Contract
1. Alcance, orden de precedencia y plazo
1.1. El presente Acuerdo de Protección de Datos ("APD") es celebrado entre Liberty Iberoamerica, S.L.U. y sus Afiliadas (colectivamente, "LLA"), y el signatario de este APD ("Proveedor"). El Proveedor entra en este APD en nombre propio y en representación de sus Afiliadas.
1.2. Este APD es parte de todos y cada uno de los acuerdos, órdenes de compra, órdenes de servicio y otros documentos contractuales entre LLA y el Proveedor (individual y colectivamente, el "Acuerdo"). LLA y el Proveedor son individualmente una "parte" y, colectivamente, las "partes".
1.3. El presente APD entrará en vigor en la fecha del Acuerdo, o la fecha en que LLA comienza a usar los Servicios, lo que ocurra primero.
1.4. Este APD se aplica solo en la medida en que, en relación con los Servicios, el Proveedor tenga acceso, reciba, almacene o trate Datos Personales.
1.5. En el caso de un conflicto entre este APD y el Acuerdo, el APD prevalecerá en la medida necesaria para resolver el conflicto. En el caso de que las partes utilicen un Mecanismo Internacional de Transferencia de Datos y exista un conflicto entre las obligaciones de ese Mecanismo Internacional de Transferencia de Datos y este APD, el Mecanismo Internacional de Transferencia de Datos prevalecerá.
2. Definiciones
2.1. Los siguientes términos tienen los significados establecidos a continuación. Todos los términos en mayúscula no definidos en este APD tendrán los significados establecidos en el Acuerdo.
2.2. "Consentimiento" significa la indicación libre, específica, informada e inequívoca de la voluntad del Sujeto de Datos por la cual él o ella, mediante una declaración o una clara acción afirmativa, manifiesta su conformidad con el tratamiento de sus Datos Personales.
2.3. "Controlador" significa la entidad que determina los propósitos y medios del tratamiento de Datos Personales.
2.4. "Exportador de Datos" significa la parte que (1) tiene presencia corporativa en una jurisdicción que requiere un Mecanismo Internacional de Transferencia de Datos y (2) transfiere Datos Personales, o pone Datos Personales a disposición del Importador de Datos.
2.5. "Importador de Datos" significa la parte que (1) se encuentra en una jurisdicción distinta a la del Exportador de Datos y (2) recibe Datos Personales del Exportador de Datos o puede acceder a los Datos Personales puestos a disposición por el Exportador de Datos.
2.6. "Legislación de Protección de Datos" significa todas las leyes de protección de datos y privacidad relacionadas con el tratamiento de Datos Personales y la privacidad, incluidas, cuando corresponda, las directrices y códigos de práctica legalmente vinculantes emitidos por los reguladores.
2.7. "Sujeto de Datos" significa una persona física identificada o identificable.
2.8. "Datos Anonimizados" significa un conjunto de datos que no contiene ningún Dato Personal. Los datos agregados son Datos Anonimizados. "Anonimización” significa crear Datos Anonimizados a partir de Datos Personales.
1
2.9. "EEE" significa el Espacio Económico Europeo.
2.10. "Mecanismo Internacional de Transferencia de Datos" se refiere a las protecciones especiales que algunas jurisdicciones requieren que las partes adopten para que la transferencia sea legal, por ejemplo, cláusulas contractuales estándar, u obligaciones legales que requieren que las partes adopten ciertas medidas técnicas, organizativas o contractuales. "Transferencia", en el contexto de un Mecanismo Internacional de Transferencia de Datos, significa divulgar o mover Datos Personales de un lugar de almacenamiento en una jurisdicción a otra, o permitir que una parte en una jurisdicción acceda a los Datos Personales que la otra parte almacena en una jurisdicción que requiere un Mecanismo Internacional de Transferencia de Datos.
