ANEXO DE PROCESAMIENTO DE DATOS DE CITRIX CLÁUSULAS CONTRACTUALES TIPO DE LA UE

ANEXO DE PROCESAMIENTO DE DATOS DE CITRIX CLÁUSULAS CONTRACTUALES TIPO DE LA UE


De acuerdo con la Sección 7 del Anexo de procesamiento de datos de Citrix del 27 xx xxxx de 2020 (publicado en el Centro de confianza de Citrix en xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxx-xxxxxxxxxx-xxxxxxxxx.xxxx) (Data Processing Addendum, “DPA”), estas Cláusulas contractuales tipo de la Unión Europea, incorporadas por remisión al DPA, están disponibles para ser ejecutadas por la entidad del cliente que ha adquirido los Servicios sujetos al DPA.


Anexo 1: Cláusulas contractuales tipo (“Encargado del tratamiento”)

Cláusulas contractuales tipo de la Comisión Europea para la transferencia de datos personales a los encargados

del tratamiento en terceros países


Para la finalidad del Artículo 26(2) de la Directiva 95/46/CE relativa a la transferencia datos personales a encargados del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.



Usted

(el exportador de datos)


Y


Nombre de la organización de importación de datos:


Citrix Systems, Inc. (incluidas sus afiliadas)


Dirección: 000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000


Tel.:x0 000 000 0000; fax: + 0 000 000 0000; correo electrónico: xxxxxxxxxxxx@xxxxxx.xxx


Individualmente, una “parte”, en su conjunto, las “partes”,


(el importador de datos)


HAN ACORDADO las siguientes Cláusulas contractuales (las Cláusulas) para aducir las medidas de protección adecuadas en cuanto a la protección de las libertades y los derechos fundamentales y de privacidad de las personas físicas en relación con la transferencia por parte del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.


Cláusula 1


Definiciones

Para la finalidad de las Cláusulas:

(a)“Datos personales”, “categorías especiales de datos”, “trato/tratamiento”, “responsable del tratamiento”, “encargado del tratamiento”, “interesado” y “autoridad de supervisión” tendrán el mismo significado que en la

Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1).

(b)“Exportador de datos” hace referencia al responsable del tratamiento que transfiere los datos personales.

(c)“Importador de datos” hace referencia al encargado del tratamiento que acepta recibir del exportador de datos los datos personales para tratarlos en su nombre después de la transferencia de acuerdo con sus instrucciones y los términos de las Cláusulas, quien no está sujeto al sistema de un tercer país destinado a garantizar la protección adecuada con el significado del Artículo 25(1) de la Directiva 95/46/CE.

(d)“Subencargado del tratamiento” hace referencia a cualquier encargado del tratamiento incorporado por el

importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento del importador de datos los datos personales previstos exclusivamente para completar actividades de tratamiento en nombre del

exportador de datos después de la transferencia, de acuerdo con sus instrucciones, los términos de las Cláusulas

y los términos del subcontrato por escrito.

(e)“Leyes de protección de datos aplicables” hace referencia a la legislación que protege los derechos y las libertades fundamentales de las personas y, en particular, su derecho a la privacidad en relación con el tratamiento de los datos personales aplicables a un responsable del tratamiento de datos en el Estado miembro en el que está establecido el exportador de datos.

(f)“Medidas de seguridad técnicas y organizativas” hace referencia a las medidas destinadas a proteger los datos personales frente a la destrucción accidental o ilegal, la pérdida accidental, la modificación o la divulgación o el acceso no autorizados, en particular cuando el tratamiento suponga la transmisión de datos a través de una red, y frente a todas las demás formas ilegales de tratamiento.


Cláusula 2


Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales (cuando corresponda) se especifican en el Apéndice 1, que forma una parte integral de las Cláusulas.


Cláusula 3


Cláusula xxx xxxxxxx beneficiario


1.El interesado puede obligar al exportador de datos a que aplique esta Cláusula, la Cláusula 4(b) hasta (i), la Cláusula 5(a) hasta (e), y desde (g) hasta (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 como tercero beneficiario.

