Términos y Condiciones Generales (los “Términos y Condiciones” o los “T&C”) de Glaxo Wellcome, S.A.

Artículo 1.- Las partes

1. Las presentes condiciones generales resultan aplicables a cualquier acuerdo realizado entre la compañía arriba mencionada (en adelante, "GSK") y el Proveedor.

2. Se entiende por "Proveedor", la persona física o jurídica que ha entregado o entregará mercancías a GSK o preste servicios de cualquier tipo a GSK.

3. Se entiende por "Contrato” o “Acuerdo” el acuerdo escrito referido bien a la entrega de bienes a GSK bien a la prestación de servicios a GSK, así como al cumplimiento de cualesquiera otras obligaciones acordadas entre las partes.

4. En caso de incompatibilidad entre las presentes disposiciones y cualesquiera términos y condiciones de entrega utilizados por el Proveedor en su actividad, prevalecerán los presentes Términos y Condiciones.

Artículo 2.- Validez

1. Los Contratos a los que resultan aplicables las presentes condiciones son aquellos que han sido adecuadamente suscritos por un representante de GSK.

2. Cualquier modificación al Contrato deberá realizarse por escrito y ser firmada por un representante de GSK.

Artículo 3.- Entrega de bienes

1. En caso de que el objeto del contrato consista en la entrega de bienes a GSK, a petición de GSK, el Proveedor, previamente al envío de la totalidad de los bienes que han de ser entregados a GSK al amparo del Contrato, deberá remitir una muestra del producto para su aceptación por GSK.

2. GSK se reserva el derecho de devolución de aquellas entregas de bienes que excedan las cantidades solicitadas en el pedido y/o Contrato.

3. Traspaso de riesgos: En tanto en cuanto no se produzca la entrega de los bienes, los riesgos por pérdida o deterioro correrán a cargo del Proveedor.

4. Calidad: GSK comunicará al Proveedor, dentro de los treinta (30) días siguientes a la entrega de los bienes, aquellos que no reúnan las calidades, normas y especificaciones indicadas en el Contrato. Dichos bienes serán devueltos al Proveedor con gastos a su cargo. GSK podrá a su discreción resolver el Contrato. GSK podrá requerir al Proveedor una extensión del anterior plazo en treinta (30) días adicionales.

5. Plazo de devolución: GSK se reserva el derecho de devolver todas las mercancías que no sean entregadas dentro del plazo de entrega fijado en el Contrato, así como a dar por resuelto, total o parcialmente, el Contrato a que se refieren, reconociendo y aceptando el Proveedor cualquier devolución que por este motivo pueda producirse y la resolución del mismo.

Artículo 4.- Prestación de servicios

En el supuesto en el que el objeto del Contrato consista en la prestación de servicios a GSK por el Proveedor, con carácter general, GSK emitirá la correspondiente acta de conformidad. Ello supondrá el cumplimiento por el Proveedor de los niveles de servicio acordados.

Si GSK identificara un incumplimiento en los indicadores del nivel de servicio pactados, lo pondrá en conocimiento del Proveedor a la mayor brevedad, a fin de que este pueda corregir la desviación identificada en el nivel de servicio.

Artículo 5.- Precio, facturación y forma de pago

Los precios indicados en el pedido son en firme y para mercancía puesta en el domicilio indicado, salvo acuerdo contrario.

Salvo pacto expreso entre GSK y el Proveedor, o indicación en contrario de GSK, dentro de los diez (10) siguientes a la entrega de la mercancía o la prestación de los servicios correspondientes, el Proveedor emitirá la correspondiente factura, la cual incluirá el número de pedido que GSK le indique y será remitida por el Proveedor a GSK por una de las siguientes vías

(i) físicamente y por correo ordinario a la compañía Recall designada por GSK, cuyos datos figuran en el pedido cursado por GSK o (ii) electrónicamente a través del portal de la compañía de facturación electrónica -Tungsten- designada por GSK.

La factura será abonada por GSK en el plazo acordado mediante transferencia bancaria a la cuenta indicada por el Proveedor a tal efecto.

Artículo 6.- Cancelación

En caso de incumplimiento por el Proveedor de cualquier condición establecida, bien en el pedido o bien los presentes T&C, GSK, con independencia de cualesquiera otros derechos, podrá:

1. Resolver el pedido o terminar el Contrato.

2. Requerir al Proveedor cualquier indemnización a la que GSK tenga derecho de acuerdo con los presentes T&C o la normativa aplicable.

Artículo 7.- Responsabilidad

El Proveedor asume toda responsabilidad por los daños y perjuicios que como consecuencia del incumplimiento o cumplimiento defectuoso por su parte de los presentes T&C pudieran producirse para GSK y /o terceros.

Artículo 8.- Prevención de la corrupción

El Proveedor reconoce que cumple con todas las leyes y regulaciones aplicables, incluidas pero no limitadas las leyes anticorrupción, y que desde la firma de este Acuerdo y durante su vigencia, no habrá realizado, prometido, autorizado, ratificado, ofrecido, o fomentado ningún pago u obsequio de valor con el propósito de influir, inducir o recompensar cualquier acto, omisión o decisión, para asegurar un beneficio indebido; o que indebidamente le ayude a él mismo o a GSK a obtener o retener un ingreso en cualquier modo con la intención o el efecto de corromper las transacciones comerciales o a los funcionarios públicos, y garantiza que ha tomado las medidas oportunas para prevenir esas conductas en sus subcontratistas, representantes o cualquier otro tercero sujeto a su control o ámbito de influencia. Para que no haya lugar a dudas, estas incluyen facilitar pagos de forma no oficial o indebida, así como hacer u ofrecer favores o regalos a funcionarios públicos para asegurar o acelerar las operaciones o las medidas necesarias que estuvieren autorizados a llevar a cabo.

GSK podrá resolver este Acuerdo de manera inmediata mediante aviso por escrito al Proveedor si este incumple las obligaciones recogidas en esta cláusula. El Proveedor no tendrá derecho a reclamar a GSK ninguna compensación por las pérdidas de cualquier tipo que se hubieren producido en virtud de la resolución de este Acuerdo conforme a esta cláusula.

El Proveedor no mantendrá contacto ni reuniones con funcionarios públicos de forma intencionada con el propósito de discutir actividades que resulten de o estén en conexión con este Acuerdo sin la previa aprobación por escrito por parte de GSK y, cuando sea requerido por GSK, solo en presencia de un representante de GSK.

A efectos de este Acuerdo, “Funcionario Público” (donde “público” hace referencia a todos los niveles o subdivisiones gubernamentales, por ejemplo local, regional, nacional, administrativo, legislativo, ejecutivo o judicial y familias reales o soberanas) hace referencia a: (a) cualquier funcionario o empleado público de cualquier departamento, agencia u organismo del gobierno (entre los que se incluyen las empresas públicas y entidades titularidad de o controladas por el Estado); (b) cualquier funcionario o empleado de una organización pública internacional como el Banco Mundial o las Naciones Unidas; (c) cualquier miembro o empleado de un partido político, o cualquier candidato, (d) cualquier persona que entre en la definición de funcionario público según la legislación del lugar (incluyendo leyes anti soborno y anti corrupción) y que no se encuentre entre las anteriores; y/o (e) cualquier persona que actúe de manera oficial para o en nombre de cualquiera de las anteriores. Por “Funcionario Público”, también se entenderá cualquier persona con familiares cercanos que sean funcionarios públicos conforme a la definición anterior, con capacidad, real o aparente, de influenciar o tomar decisiones que afecten al negocio de GSK.

El Proveedor deberá informar a GSK por escrito si, durante la vigencia de este Acuerdo, es condenado o declarado culpable de cualquier delito que implique fraude o corrupción, o es objeto de investigación por parte de los poderes públicos por cualquiera de esos delitos, o se le considera por parte de cualquier organismo público como inhabilitado, suspendido, propuesto para ser inhabilitado o suspendido o no habilitado en cualquier modo para formar parte en proyectos públicos.

El Proveedor declara y certifica que, salvo declaración en contrario por escrito enviada a GSK con anterioridad a la entrada en vigor de este Acuerdo: (1) ninguno de sus accionistas significativos (>25% del accionariado) o de sus altos directivos tiene influencia sobre el negocio de GSK; (2) ningún accionista significativo (>25% del accionariado) o miembro de sus equipos de dirección, de su Consejo de Administración o individuos clave que vayan a encargarse del suministro de bienes / prestación de servicios sean o hayan sido en los dos últimos años un Funcionario Público con influencia real o aparente que pudiera afectar al negocio de GSK; (3) no tiene conocimiento de que alguno de los familiares inmediatos (p.ej. cónyuge, progenitores, hijos o hermanos) de las personas enumeradas en el subapartado anterior 2 tenga una función pública

o privada que implique tomar decisiones que pudieran afectar al negocio de GSK o que suministre bienes o preste servicios a GSK o en su nombre; (4) no tiene ningún otro interés que entre en conflicto directo o indirecto con el correcto y ético desempeño, y con la diligencia debida, de las obligaciones recogidas en este Acuerdo; y (5) mantendrá condiciones de libre mercado en las relaciones que mantenga con terceros en favor de o en nombre de GSK para el desempeño de las obligaciones de este Acuerdo. El Proveedor informará por escrito a GSK lo antes posible de cualquier conflicto de intereses que, conforme a la descripción dada en esta cláusula, pudiera surgir durante la ejecución del presente Acuerdo.