2.11. "Datos Personales" significa información que identifica, se relaciona, describe, es razonablemente capaz de asociarse con, o podría estar razonablemente vinculada, directa o indirectamente, con un Sujeto de Datos. "Datos Personales" incluye términos equivalentes en la Legislación de Protección de Datos aplicable.
2.12. "Violación de Datos Personales" significa una violación confirmada de la seguridad de los Servicios que causó la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos Personales, o un evento que califica como una violación de Datos Personales bajo la Legislación de Protección de Datos aplicable.
2.13. "Tratar” o “Tratamiento” significa cualquier operación o conjunto de operaciones que una parte realiza sobre Datos Personales, incluida la recopilación, el acceso, el registro, la organización, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o la puesta a disposición, la alineación o la combinación, el bloqueo, el borrado o la destrucción.
2.14. "Procesador" significa una entidad que hace tratamiento de Datos Personales en nombre de otra entidad.
2.15. "Datos Sensibles" significa los siguientes tipos y categorías de datos: datos que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la afiliación sindical; datos genéticos; datos biométricos; datos relativos a la salud, incluida la información sanitaria protegida; datos relativos a la vida sexual o la orientación sexual de una persona física; números de identificación del gobierno (por ejemplo, número de seguridad social o licencia de conducir); información de la tarjeta de crédito; información personal que no es pública regida por la Ley Xxxxx Xxxxx Xxxxxx, o leyes análogas; un identificador no cifrado en combinación con una contraseña u otro código de acceso que permita el acceso a la cuenta de un interesado; y una geolocalización precisa.
2.16. "Servicios" tiene el significado que se le da en el Acuerdo; de lo contrario, significa cualquier servicio que el Proveedor proporcione a LLA en virtud del Acuerdo.
2.17. "Subprocesador" significa un Procesador contratado por una parte que actúa como Procesador.
3. Descripción de las actividades de Tratamiento de Datos Personales de las partes y estados de las partes
3.1. El Apéndice 1 describe los fines del Tratamiento de las partes, los tipos o categorías de Datos Personales involucrados en el Tratamiento y las categorías de Sujetos de Datos afectados por el Tratamiento.
2
3.2. El Apéndice 1 enumera los estados de las partes bajo la Legislación de Protección de Datos relevante para cada actividad de Tratamiento.
4. Transferencia Internacional de Datos
4.1. Las partes cumplirán con cualquier Mecanismo Internacional de Transferencia de Datos que pueda ser requerido por la Legislación de Protección de Datos aplicable. Las partes acuerdan cumplir con los mecanismos de transferencia en el Apéndice 1, que describen los Mecanismos Internacionales de Transferencia de Datos que las partes prevén utilizar al comienzo del Acuerdo.
4.2. Si el Mecanismo Internacional de Transferencia de Datos en el que se basan las partes es invalidado o reemplazado, las partes trabajarán juntas de buena fe para encontrar una alternativa. Si las partes no pueden encontrar una alternativa dentro de los 60 días, u otro período según lo acordado por escrito, cualquiera de ellas puede rescindir el Acuerdo.
4.3. Si cualquiera de las partes determina razonablemente que son necesarias medidas adicionales para garantizar que los Datos Personales que transfieren cumplen con el estándar relevante de protección de la Legislación de Protección de Datos aplicable, lo notificará a la otra parte y las partes desarrollarán e implementarán medidas complementarias apropiadas.
5. Protección de datos en general
5.1. Cumplimiento. Las partes cumplirán con sus respectivas obligaciones en virtud de la Legislación de Protección de Datos.
5.2. Fundamento legal del Proveedor para el Tratamiento de Datos Personales. Si el Proveedor recopila Datos Personales de los Sujetos de Datos directamente en relación con los Servicios, el Proveedor declara y garantiza que tiene el consentimiento u otro fundamento legal necesario para recopilar dichos Datos Personales. Si un Sujeto de Datos revoca su consentimiento para el Tratamiento de sus Datos Personales por parte del Proveedor, o ejerce de otra manera el derecho de exclusión u objeción, entonces, de acuerdo con sus obligaciones en virtud de Legislación de Protección de Datos, el Proveedor será responsable de dejar de divulgar los Datos Personales de ese Sujeto de Datos a LLA.
