Acuerdo de Encargado de Tratamiento de SmartFocus (incluidas las Cláusulas Contractuales Tipo de la UE)
Acuerdo de Encargado de Tratamiento de SmartFocus (incluidas las Cláusulas Contractuales Tipo de la UE)
El presente documento constituye el Acuerdo de Encargado de Tratamiento al que se hace referencia en el Contrato suscrito entre SmartFocus y usted, nuestro Cliente. Dicho Acuerdo establece las obligaciones de ambas partes con respecto al tratamiento y uso de sus Datos de Carácter Personal como Cliente en relación con nuestros Servicios.
1. RELACIÓN Y LEYES DE PROTECCIÓN DE DATOS
1.1. Relación. En lo que respecta al tratamiento de Datos de Carácter Personal del Cliente en relación con los Servicios, usted será el responsable del tratamiento y SmartFocus será el encargado del tratamiento.
1.2. Nuestras obligaciones con usted. Cuando realice el tratamiento de los Datos de Carácter Personal del Cliente en relación con los Servicios, SmartFocus cumplirá con todas las obligaciones aplicables a los encargados del tratamiento en virtud las Leyes de Protección de Datos y conforme a los términos y condiciones del presente Acuerdo.
1.3. Sus obligaciones con nosotros. Usted deberá cumplir en todo momento con las leyes de Protección de Datos en lo referente al tratamiento de Datos de Carácter Personal del Cliente durante el uso de los Servicios, y observar los términos del presente Acuerdo. Usted será el único responsable de la precisión, calidad y legalidad de los Datos de Carácter Personal del Cliente y los medios a través de los cuales se adquirirán los Datos de Carácter Personal del Cliente y Usted acepta y garantiza que:
(a) los Datos de Carácter Personal del Cliente y el tratamiento de los Datos de Carácter Personal del Cliente en relación con los Servicios cumplirán con los requisitos establecidos para su correcto tratamiento en virtud de las leyes de protección de datos que sean de aplicación; y
(b) que obtendrá (procurará o se asegurará de que se obtengan), antes de usar los Servicios, todos los consentimientos de los Consumidores que sean necesarios para utilizarlos.
1.4. Las obligaciones que se derivan de este Acuerdo, no liberan, eliminan o sustituyen las obligaciones de cada una de las partes conforme a las leyes de protección de datos que sean de aplicación.
2. TRATAMIENTO E INSTRUCCIONES
2.1. Las partes acuerdan que se facilitarán recíprocamente toda la información que resulte razonable para cumplir con las obligaciones recogidas en el presente Acuerdo.
2.2. SmartFocus únicamente tratará los Datos de Carácter Personal del Cliente:
(a) con el fin de prestar los servicios de conformidad con las instrucciones recibidas de usted, de la forma establecida en el Anexo 1 del Contrato, y en los términos en él recogidos; o siguiendo las instrucciones adicionales recibidas durante el uso de los Servicios o mediante instrucciones razonables documentadas (por ejemplo, a través de correo electrónico) donde dichas instrucciones son consistentes con los términos de este Acuerdo y el Contrato (y de ninguna otra forma, salvo que se remitan por escrito
instrucciones de tratamiento alternativas, que podrán estar supeditadas al pago de una tasa adicional, pendiente de negociación); y
(b) de la forma exigida por la legislación aplicable (asimismo, deberá informar al Cliente sobre tales requisitos legales antes de proceder al tratamiento, salvo que existan motivos importantes de interés público que le impidan informar en tal sentido).
2.3. En el supuesto de que SmartFocus considere que cualquier uso de los Servicios por parte del Cliente, o cualquiera de sus instrucciones, dé lugar a una infracción de las Leyes de Protección de Datos, deberá informar al Cliente, tras lo cual, tendrá derecho a suspender o detener los Servicios hasta que se resuelva tal incidencia o se llegue a un acuerdo en un plazo xx xxxx (10) días hábiles mediante negociación entre los Contactos PD (Protección de Datos). Si no se consigue resolver dicha incidencia, SmartFocus podrá extinguir el Contrato debido a la infracción sustancial de los términos en él recogidos.
3. MEDIDAS TÉCNICAS Y ORGANIZATIVAS
3.1. SmartFocus implementará y mantendrá operativas medidas técnicas y organizativas adecuadas que ayuden a proteger los Datos de Carácter Personal del Cliente frente a su destrucción, pérdida, alteración, divulgación o acceso accidental no autorizado o ilegal durante el tratamiento relacionado con los Servicios, tal y como establece la Política de Seguridad de la Información de SmartFocus (disponible a través de este enlace).