GSK se reserva el derecho de auditar las actividades del Proveedor con respecto a este Acuerdo durante su vigencia para vigilar el cumplimiento de los términos del mismo. El Proveedor deberá colaborar en todo momento con dicha auditoría, cuyo alcance, método, naturaleza y duración dependerán únicamente del criterio de GSK.

El Proveedor deberá asegurarse de que todas las transacciones realizadas en virtud de este Acuerdo se registren de manera correcta y exacta en todos los aspectos materiales en sus libros y registros, y que cada documento en el que se basen dichos libros y registros esté completo y sea riguroso en todos los aspectos materiales. El Proveedor deberá mantener un sistema de

control de la contabilidad que resulte suficiente para asegurarse de que no existe una contabilidad no registrada en los libros de cuentas.

El Proveedor acepta que en el caso de que GSK entendiese que ha habido una posible violación de los términos de este Acuerdo, GSK podría, en cualquier momento y por cualquier causa, dar a conocer dicha preocupación y poner la información correspondiente en manos de las autoridades competentes y de quien quiera que GSK de buena fe determine que está legitimado para conocer dicho asunto.

El Proveedor deberá proveer formación sobre anticorrupción a los empleados que corresponda, incluidos los subcontratistas oportunos, que actúen en nombre de GSK o se relacionen con funcionarios públicos en virtud de los servicios prestados a GSK. El Proveedor deberá permitir que GSK evalúe la formación para determinar si se ajusta a las exigencias de GSK y deberá llevar a cabo formación adicional, si así es requerido por GSK. El Proveedor, si así lo requiere GSK, deberá certificar que la formación antisoborno y anticorrupción se ha llevado a cabo.

Artículo 9.- Derechos de los trabajadores

A menos que legalmente se establezca una obligación o prohibición en contrario, el Proveedor declara y garantiza, conforme a su mejor saber y entender, que en relación con el cumplimiento de este Acuerdo respeta los derechos humanos de su personal y:

a) no emplea, contrata ni utiliza de ninguna manera mano de obra infantil de forma que las tareas realizadas por dicha mano de obra infantil pudieran razonablemente ser consideradas como causa de un deterioro físico o emocional en el desarrollo del niño;/

b) no utiliza trabajo forzoso en ninguna forma (prisión, trabajo no remunerado, situación de esclavitud u otra) y sus empleados no están obligados a consignar documentos de identificación originales o depósitos monetarios al comenzar el trabajo;

c) proporciona un lugar de trabajo seguro y saludable, sin riesgos inmediatos para sus trabajadores. Cualquier vivienda proporcionada por el Proveedor a sus trabajadores se encontrará en condiciones seguras de habitabilidad. El Proveedor proporciona acceso a agua potable, alimentos y atención médica de emergencia en caso de accidentes o incidentes en el lugar de trabajo del Proveedor;

d) no discrimina a ningún trabajador por ningún motivo (incluyendo raza, religión, discapacidad, sexo, orientación sexual o identidad de género);

e) no lleva a cabo ni apoya el uso de castigos físicos, abuso mental, físico, sexual o verbal y no usa prácticas disciplinarias crueles o abusivas en el lugar de trabajo;

f) paga a cada empleado por lo menos el salario mínimo, o una representación xxxxx xxx xxxxxxx vigente en la industria (el que sea mayor) y proporciona a cada empleado todas las prestaciones laborales legalmente obligatorias;

g) cumple con las leyes sobre horarios de trabajo y derechos laborales en los países en los que opera;

h) respeta el derecho de sus empleados a la libertad de asociación y a afiliarse y formar sindicatos independientes.

El Proveedor será responsable de controlar su propia cadena de suministro y alentará el cumplimiento de las normas éticas y de los derechos humanos por parte de cualquier proveedor de bienes y servicios que sea empleado por el Proveedor al cumplir las obligaciones recogidas en este Acuerdo.

El Proveedor se asegurará de contar con políticas y reglamentos internos éticos y respetuosos con los derechos humanos y con un procedimiento adecuado para gestionar las quejas que

pudieran formularse en el caso de cualquier incumplimiento de dichas políticas. Si se produjera alguna queja, el Proveedor informará a GSK de la queja presentada y de la solución propuesta.

GSK se reserva el derecho, previo aviso razonable (salvo que la inspección sea por causa justificada, en cuyo caso no será necesario ningún aviso) a entrar en las instalaciones del Proveedor para supervisar el cumplimiento de las disposiciones de esta cláusula, y el Proveedor, respetando el cumplimiento de las leyes aplicables, proporcionará a GSK cualquier documento pertinente y relacionado con el caso concreto, que sea solicitado por GSK.

Artículo 10.- Medioambiente, salud y seguridad (EHS)

El Proveedor garantiza los siguientes extremos:

- Estricto cumplimiento de la legislación aplicable.

- La puesta en marcha una política de EHS, así como un sistema de gestión del riesgo, con el compromiso de proteger el medioambiente y de proporcionar un lugar de trabajo seguro y saludable.

- Asegura que tiene un responsable senior para EHS y que la organización dispone del conocimiento técnico necesario para que la compañía cumpla con las obligaciones legales de EHS.

- Comunicará proactivamente a GSK cualquier incidente que deba ser notificado a las autoridades competentes en EHS, e informará a GSK sobre cualquier sanción que le sea impuesta.

- Proporciona a los empleados información de interés y formación sobre las amenazas, riesgos y controles necesarios asociados a su puesto de trabajo.

- Proporciona la infraestructura física y los controles técnicos necesarios para asegurar el almacenamiento, manipulación y procesamiento seguro de materiales y residuos con el objetivo de proteger a las personas, el medioambiente y el entorno.

- Dispone de y mantiene sistemas de detección de emergencias y capacidad de respuesta inmediata.

- Cooperará plenamente en la realización de una auditoría en materia de EHS de su centro de fabricación/instalaciones cuando así lo solicite GSK.

Artículo 11.- Derechos de propiedad intelectual

GSK será titular, con carácter exclusivo, de todos los derechos de explotación de propiedad intelectual, y en especial los de reproducción, distribución, transformación y comunicación pública, sobre los contenidos y materiales elaborados por el Proveedor en el marco del presente Acuerdo, tanto en España como en el extranjero, durante el tiempo máximo de duración de los derechos de explotación de las obras establecido en los artículos 26 y 28 del texto Refundido de la Ley de Propiedad Intelectual.

Artículo 12.- Confidencialidad

El Proveedor se compromete a mantener la más absoluta confidencialidad respecto a la información o documentación (en adelante, la “Información”) que GSK le pudiera proporcionar con el fin de llevar a cabo los servicios objeto del presente Acuerdo, así como a no hacer uso de la misma para una finalidad distinta a la establecida en el marco del presente Acuerdo.

Al finalizar los servicios objeto del presente Acuerdo, el Proveedor se compromete a cesar en todo uso de la Información y, a petición por escrito de GSK, a devolver a esta, puntualmente, toda la Información, no pudiendo mantener ninguna copia de la misma.

El compromiso de confidencialidad contenido en esta cláusula se mantendrá por un período de cinco (5) años desde la fecha del presente Acuerdo.

Artículo 13.- Condiciones generales y jurisdicción

En todo lo no previsto en los presentes T&C, GSK y el Proveedor se remiten a la normativa española y, en particular, al Derecho Civil Común.

Para la solución de cualquier discrepancia respecto de los presentes T&C, GSK y el Proveedor se someten a la jurisdicción de los juzgados y tribunales de la ciudad de Madrid, renunciando expresamente al fuero que pudiera corresponderles.

Términos y Condiciones particulares de GlaxoSmithKline, S.A., GlaxoSmithKline Investigación y Desarrollo, S.L. y GlaxoSmithKline Consumer Healthcare, S.A. (las “Condiciones Particulares”)

Las Condiciones Particulares resultarán de aplicación dependiendo de la naturaleza de los bienes o servicios contratados por GSK al Proveedor.