5.3. Cooperación.
5.3.1. Solicitudes de los Sujetos de Datos. El Proveedor proporcionará a LLA una asistencia razonable para permitir que LLA cumpla con sus obligaciones de responder a las solicitudes de los Sujetos de Datos para ejercer los derechos que dichos Sujetos de Datos pueden tener en virtud de la Legislación de Protección de Datos.
5.3.2. Solicitudes gubernamentales y de investigación. Si el Proveedor recibe cualquier tipo de solicitud o consulta de una autoridad gubernamental, legislativa, judicial, policial o reguladora (por ejemplo, la Comisión Federal de Comercio, el Fiscal General de un estado de EE. UU., una autoridad europea de protección de datos o una autoridad análoga), o se enfrenta a una reclamación, investigación o queja real o potencial en relación con el Tratamiento de Datos Personales (colectivamente, una "Consulta"), el Proveedor notificara sin demora a LLA, a menos que dicha notificación esté prohibida por la ley aplicable. Si LLA lo solicita, el Proveedor proporcionará a LLA información relevante para permitir que LLA responda a la Consulta.
3
5.3.3. Otros requisitos de la Legislación de Protección de Datos. Previa solicitud de LLA, el Proveedor proporcionará información relevante a LLA para cumplir con las obligaciones de LLA (si las hubiera) de realizar evaluaciones de impacto de Protección de Datos o consultas previas con las autoridades de protección de datos.
5.4. Confidencialidad. El Proveedor se asegurará de que su Personal y el Personal del Subcontratista estén sujetos a la obligación de mantener la confidencialidad de los Datos Personales y hayan recibido capacitación sobre privacidad y seguridad de los datos que sea proporcional a sus responsabilidades y a la naturaleza de los Datos Personales.
5.5. Datos Anonimizados, desidentificados o agregados. Las partes pueden crear Datos Anonimizados a partir de Datos Personales y procesar los Datos Anonimizados para cualquier propósito. Si una de las partes divulga Datos Anonimizados a la otra parte, el destinatario declara y garantiza que no intentará volver a identificarlos.
5.6. Retención. Como Controladores, las partes conservan los Datos Personales mientras tengan un propósito comercial o durante el plazo más largo permitido por la ley aplicable. Como Procesador, el Proveedor retiene los Datos Personales que recopila o recibe de LLA de conformidad con sus obligaciones en el Acuerdo y este APD.
6. Seguridad de los datos
6.1. Controles de seguridad. El Proveedor cumplirá con los requisitos de seguridad del Acuerdo y cualquier otro control de seguridad que las partes acuerden por escrito. Sin perjuicio de cualquier disposición en contrario, el Proveedor mantendrá una política de seguridad de la información que defina los controles de seguridad en los que se basa la evaluación del Proveedor del riesgo para los Datos Personales a los que el Proveedor da tratamiento y los sistemas de información del Proveedor. Cuando el Proveedor elige controles de seguridad, considerará la tecnología disponible; el costo de implementación; la naturaleza, el alcance, el contexto y los fines del Tratamiento de Datos Personales; y el riesgo para los Sujetos de Datos de un incidente de seguridad o Violación de Datos Personales.
7. Obligaciones del Proveedor como Procesador o Subprocesador
7.1. El Proveedor tendrá las obligaciones establecidas en esta Sección 7 si da Tratamiento a los Datos Personales de los Sujetos de Datos en su calidad de Procesador de LLA; para mayor claridad, estas obligaciones no se aplican al Proveedor en su calidad de Controlador.