3.2. Usted confirma que ha llevado a cabo su propio estudio preliminar formal sobre nuestros Servicios y que ha recibido un ejemplar de la Política de Seguridad de la Información de SmartFocus antes de haber firmado el Contrato. Asimismo, confirma que ambos se adecúan a la finalidad que usted persigue, y que son suficientes para cumplir los requisitos establecidos por las Leyes de Protección de Datos.
3.3. Conforme a su criterio exclusivo y con el fin de aumentar la seguridad de los datos, SmartFocus continuará mejorando sus medidas técnicas y organizativas de conformidad con los avances técnicos alcanzados. Todas las modificaciones introducidas se actualizarán en nuestra Política de Seguridad de la Información.
3.4. Cualquier medida técnica y organizacional adicional que usted solicite se encontrará supeditada al acuerdo entre las partes y podrá quedar sujeta al pago de tasas adicionales.
4. USO DE PERSONAS AUTORIZADAS Y DE SUBCONTRATISTAS
4.1. Personas Autorizadas. SmartFocus:
(a) se asegurará de que las Personas Autorizadas únicamente tenga acceso a los Datos de Carácter Personal del Cliente si resulta necesario para la prestación de los Servicios; y
(b) confiará el tratamiento de Datos de Carácter Personal del Cliente a miembros de sus Personas Autorizadas que tengan conocimiento de la naturaleza confidencial de los Datos de Carácter Personal del Cliente y que estén contractualmente obligados a mantener la confidencialidad de dichos Datos;
(c) a partir de la fecha del RGPD, se asegurará de que las Personas Autorizadas que realicen el tratamiento de los Datos personales del Cliente haya recibido formación sobre el RGPD y sobre las obligaciones que le incumben en virtud del presente Acuerdo.
4.2. Subencargados de Tratamiento. En el supuesto de que cualquier subcontratista asignado por SmartFocus realice el tratamiento de Datos de Carácter Personal del Cliente durante la
prestación de los Servicios ("Subencargados"), SmartFocus seguirá siendo en todo momento responsable ante el Cliente de las obligaciones asumidas bajo este Acuerdo. A partir de la fecha del RGPD:
(a) SmartFocus se asegurará de que los Subencargados se encuentren sujetos a las mismas obligaciones que incumben a SmartFocus en virtud del presente Acuerdo.
(b) Usted prestará su consentimiento a recurrir a cualesquiera Subencargados identificados en las páginas de ayuda del Cliente (facilitar enlace) y nuestros afiliados.
(c) Antes de nombrar a cualquier nuevo Subencargado, SmartFocus deberá informar al Cliente sobre dicho nombramiento con una antelación mínima de treinta (30) días, a través de las páginas de ayuda del Cliente.
(d) En el supuesto de que el Cliente plantee objeciones relativas a cualquier nuevo Subencargado por parte de SmartFocus, podrá plantear dichas objeciones mediante notificación escrita en la que deberá exponer sus motivos y remitida a SmartFocus en un plazo de treinta (30) días desde la publicación del nombramiento en las páginas de ayuda. En el momento de la recepción de dicha notificación por parte del Cliente, las dos partes se comprometerán a actuar con la mayor diligencia posible a fin de resolver las objeciones en un plazo máximo de noventa (90) días desde la recepción por SmartFocus de la mencionada objeción.
Al finalizar dicho periodo, si usted notifica por escrito que sus objeciones con respecto al Subencargado subsisten:
(i) SmartFocus le confirmará si es posible proseguir con los Servicios sin recurrir al Subencargado; o
(ii) en el supuesto de que no fuera posible continuar utilizando los Servicios sin recurrir al Subencargado, usted tendrá como único y exclusivo recurso la extinción del Contrato mediante notificación por escrito remitida a SmartFocus. Si, a juicio del DPO (Delegado de Protección de Datos) de SmartFocus, las objeciones que usted continúa planteando con respecto al Subencargado de la tramitación resultan razonables y se basan en motivos relacionados con el cumplimiento de los requisitos de la Ley de Protección de Datos, SmartFocus deberá reembolsarle de manera proporcional cualquier tasa abonada por anticipado correspondiente a la parte no utilizada de la Vigencia, desde la fecha de efecto de la resolución del contrato.