Artículo 1.- Bienestar animal

1.a.- Para servicios que impliquen la involucración de animales y para servicios relativos a estudios o análisis que impliquen el suministro de compuestos o el uso de animales:

1.a.1. El Proveedor se compromete a cumplir con todos los estatutos, legislación, regulaciones y códigos de conducta relativas al cuidado, bienestar y tratamiento ético de los animales, vigentes en el país en donde se lleven a cabo los estudios o servicios. El Proveedor además se compromete a cumplir con los principios de las “3Rs” – reducir el número de animales empleados, reemplazar las técnicas que usen animales por otras que no cuando sea posible, redefinir las técnicas de investigación empleadas. Todo el trabajo se debe llevar a cabo de acuerdo con los principios básicos enumerados a continuación. Las costumbres, normas, prácticas o leyes locales pueden ser incorporados, pero el Proveedor se compromete a cumplir y deberá procurar y asegurarse de que aquellos que actúen para él o en su nombre (incluyendo subcontratistas), cumplen, como mínimo con estos principios fundamentales:

a. Acceso a agua y comida apropiada para los animales.

b. Condiciones de habitabilidad para los animales, incluyendo niveles apropiados de temperatura y humedad.

c. Dotarlos de cuidados humanos y de un programa de cuidados veterinarios bajo la orientación de un veterinario.

d. Dotar a los animales de un entorno que minimice el desarrollo de comportamientos anómalos.

e. Adherirse a los principios de reemplazo, mejora y reducción en los diseños de los estudios in vivo o ex vivo con procesos que optimicen el uso de los animales y aseguren una efectiva gestión de los ejemplares.

f. Respaldados por motivos y justificaciones científicas pertinentes, aprobados mediante procedimientos institucionales de revisión ética y sujetos a revisión científica independiente.

g. Compromiso de minimizar el dolor y el sufrimiento durante los estudios in vivo y ex vivo.

h. Que el trabajo sea realizado por personal con la formación y la competencia reconocida para llevar a cabo los procedimientos de los que sean responsables.

1.a.2. El Proveedor se compromete a que todos los protocolos del Estudio se sometan a una revisión ética, aunque no sea requerido por ley, y a mantener documentación escrita que confirme dicha revisión ética durante los tres (3) años siguientes al término de este Acuerdo, demostrando así que la revisión se ha llevado a cabo. Estos registros deben estar disponibles para ser inspeccionados por GSK cuando así lo requiera, previo aviso con la suficiente antelación y deberán ser facilitados sin tardanza a GSK, teniendo en cuenta que dicha inspección no deberá incluir aquellas partes de los registros en las que el Proveedor pueda demostrar que está sujeto a acuerdos de confidencialidad con otros clientes. El Proveedor asegura que aquellos que actúen para él o en su nombre (incluyendo, sin limitarse, a subcontratistas) cumplirán con las obligaciones identificadas en esta subsección 2.

1.a.3. Si el Proveedor está actualmente acreditado por la AAALACi, se compromete a realizar los esfuerzos comercialmente razonables para mantener su acreditación AAALACi durante la vigencia de este Acuerdo.

1.a.4. El proveedor llevará a cabo los Servicios y los Estudios de GSK únicamente a través de personal debidamente formado y cualificado, y el Proveedor se compromete a poner en práctica normas y procedimientos para garantizar la cualificación y la formación de sus empleados. El Proveedor debe garantizar que aquellos que actúen en su nombre (incluyéndose, pero no limitándose, a las subcontratistas) cumplirán con las obligaciones identificadas en esta subsección 4.

1.a.5. Mediando aviso previo razonable, GSK (o su subcontratista / delegado) tendrá el derecho de inspeccionar los registros e instalaciones del Proveedor. El alcance de la inspección puede incluir, pero no debe limitarse a, un recorrido por la instalación, la posibilidad de acceder a los documentos con los procesos operativos pertinentes, registros de formaciones llevadas a cabo, registros de gestión de edificios, registros de salud animal, documentos de revisión ética y cualquier otro documento razonablemente necesario para evaluar el cumplimiento por parte de El Proveedor de cualquiera de los términos de este Acuerdo, siempre que dicha inspección no se extienda a aquellas partes de los registros e instalaciones que el Proveedor pueda demostrar estar sujetas a acuerdos de confidencialidad con otros clientes. En la medida en que se identifiquen deficiencias significativas como resultado de dicha inspección, el Proveedor se esforzará de buena fe en tomar medidas correctivas razonables y prácticas para remediar dichas deficiencias.

1.a.6. El Proveedor proporcionará sin demora a GSK información sobre cualquier deficiencia significativa que se haya identificado en relación con su programa de cuidado y bienestar animal y cualquier acción correctiva adoptada. El Proveedor también proporcionará copias a GSK de cualquier medida de cumplimiento de la regulación o de las conclusiones de la inspección expedidas al Proveedor (o subcontratista) y relacionadas con fallos sistémicos en el cuidado y tratamiento ético de los animales, sin importar si esas medidas o hallazgos están relacionados con el Estudio relacionado con este Acuerdo. El Proveedor garantizará que las personas que actúen por cuenta suya o en su nombre (incluyendo, pero no limitado, a subcontratistas) cumplirán con las obligaciones identificadas en esta subsección 6.

1.a.7. El Proveedor dispondrá de un procedimiento para evaluar y aceptar a sus proveedores externos y distribuidores que suministran animales al Proveedor para (i) verificar y confirmar la calidad de los animales suministrados, (ii) garantizar que los requisitos legales para el cuidado y el bienestar de los animales se cumplan y (iii) asegurarse de que sólo los animales criados para uso específico se utilizan para realizar Estudios y prestar Servicios. La distancia entre los proveedores y las instalaciones de ensayo del Proveedor deberá reducirse al mínimo (cuando sea factible) y los procesos de transporte (por ejemplo, densidades de carga, jaulas de transporte, alimentos y agua) deben garantizar el mínimo estrés. A su llegada, el Proveedor se asegurará de que haya controles para confirmar que sólo se utilizan animales sanos en los Estudios. El Proveedor documentará la aceptación de sus proveedores y distribuidores de animales, y dicha documentación se pondrá a disposición de GSK previa solicitud por la misma. GSK tendrá el derecho, pero no la obligación, de aprobar cualquier proveedor de primates no humanos u otros animales, derecho que puede ejercerse previa notificación al Proveedor.

1.a.8. (Solo aplicable en caso de servicios que impliquen la involucración de animales). El Proveedor mantendrá y conservará registros escritos completos y sistemáticos de sus operaciones comerciales relacionadas con la ejecución de este Acuerdo, y el Proveedor conservará todos los registros durante el período que requiera la ley aplicable o durante tres (3) años después de haber terminado el trabajo recogido en este Acuerdo, (el plazo que sea mayor). Las obligaciones de esta Sección seguirán vigentes después de la conclusión de este Acuerdo.

1.b.- Para servicios con transferencia de sustancias que implique el suministro de compuestos o el uso de animales:

1.b.1. El Proveedor se compromete a cumplir con todos los estatutos, legislación, regulaciones y códigos de conducta pertinentes para el cuidado, bienestar y tratamiento ético de los animales vigentes en el país en donde se lleven a cabo los estudios o servicios. El Proveedor además se compromete a cumplir con los principios de las “3Rs” – reducir el número de animales empleados, reemplazar las técnicas que usen animales con otras que no, cuando sea posible y mejorar las técnicas de investigación empleadas. Todo el trabajo se debe llevar a cabo de acuerdo con los principios básicos enumerados a continuación. Las costumbres, normas, practicas o leyes locales pueden ser incorporados, pero el Proveedor se compromete a cumplir y deberá procurar y asegurarse que aquellos que actúen en su nombre (incluyendo subcontratos), cumplen, como mínimo con estos principios fundamentales:

a. Acceso a agua y comida apropiada para los animales.

b. Acceso a alojamiento específico para los animales, incluyendo niveles apropiados de temperatura y humedad.

c. Dotarlos de cuidados humanos y de un programa de cuidados veterinarios bajo la orientación de un veterinario.

d. Dotar a los animales de un alojamiento que minimice el desarrollo de comportamientos anómalos.

f. Respaldado por motivos y justificaciones científicas pertinentes, aprobados mediante procedimientos institucionales de revisión ética, y sujeto a revisión científica independiente.

g. Compromiso de minimizar el dolor y el estrés durante los estudios in vivo y ex vivo.

h. Que el trabajo sea realizado por personal con la formación y la competencia reconocida para llevar a cabo los procedimientos de los que sean responsables.

