ACUERDO DE TRATAMIENTO DE DATOS (“ATD”)
ACUERDO DE TRATAMIENTO DE DATOS (“ATD”)
I) Generalidades
1. Ámbito de aplicación
El ATD se incorpora por referencia y forma parte integral del Acuerdo (según se define en los Términos y condiciones), a menos que las partes celebren un contrato de tratamiento de datos independiente como parte de acuerdos específicos. En caso de discrepancia entre el ATD y cualquier otro término del Acuerdo, prevalecerá el ATD.
Este ATD se aplica cuando TD SYNNEX, actuando en calidad de encargado del tratamiento, trata datos personales en nombre de, y de acuerdo con, las instrucciones del Comprador, actuando en su propio nombre o en nombre de sus clientes o sus usuarios finales (“Clientes”) en calidad de responsable del tratamiento. También se aplica en caso de que el Comprador, actuando en calidad de encargado del tratamiento, trate datos personales en nombre de, y de acuerdo con, las instrucciones de TD SYNNEX actuando [en su propio nombre o en nombre de un tercero] en calidad de responsable del tratamiento.
Este ATD no se aplica a TD SYNNEX y al Comprador que compartan datos personales entre sí como responsables del tratamiento independientes o conjuntos.
Por lo general, TD SYNNEX actúa como responsable independiente si:
(a) recopila datos personales en relación con las operaciones del Comprador (como datos personales relacionados con los empleados del Comprador);
(b) TD SYNNEX trata los datos personales del usuario final facilitados por el cliente del Comprador para:
(i) llevar a cabo verificaciones de fraude, blanqueo de dinero y sanciones y cualquier otra verificación, incluidas las verificaciones de listas de partes denegadas, e investigar y enjuiciar el fraude, el lavado de dinero o las infracciones de sanciones en relación con el establecimiento y mantenimiento de una relación con el cliente y la prestación de servicios;
(ii) cumplimiento de las obligaciones legales y normativas;
(iii) anonimización y/o análisis de datos; y
(iv) cumplimiento del Acuerdo, incluidos los envíos directos y, si es necesario para el cumplimiento del Contrato, la transferencia de dichos datos personales a terceros que actúen como responsables, como transportistas, fabricantes o proveedores de servicios externos.
2. Definiciones
Cualquier término no definido en este ATD o en otras partes del Acuerdo tendrá el significado que se les atribuye en el Reglamento General de Protección de Datos (UE 2016/679) (“RGPD”). Las referencias a los artículos del RGPD en el presente [Art….RGPD] se aplicarán solo en la medida en que el tratamiento esté sujeto al RGPD; para todas las demás
jurisdicciones pertinentes, se aplicarán las leyes de protección de datos correspondientes.
“Tercer país” significa cualquier país que no sea un estado miembro de la Unión Europea (“UE”) ni del Espacio Económico Europeo (“EEE”), o sobre el que la Comisión Europea haya determinado que no ofrece una protección adecuada de los datos personales de conformidad con el artículo 45(3) del RGPD.
“Tratamiento de Datos personales en el EEE”, en aras de este ATD, significa el tratamiento de datos personales que entran dentro del ámbito del RGPD o las Leyes de privacidad xxx Xxxxx Unido o Suiza.
“Cláusulas contractuales tipo” o “CCT” se refiere a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países en cuanto a la Decisión de implementación de la Comisión (UE) 2021/914 de 4 xx xxxxx de 2021 o cualquier decisión sucesiva o complementaria;
“Ley de privacidad” se refiere a todas las leyes y regulaciones aplicables relacionadas con el tratamiento de datos personales y la privacidad que puedan existir en las jurisdicciones pertinentes, para los estados miembros de la UE o del EEE, lo cual incluye el RGPD;
“MTO” significa las medidas técnicas y organizativas en el sentido de las Leyes de privacidad;
“Subencargado” o “Sub(sub)encargado” se refiere a terceros autorizados en virtud de este ATD para tener acceso lógico a los datos personales y tratarlos de conformidad con el Acuerdo;
“Transferencia de datos” es el proceso mediante el cual cualquier parte transmite o da acceso a datos personales.
“Exportador” significa cualquier parte de una Transferencia de datos que se encuentre en el EEE, Xxxxx Unido o Suiza..
II) Condiciones especiales para TD SYNNEX como Encargado del tratamiento
Esta sección II se aplica cuando TD SYNNEX, actuando en calidad de encargado del tratamiento, trata datos personales en nombre de y sujeto a las instrucciones del, Comprador actuando en su propio nombre o en nombre de los Clientes en calidad de responsable del tratamiento. Se aplica además de la sección III a continuación. En caso de incoherencia entre las secciones II y III, prevalecerá esta sección II.