7.2. Alcance del Tratamiento.
7.2.1. El Proveedor procesará los Datos Personales únicamente para proporcionar Servicios a LLA y cumplir con sus obligaciones en virtud del Acuerdo y las instrucciones de LLA, que incluyen el Acuerdo y este APD. El Proveedor no tratará los Datos Personales para ningún otro propósito, a menos que lo exija la ley aplicable. El Proveedor notificará a LLA si cree que no puede seguir las instrucciones de LLA o cumplir con sus obligaciones en virtud del Acuerdo debido a una obligación legal a la que esté sujeto, a menos que el Proveedor tenga prohibido por ley realizar dicha notificación.
4
7.2.2. El Proveedor tiene prohibido: (a) acceder, retener, usar o divulgar Datos Personales para cualquier propósito que no sea para el propósito comercial específico de realizar las instrucciones documentadas de LLA para los fines comerciales definidos en este Acuerdo, incluido el acceso, retención, uso o divulgación de los Datos Personales para un propósito comercial que no sea realizar las instrucciones de LLA; o (b) acceder, retener, usar o divulgar los Datos Personales fuera de la relación comercial directa entre las partes según se define en este Acuerdo. El Proveedor certifica que entiende estas restricciones.
7.2.3. Independientemente de las prohibiciones anteriores, las partes acuerdan que el Proveedor puede, y LLA instruye al Proveedor a, dar tratamiento de Datos Personales para las siguientes actividades que son necesarias para respaldar los Servicios: detectar incidentes de seguridad de datos; proteger contra actividades fraudulentas o ilegales; efectuar reparaciones; y mantener o mejorar la calidad de los Servicios.
7.2.4. El tratamiento de cualquier Dato Personal fuera del alcance del Acuerdo requerirá un acuerdo previo por escrito entre el Proveedor y LLA mediante una enmienda por escrito al Acuerdo.
7.3. Solicitudes de los interesados para ejercer derechos. El Proveedor informará de inmediato a LLA si el Proveedor recibe una solicitud de un Sujeto de Datos para ejercer sus derechos con respecto a sus Datos Personales en virtud de la Legislación de Protección de Datos. LLA será responsable de responder a dichas solicitudes. El Proveedor no responderá a dichos Sujetos de Datos, excepto para reconocer sus solicitudes, a menos que las partes acuerden lo contrario por escrito. El Proveedor proporcionará a LLA asistencia comercialmente razonable, previa solicitud, para ayudar a LLA a responder a la solicitud de un Sujeto de Datos.
7.4. Subprocesadores del Proveedor.
7.4.1. Subprocesadores existentes. LLA acepta que el Proveedor puede utilizar los Subprocesadores aprobados por escrito por los equipos de privacidad y seguridad de LLA.
7.4.2. Uso de Subprocesadores. LLA otorga al Proveedor autorización general para contratar Subprocesadores si el Proveedor y esos Subprocesadores celebran un acuerdo que requiere que el Subprocesador cumpla con obligaciones igual o más protectoras que este APD (incluido cualquier Mecanismo de Transferencia Internacional de Datos aplicable) e incluya al menos los siguientes elementos: los Subprocesadores tienen prohibido (1) tratar Datos personales para cualquier propósito que no sea cumplir con las obligaciones del Proveedor en virtud de este Acuerdo, (2) acceder, retener, usar o divulgar Datos Personales para cualquier propósito que no sea para el propósito comercial específico de cumplir con las instrucciones documentadas de LLA para los fines comerciales definidos en este Acuerdo, incluido el acceso, la retención, el uso o la divulgación del Datos Personales para un propósito comercial que no sea cumplir con las instrucciones de LLA; o (3) acceder, retener, usar o divulgar los Datos Personales fuera de la relación comercial directa entre las partes según se define en este Acuerdo.