1.b.2. Mediando aviso previo razonable, GSK (o su subcontratista / delegado) tendrá el derecho de inspeccionar los registros e instalaciones del Proveedor. El alcance de la inspección puede incluir, pero no debe limitarse a, un recorrido por la instalación, la posibilidad de acceder a los documentos con los procesos operativos, registros de capacitación, formaciones llevadas a cabo, registros de gestión de edificios, registros de salud animal, documentos de revisión ética y cualquier otro documento razonablemente necesario para evaluar el cumplimiento por parte del Proveedor de cualquiera de los términos de este Acuerdo, siempre que dicha inspección no se extienda a aquellas partes de los registros e instalaciones que el Proveedor pueda demostrar estar sujetas a acuerdos de confidencialidad con otros clientes. En la medida en que se identifiquen deficiencias significativas como resultado de dicha inspección, el Proveedor se esforzará de buena fe en tomar medidas correctivas razonables y prácticas para remediar dichas deficiencias.

Artículo 2.- Minerales de conflicto

El Proveedor garantiza que en relación con la ejecución de este Acuerdo, no extrae, vende, manipula ni exporta minerales que contengan (i) estaño; (ii) tantalio; (iii) wolframio; u (iv) oro (todos, conjuntamente, “Minerales de conflicto”), que pueden provenir, directa o indirectamente, de la República Democrática del Congo y países vecinos, o, de cualquier forma, que dispone de un robusto proceso de auditoría para asegurar que dichos Minerales de Conflicto no provienen directa o indirectamente de la República Democrática del Congo ni de países vecinos.

Artículo 3.- Gestión de crisis y continuidad

El Proveedor debe tener implantados planes efectivos de gestión de crisis y continuidad de negocio (“ Plan CCM”), que reflejen que los estándares ISO 22301 están listos para su uso y que incluyan el análisis de riesgos y plan de mitigación, así como acciones inmediatas y estrategias de recuperación en caso de que el personal, las instalaciones y la tecnología se vean afectados, además de suministradores críticos, áreas de responsabilidad críticas y claras vías de comunicación interna antes de que tenga lugar la interrupción de las actividades. El Proveedor debe actualizar su Plan CCM en caso de cambios significativos de negocio u organizativos o cada doce (12) meses como máximo, debiendo asimismo testar dicho Plan CCM a través de simulacros cada veinticuatro (24) meses como máximo.

El Proveedor debe asegurar que los empleados responsables de la gestión de crisis y continuidad de negocio son formados para poner en marcha el plan en sus áreas de responsabilidad. El Proveedor debe permitir a GSK, en las fechas establecidas por mutuo acuerdo, la realización de un análisis de efectividad de los controles y documentos de gestión de crisis y continuidad de negocio. GSK deberá comunicar al Proveedor su interés en dicho análisis con al menos dos semanas de antelación. Como consecuencia de dicho análisis, y en el plazo de dos semanas desde que GSK lo ponga en su conocimiento, el Proveedor propondrá las acciones correspondientes para corregir los defectos identificados. El Proveedor pondrá en marcha las medidas acordadas, incluyendo el tiempo de recuperación acordado para el caso de servicios o

bienes contratados, que deberá completarse en el plazo de dos (2) meses, salvo pacto en contrario.

Si se produjera una interrupción en el negocio, el Proveedor deberá:

- Comunicarlo a GSK tan pronto como sea posible

- Poner en marcha el Plan CCM, según proceda.

- Dar continuidad a los servicios afectados conforme al Plan CCM, según proceda.

- Restablecer los servicios afectados a la normalidad dentro del período establecido en el Plan CCM, según proceda.

Artículo 4.- Promoción inapropiada

El Proveedor llevará a cabo todas las actividades que realice en relación con cualquier producto de GSK, o que de cualquier otro modo se establezcan en este Acuerdo, de conformidad con:

(i) todas las leyes y normativa aplicables;

(ii) el código de buenas prácticas de la IFPMA; y

(iii) los códigos de conducta locales de la industria que resulten aplicables en el país donde se desarrolla la actividad.

El Proveedor llevará a cabo todas las actividades realizadas con respecto a cualquier producto de GSK, o que de cualquier otro modo se establezcan en este Acuerdo, de conformidad con las Normas de Promoción e Involucración Científica (Standards of Promotion and Scientific Engagement) (Medicamentos sujetos a Prescripción Médica) para Terceros, junto con las modificaciones sustanciales a dichas Normas que GSK pueda notificar al Proveedor cada cierto tiempo. El Proveedor pondrá en marcha un marco interno de cumplimiento para asegurar que se cumplen estos requisitos.

Tan pronto como sea posible, y en cualquier caso dentro de las 24 horas siguientes a tener conocimiento, el Proveedor deberá informar a GSK de la conducta del Proveedor o de los empleados del Proveedor o de cualquier subcontratista, representante o sus empleados, en relación con los productos de GSK, o de cualquier otra manera relacionada con este Acuerdo, que viole o pueda violar cualquiera de dichos leyes, reglamentos, códigos, pautas o estándares.

Con anterioridad a que un empleado del Proveedor, su representante o su subcontratista participe en actividades relacionadas con productos de GSK o en conexión con este Acuerdo, o de cualquier otro modo relacionadas con el presente Acuerdo, la Compañía deberá garantizar que dicho personal está formado con arreglo a los requisitos establecidos en las cláusulas anteriores y que han certificado que comprenden y se comprometen a cumplir con estos requisitos. El Proveedor realizará anualmente, a su xxxxx, una formación de actualización de todo ese personal.

Las Partes podrán acordar la puesta en marcha del Plan de Seguimiento establecido.

Cualesquiera información y materiales que sean utilizados en cualquier forma por el Proveedor en relación con la promoción, comercialización o venta de productos GSK, o que se utilicen para generar interés de cualquier otra manera en productos GSK o en el área terapéutica relacionada ("Materiales") requerirán la previa aprobación por escrito por parte de GSK. Para obtener dicha aprobación por escrito, el Proveedor presentará las muestras de todos los Materiales a GSK.

GSK informará de todas las transferencias de valor (si las hubiere) realizadas por el Proveedor a profesionales sanitarios / organizaciones sanitarias, según lo requieran las leyes aplicables y los códigos de conducta de la industria.

En relación con la promoción o publicidad o venta de productos de GSK o con la ejecución de cualquier otro modo de este Acuerdo, el Proveedor deberá cumplir con lo siguiente:

- El Proveedor cumplirá con los límites monetarios en cualquier obsequio u hospitalidad proporcionado a profesionales sanitarios / organizaciones sanitarias según lo establecido en el anexo que corresponda.

- En los países enumerados en el anexo referido, el Proveedor podrá proporcionar, con arreglo a la costumbre local, regalos de cortesía a los profesionales sanitarios / organizaciones sanitarias sujetos a los límites establecidos en el anexo correspondiente y siempre que se haga de una manera totalmente transparente y se le informe a GSK antes de realizarlos.

- El Proveedor deberá obtener la aprobación previa por escrito de GSK para proponer cualquier acuerdo a un profesional sanitario / organización sanitaria que implique una transferencia de valor al profesional sanitario / organización sanitaria, con el fin de permitir a GSK aplicar su límite total en los pagos a profesionales sanitarios tanto en pagos a GSK como en pagos del Proveedor.

- El Proveedor proporcionará a GSK la información que GSK pueda requerir para que GSK informe de dichos pagos de acuerdo con las leyes, reglamentos o códigos de conducta de la industria aplicables.

- Si, para divulgar las transferencias de valor conforme a las leyes o regulaciones aplicables o los códigos de buenas prácticas de la industria, debe obtenerse el consentimiento del profesional sanitario / organización sanitaria dicha divulgación, el Proveedor no alcanzará ningún acuerdo con ningún profesional sanitario / organización sanitaria sin recibir por adelantado el consentimiento por escrito del profesional sanitario / organización sanitaria a tal divulgación, que también incluirá el consentimiento a la divulgación por parte de GSK.

En caso de que el Proveedor emplee o controle su propia fuerza de ventas para la promoción de productos de GSK o de sus afiliadas, el Proveedor reconoce que todas las decisiones sobre la compensación a sus empleados son de su exclusiva responsabilidad, reconociendo también en todo caso el Proveedor que con efecto desde la fecha de este Acuerdo y en cumplimiento del mismo (incluyendo sin limitación, la Promoción y Venta de los Productos en el Territorio), cumplirá con y se asegurará de que sus agentes y contratistas cumplirán con ciertos principios de GSK en relación con incentivos a la fuerza de ventas descritos a continuación:

(i) El Proveedor reconoce que si bien en última instancia la decisión sobre el tipo y forma de compensación que entrega a sus Delegados y a sus Jefes Directos le corresponde a él, no otorgará y se asegurará de que con efectos desde la fecha del presente Acuerdo sus agentes y contratistas no otorguen incentivos económicos (a través xxx xxxxxxx, incluyendo incentivos salariales o de cualquier otro tipo) a sus Delegados o a sus Jefes Directos basados en objetivos de venta individuales de los Productos promovidos y vendidos por dichos Delegados o por sus Jefes Directos con arreglo al presente Acuerdo; y

(ii) El Proveedor deberá permitir a GSK revisar los planes de compensación de su fuerza de ventas, así como cualquier otra documentación descriptiva de las expectativas de desempeño de los Delegados y de sus Jefes Directos para la comprobación del cumplimiento de lo establecido en la presente cláusula.