1. Comunicación electrónica. TD SYNNEX puede proporcionar al Comprador información y notificaciones en el contexto de este ATD de forma electrónica, incluido por correo electrónico, a través del sitio web estándar de TD SYNNEX o a través de un sitio web que TD SYNNEX indique.
2. Detalles del tratamiento. Al utilizar los Servicios, el Comprador acepta los detalles del tratamiento, incluidos la naturaleza, la finalidad y el tema del tratamiento, las categorías de interesados, los tipos de datos personales, las categorías especiales de datos personales, las MTO y otros
encargados del tratamiento, según sea pertinente, según se define en el Acuerdo (incluido este ATD) y según se ponga a disposición y comunique de otro modo TD SYNNEX electrónicamente, incluido por correo electrónico, a través del sitio web estándar de TD SYNNEX o a través de un sitio web que TD SYNNEX indique.
3. Cláusulas contractuales tipo. Las CCT, si procede entre TD SYNNEX y el Comprador, se pueden encontrar en el sitio web estándar de TD SYNNEX o en cualquier otro sitio web que TD SYNNEX indique.
4. Obligaciones de TD SYNNEX y del Comprador.
4.1. TD SYNNEX cumplirá con toda la legislación sobre privacidad aplicable en su función de encargado del tratamiento. TD SYNNEX no es responsable de cumplir con ninguna ley o normativa aplicable al sector del Comprador o de sus Clientes que no sea aplicable de forma general a los proveedores de los Productos respectivos. TD SYNNEX no determina si los datos del Comprador o de sus Clientes incluyen información sujeta a una ley o normativa específica.
4.2. El Comprador evaluará y determinará la idoneidad, adecuación y cumplimiento del uso de los Productos por parte del Comprador o sus Clientes con las leyes y regulaciones, incluidas las Leyes de privacidad,
especialmente en términos de las MTO, otros encargados involucrados, la ubicación del centro de datos y la transferencia pertinente de datos según se describe en el Acuerdo, incluido el ATD y los detalles del tratamiento.
4.3. Si el propio Comprador no es el responsable del tratamiento de los datos personales, sino que trata los datos personales en nombre de los Clientes, el Comprador garantiza que todos los contratos están en vigor y que dispone de todos los permisos y autorizaciones necesarios del/de los Cliente(s):
- para actuar en relación con TD SYNNEX como responsable del tratamiento en virtud de este ATD y ejercer todos los derechos como responsable del tratamiento respecto a
TD SYNNEX y sus otros encargados del tratamiento con respecto al ATD;
- para utilizar TD SYNNEX como encargado del tratamiento para tratar datos personales, tal y como se establece en el Acuerdo, incluido este ATD y los detalles del tratamiento;
- para ser el único punto de contacto con TD SYNNEX para todas las instrucciones, avisos, información y comunicación en relación con este ATD y para posibilitar la comunicación relevante entre los Clientes y TD SYNNEX, cuando sea legalmente necesario. TD SYNNEX queda exento de cualquier obligación de informar o notificar a un Cliente cuando TD SYNNEX haya facilitado dicha información
o notificación al Comprador. TD SYNNEX actuará como punto de contacto único en vista para los otros encargados del tratamiento de TD SYNNEX.
- para ejercer los derechos de los Exportadores de acuerdo con las Cláusulas contractuales tipo, cuando proceda, respecto a (i) TD SYNNEX y/o (ii) sus otros encargados del tratamiento a través de TD SYNNEX en nombre del Exportador.
III) Condiciones generales de tratamiento
Esta sección III se aplica además de la sección II cuando TD SYNNEX, actuando en calidad de encargado del tratamiento, trata datos personales en nombre de y sujeto a las instrucciones del, Comprador actuando en su propio nombre o en nombre
de los Clientes en calidad de responsable del tratamiento. También se aplica en caso de que el Comprador, actuando en calidad de encargado del tratamiento, trate datos personales en nombre de, y de acuerdo con, las instrucciones de TD SYNNEX actuando [en su propio nombre o en nombre de un tercero] en calidad de responsable del tratamiento.