5
7.4.3. Notificación de adiciones o cambios en el Subprocesador. El Proveedor notificará a LLA de cualquier adición o reemplazo de sus Subprocesadores en xxxxxxx@xxx.xxx y hará que esa lista esté disponible a solicitud de LLA. El Proveedor proporcionará a LLA al menos 30 días para oponerse a la adición o reemplazo de Subprocesadores en relación con el desempeño del Proveedor en virtud del Acuerdo, calculados a partir de la fecha en que el Proveedor notifica a LLA. Si LLA se opone razonablemente a la adición o reemplazo del Subprocesador del Proveedor, el Proveedor dejará de usar inmediatamente ese Subprocesador en relación con los Servicios del Proveedor en virtud del Acuerdo, y las partes entablarán negociaciones de buena fe para resolver el asunto. Si las partes no pueden resolver el asunto dentro de los 15 días posteriores a la objeción razonable de LLA (cuyo plazo las partes pueden extender mediante un acuerdo por escrito), LLA puede rescindir el Acuerdo y / o cualquier orden de servicio, orden de compra de LLA u otros acuerdos escritos. Las partes acuerdan que la objeción de LLA es presuntamente razonable si el Subprocesador es un competidor de LLA y LLA tiene una razón para creer que el competidor podría obtener una ventaja competitiva de los Datos Personales que el Proveedor le
revela, o LLA anticipa que el uso del Subprocesador por parte del Proveedor sería contrario a la ley aplicable a LLA.
7.4.4. Responsabilidad por Subprocesadores. El Proveedor será responsable de los actos u omisiones de sus Subprocesadores en la misma medida en que el Proveedor sería responsable si realiza los servicios del Subprocesador directamente bajo el APD.
7.5. Violación de Datos Personales. El Proveedor notificará a LLA dentro de las 48 horas posteriores al descubrimiento de una Violación de Datos Personales que afecte a los procesos del Proveedor de Datos Personales en relación con los Servicios. Previa solicitud, el Proveedor proporcionará información a LLA sobre la Violación de Datos Personales en la medida necesaria para que LLA cumpla con cualquier obligación que tenga de investigar o notificar a las autoridades; el Proveedor se reserva el derecho de anonimizar información que sea confidencial o competitivamente sensible. Las notificaciones se entregarán a xxxxxxx@xxx.xxx. LLA acepta que la notificación por correo electrónico de una Violación de Datos Personales es suficiente. XXX acepta que notificará al Proveedor si cambia su información de contacto. LLA acepta que el Proveedor pueda no notificar a LLA de eventos relacionados con la seguridad que no resulten en una Violación de Datos Personales.
7.6. Eliminación y devolución de datos personales. Al momento de la expiración o terminación del Acuerdo o solicitud por escrito de LLA al Proveedor (que puede ocurrir por correo electrónico al Proveedor), lo que ocurra primero, el Proveedor, sin demora indebida, (1) devolverá todos los Datos Personales de LLA (incluidas las copias de los mismos) a LLA y (ii) destruirá cualquier copia que haya almacenado de los Datos Personales de LLA, a menos que la ley aplicable exija expresamente lo contrario o las partes acuerden por escrito expresamente lo contrario. En relación con cualquier Dato Personal de LLA que el Proveedor conserve después de la expiración o terminación de este Acuerdo (por ejemplo, porque el Proveedor está legalmente obligado a retener dicha información), el Proveedor continuará cumpliendo con las disposiciones de seguridad y privacidad de datos de este APD y anonimizará dichos Datos Personales (si corresponde) en la medida de lo posible.
7.7. Auditorías.
7.7.1. Alcance. Los términos de esta Sección 7.7 se aplican a pesar de cualquier disposición en contrario. LLA acepta que las obligaciones del Proveedor en virtud de esta Sección 7.7 se limitan a los procesos del Proveedor de Datos Personales en relación con los Servicios.
7.7.2. Solicitud. Previa solicitud por escrito que incluya una declaración de las razones que la motivan, el Proveedor pondrá a disposición de LLA la documentación aplicable que responda a la solicitud de LLA, incluidos los informes de auditoría o certificaciones de terceros en la medida en que estén disponibles. En la medida en que dichos informes de auditoría o certificaciones no satisfagan la solicitud de LLA, el Proveedor proporcionará a LLA o al tercero designado por LLA (que LLA acepta que no podrá ser un competidor del Proveedor) la información y el acceso a las instalaciones del Proveedor necesarios para demostrar el cumplimiento de la legislación de Protección de Datos.
