II de este DPA y los EVSRs.
(c) con relación a los Datos personales de Suiza, las SCCs UE, siempre que cualquier referencia de las cláusulas al RGPD haga referencia a FADP; el término "Estado miembro" no debe interpretarse de manera que queden excluidos interesados en Suiza de la posibilidad de poner demandas por sus derechos en su lugar de residencia habitual de conformidad con la cláusula 18(c) de las cláusulas; y las cláusulas también deben proteger los datos de personas legales hasta la entrada en vigor de la FADP revisada.
2. Control de los Datos personales de EEE/Xxxxx Unido/Suiza. El Cliente tiene la autoridad exclusiva de dar instrucciones sobre el tratamiento de todos los Datos personales de EEE/Xxxxx Unido/Suiza por parte del Proveedor. El Proveedor tratará los Datos personales de EEE/Xxxxx Unido/Suiza solo de conformidad con las instrucciones por escrito del Cliente (que pueden ser instrucciones específicas o instrucciones de carácter general), según lo especificado en este DPA, el SDPA y el Acuerdo, o según lo notificado de otro modo por el Cliente al Proveedor cuando considere oportuno. El Proveedor no utilizará los Datos personales de EEE/Xxxxx Unido/Suiza con otras finalidades. El Proveedor acepta que todos los Datos personales de EEE/Xxxxx Unido/Suiza seguirán siendo propiedad exclusiva del Cliente o del último responsable del tratamiento que dé instrucciones al Cliente. El asunto del tratamiento de datos es la prestación de los Servicios, y el tratamiento se llevará a cabo mientras dure el Acuerdo. La Programación del SDPA especifica la naturaleza y la finalidad del tratamiento por parte del Proveedor, las clases de Datos personales tratados por el Proveedor y las categorías de interesados con relación a dichos Datos personales.
3. Requisitos adicionales de protección de datos. Con relación a los Datos personales de
EEE/Xxxxx Unido/Suiza tratados por el Proveedor en la prestación de los Servicios, sin coste adicional para el Cliente, el Proveedor deberá:
(a) Tratar los Datos personales de EEE/Xxxxx Unido/Suiza únicamente en la medida en que sea necesario para la prestación de los Servicios e informará al Cliente si según la Ley relevante el Proveedor debe tratar los Datos personales de EEE/Xxxxx Unido/Suiza de otra manera de conformidad con las instrucciones escritas del Cliente antes del tratamiento, a menos que la ley lo prohíba por motivos relevantes de interés público.
(b) A petición del Cliente, facilitar una copia de los Datos personales de EEE/Xxxxx Unido/Suiza o rectificar, suprimir, archivar, anonimizar, realizar la portabilidad o bloquear los Datos personales de EEE/Xxxxx Unido/Suiza, e informar inmediatamente al Cliente en cuanto tenga conocimiento de que los Datos personales de EEE/Xxxxx Unido/Suiza son o se han vuelto imprecisos.
(c) Designar a un delegado de protección de datos si así lo requieren las Normas de EEE/Xxxxx Unido/Suiza y conservar registros escritos de todas las categorías de actividades de tratamiento de Datos personales de EEE/Xxxxx Unido/Suiza llevadas a cabo por orden del Cliente que contengan la información prescrita en las Normas de EEE/Xxxxx Unido/Suiza.
(d) Remitir inmediatamente al Cliente cualquier solicitud, aviso, reclamación u otra comunicación relacionada con los Datos personales de EEE/Xxxxx Unido/Suiza tratados por el Proveedor que procedan de interesados, autoridades de control, autoridades policiales u otros terceros, en la medida en que esté permitido por la ley aplicable, para que el Cliente lo aclare.
(e) Xxxxxxx al cliente cooperación razonable y apoyo con relación a cualquier solicitud, aviso, reclamación u otra comunicación realizadas según el apartado (d) anterior, lo que incluye proporcionar al Cliente: (i) información detallada de la solicitud, aviso, reclamación u otra comunicación; (ii) aquellos Datos personales de EEE/Xxxxx Unido/Suiza que tenga con respecto a un interesado a petición del Cliente (y dentro de los plazos razonables exigidos por el Cliente); y (iii) si existe una solicitud razonable, cualquier información relacionada con los Servicios y/o el tratamiento asociado de los Datos personales de EEE/Xxxxx Unido/Suiza que puedan ayudar al Cliente en el cumplimiento de sus obligaciones según las Normas de EEE/Xxxxx Unido/Suiza.