1. Obligaciones del Responsable del tratamiento
1.1. El Responsable del tratamiento será el único responsable de cumplir con todas las obligaciones legales de un responsable del tratamiento en vista del tratamiento de acuerdo con las Leyes de privacidad. El Responsable
del tratamiento deberá, tras la rescisión o terminación del Acuerdo y mediante la emisión de una instrucción, estipular las medidas para devolver los medios de soporte de datos, incluidos los datos personales, o eliminar los datos personales almacenados, y notificará al encargado del tratamiento sin demora indebida de cualquier error o irregularidad que tenga en relación con el tratamiento de datos personales por parte del encargado del tratamiento.
1.2. El Responsable del tratamiento no utilizará los Productos junto con los datos personales en la medida en que hacerlo infrinja las Leyes de privacidad, y obligará a sus Clientes a cumplir con lo mismo.
2. Obligaciones del Encargado del tratamiento
2.1. Cumplimiento de las obligaciones del Encargado del tratamiento. El Encargado del tratamiento cumplirá con todas las obligaciones aplicables a los encargados del tratamiento de acuerdo con la Ley de privacidad de datos del EEE. El encargado del tratamiento no es responsable de determinar los requisitos de las leyes aplicables al negocio o sector del responsable o de los Clientes, o que
la provisión de los Productos por parte del encargado del tratamiento cumpla los requisitos de dichas leyes.
2.2. Instrucciones. El Encargado del tratamiento tratará los datos personales únicamente de acuerdo con las instrucciones escritas del responsable del tratamiento, las cuales se definen en el Acuerdo, incluido este ATD y sus anexos, y si procede, el uso y la configuración
autorizados de los Productos por parte de los responsables del tratamiento o de otra forma por escrito. El encargado del tratamiento informará al responsable de inmediato
si cree que las instrucciones del responsable infringen la ley de protección de datos aplicable y/o las obligaciones contractuales en virtud del Acuerdo, incluido este ATD. El encargado del tratamiento tiene derecho a suspender la implementación de dicha instrucción hasta que el responsable del tratamiento la examine y se confirme o modifique como resultado. El Encargado del tratamiento
está autorizado a tratar datos personales sin la instrucción del responsable del tratamiento si así lo exige la legislación de la UE o sus estados miembros a los que esté sujeto el encargado del tratamiento; en tal caso, el encargado del tratamiento informará al responsable del tratamiento de
ese requisito legal antes del tratamiento, a menos que dicha legislación prohíba compartir dicha información por motivos de interés público importantes.
2.3. Divulgación/acceso. El encargado del tratamiento no revelará datos personales a ningún tercero, a menos que lo autorice el responsable del tratamiento o lo exija la legislación de la UE o sus estados miembros. Si dicha ley exige dar acceso a los datos personales a un tercero, un gobierno, un tribunal o una autoridad de control exige tal acceso basándose en dicha ley, el encargado
notificará al responsable antes de la divulgación, a menos que lo prohíba la ley por motivos importantes de interés público. A menos que esté obligado a hacerlo por la
ley de la UE o sus estados miembros, el encargado del tratamiento no revelará ni divulgará ningún dato personal en respuesta a ninguna solicitud presentada al encargado del tratamiento sin consultar primero al responsable del tratamiento. Cuando los datos personales del controlador estén sujetos a registros e incautaciones, confiscaciones durante procedimientos de quiebra o insolvencia, o eventos o medidas similares por parte de terceros mientras se traten, el encargado informará al responsable sin demora indebida.
2.4. Deber de confidencialidad. El encargado requiere que todo su personal y las personas a las que se les confíe el tratamiento de datos personales se comprometan a mantener la confidencialidad, a menos que se aplique una obligación legal de confidencialidad adecuada, y a no
tratar dichos datos personales para ningún otro propósito, excepto bajo instrucciones del responsable o según lo exija de otra forma la legislación de la UE o de sus estados miembros.
2.5. Derechos del interesado. El encargado ayudará razonablemente al responsable, a solicitud de este y según lo exija la ley, al proporcionar acceso a los interesados y responder a cualquier solicitud, queja u otra comunicación de un interesado, incluidas las solicitudes de los interesados que busquen ejercer sus derechos en virtud de las leyes de privacidad. Si el encargado recibe una solicitud, queja o comunicación de este tipo o se le hace llegar de
otro modo, informará al responsable sin demora indebida si el encargado puede correlacionar al interesado con el responsable.