2.El interesado puede obligar al importador de datos a que aplique esta Cláusula, la Cláusula 5(a) hasta (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 en casos en los que el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante contrato o por operación legal, en cuyo caso dicha entidad adquiriría los derechos y obligaciones del exportador de datos y el interesado podría obligarle a aplicar las Cláusulas anteriores.

3.El interesado datos puede obligar al subencargado del tratamiento a que aplique esta Cláusula, la Cláusula 5(a) hasta (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 en casos en los que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o hayan entrado en situación de insolvencia, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante contrato o por operación legal, en cuyo caso dicha entidad adquiriría los derechos y obligaciones del exportador de datos y el interesado podría obligarle a aplicar las Cláusulas anteriores. Dicha responsabilidad frente a terceros del subencargado del tratamiento estará limitada a sus propias operaciones de tratamiento en virtud de las Cláusulas.

4.Las partes no se oponen a que el interesado quede representado por una asociación o por otra entidad si el interesado así lo desea y si lo permite la legislación nacional.

Cláusula 4


Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza lo siguiente:

(a)El tratamiento, incluida la propia transferencia, de los datos personales se ha llevado a cabo y se seguirá llevando a cabo de acuerdo con las disposiciones relevantes de la legislación de protección de datos aplicable (y,

si procede, se ha notificado a las autoridades relevantes del Estado miembro donde está establecido el exportador de datos) y no infringe las disposiciones relevantes de dicho estado.

(b)Ha proporcionado instrucciones al importador de datos, y las seguira proporcionando mientras duren los servicios de tratamiento de datos personales, para que trate los datos personales transferidos solo en nombre del exportador de datos y de acuerdo con la legislación de protección de datos aplicable y las Cláusulas.

(c)El importador de datos proporcionará suficientes garantías en relación con las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato.

(d)Tras la evaluación de los requisitos de la legislación de protección de datos aplicable, las medidas de seguridad son las adecuadas para proteger los datos personales frente a la destrucción accidental o ilegal, la pérdida accidental, la modificación, la divulgación o el acceso no autorizados, en particular cuando el tratamiento suponga la transmisión de datos a través de una red, y frente a todas las demás formas ilegales de tratamiento, y estas medidas garantizan un nivel de seguridad adecuado para los riesgos presentados por el tratamiento y la naturaleza de los datos que se van a proteger teniendo en cuenta el nivel tecnológico y el coste de su implementación.

(e)Garantizará la conformidad con las medidas deseguridad.

(f)Si la transferencia supone categorías especiales de datos, se ha comunicado al interesado (o se le comunicará antes o muy poco después de la transferencia) que sus datos podrían transmitirse a un tercer país que no proporciona la protección adecuada según el significado de la Directiva 95/46/CE.

(g)Se enviará toda notificación recibida del importador de datos o de cualquier subencargado del tratamiento de acuerdo con la Cláusula 5(b) y la Cláusula 8(3) a la autoridad de supervisión de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión.

(h)Pondrá a disposición de los interesados cuando lo soliciten una copia de las Cláusulas, con la excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato correspondiente a los servicios de subtratamiento que se deba realizar de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se puede quitar dicha información comercial.

(i)En el caso del subtratamiento, la actividad de tratamiento la lleva a cabo un subencargado del tratamiento de acuerdo con la Cláusula 11, el cual proporciona al menos el mismo nivel de protección de los datos personales y los mismos derechos del interesados que el importador de datos en virtud de las Cláusulas.

(j)Garantizará la conformidad con las Cláusulas 4(a) hasta (i).


Cláusula 5


Obligaciones del importador de datos (2)

El importador de datos acuerda y garantiza lo siguiente:

(a)Tratar los datos personales solo en nombre del exportador de datos y en conformidad con sus instrucciones y con las Cláusulas; si no puede asegurar dicha conformidad por cualquier motivo, accede a notificar lo antes posible al exportador de datos acerca de la imposibilidad de la conformidad, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o a finalizar el contrato.