5. TRANSFERENCIAS INTERNACIONALES
5.1. SmartFocus no realizará tratamiento de ningún Dato de carácter personal del Cliente en países que no pertenezcan al Espacio Económico Europeo (EEE) ni a ninguna organización internacional. Tampoco transferirá datos a dichos países u organizaciones, salvo de la manera en que se indica en la cláusula 5.2, sin haber obtenido el consentimiento previo y por escrito de usted.
5.2. Usted acepta que SmartFocus pueda transferir Datos de Carácter Personal del Cliente a países ajenos al EEE o a cualquier organización internacional, siempre y cuando existan medidas de seguridad adecuadas. En la presente cláusula se incluyen sus instrucciones en lo referente a la realización de este tipo de transferencias de conformidad con lo dispuesto en la cláusula 2.1. Por medidas de seguridad adecuadas se entenderá aquellas que incluyan:
(a) Cláusulas contractuales tipo: con sujeción al apartado (b) si fuera necesario realizar una transferencia Datos de Carácter Personal del Cliente a países ajenos al EEE, usted y
SmartFocus dan su consentimiento a la aplicación de las Cláusulas Contractuales Tipo recogidas en el Anexo 2.
(b) Medidas adecuadas para transferir datos de carácter personal a EE.UU.: en el supuesto de que durante la prestación de los Servicios se transfieran Datos de Carácter Personal del Cliente a SmartFocus US Inc. o a cualquier Subencargado establecido en EE.UU., dicha transferencia se realizará sobre la base de que SmartFocus US Inc. o dicho Subencargado es una organización certificada al amparo del Privacy Shield entre UE - EE.UU. y del Privacy Shield Framework entre Suiza - EE.UU. y tiene intención de conservar su naturaleza de entidad certificada en el futuro.
6. NOTIFICACIÓN DE INCIDENTES DE SEGURIDAD
6.1. En el supuesto de que se produzca un acceso no autorizado a los Datos de Carácter Personal del Cliente ("Incidente de Seguridad") confirmado por parte de un tercero, SmartFocus lo deberá notificar al Cliente sin incurrir en demora injustificada alguna tan pronto tenga conocimiento de ello, mediante el envío de un mensaje de correo electrónico al Contacto de PD del Cliente, en el que deberá facilitar la siguiente información (o tan pronto como SmartFocus tenga conocimiento de dicha información):
(a) una descripción del Incidente de Seguridad; y
(b) la naturaleza del Incidente de Seguridad, las categorías y el número aproximado de Consumidores, así como el número de archivos personales afectados.
6.2. En el momento en que tenga conocimiento de un Incidente de Seguridad, SmartFocus deberá:
(a) Investigarlo;
(b) Establecer medidas que limiten y aborden tanto el Incidente de Seguridad como cualquier efecto negativo que pueda tener;
(c) Mantener informado al Cliente través del Contacto de PD de SmartFocus (o cualquier otra persona que le haya sido indicado):
(d) Facilitar una asistencia razonable al Cliente para realizar cualquier notificación que sea necesaria a la autoridad supervisora o a los Consumidores, a fin de incluir la información sobre el Incidente de Seguridad que resulte oportuna (tal y como se detalla a continuación), si bien (salvo en los casos en que la ley o la autoridad supervisora exijan hacerlo) no realizará ninguna declaración relativa al Incidente de Seguridad sin antes haberlo notificado al Cliente.
El Contacto de PD de SmartFocus (o cualquier otra persona que se le haya notificado a Usted) será la persona de contacto en SmartFocus que deberá mantenerle informado. La información sobre el Incidente de Seguridad deberá incluir:
(i) una descripción de la naturaleza de la violación de los datos de carácter personal, que incluya, cuando sea posible, las categorías y el número aproximado de personas afectadas, así como las categorías y número aproximado de ficheros de datos de carácter personal afectados;
(ii) los datos de contacto del delegado de protección de datos u otra persona de contacto del que pueda obtenerse información adicional;
(iii) una descripción de las consecuencias probables de la violación de datos de carácter personal; y
(iv) una descripción de las medidas adoptadas o cuya adopción se haya propuesto para abordar la violación de los datos de carácter personal, que incluya, cuando proceda, medidas dirigidas a atenuar sus posibles efectos perjudiciales.
7. ASISTENCIA, COOPERACIÓN Y AUDITORÍA
7.1. Peticiones recibidas por parte del Consumidor: Si SmartFocus recibe una petición o reclamación de un interesado, se la notificaremos a usted, en la medida en que resulte permitido legalmente, tan pronto resulte viable (y en un plazo de tres (3) días hábiles desde la recepción de la petición/reclamación).