6
7.7.3. Acceso a las instalaciones. Si LLA requiere acceso a las instalaciones del Proveedor (la "Inspección"), LLA proporcionará al Proveedor un aviso por escrito con al menos 60 días de anticipación. Dicha notificación por escrito especificará las cosas, personas, lugares o documentos que se deberán poner a disposición. Dicha notificación por escrito, y cualquier producido en respuesta a ella (incluyendo cualquier producto derivado del trabajo, tales como notas de entrevistas), se considerará información confidencial y permanecerá confidencial a perpetuidad o por el tiempo más largo permitido por la ley aplicable después de la terminación del Acuerdo. Dichos materiales y productos derivados del trabajo producidos en respuesta a la
7
Inspección no se divulgarán a nadie sin el permiso previo por escrito del Proveedor, a menos que dicha divulgación sea requerida por la ley aplicable. Si la divulgación es requerida por la ley aplicable, LLA le dará inmediatamente aviso por escrito al Proveedor de ese requisito y la oportunidad de obtener una orden de protección para prohibir o restringir dicha divulgación, excepto en la medida en que dicha notificación esté prohibida por la ley aplicable o por orden de un tribunal o agencia gubernamental. LLA se compromete a negociar de buena fe con el Proveedor antes de intentar ejercer dicho derecho de auditoría o inspección in situ con una frecuencia mayor a una vez cada doce (12) meses. LLA hará todo lo posible para cooperar con el Proveedor para programar la Inspección en un momento que sea conveniente para el Proveedor. LLA acepta que, en caso de utilizar a un tercero para llevar a cabo la Inspección, el tercero firmará un acuerdo de no divulgación. LLA acepta que la Inspección solo se referirá a la arquitectura, los sistemas, las políticas, los registros de procesamiento, las evaluaciones de impacto de protección de datos y los procedimientos relevantes para sus obligaciones según lo establecido en el Acuerdo y el tratamiento de Datos Personales llevado a cabo por el Proveedor y los Servicios proporcionados a LLA. LLA acepta que durante la Inspección el Proveedor podrá proteger o anonimizar los nombres y la información de identificación o propiedad de otros clientes del Proveedor.
Apéndice 1: Descripción del Tratamiento; Subprocesadores; Cláusulas específicas de la Jurisdicción
1. Descripción del Tratamiento
1.1. Véase el Anexo 1 (Descripción del Tratamiento).
2. Obligaciones e información específicas de la jurisdicción para Transferencias Internacionales
2.1. Generalidad. Las partes acuerdan que, para cualquier jurisdicción no enumerada a continuación que requiera un Mecanismo Internacional de Transferencia de Datos por la presente celebran y aceptan estar obligadas por las Cláusulas Contractuales Tipo del EEE (como se especifica en la Sección 2.2) para las transferencias de Datos Personales desde esa jurisdicción, a menos que (1) las partes acuerden lo contrario por escrito o (2) una jurisdicción promulgue su propio Mecanismo Internacional de Transferencia de Datos, en cuyo caso las partes acuerdan negociar una actualización de este APD para incorporar dicho Mecanismo Internacional de Transferencia de Datos. Las partes acuerdan modificar las Cláusulas Contractuales Tipo del EEE según sea necesario para adaptarlas a las circunstancias de las transferencias (i8ncluído utilizando la ubicación del Exportador de Datos como foro y jurisdicción); en tanto no interpreten las Cláusulas Contractuales Tipo del EEE de manera tal que reduzca materialmente la protección que tales Cláusulas Contractuales Tipo del EEE brindan al Sujeto de Datos.
2.2. Espacio Económico Europeo.
2.2.1. “Cláusulas Contractuales Tipo del EEE”: significa las cláusulas contractuales estándar de la Unión Europea para las Transferencias Internacionales desde el Espacio Económico Europeo a terceros países, conforme Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 xx xxxxx de 2021.