(b)No tiene motivo para creer que la legislación aplicable le impida el cumplimiento de las instrucciones recibidas del exportador de datos y sus obligaciones según el contrato y que, en el caso de un cambio de dicha legislación que pueda tener un probable efecto adverso importante sobre las garantías y obligaciones especificadas por las Cláusulas, notificará lo antes posible dicho cambio al exportador de datos en cuanto llegue a su conocimiento, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos o a finalizar el contrato.

(c)Ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de tratar los datos personales transferidos.

(d)Notificará al exportador de datos lo antes posible sobre lo siguiente:

(i)Las solicitudes legalmente vinculantes de divulgación de los datos personales por parte de una autoridad de orden público, a menos exista alguna prohibición al respecto, como una prohibición bajo la legislación penal para mantener la confidentialidad de una investigación de orden público.

(ii)El acceso accidental o no autorizado.

(iii)Las solicitudes recibidas directamente de los interesados sin responder a dichas solicitudes, a menos que exista alguna autorización para hacerlo.

(e)Tratar lo antes posible y de la manera adecuada todas las consultas del exportador de datos relacionadas con su tratamiento de los datos personales objeto de la transferencia y seguir los consejos de la autoridad de supervisión en relación con el tratamiento de los datos transferidos.

(f)A petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento cubiertas por las Cláusulas, la cual llevará a cabo el exportador de datos o una entidad de inspecciones compuesta por miembros independientes, que tenga las cualificaciones profesionales requeridas, que actúe bajo obligación de confidencialidad y haya sido seleccionada por el exportador de datos, cuando proceda, de acuerdo con la autoridad de supervisión.

(g)Pondrá a disposición del interesado cuando lo solicite una copia de las Cláusulas o cualquier contrato existente para el subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se puede quitar dicha información comercial, con la excepción del Apéndice 2, que se reemplazará por una descripción resumida de las medidas de seguridad en los casos en los que el interesado no pueda obtener una copia del exportador de datos.

(h)En el caso de subtratamiento, ha notificado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito.

(i) Los servicios de tratamiento por parte del subencargado del tratamiento se llevarán a cabo de acuerdo con la Cláusula 11.

(j)Enviar lo antes posible al exportador de datos una copia de los contratos de subencargado del tratamiento que firme en virtud de las Cláusulas.


Cláusula 6


Responsabilidad


1.Las partes acuerdan que, si un interesado sufre daños debido al incumplimiento de las obligaciones especificadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subencargado del tratamiento, dicho interesado tendrá derecho a recibir indemnización del exportador de datos por los daños sufridos.

0.Xx un interesado no puede interponer una demanda de indemnización contra el exportador de datos conforme al apartado 1, surgida a raíz de un incumplimiento por parte del importador de datos o su subencargado del tratamiento de cualquiera de las obligaciones especificadas en la Cláusula 3 o en la Cláusula 11, porque el exportador de datos haya desaparecido de hecho, haya dejado de existir legalmente o haya entrado en situación de insolvencia, el importador de datos acuerda que el interesado puede interponer una demanda contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos mediante contrato o por operación legal, en cuyo caso el interesado podría exigir sus derechos a dicha entidad.

El importador de datos no puede aludir al incumplimiento de las obligaciones por parte de un subencargado del tratamiento para evitar sus propias responsabilidades.

0.Xx un interesado no puede interponer una demanda contra el exportador de datos o el importador de datos especificados en los apartados 1 y 2, surgida a raíz de un incumplimiento por parte del subprocesador de cualquiera de las obligaciones especificadas en la Cláusula 3 o en la Cláusula 11, porque tanto el exportador de datos como el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o hayan entrado en situación de insolvencia, el subprocesador acuerda que el interesado puede interponer una demanda contra el subprocesador de datos en relación con sus propias operaciones de procesamiento bajo las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o del importador de datos mediante contrato o por operación legal, en cuyo caso el interesado podría exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento estará limitada a sus propias operaciones de tratamiento en virtud de las Cláusulas.