7.2. SmartFocus le facilitará a usted una asistencia razonable en relación con cualquier petición realizada por un interesado:
(a) con la condición de que si el número de peticiones exceda de 2 al mes, usted abonará los costes razonables en los que incurra SmartFocus; y
(b) a partir de la fecha del RGPD y teniendo en cuenta la naturaleza del tratamiento, mediante la aplicación de las medidas técnicas u organizativas que considere prácticas para ayudarle a responder a la petición.
7.3. Cumplimiento de los requisitos de protección de datos y evaluaciones de impacto de privacidad: A partir de la fecha del RGPD, SmartFocus le facilitará la asistencia que resulte razonable para responder a las preguntas que usted plantee en relación con el Servicio (siempre y cuando usted abone los costes justificados incurridos por SmartFocus), y que le permita valorar y considerar medidas de atenuación razonables a la hora de realizar la evaluación de impacto de privacidad.
7.4. Auditoría: A partir de la fecha del RGPD, usted acepta ejercer su derecho a realizar una auditoría mediante la indicación a SmartFocus en tal sentido. Dicha autoría:
(a) revisará las medidas técnicas y organizativas que se describen en la Política de Seguridad de la Información de SmartFocus;
(b) se realizará al menos una vez al año;
(c) se realizará por los correspondientes auditores independientes, seleccionados y pagados por SmartFocus; y
(d) dará lugar a la redacción de un informe de auditoría, que constituirá información confidencial de SmartFocus; y
(e) en caso de que usted lo solicite por escrito, SmartFocus le facilitará una copia confidencial de dicho informe de auditoría.
7.5. Asistencia adicional: Desde la fecha del RGPD, si usted solicita información adicional, asistencia o una auditoría que acredite el cumplimiento por parte de SmartFocus de las obligaciones que le incumben en virtud del presente Acuerdo, SmartFocus le facilitará información y la asistencia razonables, previa solicitud con una antelación de al menos diez
(10) días hábiles (salvo que usted pueda demostrar que la solicitud es urgente), siempre y cuando abone los costes justificados incurridos por SmartFocus.
7.6. Colaboración con la autoridad supervisora u otros reguladores: SmartFocus colaborará en cualquier investigación de cualquier autoridad supervisora o regulador (incluidas las peticiones directas de auditoría) y, siempre que esté autorizada a hacerlo, comunicará las respuestas al Cliente y colaborará con él en este sentido.
8. RETENCIÓN DE DATOS
Una vez finalizados los periodos de retención aplicables al tratamiento de Datos de Carácter Personal del Cliente establecidos en el Contrato, a elección del Cliente, SmartFocus eliminará los Datos de Carácter Personal del Cliente de conformidad con lo establecido en el Contrato suscrito, excepto en la medida en que el ordenamiento jurídico en vigor exija que SmartFocus continúe conservándolos.
9. INDEMNIZACIÓN
9.1. Por parte de SmartFocus. Excepto en la medida en que quepa exigir responsabilidad al Cliente en virtud de la Cláusula 9.2, y con sujeción a lo dispuesto en la Cláusula 10, SmartFocus deberá indemnizar al Cliente por todas las Pérdidas de Protección de Datos acreditadas, en la medida permitida por las Leyes de Protección de Datos y que surjan directamente o que guarden relación con cualquier infracción grave que haya cometido:
(a) de su Política de Seguridad de la Información en lo referente a las medidas técnicas y organizativas correspondientes y a la Cláusula 4 del presente Acuerdo; y
(b) de las obligaciones recogidas en las cláusulas 1.2, 2, 4 y 5 del presente Acuerdo, con la salvedad de lo indicado en el apartado(a).
