ANEXO 7
ANEXO 7
CONTRATO DE TRANSMISIÓN DE DATOS PERSONALES
Entre los suscritos a saber:
(i) De una parte, [●], mayor de edad, identificado con la cédula de ciudadanía No. [●], domiciliada en [●], Colombia, actuando en representación de [●], (en adelante “[●]”) en su calidad de representante legal, sociedad identificada con NIT [●] y legalmente constituida bajo las leyes de Colombia, quien para efectos de este Contrato de Transmisión de Datos Personales se denominará “Responsable de Datos” y/o “Responsable”;
(ii) De otra parte, [●], identificado con [●], domiciliado en [●], actuando en representación de la sociedad [●] (en adelante “[●]”), en su calidad de [●], sociedad con domicilio principal [●], legalmente constituida bajo las leyes de [●], quien en adelante y para efectos del Contrato, se denominará “Encargado de Datos” y/o “Encargado”;
Quienes conjuntamente se denominarán las “Partes” e individualmente, una “Parte” y la “Otra Parte”, han celebrado el presente Contrato de Transmisión de Datos Personales, en observación a las definiciones incluidas en la Cláusula Primera y, bajo las siguientes:
CONSIDERACIONES
1. Que ambas Partes cuentan con la capacidad jurídica suficiente para suscribir el presente Contrato de Transmisión de Datos Personales (el “Contrato”).
2. Que entre el Responsable y el Encargado existe actualmente [una relación empresarial derivada de ] [una relación comercial con ocasión de la celebración del contrato
(el “Contrato Principal”)].
3. Que con ocasión de [la relación empresarial derivada de ] [de la ejecución del Contrato Principal] tiene lugar la Transmisión de Datos Personales en la cual, de conformidad con las definiciones previstas en el artículo 3 de la Ley 1581 de 2012, [●] actuará como Responsable y [●] actuará como Encargado, por lo que resulta necesario regular las obligaciones de las Partes en virtud de la misma.
4. Las Partes, según intervienen, se reconocen capacidad recíproca para formalizar el presente Contrato, que se regirá por el principio de buena fe contractual.
Por consiguiente, y en atención a las anteriores Consideraciones, las Partes han acordado celebrar el presente Contrato, el cual se regirá por las siguientes:
CLÁUSULAS
CLÁUSULA PRIMERA-. DEFINICIONES. Excepto que expresamente se indique lo contrario, los siguientes términos tendrán el significado establecido a continuación:
“Autorización” significa, en cuanto sea exigible el consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de Datos Personales de los grupos de interés en Colombia de la Empresa Contratista.
“Contrato” significa este Contrato de Transmisión de Datos Personales firmado entre las Partes en cumplimiento a lo dispuesto por los artículos 24 y 25 del Decreto 1377 de 2013, así como por la Sección 5, artículo 2.2.2.25.5.1. y siguientes del Decreto Único Reglamentario 1074 de 2015.
“Xxxx(s) Personal(es)” significa, de acuerdo con la Ley 1581 de 2012, cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.
“Datos Personales del Responsable” significan los Datos Personales de los Titulares que puedan estar contenidos en la información del Responsable y que sea suministrada en vista a la ejecución de las operaciones normales o del día a día del negocio del Responsable.
“Encargado del Tratamiento y/o Encargado” será [●], el cual, por sí mismo o en asocio con otros, realiza el Tratamiento de Datos Personales del Responsable por cuenta de éste último, exclusivamente [para el cumplimiento de la relación comercial] [en el marco de la relación empresarial entre Responsable y Encargado] por cuenta y bajo las instrucciones de [●] como Responsable del Tratamiento de los Datos Personales.
“Instrucciones” se refiere a las instrucciones escritas del Responsable al Encargado relacionadas con el Tratamiento de Datos Personales.