(f) Cumplir sus obligaciones como encargado de los datos según las Normas de EEE/Xxxxx Unido/Suiza.
(g) Xxxxxx razonablemente al Cliente a cumplir sus obligaciones en virtud de las Normas de EEE/Xxxxx Unido/Suiza y no desempeñar sus obligaciones conforme al Acuerdo, el SDPA y este DPA de manera que provoque que el Cliente incumpla alguna de sus obligaciones.
(g) Proporcionar al Cliente cooperación suficiente y apoyo en relación con sus obligaciones de notificación sobre seguridad e infracciones, cualquier solicitud de realización de evaluaciones de impacto de protección de datos o evaluaciones de impacto de transferencias, documentación de rendición de cuentas o requisitos similares y consultar con las autoridades de control con relación al tratamiento de datos conforme a las Normas de EEE/Xxxxx Unido/Suiza.
(h) Si la Comisión Europea o el Comisionado de Información xx Xxxxx Unido (si procede) establece, o cualquier otra autoridad de control aplicable adopta cláusulas contractuales tipo para las cuestiones referidas en el Artículo 28(3) y el Artículo 28(4) del RGPD UE o del RGPD UK conforme al Artículo 28(7)
o el Artículo 28(8) del RGPD UE o el Artículo 28(8) del RGPD UK (según corresponda) y el Cliente notifica al Proveedor que desea incorporar algún elemento de esas cláusulas en el SDPA, el DPA y el Acuerdo, deberá trabajar con el Cliente para hacerlo.
(i) Proporcionar cualquier otra información razonable solicitada por el Cliente para demostrar el cumplimiento de este DPA por parte del Proveedor.
4. Uso de Subcontratistas. El Proveedor impondrá y aplicará a todos los Subcontratistas las obligaciones equivalentes a los términos de este DPA mediante un acuerdo por escrito. Para evitar cualquier tipo de duda, si un Subcontratista a quien el Proveedor haya dado instrucciones de tratar Datos personales de EEE/Xxxxx Unido/Suiza incumple sus obligaciones en virtud de cualquier acuerdo de subtratamiento o cualquier Norma de EEE/Xxxxx Unido/Suiza, el Proveedor será plenamente responsable del cumplimiento de este DPA por parte de sus Subcontratistas.
5. Mecanismos de transferencias internacionales.
(a) El Proveedor no transferirá, accederá ni utilizar los Datos personales de EEE/Xxxxx Unido/Suiza fuera del Área protegida sin la previa autorización del Cliente, y garantizará que ninguna de sus filiales o Subcontratistas lo haga. El Cliente acepta autorizar las transferencias definidas en el Apéndice 1 de este DPA para EEE/Xxxxx Unido/Suiza sobre la base de que el Proveedor y el Cliente aceptan cumplir las obligaciones definidas en las SCCs como si lo estuvieran en este DPA, donde el Cliente es el "exportador de datos" y el Proveedor es el "importador de datos". La firma de las partes y la fecha del SDPA se considerarán la firma y la fecha de las SCCs, y los Anexos de las SCCs serán según lo establecido en el Apéndice 1 de este Apéndice. Las Medidas suplementarias empresariales, que se detallan a continuación, proporcionarán garantías pertinentes adicionales para los Datos personales de EEE/Xxxxx Unido/Suiza con respecto a cualquier transferencia o acceso fuera del Área protegida que se autorice en virtud del Apéndice 1 de este DPA.
(b) A los efectos de las SCCs UE, deberá aplicarse lo siguiente:
1. Cláusula 9, opción 2: autorización general por escrito y las partes aceptan que el plazo para informar al Cliente sobre cualquier cambio en la lista de subencargados del tratamiento deberá ser con 30 días de antelación;
2. Cláusula 17 (legislación aplicable): las cláusulas se regirán por las xxxxx xx Xxxxxxx; y
3. Cláusula 18 (elección del foro y jurisdicción): los tribunales xx Xxxxxxx tendrán jurisdicción.
(c) En el supuesto de que el Cliente dé su consentimiento al Proveedor para transferir los Datos personales de EEE/Xxxxx Unido/Suiza fuera del Área protegida y una decisión de la Comisión Europea u otro método de adecuación válido según las Normas de EEE/Xxxxx Unido/Suiza aplicables en que se haya basado el Cliente para autorizar la transferencia de datos sean considerados inválidos, o si una autoridad de control requiere que las transferencias de Datos personales de EEE/Xxxxx Unido/Suiza realizadas en virtud de tal decisión se suspendan, a su discreción el Cliente podrá requerir al Proveedor que suspenda el tratamiento de los Datos personales de EEE/Xxxxx Unido/Suiza a que haga referencia el apartado o que colabore con el Cliente para facilitar el uso de un mecanismo de transferencia alternativo.