9.2. Por parte del Cliente. Excepto en la medida en que SmartFocus sea responsable según lo establecido en la cláusula 9.1 y con sujeción a lo dispuesto en la cláusula 10, el Cliente indemnizará a SmartFocus y cualquier Subencargado, en la medida permitida por las Leyes de Protección de Datos, de todas las Pérdidas de Protección de Datos en la medida en que surjan de, o estén relacionadas con un incumplimiento sustancial por parte del Cliente de la cláusula 1.3;
9.3. Condiciones. Las obligaciones de indemnización de cada una de las partes se encuentran sujetas a la condición de que la parte que deba ser indemnizada (en la medida en que el ordenamiento jurídico aplicable así lo permita):
(a) notifique la Reclamación en Materia de Protección de Datos por escrito y sin demora a la parte obligada a resarcir;
(b) conceda a la parte obligada a indemnizar el control exclusivo sobre la oposición judicial y la resolución extrajudicial de la Reclamación en Materia de Protección de Datos;
(c) colabore con la parte obligada a indemnizar en la oposición judicial a la Reclamación en Materia de Protección de Datos;
(d) se abstenga de hacer confesión alguna relativa a la Reclamación en Materia de Protección de Datos; y
(e) adopte todas las medidas razonables dirigidas a atenuar las Pérdidas o las pérdidas potenciales derivadas de la Reclamación en Materia de Protección de Datos.
10. RESPONSABILIDAD
Con sujeción a lo dispuesto en las Cláusulas 9.1 y 9.2 del Acuerdo (referidas a los casos en los que no se aplican límites, así como a las exclusiones generales o disposiciones similares recogidas cualquier versión del Contrato), la responsabilidad máxima de cada parte derivada o relacionada con el presente Acuerdo o con su objeto estará limitada al mayor del importe igual al doble del total de las tasas pagaderas por el Cliente en virtud del Contrato en los doce (12) meses anteriores a la fecha en la cual se presentó la Reclamación, o del importe correspondiente a la responsabilidad máxima establecida en la cláusula 9.3 del Contrato.
11. GENERAL
11.1. Cláusulas estándar del Contrato: Las cláusulas referidas a los siguientes aspectos en el Contrato serán de aplicación al presente Acuerdo:
(a) Límites de responsabilidad (cláusulas 9.1 y 9.2 del Contrato);
(b) Fuerza Mayor;
(c) Cesión;
(d) Divisibilidad del contrato;
(e) Derechos de Terceros;
(f) Acuerdo íntegro; y
(g) Ejemplares.
11.2. Aplicabilidad. En caso de que surjan discrepancias entre el presente Acuerdo, el Contrato y cualquier otro acuerdo alcanzado entre usted y SmartFocus, prevalecerá lo dispuesto en el presente Acuerdo si se refieren al tratamiento de los Datos de Carácter Personal del Cliente en relación con los Servicios.
11.3. Modificaciones y exoneración de responsabilidad. El presente Acuerdo no se podrá modificar salvo por escrito y con la firma de ambas partes. La exoneración de responsabilidad concedida por cualquiera de las partes en relación con la infracción de cualquiera de las cláusulas recogidas en el presente Acuerdo no exonerará de responsabilidad a la parte infractora por cualquier otra infracción cometida. Las partes reconocen que el presente Acuerdo podrá requerir una actualización cuando el Xxxxx Unido abandone la Unión Europea y, en tal sentido, cualquiera de ellas podrá notificar a la otra las modificaciones que puedan resultar necesarias.
11.4. Supervivencia. La extinción del presente Acuerdo: (i) no resultará en detrimento de ningún derecho u obligación adquirido por cualquiera de las partes hasta la fecha de la extinción; o
(ii) no afectará a las cláusulas del presente Acuerdo que, por su propia naturaleza, sobrevivan a su extinción o vencimiento, incluidas las cláusulas 1.1, 8, 9, 10 y 11, la cláusula 6 y la cláusula 7.6 (en la medida que en cualquiera de dichas obligaciones continúen en vigor), que sobrevivirán a la extinción.
11.5. Contactos y Resolución de Incidentes: Las siguientes personas se encontrarán disponibles para negociar y resolver cualquier cuestión relacionada con el presente Acuerdo:
(a) Por parte de SmartFocus: El DPO de SmartFocus (el "Contacto de PD de SmartFocus"); y
(b) Por parte del Cliente: El contacto del Cliente identificado en la Sales Order o notificado por otros medios a SmartFocus (el "Contacto de PD del Cliente");
Conjuntamente los "Contactos de PD".
11.6. Legislación aplicable y competencia jurisdiccional. El presente Acuerdo y cualquier controversia o reclamación (incluidas las controversias o reclamaciones de naturaleza extracontractual) que se deriven o que guarden relación con el Acuerdo, su objeto o su perfeccionamiento se regularán e interpretarán de conformidad con la legislación de Inglaterra y Gales. En el supuesto de que las partes no puedan resolver un incidente de conformidad con lo establecido en la Cláusula 11.5, cada una de ellas acepta irrevocablemente que los tribunales de Inglaterra y Gales tendrán jurisdicción exclusiva para resolver cualquier controversia o reclamación (incluidas controversias o reclamaciones de naturaleza extracontractual) que pueda surgir o que guarde relación con el presente acuerdo, su objeto o su perfeccionamiento.