A los efectos de la presente cláusula, las siguientes palabras o expresiones tendrán el significado que se indica a continuación:

- “Delegado”, significa el representante del Proveedor cuya función implica una interacción directa con clientes autorizados a prescribir medicamentos y relacionada con los Productos.

- “Jefe Directo”, significa el jefe directo del Delegado.

Artículo 5.- Seguridad del paciente

Durante la vigencia del Contrato, si el Proveedor o cualquiera de sus subcontratistas tiene conocimiento de Información de Seguridad (HSI), incluyendo Acontecimientos Adversos (AA) (referidos conjuntamente como HSI/AA) (independientemente de que la información se refiera al Producto de GSK por su nombre genérico o por su marca), notificará dicha información a GSK.

“Producto de GSK” se define como cualquier medicamento en investigación o autorizado, producto de Consumer Healthcare, vacuna, producto biológico o producto sanitario que esté en fase de desarrollo, o fabricado, comercializado, suministrado o distribuido por o en nombre de cualquier división o compañía de GSK, incluyendo ViiV Healthcare, ya sea en España o en otro país.

Toda HSI/AA deberá comunicarse a GSK en las 24 horas siguientes desde la fecha de recepción (o el siguiente día laborable si es fin de semana o festivo), a través de los datos de contacto del formulario de HSI/AA proporcionado. Los informes para esta colaboración deberán enviarse a través de un método seguro por email/fax a los datos de contacto disponibles en el formulario de notificación.

HSI se define como la información relacionada con la salud humana y/o el bienestar que surge después de la exposición de personas a Productos de GSK, incluyendo información sobre acontecimientos adversos. AA significa cualquier evento médico no deseado que le ocurra a un paciente, sujeto de ensayo clínico o consumidor, asociado temporalmente con un Producto de GSK, se considere o no relacionado con el producto. HSI/AA puede incluir:

• Cualquier signo no intencionado (incluido un resultado analítico anómalo), síntoma o enfermedad (de reciente aparición o exacerbaciones)

• Ausencia de los beneficios esperados (es decir, falta de eficacia)

• Uso fuera de indicación

• Errores de medicación o mal uso, incluyendo sobredosis (accidental o intencionada)

• Abuso o efectos de la retirada del medicamento

• Exposición ocupacional

• Pacientes expuestos a productos de GSK durante el embarazo o la lactancia

• Exposición paterna (antes y durante el embarazo) a un Producto de GSK

• Transmisión de un agente infeccioso a través de un medicamento

• Información de seguridad asociada a reclamaciones de calidad

• Interacciones medicamentosas

• Beneficios terapéuticos inesperados (ej. mejora no esperada en una patología diferente a la tratada)

El Proveedor confirmará que la HSI/AA que ha enviado a GSK se ha recibido correctamente. Si se recibiera un fallo en la comunicación, el Proveedor reenviará inmediatamente la HSI/AA y tomará las medidas razonables para garantizar que no vuelva a darse esa situación. El Proveedor es responsable de seguir cualquier legislación local para la notificación de HSI/AA. El Proveedor deberá mantener un archivo de la confirmación de la correcta recepción y proporcionársela a GSK bajo petición. Esta información debe estar fácilmente accesible para auditoría/inspección.

En ningún caso se proporcionará a GSK datos personales de pacientes en relación con cualquier HSI/AA sin consentimiento del encuestado. Los datos personales de un profesional sanitario que notifique un HSI/AA, en virtud de este Contrato, pueden ser facilitados a GSK solo cuando el profesional sanitario haya dado su consentimiento para ello.

ANEXO – PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN DE GSK

Este Programa de Seguridad de la Información forma parte del Contrato entre GSK y el Proveedor. En caso de conflicto en lo que respecta a la seguridad de la información entre los términos del presente Programa y los del Contrato, prevalecerá este Programa. Los términos en mayúsculas que no se definan en el presente Programa tendrán el significado que se les atribuye en otras partes del Contrato.

1. Programa Exhaustivo de Seguridad de la Información

a. Normas y Documentación. Durante la prestación de los Servicios identificados en el Contrato o acuerdo del que el presente Programa es anexo, el Proveedor mantendrá y cumplirá en todo momento un programa exhaustivo de políticas de seguridad de la información, procedimientos normalizados de trabajo ("SOPs") y controles que rigen el Tratamiento, almacenamiento, transmisión y seguridad de los Datos de GSK (el "CISP"). El CISP deberá: (a) estar en consonancia con las normas del sector generalmente aceptadas (por ejemplo, ISO 27001, COBIT, NIST 800-53); (b) requerir el mantenimiento y la revisión y actualización anual de la documentación de todos los requisitos, políticas, SOPs y otros elementos del CISP (colectivamente, la "Documentación del CISP"); y (c) estar a cargo de personas con los conocimientos, aptitudes y capacidades necesarios para cumplir sus responsabilidades de manera competente. El Proveedor probará, evaluará y valorará la eficacia del CISP según se requiere en este Programa y revisará y actualizará periódicamente el CISP para abordar las tecnologías de seguridad nuevas y en evolución, los cambios en las prácticas estándar del sector y las cambiantes amenazas a la seguridad; siempre que, no obstante, dicha actualización no reduzca las obligaciones, compromisos o protecciones que se establecen en el presente documento.

b. Subcontratistas, Gestión de Riesgos de Proveedores. El Proveedor se asegurará de que todos los subcontratistas con acceso o que Traten Datos de GSK mantengan estándares de seguridad y procesos no menos estrictos que los estándares del Proveedor establecidos en su CISP. El Proveedor mantendrá un programa continuo de gestión de riesgos de proveedores que evalúe a todos los Subcontratistas que accedan, almacenen, traten o transmitan Datos de GSK para los controles de seguridad y las prácticas de seguridad de la información adecuados, y solo contratará a Subcontratistas que demuestren el cumplimiento del CISP del Proveedor o de estándares similares para respaldar la prestación de los Servicios. Para evitar toda duda, el Proveedor seguirá siendo responsable de las acciones, omisiones y cumplimiento de todas las obligaciones ejecutadas por cualquier Subcontratista en la misma medida que si dichas acciones, omisiones u obligaciones fueran ejecutadas por parte del Proveedor.

2. Medidas de seguridad físicas y administrativas

a. Seguridad física

i.Instalaciones. El Proveedor se asegurará de que los Datos de GSK y las áreas en las que se Tratan los Datos de GSK estén físicamente asegurados contra el acceso no autorizado.

ii.Medios. El CISP identificará qué Personal del Proveedor puede transferir Datos de GSK a medios extraíbles o dispositivos portátiles y bajo qué circunstancias, y qué medios extraíbles o dispositivos portátiles que contienen Datos de GSK se pueden transportar fuera de una Instalación. El Proveedor cifrará todos los Datos de GSK almacenados en cualquier medio de extracción o dispositivo portátil. El Proveedor deberá eliminar todos los Datos de GSK de cualquier medio portátil o extraíble que contenga Datos de GSK antes de que dicho medio se deseche o se vuelva a utilizar, usando un método de eliminación que desinfecte el medio y haga que la recuperación de los Datos de GSK sea inviable.

b. Seguridad administrativa

i.Concienciación y formación sobre Seguridad. El Proveedor se asegurará de que se publiquen y comuniquen por escrito las políticas, procedimientos y normas para el Personal del Proveedor y las partes externas pertinentes, según corresponda a su función y responsabilidades laborales. El Proveedor proporcionará formación en el momento de la contratación y periódicamente a partir de entonces, no menos de una vez al año, al Personal del Proveedor que corresponda en relación con el CISP, y el Proveedor mantendrá registros de formación que incluirán la fecha en que el Personal del Proveedor la recibió.

ii.Investigación de antecedentes. El Proveedor realizará una investigación de antecedentes del Personal del Proveedor en el momento de la contratación que incluya, en la medida en que lo permita la legislación aplicable en el país de contratación, una prueba de identidad mediante documentos de identificación oficiales.