(d) El Proveedor deberá informar inmediatamente al Cliente si el Proveedor ya no está en disposición de proporcionar el nivel de protección de los Datos personales de EEE/Xxxxx Unido/Suiza necesario en virtud de cualquier mecanismo de transferencia de datos.
(e) El Proveedor acepta que el Cliente puede renovar en cualquier momento todos sus derechos y obligaciones según las SCCs a sus filiales y/o con respecto a una fusión, reorganización, externalización, desinversión, venta de todos o buena parte de sus activos o transacciones similares.
APÉNDICE 1 AL DPA SOBRE EEE/XXXXX UNIDO/SUIZA
INFORMACIÓN NECESARIA PARA LAS CLÁUSULAS CONTRACTUALES TIPO
Anexo I
A. LISTA DE LAS PARTES
Exportador(es) de datos: el exportador de datos será el Cliente en la dirección indicada en el SDPA. El nombre, el cargo y los datos de contacto de su persona de contacto se especifican en el SDPA. Con respecto a las actividades relevantes para los datos transferidos en virtud de estas Cláusulas, véase la Parte 2 de la Programación 1 del SDPA. La firma del exportador de datos y la fecha de estas Cláusulas deberán considerarse como la firma y la fecha del SDPA por parte del Cliente. La función del exportador de datos equivale a responsable del tratamiento.
Importador(es) de datos: el importador de datos será el Proveedor en la dirección indicada en el SDPA. El nombre, el cargo y los datos de contacto de su persona de contacto se especifican en el SDPA. Con respecto a las actividades relevantes para los datos transferidos en virtud de estas Cláusulas, véase la Parte 2 de la Programación 1 del SDPA. La firma del importador de datos y la fecha de estas Cláusulas deberán considerarse como la firma y la fecha del SDPA por parte del Proveedor. La función del importador de datos equivale a encargado del tratamiento.
B. DESCRIPCIÓN DE LA TRANSFERENCIA
MÓDULO DOS: DEL RESPONSABLE AL ENCARGADO
Categorías de datos personales transferidos y categorías de interesados cuyos datos personales se transfieren: véase la Parte 1 de la Programación 1 del SDPA.
Con respecto a los datos sensibles transferidos (si procede) y las restricciones o garantías aplicadas que tengan plenamente en consideración la naturaleza de los datos y los riesgos implicados, como una limitación estricta de la finalidad, restricciones de acceso (incluido el acceso solo para el personal que haya realizado una formación especializada), el registro del acceso a los datos, restricciones en transferencias posteriores o medidas de seguridad adicionales: véase la Parte 1 de la Programación 1 de los EVSR.
Frecuencia de la transferencia: véase la Parte 1 de la Programación 1 del SDPA
Naturaleza y finalidad del tratamiento/de las operaciones de tratamiento: véase la Parte 2 de la Programación 1 del SDPA.
El período durante el cual se conservarán los Datos personales de EEE/Xxxxx Unido/Suiza o los criterios empleados para determinar ese período: véase la sección del SDPA titulada "Destrucción y devolución de los datos del cliente".
Para transferencias a (sub)encargados del tratamiento, el asunto, la naturaleza y la duración del tratamiento: véase la sección del SDPA titulada "Destrucción y devolución de los datos del cliente".
C. AUTORIDADES DE CONTROL COMPETENTES (solo Cláusulas contractuales tipo de la UE): según lo especificado en el RGPD
Anexo II: Medidas técnicas y organizativas: véanse los EVSR.
OTRAS MEDIDAS
A menos que se defina de otras manera en la presente, los términos empleados en Otras medidas tendrán el significado que se les da en el SDPA (incluidos sus Apéndices).
1. PERSONAL. El personal del importador de datos no tratará Datos personales sin autorización. El personal está obligado a mantener la confidencialidad de dichos Datos personales y dicha obligación persiste incluso tras la finalización de su compromiso o empleo con el importador de datos.