“Ley Aplicable” significa la normatividad colombiana aplicable al Contrato de Transmisión Internacional de Datos Personales, específicamente al contenido de los artículos 2.2.2.25.5.1. y 2.2.2.25.5.2. del Decreto Único Reglamentario 1074 de 2015.
“Ley 1581” significa la Ley 1581 de 2012 tal y como ésta sea modificada de tiempo en tiempo y las demás normas complementarias.
“Partes” tiene el significado que se le asigna en el encabezado de este Contrato.
“Política de Tratamiento de la Información” significa la política de tratamiento de información del Responsable, estructurada conforme a la Ley 1581.
“Responsable del Tratamiento y/o Responsable” significa [●], que, de acuerdo con la Ley 1581, es la persona que por sí misma o en asocio con otros, decide sobre el Tratamiento de los Datos Personales del Responsable procediendo de manera libre y voluntaria con la externalización de los Datos Personales del Responsable, delegando parte o todo el Tratamiento a un tercero como es el Encargado del presente contrato.
“Servicio(s)” significa los servicios que le presta el Encargado al Responsable, en cuanto a su relación comercial (contractual).
“Titular(es)” significa la persona natural cuyos Datos Personales sean objeto de Tratamiento por el Encargado, en la medida en que los mismos estén contenidos en los Datos Personales del Responsable, siendo suministrados por el Responsable al Encargado, o recolectados en el marco de las Instrucciones del Responsable al Encargado.
“Transmisión de Datos Personales y/o Transmisión” significa la comunicación de los Datos Personales del Responsable en vista del Tratamiento dado a los mismos por el Encargado, acorde con las finalidades e Instrucciones indicadas por el Responsable y por cuenta del mismo.
“Tratamiento” significa cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.
CLÁUSULA SEGUNDA-. OBJETO. El presente Contrato tiene como objeto establecer las condiciones aplicables a la operación de la Transmisión de Datos Personales que puede tener lugar con ocasión [del cumplimiento de la relación comercial] [de la relación empresarial entre Responsable y Encargado] , en el cual el Encargado ejecutará sus tareas contratadas por el Responsable. Mediante este Contrato las Partes acuerdan la Transmisión de Datos Personales a favor de [●], la cual ocurre de acuerdo con las instrucciones del Responsable y en cumplimiento a
las finalidades indicadas por el mismo como Responsable para el Tratamiento de los Datos Personales del Responsable.
CLÁUSULA TERCERA-. FINALIDAD Y ALCANCE DE LA TRANSMISIÓN DE DATOS
PERSONALES. Los Datos Personales del Responsable, serán sometidos a Tratamiento por el Encargado única y exclusivamente en cumplimiento a las Instrucciones del Responsable. Los Datos Personales del Responsable se utilizarán entonces, por el Encargado, únicamente para el desarrollo de las siguientes actividades y finalidades por cuenta exclusiva del Responsable:
a. Cumplir con gestiones administrativas, operativas, comerciales y de promoción mercadológica por parte del Encargado sobre los Datos Personales del Responsable en materias relacionadas con el servicio de [●].
b. Para cualquier otra finalidad relacionada con ocasión [del cumplimiento de la relación contractual] [de la relación empresarial entre Responsable y Encargado] .
c. (…)
PARÁGRAFO-. Bajo el alcance de las anteriores finalidades el Encargado está autorizado a proceder con el Tratamiento de los Datos Personales del Responsable por el tiempo que sea necesario. En ningún caso la Transmisión de los Datos Personales comprenderá la cesión de los derechos de propiedad derivados de la existencia de los Datos Personales del Responsable.
CLÁUSULA CUARTA-. OBLIGACIONES DEL RESPONSABLE. En virtud del presente Contrato, el Responsable, adicionalmente a las obligaciones que impone la Ley 1581, y aquello complementario que imponga la Ley Aplicable, declara y se obliga a:
1. Proveer Instrucciones para el Tratamiento de los Datos Personales del Responsable, bajo la Transmisión Internacional, y declara que las mismas corresponden y están de acuerdo con las finalidades que han sido autorizadas por el Titular de los Datos Personales.