3. Medidas técnicas de seguridad

a. Segregación de datos. El Proveedor mantendrá mecanismos técnicos para asegurar que los Datos de GSK estén lógicamente separados de los datos de otros clientes del Proveedor dentro del Entorno del Proveedor.

b. Gestión de acceso. El Proveedor protegerá el acceso al Entorno del Proveedor por parte del Personal del Proveedor mediante mecanismos de autenticación y autorización, tal como se describe a continuación y en la documentación del CISP.

i.El mínimo privilegio posible. El Proveedor concederá privilegios de acceso en función de los requisitos del puesto y se asegurará de que los derechos de acceso se apliquen respetando el enfoque del "mínimo privilegio" (es decir, se concederá al personal autorizado el acceso mínimo necesario para desempeñar sus funciones).

ii.Credenciales de acceso. El Proveedor deberá, con respecto a las Credenciales de acceso que gestiona y controla: (a) garantizar que los secretos de las Credenciales de acceso sean debidamente complejos; (b) que los secretos de las Credenciales de acceso estén cifrados en reposo y en tránsito; (c) asignar Credenciales de acceso exclusivas al Personal del Proveedor que necesite acceder al Entorno del Proveedor; (d) garantizar que todas las actividades de apoyo operacional, incluida la modificación de los controles de seguridad, se atribuyan a una sola persona; (e) asegurar el acceso remoto en consonancia con las mejores prácticas del sector (por ejemplo, la autenticación multifactorial, seguridad contextual, etc.); y (f) revocar o modificar con prontitud los derechos de acceso del Personal del Proveedor cuando este ya no necesite acceso debido a la terminación del empleo o a un cambio de responsabilidades. Por "Credencial de acceso" se entiende la combinación de un identificador único y de secretos asignados o proporcionados a una persona, o inherentes a una persona, que otorga derechos de acceso a los recursos del Entorno del Proveedor.

c. Operaciones. El Proveedor deberá: (a) usar entornos para el desarrollo, prueba y operación de producción según sea necesario con procesos para asegurar que no se realice ningún acceso o cambio no autorizado a los entornos operativos de producción; (b) proteger los Datos de GSK en todos los entornos del Proveedor contra el acceso no autorizado; (c) no usar los Datos de GSK en sistemas y plataformas del Proveedor que no sean de producción, tales como entornos para la evaluación y prueba de software, pruebas de garantía de calidad, capacitación, desarrollo, etc.; y (d) asegurar que los cambios en la plataforma, aplicaciones e infraestructura de producción del Entorno del Proveedor se evalúen antes de entrar en funcionamiento en un entorno de producción a fin de minimizar el riesgo, y se implementen siguiendo el procedimiento operativo estándar del Proveedor para las solicitudes de cambio.

d. Registro y supervisión. El Proveedor mantendrá registros suficientes para atribuir definitivamente el acceso a los Datos de GSK y las acciones realizadas con ellos, de acuerdo

con las normas del sector. El Proveedor protegerá los registros contra el acceso no autorizado, la manipulación o la destrucción. El Proveedor supervisará periódicamente los registros de las alertas de seguridad utilizando el sistema de información sobre la seguridad y gestión de eventos (SIEM), o su equivalente, y responderá a las alertas según proceda, de conformidad con las mejores prácticas del sector.

e. Seguridad de redes. El Proveedor mantendrá la seguridad de la red protegiendo el Entorno del Proveedor de acuerdo con las mejores prácticas del sector, incluyendo cortafuegos, sistemas de detección y prevención de intrusos, segregación, control de acceso y protocolos de enrutamiento seguro.

f. Gestión de vulnerabilidades.

i.Evaluaciones de los Riesgos de Seguridad en curso. El Proveedor deberá: (a) realizar periódicamente exploraciones de vulnerabilidad y al menos anualmente pruebas de penetración interna y externa en el Entorno del Proveedor; (b) vigilar periódicamente fuentes como los sitios web de los proveedores de software y los foros de noticias fiables sobre seguridad de la información para obtener información sobre las amenazas nuevas o emergentes relacionadas con la seguridad de la información y las Vulnerabilidades Conocidas; (c) remediar cualquier Vulnerabilidad significativa de conformidad con los requisitos de la Sección 5. Por "Vulnerabilidad Conocida" se entienden aquellas vulnerabilidades documentadas y compiladas por terceros no afiliados de renombre, con una excelente reputación dentro del sector de la tecnología de la información por su experiencia en seguridad de la información, incluyendo la Base de Datos Nacional de Vulnerabilidades del NIST, el Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), el Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (US-CERT) y el Centro Nacional de Seguridad Cibernética xxx Xxxxx Unido (NCSC). "Vulnerabilidad Significativa" se refiere a cualquier incumplimiento de cualquiera de las disposiciones de seguridad de este Programa de Seguridad de la Información, o cualquier debilidad técnica o debilidad operativa que pudiera preverse razonablemente que diese lugar a un acceso accidental, no autorizado o ilegal, o a la destrucción, divulgación, perturbación, uso indebido, corrupción o modificación de los Datos de GSK.

ii.Parcheado. El Proveedor aplicará los parches de seguridad aplicables con prontitud siguiendo un proceso de gestión de cambios, con un plazo de treinta (30) días para los parches de seguridad para vulnerabilidades críticas o de alta gravedad y un plazo de noventa (90) días en el caso de otros parches de seguridad.

iii.Malware. El Proveedor mantendrá procesos de control en consonancia con las mejores prácticas del sector para detectar y prevenir programas de malware, virus y spyware, así como para recuperarse de ellos, incluida la actualización de los programas antivirus, antimalware y antispyware a intervalos regulares y el registro centralizado de los eventos para la eficacia de dichos productos de software.

g. Hardware y Software. El Proveedor deberá mantener el software y el hardware utilizados para procesar los Datos de GSK en las versiones respaldadas por el licenciante o el fabricante, según corresponda.

h. Código de propiedad, Seguridad por Diseño. El Proveedor mantendrá una política formal escrita del ciclo de vida del desarrollo de software que proporcione para el control de los cambios y la gestión de la configuración. Dicha política exigirá que el Personal del Proveedor aplique un proceso formal de revisión del código de software, incluidos los estándares de seguridad para el desarrollo de dicho software. El Proveedor revisará todos los cambios de los componentes de las aplicaciones y el Entorno del Proveedor, realizando las pruebas necesarias dada la naturaleza del cambio a fin de asegurar que no haya un impacto negativo en las operaciones o la seguridad del Entorno del Proveedor.

i. Cumplimiento y política de la FOSS. El Proveedor deberá: (a) cumplir plenamente con las licencias que rigen el uso por su parte de cualquier software dentro del Entorno del

Proveedor o de cualquier producto, en la medida en que dicho software cumpla con la definición de código abierto publicada en XxxxXxxxxx.xxx o la definición de software libre publicada por la Free Software Foundation (colectivamente, "FOSS"); (b) actualizar y proporcionar formación a sus equipos de ingeniería y desarrollo sobre los controles internos del Proveedor para gestionar el uso por su parte de cualquier FOSS ("Política xx XXXX del Proveedor"); y (c) cumplir plenamente con la Política xx XXXX del Proveedor, incluidos los requisitos para supervisar las nuevas versiones y otros recursos del sector en relación con las vulnerabilidades conocidas aplicables al FOSS y, según proceda, actualizar a las entonces nuevas versiones que aborden las Vulnerabilidades Conocidas y la aplicación oportuna de parches verificados a medida que cada una de ellas esté disponible. La Política xx XXXX del Proveedor requerirá que éste utilice versiones xx XXXX tan actuales como sea posible teniendo en cuenta las actualizaciones disponibles. A petición de GSK, el Proveedor compartirá su Política xx XXXX del Proveedor vigente en el momento. Si GSK o sus Filiales solicitan que el Proveedor proporcione información sobre el software libre, el Proveedor responderá con prontitud a dichas solicitudes y trabajará con GSK para resolver oportunamente cualquier vulnerabilidad o riesgo razonablemente planteado por GSK.

j. Dispositivos móviles. Si el Proveedor permite que el Personal del Proveedor Trate los Datos de GSK en dispositivos de computación portátiles, tales como un teléfono inteligente o una Tablet (colectivamente, "Dispositivos Móviles"), el Proveedor mantendrá una solución de gestión de Dispositivos Móviles que asegure (i) una fuerte autenticación para el acceso al contenido del dispositivo, (ii) un fuerte cifrado de los datos en reposo, (iii) la eliminación remota de los dispositivos que se pierdan o sean robados cuando sea posible, y

(iv) la eliminación de los Datos de GSK en el correo electrónico o en el almacenamiento de los Dispositivos Móviles. Para mayor claridad, Dispositivos Móviles excluye los ordenadores portátiles.

k. Gestión de la Configuración. El Proveedor mantendrá en todo momento un inventario actualizado de los sistemas del Entorno del Proveedor, incluidos los componentes de red, los sistemas informáticos, las aplicaciones, los diagramas de topología de red, los diagramas del centro de datos y las direcciones IP.

l. Criptografía. El Proveedor deberá usar fuertes controles de cifrado para proteger todos los Datos de GSK de la divulgación, el acceso o la alteración no autorizados, ya sea: (a) en tránsito hacia o desde el Entorno del Proveedor a través de redes de terceros o (b) cuando se almacene en un Dispositivo Móvil o en medios extraíbles, o (c) en ordenadores portátiles.