2.6. Violación de la seguridad de los datos. El Encargado del tratamiento notificará al responsable del tratamiento sin demora indebida después de tener conocimiento de cualquier violación de la seguridad de los datos personales (“Violación de la seguridad de los datos”) que afecte a
los datos personales del responsable del tratamiento. El Encargado del tratamiento tomará las medidas y acciones razonables para remediar o mitigar los efectos
de la violación y ayudará al responsable del tratamiento a garantizar el cumplimiento de sus obligaciones en virtud de la legislación de privacidad aplicable de notificar la violación a las autoridades de control y a los interesados teniendo en cuenta la naturaleza del tratamiento y la información disponible. En particular, los encargados del tratamiento cooperarán con el responsable del tratamiento facilitando actualizaciones periódicas y otra información que se les solicite de forma razonable. Cualquier
comunicado de prensa, notificación, anuncio público o normativo o comunicación relativa a una violación de la seguridad de los datos será realizada por el responsable del tratamiento a su entera discreción, excepto cuando las leyes aplicables exijan lo contrario.
2.7. Asistencia con las obligaciones del Responsable del tratamiento. El Encargado del tratamiento ayudará de forma razonable al responsable del tratamiento a petición del mismo en sus obligaciones en relación
con la seguridad del tratamiento, las evaluaciones del impacto de la protección de datos y las consultas previas teniendo en cuenta la información disponible para TD SYNNEX y la naturaleza del tratamiento. El Encargado del tratamiento ofrecerá asistencia en relación con las auditorías de cualquier autoridad de control competente en la medida en que dicha auditoría esté relacionada con
el tratamiento de datos personales por parte del encargado del tratamiento en virtud del presente Acuerdo y según lo solicite razonablemente el responsable del tratamiento. La asistencia del Encargado del tratamiento puede estar sujeta a un cargo razonable a menos que tal asistencia ya se haya abordado en el Acuerdo en consecuencia.
2.8. Finalización del contrato. El encargado del tratamiento, a elección del responsable, eliminará o devolverá todos los datos personales al responsable del tratamiento tras la terminación o vencimiento del Acuerdo, y eliminará las copias existentes a menos que la legislación de la UE o de los Estados miembros exija
el almacenamiento de los datos personales por parte del encargado del tratamiento.
3. Medidas de seguridad técnicas y organizativas
3.1. El encargado del tratamiento y el responsable del tratamiento implementarán y mantendrán las MTO según lo requiera la Legislación sobre privacidad aplicable. Esto incluye implementar y mantener las MTO para garantizar un nivel de seguridad adecuado a los riesgos o daños a
los datos personales, apropiadas para el daño que pueda resultar del tratamiento no autorizado o ilícito o pérdida accidental, destrucción o daños y la naturaleza de los datos que se van a proteger, teniendo en cuenta el estado del desarrollo tecnológico y el coste de implementar cualquier medida (estas medidas pueden incluir, cuando proceda, seudonimizar y cifrar los datos personales y garantizar la confidencialidad, integridad, disponibilidad y resiliencia de sus sistemas y servicios).
3.2. Las MTO están sujetas a los progresos técnicos y desarrollos adicionales. El Encargado del tratamiento se reserva el derecho a modificar las medidas y salvaguardas implementadas, siempre que la funcionalidad y la seguridad de los Productos no se vean degradadas. Cualquier decisión sustancial relacionada con la seguridad sobre la organización del tratamiento de datos y los procedimientos aplicados se notificará al responsable del tratamiento.
3.3. Al utilizar un Producto, el responsable del tratamiento reconoce las MTO según se describe en el Acuerdo y/o facilitadas por el Encargado del tratamiento y confirma que las MTO proporcionan un nivel adecuado de protección
con respecto a los riesgos asociados al tratamiento de datos personales.
4. Obligaciones de documentación y auditoría
4.1. A petición del responsable del tratamiento, el encargado del tratamiento pondrá a disposición del responsable del tratamiento, o de un tercero autorizado que actúe en nombre del responsable, la información necesaria para
que el responsable del tratamiento o los Clientes cumplan sus propias obligaciones de auditoría en virtud de las leyes de protección de datos aplicables o de una solicitud de la autoridad de control, y permitirá y contribuirá a las revisiones y auditorías, incluidas las inspecciones que se estipulan a continuación.
4.2. El Responsable del tratamiento puede solicitar al encargado del tratamiento que proporcione información relevante sobre las MTO, incluidos, cuando estén disponibles, los certificados, informes o extractos del auditor de los informes proporcionados por organismos independientes (p. ej., el auditor, el delegado de protección de datos, el departamento de seguridad de TI, el auditor de privacidad de datos, el auditor de calidad…).