2. En caso de requerir obtener Autorización previa para esta Transmisión Internacional, declara contar con capacidad suficiente de disponer y decidir sobre los Datos Personales del Responsable y haber obtenido la correspondiente Autorización del Titular, o de su representante legal, y conservado copia de la misma a través de medios que permitan su posterior consulta.
3. El Tratamiento de Datos Personales del Responsable bajo la figura de Transmisión Internacional por parte del Encargado, tiene como finalidad el cumplimiento del objeto del presente Contrato.
4. Garantizará a los Titulares, mediante los mecanismos dispuestos legalmente para tal fin, el ejercicio de los derechos que les corresponden como Titulares de Datos Personales.
5. Cumplir y acatar en su integridad las respectivas obligaciones de acuerdo al mencionado rol de Responsable conforme a la Ley 1581.
CLÁUSULA QUINTA-. OBLIGACIONES DEL ENCARGADO. En virtud del presente Contrato, el Encargado, declara y se obliga a:
1. Dar Tratamiento, en nombre del Responsable, a los Datos Personales de los Titulares en su calidad de Encargado de acuerdo con el presente Contrato y acorde a los principios que los tutelan, de conformidad con las Instrucciones del Responsable para tal fin. El Encargado declara conocer y acatar el contenido de la Política de Tratamiento de la Información y/o Política de Privacidad desarrollada por el Responsable.
2. Salvaguardar la seguridad de los Datos Personales de Responsables y/o bases de datos que contengan los mismos y que puedan ser objeto de la Transmisión Internacional de acuerdo con la Ley colombiana.
3. Guardar la confidencialidad absoluta respecto del Tratamiento de los Datos Personales del Responsable, incluyendo extender el deber de confidencialidad a los empleados u otro personal que pueda tener relación con el Tratamiento de los Datos Personales del Responsable a través de la firma de un acuerdo de confidencialidad. El personal del Encargado está obligado a comportarse de forma consistente con las directrices de confidencialidad que se impongan en el presente Contrato relacionados con confidencialidad.
4. Proveer entrenamiento a su personal relacionado con medidas de seguridad, estando su personal obligado a obtener certificaciones acordes a su rol en cuanto a la administración y Tratamiento de Datos Personales. El personal del Encargado sólo procederá con Tratamiento de Datos Personales, en cuanto sea necesario para el cumplimiento de las Instrucciones del Responsable, y contando con la suficiente autorización acorde a su posición.
5. Cumplirá con las obligaciones del Responsable de conformidad con la Política de Tratamiento de la Información establecida.
6. Apoyará al Responsable en cuanto a permitir el ejercicio de derechos de los Titulares procediendo con la entrega al Responsable de cualquier solicitud, consulta, petición, reclamo, entre otros, mediante los cuales el Titular de Datos Personales, contenidos en los Datos Personales del Responsable, pretenda el acceso, supresión, divulgación, corrección o bloqueo de Datos Personales que sean objeto de Tratamiento en vista a la ejecución del presente Contrato. El Encargado solo responderá de forma directa cuando sea requerido para tal fin por la ley aplicable a su propia gestión.
7. Proceder con la actualización y rectificación de Datos Personales del Responsable siempre y cuando el Responsable dé Instrucciones expresas y específicas para ese fin.
8. Remitir al Responsable toda la información sobre incidentes de seguridad o violaciones a los códigos de seguridad que determinen la existencia de riesgos en la administración de la información de los Titulares y, en particular, toda aquella información que el Responsable requiera para informar a la autoridad de protección de datos y/o a los Titulares sobre dichas violaciones o incidentes de seguridad.
9. Permitir la realización de auditorías a sus servicios directamente por el Responsable o a través terceros designados por éste.