2. Medidas técnicas y organizativas. El importador de datos ha aplicado y mantendrá medidas técnicas y organizativas pertinentes, controles internos, así como rutinas de seguridad de la información, dirigidos a proteger los Datos personales contra pérdida accidental, destrucción o alteración, comunicación no autorizada o acceso o destrucción ilícita como sigue: los EVSR, que se incorporarán a Otras medidas mediante esta referencia y que son vinculantes para el importador de datos como si estuvieran especificados en Otras medidas en su totalidad.
3 Solicitud de terceros.
3.1 UNA "Solicitud de terceros" significa cualquier solicitud legalmente vinculante de un organismo público, incluidas autoridades judiciales o agencias policiales ("Tercero relevante") al importador de datos para acceder, comunicar o tratar los Datos personales de otra manera.
3.2 A menos que la ley lo prohíba (y sin perjuicio de la Cláusula 15 de las Cláusulas contractuales tipo de la UE), el importador de datos deberá:
3.2.1 Notificar inmediatamente al Cliente, y en cualquier caso hacerlo en un plazo de veinticuatro (24) horas, la recepción de una Solicitud de terceros (y previamente a cualquier respuesta o cualquier comunicación al Tercero relevante).
3.2.2 Proporcionar al Cliente la información, cooperación razonable y/o las herramientas necesarias para que evalúe, anule, limite y/o responda a la Solicitud de terceros (incluida una copia de la Solicitud de terceros).
3.2.3 Según lo indicado a continuación, no contestar a una Solicitud de terceros sin la autorización explícita por escrito del Cliente. Si el importador de datos tiene una obligación preceptiva en virtud de la legislación aplicable de responder directamente, el importador de datos deberá notificarlo al Cliente al mismo tiempo que realice la notificación inicial según lo exigido anteriormente y únicamente deberá comunicar la cantidad mínima de Datos personales necesarios para cumplir con la ley o el proceso judicial, y deberá atender las solicitudes razonables del Cliente para responder y tratar tal Solicitud de terceros.
3.2.4 El importador de datos deberá:
3.2.4.1 Informar inmediatamente por escrito al Tercero relevante que una parte o la totalidad del material que abarca la Solicitud de terceros es objeto de un acuerdo de confidencialidad.
3.2.4.2 Esforzarse razonablemente por redirigir al Tercero relevante para que solicite los Datos personales directamente al Cliente.
3.2.4.3 Utilizar todos los esfuerzos lícitos para cuestionar al Tercero relevante sobre la base de cualquier
defecto legal en virtud de las xxxxx xxx Xxxxxxx relevante o cualquier conflicto relevante con la Ley relevante.
3.2.4.4 No proporcionar a un Tercero relevante: (a) acceso directo, indirecto, general o ilimitado a los Datos personales; (b) claves de cifrado utilizadas para proteger los Datos personales o la capacidad de romper dicho cifrado; o (c) acceso a los Datos personales si el importador de datos es consciente (o debería ser razonablemente consciente) de que los Datos personales se utilizarán con fines distintos a los indicados en la Solicitud de terceros.
3.2.4.5 En el plazo de veinticuatro (24) horas de una solicitud por escrito por parte del Cliente, deberá proporcionar al Cliente acceso a los Datos personales (y otra información) solicitados en la Solicitud de terceros en el formato que consten en la actividad comercial ordinaria (o, a petición del Cliente, copias).
3.2.5 El importador de datos acepta que (i) no ha creado deliberadamente puertas traseras o programaciones similares que puedan utilizarse para acceder a los Datos personales; (ii) no ha creado ni modificado deliberadamente procesos empresariales de un modo que faciliten el acceso a dichos Datos personales; y (iii) las legislaciones o las políticas gubernamentales por las que se rige el importador de datos no le exigen crear ni mantener puertas traseras ni facilitar el acceso a dichos Datos personales.
3.2.6 El importador de datos acepta supervisar los desarrollos legales o políticos que puedan suponer su incapacidad para cumplir sus obligaciones en virtud de estas Medidas suplementarias, así como informar inmediatamente al Cliente si se producen tales cambios y desarrollos, en la medida de lo posible, antes de su aplicación.
3.2.7 Si el importador de datos revela Datos personales incumpliendo estos términos, deberá compensar a los interesados por cualquier daño material o inmaterial sufrido.
3.2.8 El importador de datos informará al Cliente si, en cualquier momento, no está en disposición de seguir cumpliendo los compromisos detallados en estas Medidas complementarias, y acepta que el Cliente puede terminar el Acuerdo o los Servicios en cuestión con el período de preaviso estipulado por el Cliente en el supuesto de que el Proveedor incumpla estos términos.