12. DEFINICIONES E INTERPRETACIÓN
“Acuerdo" significa el presente acuerdo entre SmartFocus y el Cliente y los Anexos adjuntos al presente Acuerdo.
“Cliente” (también denominado "ustedes" o "ustedes") significa el cliente al que se refiere el Sales Order relativo al Contrato de Servicios correspondiente.
“Contacto de PD del Cliente" tiene el significado recogido en la cláusula 11.5;
“Consumidor" significa los consumidores, suscriptores y consumidores potenciales del Cliente, cuyos datos de carácter personal serán tratados como parte de los Servicios;
“Contrato” significa el Acuerdo de Servicios de Software de SmartFocus o el Acuerdo Marco de Servicios de SmartFocus (o ambos) suscrito entre usted y SmartFocus, junto con cualquier Propuesta de Servicios, Orden de Compra y Acuerdo sobre el Nivel de Servicios.
“Datos de Carácter Personal del Cliente" significa datos de carácter personal referidos a los
Consumidores, recibidos de o en nombre del Cliente en relación con la prestación de los Servicios.
“Fecha del RGPD” significa la fecha a partir de la cual el RGPD será aplicable, el 25 xx xxxx de 2018;
“Incidente de Seguridad" significa una violación confirmada en la seguridad que conduce a la destrucción (ya sea accidental o ilegal), pérdida, alteración, divulgación no autorizada o acceso a Datos Personales del Cliente transmitidos, almacenados o procesados por SmartFocus o sus Subencargados de los que SmartFocus tenga conocimiento;
“Leyes de Protección de Datos" significa:
(i) La Ley de Protección de Datos británica de 1998 y cualesquiera leyes nacionales o reglamentos en cualquiera de los estados miembros de la UE que implementen la Directiva 95/46/CE (Directiva de Protección de Datos);
(ii) El RGPD y/o cualquier ley o reglamento nacional equivalente que implemente el RGPD en el Xxxxx Unido o en cualquier otro estado miembro de la UE; y
(iii) El Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) de 2003 del Reino Unido y cualesquiera leyes o reglamentos nacionales en cualquier estado miembro de la UE que implementen la Directiva 2002/58/CE (modificada por la Directiva 2009/136/CE).
“Leyes de PD Aplicables” significa las Leyes de Protección de Datos relativas a la protección de datos personales que puedan ser de aplicación en cualquier país en relación con el uso de los Servicios por parte del Cliente.
“Objeciones justificadas" tiene el significado indicado en la cláusula 4.2 (d);
“Pérdidas Relacionadas con la Protección de Datos” significa todas las pérdidas, responsabilidades, indemnizaciones por daños y perjuicios (incluso por daños materiales o de otro tipo) y todos los costes razonables incurridos (incluidos costes legales y costes razonables derivados de las investigaciones solicitadas por una autoridad supervisora) surgiendo directamente durante la Vigencia por cualquier reclamación de terceros, incluidos:
(i) las sanciones administrativas impuestas por una autoridad supervisora; y
(ii) la indemnización que una autoridad supervisora, tribunal o juzgado ordene que se deba abonar a un interesado;
“Personas Autorizadas” significa cualquier empleado o subcontratista de SmartFocus;
“Política de Seguridad de la Información de SmartFocus” significa la Política de Seguridad de la Información de SmartFocus, disponible en las páginas de ayuda del Cliente de nuestros Servicios;
“Personal” significa los empleados o contratistas de SmartFocus;
“Reclamación en Materia de Protección de Datos” significa cualquier acción o procedimiento legal interpuesto contra una parte que pueda dar lugar a una reclamación de indemnización, según lo establecido en la Cláusula 10.
“RGPD" significa el Reglamento Europeo (UE)2016/679 sobre la protección de las personas con respecto al tratamiento de datos personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos);
“Servicios” significa los Servicios de Software de SmartFocus que SmartFocus le presta a usted en virtud del Acuerdo de Servicios de Software de SmartFocus, o los Servicios Profesionales que SmartFocus le presta a usted en virtud del Acuerdo Marco de Servicios de SmartFocus (según proceda);
“SmartFocus” (también denominado "nosotros" o "nuestro") significa la entidad de SmartFocus que se indica en el Contrato y en la Sales Order a la que se refiere este Acuerdo;
“Subencargado de Tratamiento" tiene el significado indicado en la Cláusula 4 de este Acuerdo.