2.2.2. Para las transferencias desde el EEE que no están sujetas a una decisión de adecuación o excepción, las partes incorporan las Cláusulas Contractuales Tipo del EEE por referencia y, al firmar este APD, también celebran y aceptan estar obligadas por las Cláusulas Contractuales Tipo del EEE. Las partes acuerdan seleccionar las siguientes opciones puestas a disposición por las Cláusulas Contractuales Tipo del EEE.
• Cláusula 7: Las partes no incorporan la cláusula de acoplamiento.
• Cláusula 9, Módulo 2 a): Las partes seleccionan la opción 2. El período de tiempo es de 30 días.
• Cláusula 9, Módulo 3 a): Las partes seleccionan la opción 2. El período de tiempo es de 30 días.
• Cláusula 11(a): Las partes no seleccionan la opción de resolución de disputas independiente.
• Cláusula 17: Las partes seleccionan la opción 1. Las partes acuerdan que regirse por la jurisdicción de España.
8
• Cláusula 18: Las partes acuerdan que el foro es el de España.
• Anexo I(A): El exportador de Datos es el Exportador de Datos (definido anteriormente) y el importador de datos es el Importador de Datos (definido anteriormente). Los estados de las partes como Controladores o Procesadores se describen en el Anexo 1.
• Anexo I(B): Las partes acuerdan que el Anexo 1 describe la transferencia.
• Xxxxx X(C): La autoridad de control competente es la autoridad española de protección de datos.
• Anexo II: Las partes acuerdan que la Sección 6 del APD describe las medidas técnicas y organizativas aplicables a la transferencia.
• Anexo III: Las partes acuerdan que el Anexo 1 describe los Subprocesadores relevantes y sus funciones en el Tratamiento de Datos Personales.
2.3. Xxxxx Unido.
2.3.1. "AITD" significa el Acuerdo Internacional de Transferencia de Datos emitido por la ICO y presentado el 0 xx xxxxxxx xx 0000 xxxx xx Xxxxxxxxxx de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018, modificado de tanto en tanto por la Oficina del Comisionado de Información del Reino Unido.
2.3.2. Para las transferencias desde el Xxxxx Unido que no están sujetas a una decisión de adecuación o excepción, las partes incorporan el AITD por referencia y, al firmar este APD, también celebran y acuerdan estar obligados por las Cláusulas Obligatorias del AITD.
2.3.3. De conformidad con las Secciones 5.2 y 5.3 del AITD, las partes acuerdan que la siguiente información es relevante para las Tablas 1 a 4 del AITD y que al cambiar el formato y el contenido de las Tablas ninguna de las partes tiene la intención de reducir las Garantías Apropiadas (tal como se definen en el AITD).
• Tabla 1: Los detalles de las partes, los contactos clave, los contactos del Sujeto de Datos y las firmas se encuentran en el bloque de firmas del APD.
• Tabla 2:
o La xxx xxx xxxx xxx Xxxxx Unido que rige el AITD es: Inglaterra y Gales.
o El lugar principal para que las partes presenten reclamos y acciones legales es: Inglaterra y Gales.
o Los estado de Exportador e Importador de Datos se describen en el Anexo 1.
o La Regulación General de Protección de Datos (RGPD) del Reino Unido puede ser aplicada al procesamiento de Datos Personales por parte del Importador de Datos bajo el Acuerdo.
o La relación entre los acuerdos que establecen los términos de protección de datos entre las partes, incluida esta Sección, el APD y el Acuerdo, se describe en la Sección 1 del APD.
9
o El término durante la cual las partes pueden procesar los Datos Personales se establece en el APD.
o El AITD es coincidente con el APD. Ninguna de las partes puede rescindir el AITD antes de que finalice el APD a menos que una de las partes incumpla el AITD o las partes lo acuerden por escrito.
o El Importador de Datos puede transferir Datos Personales a otra organización o persona (que es una entidad legal diferente) si dicha transferencia cumple con las Cláusulas Obligatorias aplicables del AITD.
o Las partes revisarán anualmente los requisitos de seguridad enumerados en la Tabla 4 y cualquier otra medida complementaria que adopten en este APD.