4. Derechos de auditoría de GSK

a. Auditorías. GSK o sus representantes pueden inspeccionar, examinar y revisar los sistemas, registros, datos, prácticas y procedimientos del Proveedor (y sus Subcontratistas) que se usen en la prestación de los Servicios o de cualquier servicio técnico, de consultoría o profesional relacionado en virtud del Contrato para verificar la integridad de los Datos de GSK y el cumplimiento por parte del Proveedor de los requisitos de confidencialidad, protección de datos y seguridad del Contrato, incluido este Programa; siempre y cuando dicha auditoría de GSK se realice solo durante horas hábiles y con un aviso previo razonable al Proveedor, y no más de una vez al año, a menos que haya ocurrido una Infracción de la seguridad (definida en la Sección 6) dentro de los noventa (90) días inmediatamente anteriores o en el caso de una auditoría realizada por una autoridad reguladora, en cuyo caso se puede reducir el aviso. GSK cumplirá con los requisitos de seguridad razonables del Proveedor al realizar cualquier auditoría. GSK correrá con sus propios gastos, y el Proveedor y sus Subcontratistas cooperarán razonablemente con GSK y sus auditores designados en relación con cualquier auditoría.

b. Auditoría anual de terceros. Si el Proveedor contrata a un auditor independiente para que audite su cumplimiento con las normas aplicables y le entregue al Proveedor un informe de auditoría del estándar de certificación SSAE18 SOC 2 Tipo II o ISAE3402 o un informe de auditoría de la norma equivalente (el "Informe de Auditoría Anual"), el Proveedor deberá proporcionar una copia de su Informe de Auditoría Anual más reciente en el plazo de una (1) semana a partir de la solicitud de GSK.

c. Autoevaluación del Proveedor. El proveedor realizará, por lo menos anualmente, una autoevaluación del cumplimiento de todos los requisitos establecidos en el presente Programa.

5. Remediación. Con respecto a cualquier (a) Vulnerabilidad Significativa en el Entorno del Proveedor o (b) cualquier incumplimiento de este Programa x xxx aplicable revelada a o identificada por el Proveedor, el Proveedor corregirá o remediará dicha Vulnerabilidad Significativa rápidamente, o tan pronto como sea razonablemente posible, en cada caso siguiendo los procedimientos y los estándares aplicables establecidos en el CISP del Proveedor vigente en ese momento.

6. Infracción de la seguridad. El Proveedor informará a GSK por correo electrónico a xxxx@xxx.xxx sobre cualquier uso accidental, no autorizado o ilegal, cualquier pérdida, destrucción, divulgación, acceso, corrupción, modificación, venta, alquiler u otro Tratamiento de cualquier Dato de GSK que se verifique (en adelante, una "Infracción de la Seguridad") dentro de las veinticuatro (24) horas de la verificación por parte del Proveedor. El Proveedor activará y seguirá las normas del plan de respuesta ante incidentes del Proveedor, incluidos los requisitos y procesos para los exámenes post mortem, el análisis de las causas raíz y los planes y plazos de reparación. A medida que se conozca la información sobre la causa y las implicaciones de la Infracción de la Seguridad, el Proveedor deberá proporcionar a GSK cualquier información adicional con respecto a la naturaleza y las consecuencias de la Infracción de la Seguridad, incluida cualquier información compartida con otros clientes del Proveedor.

APÉNDICE 1 – DEFINICIONES

"Información Confidencial" se refiere a toda la información proporcionada por cualquiera de las Partes o en su nombre (la "Parte Divulgadora") a la otra Parte, sus Filiales, agentes, empleados o Subcontratistas (de forma colectiva, la "Parte Receptora"), (o, en el caso de GSK, la Información Confidencial de GSK y/o sus Filiales que obtenga el Proveedor o el Personal del Proveedor en relación con el ejercicio de los derechos de GSK o de sus Filiales, o el cumplimiento de las obligaciones del Proveedor en virtud del presente documento), que está (a) marcada o identificada de otro modo como "confidencial" o con una designación similar, o que es (b) información que una persona razonable reconocería como confidencial dada la naturaleza de la información y las circunstancias de su divulgación. La Información Confidencial incluye los secretos comerciales, los conocimientos, las fórmulas y los procesos, la investigación científica, el desarrollo clínico o los asuntos comerciales de una Parte o sus Filiales; los asuntos relacionados con proyectos y tecnología, incluidas las especificaciones de diseño y rendimiento, los procedimientos operativos, la documentación de sistemas, los manuales de referencia de servicios públicos, los manuales de referencia de idiomas, el software y la documentación, la información financiera, las invenciones, la información contractual (incluidos los acuerdos pendientes), la información sobre clientes (incluidas las listas de pacientes y proveedores), los precios y los costes, y los datos relacionados con las presentaciones reglamentarias. Para evitar dudas, "Información Confidencial de GSK" significa la Información Confidencial de GSK y sus Filiales, e incluye los Datos de GSK y la Información Personal.

"Datos de GSK" se refiere a todo el texto, archivos, imágenes, gráficos, ilustraciones, información, datos (incluida la Información Personal o los datos personales, tal como se describe ese término en el Programa de Privacidad), audio, vídeo, fotografías y cualquier otro contenido y material, en cualquier formato, que sea proporcionado por GSK o en su nombre, u obtenido por el Proveedor o el Personal del Proveedor en relación con el cumplimiento de las obligaciones del proveedor en virtud de este Contrato, incluido cualquier derivado de dichos datos o información. Los Datos de GSK incluyen cualquier dato o información que (a) sea creada, generada, recopilada o Tratada por el Personal del Proveedor en el cumplimiento de las obligaciones del Proveedor en virtud del Contrato, o (b) resida en el Entorno del Proveedor, o se ejecute en o a través del mismo, o a la que se acceda a través de los sistemas de información de GSK, así como cualquier salida, copia, reproducción, mejora, modificación, adaptación, traducción u otros trabajos derivados de o basados en dichos datos e información, o que los utilicen de alguna otra manera. Para evitar dudas, Datos de GSK: (i) incluyen toda la Información Confidencial de GSK y (ii) excluyen la Información Confidencial del Proveedor.

Por "Información Personal" se entiende toda información relativa a una persona identificada o identificable.

Por "Tratamiento" se entiende toda operación o conjunto de operaciones que se efectúen con cualquier información o dato, por medios automatizados o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, la utilización, la divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, la alineación o la combinación, la restricción, la supresión o la destrucción.

Por "Subcontratista" se entiende cualquier tercera parte (incluidas las Filiales del Proveedor) que actúe en nombre del Proveedor o de cualquier Subcontratista: (a) cualquier parte de los Servicios o (b) cualquiera de las obligaciones del Proveedor o del Subcontratista en virtud del presente Contrato o cualquier otro tipo de acuerdo.

Por "Servicios" se entiende los servicios profesionales, de mantenimiento, de consultoría, de ejecución, técnicos, de capacitación o de otra índole identificados en el Contrato.

Por "Entorno del Proveedor" se entiende la combinación de hardware, software, sistemas operativos, sistemas de base de datos, herramientas y componentes de red utilizados por o en nombre del Proveedor para recibir, mantener, Tratar, almacenar, acceder o transmitir Datos de GSK.

Por "Personal del Proveedor" se entiende todo el personal dedicado o empleado por el Proveedor y sus Subcontratistas para realizar cualquier parte de los Servicios.

ANEXO – PROGRAMA DE PRIVACIDAD DE DATOS (ENCARGADO DEL TRATAMIENTO)

Información personal de nivel básico

Leyes de Protección de Datos significa: (a) el Reglamento General de Protección de Datos (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y cualquier normativa aplicable de desarrollo o legislación que lo sustituya (RGPD); (b) la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; y (c) las demás leyes relacionadas con el tratamiento de datos personales;

Información Personal de GSK significa cualesquiera datos personales tratados durante la prestación de los Servicios que sean: (i) suministrados por o en nombre de GSK al Proveedor (incluso cuando el Proveedor tenga acceso a los datos personales en poder de GSK o almacenados en su nombre), o que el Proveedor recopile o genere en nombre de GSK; (ii) tratados por el Proveedor en virtud de o en conexión con este Contrato, entre los que se pueden encontrar el nombre y/o los apellidos, las iniciales, los detalles de contacto profesionales, datos de pertenencia a un grupo de trabajo o departamento, el número de identificación de red o usuario, vida laboral y habilidades, el género o el título o datos de asistencia a eventos de empleados de GSK y trabajadores externos en el marco de la prestación de Servicios; y (iii) respecto de los cuales GSK sea titular o responsable de su tratamiento; y

Programa de Seguridad significa el Anexo referente al Programa de Seguridad de la Información de GSK.