“Tasas” tiene el significado indicado en el Contrato;
Los términos "datos de carácter personal", "encargado del tratamiento / encargado del tratamiento de los datos", “tratamiento”, "responsable del tratamiento / responsable del tratamiento de los datos”, “interesado” “evaluación del efecto relativa a la protección de datos” y “autoridad supervisora” tendrán el significado que se atribuye a dichos términos en la correspondiente Ley de Protección de Datos.
Las referencias a la legislación aplicable (en particular a la Ley de Protección de Datos) serán sustituidas por, o incluirán (según proceda), las referencias a cualesquiera leyes que sustituyan, modifiquen, amplíen, refundan o consoliden dicha legislación aplicable.
Los términos y expresiones "que incluyan" "con inclusión de", "en particular" o "por ejemplo", u otras similares, se interpretarán en el sentido de que ofrecen un listado no exhaustivo.
ANEXO 1 – Información sobre el Tratamiento de Datos
Objeto del Tratamiento
Realización de campañas de marketing multicanal suministrando análisis de datos y mensajes transaccionales.
Duración del tratamiento
SmartFocus realizará el tratamiento a los Datos de Carácter Personal del Cliente durante la vigencia del Acuerdo, salvo que se acuerde por escrito lo contrario.
Naturaleza y Finalidad del Tratamiento
SmartFocus realizará el Tratamiento de los Datos de Carácter Personal del Cliente en la medida en que resulte necesario a fin de prestar los Servicios incluidos en el Contrato y conforme a los términos en él establecidos, y de conformidad con las instrucciones adicionales aportadas por el Cliente relativas al uso de los Servicios, salvo que se acuerde por escrito lo contrario.
Categorías de Interesados
El Cliente podrá enviar Datos de Carácter Personal a los Servicios, incluidas, entre otras, las siguientes categorías de sujetos interesados:
• Consumidores potenciales del Cliente.
• Consumidores del Cliente.
• Suscriptores del Cliente.
Las categorías de Datos de Carácter Personal del Cliente recibidas por SmartFocus en relación con la prestación de los Servicios se encuentran definidas y controladas por el Cliente, conforme a su criterio absoluto (sujeto a las restricciones del Contrato).
Tipo de Datos de Carácter Personal
El Cliente podrá enviar Datos de Carácter Personal a los Servicios, incluidos, entre otros, Datos de Carácter Personal relativos a las siguientes categorías de sujetos de datos:
• Nombre:
• Dirección de email, número de teléfono, dirección postal, dirección IP
• Fecha de nacimiento
• Género
• Datos de cancelación de suscripción y su consentimiento
• Datos de comportamiento
• Datos de interacción
• Segmentación y perfiles del Consumidor
• Datos de transacción
Los tipos de Datos de Carácter Personal del Cliente recibidos por SmartFocus en relación con la prestación de los Servicios se encuentran definidos y controlados por el Cliente, conforme a su criterio absoluto (sujeto a las restricciones del Contrato).
En el supuesto de que el Cliente modifique las categorías de tratamiento que aparecen detalladas en el Anexo 1, durante el uso de los Servicios, supondrá que los detalles del tratamiento especificados en el presente Anexo 1 se considerarán conjuntamente con el tratamiento establecido en los Servicios.
ANEXO 2
CLÁUSULAS CONTRACTUALES TIPO (ENCARGADOS DE TRATAMIENTO)
A los efectos del Artículo 26(2) de la Directiva 95/46/CE sobre la transferencia de datos de carácter personal a encargados del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección,
por la entidad identificada como "Cliente" en la Sales Order a la que el presente Acuerdo de Encargado de Tratamiento (con las cláusulas contractuales tipo de la UE adjuntas) se entenderá
(el “Exportador de datos”)
Y
por la entidad, SmartFocus Inc., con domicilio en Sunset Corporate Campus BLDG1 13810 SE Xxxxxxxx Xxx, Xxxxx 000 Xxxxxxxx, XX 00000, y datos de contacto, teléfono: x0 (000) 000 0000 y correo electrónico: xxxxxxxxxxxxxx@xxxxxxxxxx.xxx , se entenderá
(el "Importador de datos”).
Las partes se denominarán de manera individual una "parte" y conjuntamente "las partes”.