• Tabla 3:
o Las categorías de Datos Personales, Datos Sensibles, Sujeto de Datos y propósitos del Tratamiento se describen en el Anexo 1. Dicha descripción sólo podrá modificarse mediante acuerdo escrito de las partes.
• Tabla 4:
o Las medidas de seguridad adoptadas por las partes se describen en la Sección 6 de este APD. Dichas medidas de seguridad sólo podrán modificarse mediante acuerdo escrito de las partes.
10
2.3.4. Las partes acuerdan adoptar las protecciones técnicas, organizativas y/o contractuales adicionales que puedan ser requeridas por su evaluación de impacto de transferencia de conformidad con la Sección 4 del APD.
00
Xxxxx 0: Descripción del Tratamiento
Actividad de Tratamiento (naturaleza y propósito del tratamiento; categorías de Sujetos de Datos) | Estado de las partes como Controladores o Procesadores | Categorías de Datos Personales tratados | Categorías de Datos Sensibles tratados | Frecuencia de Transferencia | Módulo de Cláusulas Contractuales Tipo Aplicables |
El Proveedor procesa Datos Personales para proporcionar los Servicios, o en relación con los Servicios recibe Datos Personales de LLA, o recopila Datos Personales en nombre de LLA. | LLA es un Controlador. El Proveedor es un Procesador. | Cualquier Dato Personal que LLA divulgue al Proveedor o que el Proveedor recopile en nombre de LLA. | Cualquier Dato Sensible que LLA divulgue al Proveedor o que el Proveedor recopile en nombre de LLA. | Continuo | Módulo 2 Módulo 3, si LLA actúa como Procesador para otro Controlador. |
El Proveedor recopila Datos Personales de los empleados, Personal, contratistas o agentes de LLA para proporcionar servicios profesionales en apoyo de los Servicios. | LLA es un Controlador. El Proveedor es un Controlador. | Nombre, dirección de correo electrónico, otra información de contacto e ID único de usuario final. Para mayor claridad, el Proveedor es un Procesador con respecto a cualquier Dato Personal que LLA proporcione sobre sus clientes o usuarios finales. | Cualquier Dato Sensible que LLA divulgue al Proveedor o que el Proveedor recopile en nombre de LLA. | Continuo | Módulo 1 |
El Proveedor procesa los datos de la cuenta del Personal de LLA en apoyo de sus obligaciones bajo el Acuerdo. | LLA es un Controlador. El Proveedor es un Controlador. | Datos relacionados con las cuentas que el Personal de LLA puede crear en relación con el uso de los Servicios, incluidos los nombres o la información de contacto de las personas autorizadas por LLA para acceder a la cuenta de LLA y la información de facturación de las personas que LLA ha asociado con su cuenta. Análisis, uso, telemetría, datos y registros que el Proveedor genera cuando el Personal de LLA utiliza los Servicios. Datos que el Proveedor puede necesitar recopilar con el fin de verificar su identidad. | Cualquier Dato Sensible que LLA divulgue al Proveedor o que el Proveedor recopile en nombre de LLA. | Continuo | Módulo 1 |
Las partes procesan los Datos Personales de su respectivo Personal para, por ejemplo, (a) administrar y proporcionar los Servicios; b) gestionar las facturas; (c) gestionar el Acuerdo y resolver cualquier disputa relacionada con el mismo; (d) responder y/o plantear consultas generales; y (e) cumplir con sus respectivas obligaciones regulatorias. | LLA es un Controlador. El Proveedor es un Controlador. | Nombre, cargo e información de contacto del Personal de las partes. | Cualquier Dato Sensible que LLA divulgue al Proveedor o que el Proveedor recopile en nombre de LLA. | Continuo | Módulo 1 |