Los términos: responsable del tratamiento, evaluación de impacto relativa a la protección de datos, interesado, datos personales, violación de la seguridad de los datos personales, encargado del tratamiento, tratamiento y autoridad de control; serán los definidos en las Leyes de Protección de Datos aplicables.

1. Cada Parte cumplirá con sus obligaciones de acuerdo con las Leyes de Protección de Datos en lo que se refiere al tratamiento de la Información Personal de GSK.

2. El Proveedor deberá cumplir con lo siguiente con respecto a la Información Personal de GSK:

a. Tratará la Información Personal de GSK solamente de conformidad con las instrucciones legítimas que reciba por escrito de GSK y con el único propósito de prestar los Servicios objeto del presente Contrato;

b. implementará y mantendrá medidas técnicas y organizativas de seguridad apropiadas, incluyendo, sin limitación, las medidas establecidas en el Programa de Seguridad. Las referencias en el Programa de Seguridad a los "Datos de GSK" incluirán la Información Personal de GSK;

c. mantendrá la confidencialidad de la Información Personal de GSK conforme a las disposiciones del presente Contrato. Las referencias en este Contrato y en el Programa de Seguridad a la Información Confidencial de GSK incluirán la Información Personal de GSK;

d. impondrá obligaciones de confidencialidad equivalentes a las obligaciones establecidas en el Artículo 12 al personal de su plantilla que tenga acceso a la Información Personal de GSK;

e. se abstendrá de contratar a otro encargado del tratamiento (“subencargado”) sin autorización previa y por escrito de GSK (y, para estos fines, GSK acepta las siguientes categorías de “subencargados” [proveedores de servicios de infraestructuras de almacenamiento, el uso de contratistas individuales); y transferirá la Información Personal de GSK a dichos “subencargados” aprobados solamente en virtud de un contrato escrito que imponga obligaciones consistentes con las establecidas en este Programa de Privacidad de Datos;

f. proporcionará a GSK asistencia razonable cuando se deba (i) llevar a cabo cualquier evaluación de impacto relativa a la protección de datos legalmente requerida; cumplir con los derechos de los interesados; y (iii) responder a las solicitudes de cualquier autoridad de control con respecto a la Información Personal de GSK;

g. notificar sin demora a GSK tras tener conocimiento de una violación de la seguridad de los datos personales con respecto a cualquier Información Personal de GSK y proporcionar a GSK la asistencia que necesite en relación con dicha violación;

h. notificar sin demora a GSK si recibe una solicitud por escrito de (i) un interesado respecto del ejercicio de cualquiera de sus derechos conforme a las Leyes de Protección de Datos en relación con la Información Personal de GSK; o (ii) de una autoridad de control en relación con el tratamiento de la Información Personal de GSK;

i. A menos que se establezca lo contrario en este Contrato, devolver o destruir toda la Información Personal de GSK que tenga en su poder o se encuentre bajo su control (incluida cualquier Información Personal de GSK tratada por “subencargados” autorizados) en el momento de la resolución o vencimiento del mismo; y

j. Tras solicitud al efecto y por escrito de GSK, proporcionar a GSK la información razonablemente necesaria para demostrar el cumplimiento de esta cláusula, lo que puede incluir cualquier informe que se encuentre disponible de una auditoría de seguridad efectuada por terceros.

3. En el caso de que el Proveedor, en el desarrollo normal de su actividad, deba realizar transferencias rutinarias de Información Personal de GSK a cualquier país que no sea aquel en el que GSK esté establecido, a sus filiales y/o “subencargados” autorizados para la prestación de los Servicios objeto de este Contrato, GSK autoriza dicha transferencia siempre que la Información Personal de GSK sea transferida y/o tratada de acuerdo con: (i) las Cláusulas Tipo (tal y como se definen en el Apéndice 1 de Transferencias Internacionales de Datos adjunto, en su caso, a este Programa); o (ii) otras garantías suficientes resultantes de las Leyes de Protección de Datos aplicables, notificadas a GSK por escrito.

APÉNDICE – ENCARGADO DEL TRATAMIENTO – EXTENSIÓN A OTRAS COMPAÑÍAS DE GSK

1. De conformidad con el contrato de agencia de fecha 3 de enero de 2014 y celebrado por determinadas compañías de GSK (y sus modificaciones ocasionales) (el Contrato de Agencia), mediante la firma de este Contrato, GSK se adhiere a las Obligaciones de Privacidad en nombre de las Filiales Cubiertas, de forma que el Proveedor se adhiere mediante la presente a las Obligaciones de Privacidad con las Filiales Cubiertas, a través de GSK. Todos los derechos y obligaciones de GSK con arreglo a este Apéndice se asumen en calidad de agente en nombre y representación de cada Filial Cubierta. Las obligaciones de las Filiales Cubiertas en virtud de este Apéndice serán asumidas separadamente y no de forma conjunta.

2. A los efectos de este Apéndice, Filial Cubierta significa: (i) las Filiales de GSK que hayan celebrado el Contrato de Agencia (cuya lista proporcionará GSK al Proveedor); (ii) las Filiales de GSK que se beneficien de este Apéndice en calidad de terceras partes (cuya lista proporcionará GSK al Proveedor); (iii) las Filiales de GSK que hayan sido añadidas por las partes de este Contrato como parte, en la forma en que GSK razonablemente lo solicite cuando GSK lo considere necesario para cumplir con las Leyes de Protección de Datos aplicables; y (iv) cualquier nueva Filial Cubierta adicional de GSK que sea añadida o deba añadirse como parte de este Apéndice.

3. Lo establecido en las cláusulas del Programa de Privacidad y, en su caso, del Apéndice 1 de Transferencias Internacionales de Datos (las Obligaciones de Privacidad) será un contrato separado entre cada Filial Cubierta y el Proveedor. Las referencias en las Obligaciones de Privacidad a GSK se entenderán hechas a cada Filial Cubierta.

4. El Proveedor acuerda que, a solicitud de GSK o una Filial Cubierta, celebrará por separado un contrato igual a las Obligaciones de Privacidad (o cualquier acuerdo incluido en las mismas, incluidas las Cláusulas Tipo o cualquier otro acuerdo de transferencia de datos), con esa Filial Cubierta.

5. A efectos aclaratorios (i) a menos que se indique expresamente lo contrario en el Contrato, ninguna Filial Cubierta tendrá derecho a hacer cumplir ningún otro derecho de GSK u obligación del Proveedor en virtud del Contrato; (ii) todas las exenciones, limitaciones de responsabilidad y disposiciones para la gestión de litigios establecidas en este Contrato también serán de aplicación a las Obligaciones de Privacidad, siempre que nada de lo dispuesto en este Contrato o en este Programa de Privacidad limite la responsabilidad de cualquiera de las Partes frente a los interesados en virtud de las Cláusulas Tipo.

6. GSK hará cumplir cualquier disposición de este Programa de Privacidad en nombre de sus Filiales Cubiertas de conformidad con las instrucciones de estas, excepto en la medida en que no pueda hacerlo debido a las leyes aplicables.

7. En la medida en que GSK no pudiera recuperar las pérdidas de una Filial Cubierta derivadas de este Programa de Privacidad en cualquier instancia en donde se considere que GSK no tiene derecho a presentar la reclamación por sí misma, bien por ley, bien por decisión judicial, (incluyendo, por ejemplo, cuando se considere que GSK no tiene legitimidad para reclamar la recuperación de la pérdida por cualquier motivo), la Filial Cubierta correspondiente tendrá derecho a hacer valer las Obligaciones de Privacidad frente al Proveedor por sí misma, con sujeción a las exenciones y limitaciones de la responsabilidad establecidas en este Contrato.

8. Transferencias Internacionales de Datos por parte de Filiales Cubiertas. Cuando una Filial Cubierta, actuando como un Exportador de Datos, transfiera Información Personal de GSK al Proveedor, actuando como Importador de Datos, las partes se comprometen a cumplir lo dispuesto en las Cláusulas Tipo, con arreglo a lo establecido en el Apéndice 1 de transferencias internacionales de datos, adjunto, en su caso, al Programa de Privacidad. Las Cláusulas Tipo conformarán un acuerdo separado entre cada Filial Cubierta y cada Importador de Datos.

Document Metadata

Table of Contents

Términos y Condiciones Generales (los “Términos y Condiciones” o los “T&C”) de Glaxo Wellcome, S.A.

Document Metadata