Cláusula 7


Mediación y jurisdicción


1.En caso de que el interesado le reclame derechos xx xxxxxxx beneficiario o interponga demandas de indemnización por daños con arreglo a las Cláusulas, el importador de datos acuerda aceptar la decisón del interesado con respecto a lo siguiente:

(a)Someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de supervisión.

(b)Someter el conflicto a los tribunales del Estado miembro en el que esté establecido el exportador de datos. 2.Las partes acuerdan que la elección del interesado no perjudicará a sus derechos sustantivos o procedimentales

a buscar remedios legales de conformidad con otras disposiciones de Derecho nacional o internacional.


Cláusula 8


Cooperación con las autoridades de supervisión


1.El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de supervisión si así lo requiere o si la legislación de protección de datos aplicable exige dicho depósito.

2.Las partes acuerdan que la autoridad de supervisión está facultada para auditar al importador de datos y a cualquier subencargado del tratamiento, en la misma medida y con las mismas condiciones aplicables a una auditoría del exportador de datos conforme a la legislación de protección de datos vigente.

3.El importador de datos notificará lo antes posible al exportador de datos en caso de que exista legislación que se le aplique a él o a cualquier subencargado del tratamiento que impida la auditoría del importador de datos o el subencargado del tratamiento, con xxxxxxx xx xxxxxxxx 0. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la Cláusula 5(b).

Cláusula 9


Legislación vigente

Las Cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.


Cláusula 10


Variación del contrato

Las partes se comprometen a no realizar variaciones ni modificaciones en las Cláusulas. Esto no excluye que las partes puedan agregar cláusulas sobre problemas relacionados con sus negocios en caso necesario, siempre que no contradigan las Cláusulas.


Cláusula 11


Subtratamiento

1.El importador de datos no subcontratará ninguna de sus operaciones de tratamiento llevadas a cabo en nombre del exportador de datos con arreglo a las Cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las Cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subprocesador en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las Cláusulas (3). En los casos en que el subencargado del tratamiento no pueda cumplir sus obligaciones de protección de datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho contrato.

2.El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula xx xxxxxxx beneficiario, tal como se establece en la Cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización especificada en el apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de hecho, hayan dejado de existir legalmente o hayan entrado en situación de insolvencia y no haya ninguna entidad sucesora que asuma todas las obligaciones legales del exportador de datos o del importador de datos mediante contrato o por operación legal. Dicha responsabilidad frente a terceros del subencargado del tratamiento estará limitada a sus propias operaciones de tratamiento en virtud de las Cláusulas.

3.Las disposiciones del contrato relacionadas con los aspectos de protección de datos del subtratamiento especificadas en el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido nominalmente el exportador de datos.

4.El exportador de datos conservará una lista con los contratos de subtratamiento celebrados con arreglo a las Cláusulas y notificados por el importador de datos en virtud de la Cláusula 5(j), la cual se actualizará al menos una vez al año. La lista estará disponible para la autoridad de supervisión de protección de datos del exportador de datos.


Cláusula 12


Obligaciones tras la finalización de los servicios de tratamiento de datos personales


1.Las partes acuerdan que, al finalizar el aprovisionamiento de los servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento devolverán, a elección del exportador de datos, todos los datos personales transferidos y las copias respectivas al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que lo han llevado a cabo, a menos que la legislación aplicable al importador de datos le impida devolver o destruir los datos personales transferidos, ya sea total o parcialmente. En ese caso, el importador de datos garantizará la confidencialidad de los datos personales transferidos y no volverá a tratar activamente los datos personales transferidos.

2.El importador de datos y el subencargado del tratamiento garantizan que, tras la solicitud por parte del exportador de datos o de la autoridad de supervisión, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas especificadas en el apartado 1.