CLÁUSULA SEXTA-. CONFIDENCIALIDAD. Las Partes acuerdan mantener toda la información surgida de sus relaciones contractuales bajo la más estricta reserva y confidencialidad. Sin perjuicio de los acuerdos contractuales existentes entre las Partes, el Encargado del Tratamiento tratará todos los Datos Personales como confidenciales e informará a todos sus empleados, agentes o subencargados autorizados que participen en cualquier operación que implique el tratamiento de datos personales.
PARÁGRAFO PRIMERO.- Se entiende por “Información Confidencial”, la información escrita, gráfica, electromagnética, o la recibida o transmitida bajo cualquier otra forma o medio, que sea claramente señalada por las partes como “confidencial”, incluyendo pero sin limitarse a las bases de datos o cualquier otra información que se clasifique como privada o confidencial por las Partes.
PARÁGRAFO SEGUNDO.- A menos que se establezca lo contrario en este Contrato, las Partes mantendrán como confidencial y harán sus mejores esfuerzos para que todos sus respectivos empleados, agentes, representantes, así como sus accionistas y sociedades vinculadas – sean matrices, filiales o subsidiarias - mantengan en forma confidencial, la totalidad de los datos, documentos y, otro material, escrito o grabado o representado identificado por la parte que la entrega como de naturaleza confidencial perteneciente a esta última y, excepto lo contemplado en este Contrato, no revelará, publicará, usará ni permitirá a otros usar los mismos.
PARÁGRAFO TERCERO.- La restricción anterior no será aplicable a ninguna información que (i) llegue a estar generalmente disponible para el público de cualquier manera o forma sin culpa alguna de la parte receptora, ni sus respectivos empleados, agentes o representantes, (ii) sea entregada para ser revelada por la Parte receptora con el consentimiento de la Parte que la entrega y/o del titular de los datos personales (si aplica), o (iii) cuando dicha revelación es requerida por un tribunal o entidad gubernamental o es de otra forma requerida por la normatividad aplicable o es necesaria con el fin de establecer derechos bajo este Contrato o cualquier otra estipulación a la que aquí se haga referencia.
PARÁGRAFO CUARTO. - La violación de las obligaciones o prohibiciones a que se refiere la presente Cláusula podrá dar lugar a la iniciación de las acciones civiles y penales correspondientes. No obstante lo anterior, en el evento en que el Encargado incumpla su obligación de mantener la confidencialidad de esta información, sin perjuicio de las acciones a que haya lugar, el Responsable podrá también exigir y/o reclamar el pago de la indemnización por la totalidad de los perjuicios que le pueda generar la violación.
PARÁGRAFO QUINTO. – El cumplimiento de la obligación de confidencialidad tendrá una duración de cinco (5) años.
CLÁUSULA SÉPTIMA-. CUMPLIMIENTO XX XXX APLICABLE. El Responsable declara y
comprende que es el sujeto obligado a cumplir con Ley Aplicable y que en su xxxx saber y entender, el presente Contrato de Transmisión de Datos Personales cumple en su totalidad con los mandatos legales aplicables. En caso de que la autoridad competente requiera la revisión del presente Contrato mantendrá indemne al Encargado de reclamaciones o quejas que puedan surgir con ocasión del mismo.
CLÁUSULA OCTAVA-. SUBCONTRATISTAS. El Responsable comprende y acepta que el Tratamiento de Datos Personales del Responsable podrá ser delegado por el Encargado a un tercero subcontratista quien cumplirá con las mismas obligaciones de seguridad, confidencialidad e información a cargo del Encargado en el presente Contrato.
En caso de subcontratación por parte del Encargado a un tercero subcontratista del Tratamiento de Datos Personales del Responsable, dicha situación deberá ser previamente autorizada por el Responsable.
CLÁUSULA NOVENA-. MEDIDAS DE SEGURIDAD. Teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento, así como también el riesgo de variabilidad y severidad para los derechos y libertades de los Titulares, el Responsable y el Encargado del Tratamiento implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad en el tratamiento de datos de acuerdo al riesgo.