4.3. En la medida en que no sea posible satisfacer de otro modo una obligación de auditoría exigida por la Ley de privacidad aplicable, el responsable del tratamiento o su auditor designado pueden realizar auditorías personales in situ a expensas del responsable del tratamiento, normalmente con una frecuencia no superior a una vez al año, durante el horario laboral habitual, con interferencia
razonable en las operaciones del encargado del tratamiento y previa notificación razonable. El Encargado del tratamiento puede determinar que dichas auditorías e inspecciones están sujetas a la ejecución de un compromiso de confidencialidad que proteja los datos de otros
clientes y la confidencialidad de las MTO y las garantías implementadas.
4.4. El Responsable del tratamiento informará al encargado del tratamiento sin demora indebida sobre cualquier error o irregularidad detectado durante una auditoría.
5. Subencargado del tratamiento
5.1. El Responsable del tratamiento autoriza al encargado del tratamiento por el presente documento a transferir datos personales o dar acceso a datos personales a otros encargados del tratamiento que contrate (y permitir que
otros encargados del tratamiento lo hagan de conformidad con esta cláusula 5) con el fin de proporcionar los Productos sujetos a las obligaciones del responsable del tratamiento en virtud de esta Cláusula 5. La autorización anterior constituye el consentimiento previo por escrito del responsable del tratamiento para la involucración de otros encargados del tratamiento por parte del encargado del tratamiento si dicho consentimiento es necesario en virtud de las Cláusulas contractuales tipo o la Ley de privacidad.
El Encargado del tratamiento sigue siendo responsable del cumplimiento por parte de sus otros encargados del tratamiento de las obligaciones de este ATD. El Encargado del tratamiento pondrá a disposición del responsable del tratamiento una lista actualizada de otros encargados del
tratamiento, p. ej., en el sitio web de un encargado del tratamiento.
5.2 El Responsable del tratamiento tendrá derecho a oponerse a la contratación de un nuevo encargado del tratamiento en un plazo de 10 días desde la notificación. De lo contrario, se considerará que el responsable del tratamiento ha aprobado dicha nueva contratación o cambio. Cuando exista un motivo materialmente importante para una objeción y tras la imposibilidad de encontrar una resolución amistosa de este asunto entre las partes, el responsable del tratamiento tendrá derecho a rescindir el Acuerdo con respecto al Producto en cuestión.
5.3 El Encargado del tratamiento celebrará acuerdos escritos con el otro encargado del tratamiento que contrate
que serán como mínimo igual de protectores que los estipulados en este ATD. Dicho contrato en particular proporciona garantías suficientes para implementar las MTO adecuadas.
6. Transferencia internacional de datos
6.1. El Responsable del tratamiento autoriza al encargado del tratamiento a transferir o dar acceso a los datos personales en el contexto de los servicios descritos en el Contrato, los detalles del tratamiento y/o las CCT, cuando proceda.
6.2. Cualquier tratamiento de datos personales fuera del país o región donde se encuentra el responsable del tratamiento está sujeto a un mecanismo de transferencia de datos adecuado si así lo exige la Ley de privacidad.
6.3. Para las transferencias internacionales de datos en el contexto del Tratamiento de Datos personales del EEE, deben acordarse CCT entre TD SYNNEX y el Comprador si la parte que transmite o da acceso a los datos personales se encuentra en el EEE, Xxxxx Unido o Suiza y la otra parte, que recibe o tiene acceso a dichos datos se encuentra en
un Tercer país. Los términos de este ATD no pretenden enmendar ni modificar las CCT, sino ofrecer claridad en términos de procesos y procedimientos para cumplir con estas. En caso de conflicto entre los términos de este ATD y las CCT, prevalecerán las CCT.
6.4. Para las Transferencias de datos en relación con el encargado del tratamiento que contrate a otros encargados del tratamiento, el encargado del tratamiento celebrará
las Cláusulas contractuales tipo aplicables (de encargado del tratamiento a encargado del tratamiento) con los otros encargados del tratamiento y vinculará a los otros
encargados del tratamiento en consecuencia con respecto a cualquier transferencia posterior.
7. Confidencialidad
Las Partes no divulgarán ninguna información confidencial compartida en relación con este ATD, excepto (i) según lo requerido en este ATD o en las instrucciones de las partes,
(ii) según lo requiera la ley, (iii) en respuesta a una autoridad competente o agencia reguladora o gubernamental, y (iv) para divulgaciones a sus empleados, agentes y contratistas que estén obligados a mantener la confidencialidad sobre la base de la necesidad de conocer.