HAN ACORDADO las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de ofrecer garantías suficientes en relación con la protección de la privacidad y de los derechos y libertades fundamentales de las personas en cuanto a la transferencia por el exportador de datos, al importador de datos, de los datos de carácter personal especificados en el Apéndice 1.
A los efectos de las presentes cláusulas:
Cláusula 1 Definiciones
a) | «datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; |
b) | por «exportador de datos» se entenderá el responsable del tratamiento que transfiera los datos personales; |
c) | por «importador de datos» se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE; |
d) | por «subencargado del tratamiento» se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito; |
e) | por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos; |
f) | por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento. |
Cláusula 2 Detalles de la transferencia
Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.
Cláusula 3
Cláusula xx xxxxxxx beneficiario
1. | Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios. |
2. | Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. |
3. | Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas. |
4. | Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional. |
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
a) | el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro; |
b) | ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas; |
c) | el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato; |
d) | ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación; |
e) | asegurará que dichas medidas se lleven a la práctica; |
f) | si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE; |
g) | enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión; |
h) | pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial; |
i) | que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y |
j) | que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica. |
Cláusula 5
Obligaciones del importador de datos
El importador de datos acuerda y garantiza lo siguiente:
a) | tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato; |
b) | no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato; |
c) | ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos; |
d) notificará sin demora al exportador de datos sobre:
i) | toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación xx xxx a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación levada a cabo por una de dichas autoridades, |
ii) | todo acceso accidental o no autorizado, |
iii) | toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice; |
e) | tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos; |
f) | ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control; |
g) | pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos; |
h) | que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito; |
i) | que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11; |
j) | enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con arreglo a las cláusulas. |
Cláusula 6
Responsabilidad
1. | Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido. |
2. | En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades. |
3. | En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos |
como el importador de datos, el subencargado del tratamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.
Cláusula 7
Mediación y jurisdicción
1. El importador de datos acuerda que, si el interesado invoca en su contra derechos xx xxxxxxx beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:
a) | someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control; |
b) | someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos. |
2. | Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional. |
Cláusula 8
Cooperación con las autoridades de control
1. | El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable. |
2. | Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable. |
3. | El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con arreglo al apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5. |
Cláusula 9
Legislación aplicable
Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a
saber …
Cláusula 10
Variación del contrato
Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.
Cláusula 11
Subtratamiento de datos
1. | El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas (3). En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho acuerdo. |
2. | El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula xx xxxxxxx beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas |
3. | Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber … |
4. | El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos. |
Cláusula 12
Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales
1. | Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento. |
2. | El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1. |
En representación del exportador de datos:
Nombre completo:
Cargo:
Dirección:
Cualquier otra información relevante para que el acuerdo sea vinculante: Firma:
En representación del importador de datos:
Nombre completo: Xxxxxxxxxxx Xxxxx Xxxxx: Presidente
Dirección: Sunset Corporate Campus BLDG1 ,13810 SE Xxxxxxxx Xxx, Xxxxx 000 Xxxxxxxx, XX 00000 Cualquier otra información relevante para que el acuerdo sea vinculante:
Firma:
APÉNDICE 1 A LAS CLÁUSULAS CONTRACTUALES TIPO
Exportador de datos
El exportador de datos se identifica como "Cliente" en la Sales Order a la que las presentes Cláusulas Contractuales Tipo se adjuntan. El Cliente utiliza los Servicios en la forma que se describe en la Sales Order, la Descripción de Servicios (SOW) y el Contrato de dichos Servicios.
IMPORTADOR DE DATOS
El importador de datos es SmartFocus, un proveedor de servicios del exportador de datos.
Los siguientes conceptos se describen en el Contrato, en el Anexo 2 del Acuerdo de Protección de Datos y el uso de los Servicios por parte del Cliente:
(a) interesados
(b) categorías de datos
(c) finalidad de la transferencia / operaciones de tratamiento
APÉNDICE 2 A LAS CLÁUSULAS CONTRACTUALES TIPO
Descripción de las medidas de seguridad técnicas y organizativas implantadas por el importador de datos de conformidad con las Cláusulas 4(d) y 5(c) (o la documentación / legislación adjunta):
El Importador de datos ha implementado y mantendrá operativas medidas técnicas y organizativas adecuadas para proteger los Datos de Carácter Personal contra el uso ilícito y contra su pérdida o destrucción, tal y como establece la Política de Seguridad de la Información de SmartFocus.