Tanto el Responsable como el Encargado del Tratamiento mantendrán por escrito políticas de seguridad que estén completamente implementadas y san aplicables al tratamiento de datos personales. Como mínimo, tales políticas deben incluir la asignación de responsabilidades internas para la gestión de seguridad de la información, dedicar recursos de personal adecuados a la seguridad de la información, llevar a cabo verificaciones de personal permanente que vaya a tener
acceso a los datos personales, realizar las verificaciones de antecedentes adecuadas, suscribir con los empleados, proveedores y otras personas con acceso a los Datos Personales acuerdos de confidencialidad, y llevar a cabo capacitaciones para que los empleados y otras personas con acceso a los Datos Personales conozcan los riesgos de seguridad de la información que implica el proceso.
PARÁGRAFO PRIMERO. MEJORAS DE LA SEGURIDAD.- Las Partes reconocen que los requisitos de seguridad cambian constantemente y que la seguridad efectiva requiere evaluaciones frecuentes y mejoras regulares de las medidas de seguridad desactualizadas u obsoletas. Por lo tanto, el Encargado del Tratamiento evaluará las medidas implementadas de manera continua para mantener el cumplimiento de los requisitos establecidos en esta a cláusula. Las Partes negociarán de buena fe el costo, en su caso, para implementar cambios sustanciales requeridos por requisitos de seguridad específicos actualizados establecidos en la Ley de Protección de Datos o por autoridades de protección de datos de la jurisdicción competente.
PARÁGRAFO SEGUNDO. INCIDENTES DE SEGURIDAD.- El Encargado reportará al Responsable cualquier incidente de seguridad de acuerdo con lo expresado en el presente Contrato. La notificación por parte del Encargado al Responsable, deberá efectuarse por escrito en un plazo no mayor a cinco (5) días desde la ocurrencia del incidente de seguridad, y contendrá una descripción del incidente de seguridad, la relación de los Datos Personales del Responsable afectados por el respectivo incidente y las medidas de seguridad adoptadas para mitigar dicho incidente. Estas medidas incluirán, como mínimo, las medidas de seguridad acordadas por las partes en un documento anexo a este contrato.
CLÁUSULA DÉCIMA.- CLÁUSULA PENAL. El incumplimiento del Encargado o de sus Representantes a cualquiera de las obligaciones previstas en este Contrato, sea que cause o no un perjuicio al Responsable, dará en todo caso lugar al pago por parte del Encargado y a favor del Responsable de una sanción equivalente a [●], sin perjuicio de la reparación integral de los perjuicios que eventualmente se causen.
CLÁUSULA DÉCIMA PRIMERA.- EXTINCIÓN. El presente Contrato podrá extinguirse por las siguientes causas:
1. Por el cumplimiento de las obligaciones principales del presente Contrato.
2. Por la extinción de las obligaciones del Encargado sobre las gestiones administrativas, operativas y comerciales sobre los Datos Personales gestionados por el Responsable en materias relacionadas con el servicio de [●].
3. Por la terminación del tiempo acordado para el Tratamiento de datos acordado.
4. Por las demás causas previstas en la legislación vigente y aplicable.
CLÁUSULA DÉCIMA SEGUNDA-. NOTIFICACIONES. Cualquier notificación o comunicación exigida, permitida o requerida bajo este Contrato, deberá ser hecha a través de los siguientes datos de contacto:
Responsable del Tratamiento | [●] [●] |
Encargado del Tratamiento | [●] [●] |
El [●] de [●] de [●] las Partes han consentido en el objeto y términos de este Contrato, en constancia de lo cual firman en dos ejemplares del mismo tenor.
EL RESPONSABLE, | EL ENCARGADO, |
[●] C.C. [●] Representante Legal | [●] C.C. [●] Representante Legal |