En nombre del exportador de datos:

Nombre (escrito con todas sus letras): … Cargo: …

Dirección: …

Otra información necesaria para que el contrato sea vinculante (si la hubiera):

Firma…

En nombre del importador de datos:

Nombre (escrito con todas sus letras): Xxxxx X. Xxxxxxxxx

Cargo: Vicepresidente y Director de privacidad y riesgos digitales Dirección: 000 Xxxx Xxxxxxx Xxxx, Xx. Xxxxxxxxxx, XX 00000 (XX. XX.)

Otra información necesaria para que el contrato sea vinculante (si la hubiera):

Firma…


(1)Las partes podrán reproducir en esta Cláusula las definiciones y los significados de la Directiva 95/46/CE si consideran que ello beneficia a la autonomía del contrato.

(2)Las obligaciones impuestas por la legislación nacional aplicable al importador de datos que no vayan más allá de las restricciones necesarias en una sociedad democrática con arreglo a los intereses recogidos en el Artículo 13(1) de la Directiva 95/46/CE, es decir, si dichas obligaciones constituyen una medida necesaria para la salvaguardia de la seguridad del Estado, la defensa, la seguridad pública, la prevención, investigación, detección y enjuiciamiento de delitos o infracciones de la deontología en las profesiones reguladas, un interés económico o financiero importante del Estado o la protección del interesado o de los derechos y libertades de otras personas, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de obligaciones que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otras, las sanciones reconocidas en el ámbito internacional, las obligaciones de notificación en materia fiscal o las impuestas por la lucha contra el blanqueo de dinero.

(3)Este requisito puede verse satisfecho si el subencargado del tratamiento es cosignatario del contrato acordado entre el exportador de datos y el importador de datos con arreglo a la presente Decisión.

Apéndice 1 de las Cláusulas contractuales tipo

El presente Apéndice forma parte integrante de las Cláusulas y deberá ser cumplimentado y suscrito por las partes.

Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente Apéndice.


Exportador de datos

El exportador de datos es (especifique brevemente Sus actividades correspondientes a la transferencia):

Uso de productos, servicios y soluciones de TI de Citrix, tal como se describe en la Descripción de Servicios de Citrix.


Importador de datos

El importador de datos es (especifique brevemente las actividades correspondientes a la transferencia):

Aprovisionamiento de productos, servicios y soluciones de TI de Citrix, tal como se describe en la Descripción de Servicios de Citrix.


Interesados

Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquense): Consulte la Sección 5 del DPA.

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos (especifíquense): Consulte la Sección 5 del DPA.

Categorías especiales de datos (si procede)

Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifíquense):

Los datos personales transferidos los determina y controla el exportador de datos, y pueden incluir datos confidenciales como el identificador gubernamental, la afiliación religiosa o cualquier otra información confidencial necesaria que deba procesarse para llevar a cabo los Servicios.


Operaciones de tratamiento

Los datos personales transferidos serán sometidos a las operaciones básicas de tratamiento siguientes (especifíquense): Consulte la Sección 4 del DPA.


EXPORTADOR DE DATOS


Nombre: Cargo:


Firma autorizada

IMPORTADOR DE DATOS


Nombre: Xxxxx X. Xxxxxxxxx


Cargo: Vicepresidente y Director de privacidad y riesgos digitales


Firma autorizada

Apéndice 2 de las Cláusulas contractuales tipo

El presente Apéndice forma parte integrante de las Cláusulas y deberá ser cumplimentado y suscrito por las partes.


Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de acuerdo con las Cláusulas 4(d) y 5(c) (o el documento o la legislación adjuntos):

Los controles de seguridad técnicos y organizativos se describen en el Anexo de seguridad de servicios de Citrix disponible en xxxxx://xxx.xxxxxx.xxx/xxx/xxxxxxxxx/xxxxxx-xxxxxxxx-xxxxxxxx-xxxxxxx.xxxx.


EXPORTADOR DE DATOS


Nombre: Cargo:


Firma autorizada

IMPORTADOR DE DATOS


Nombre: Xxxxx X. Xxxxxxxxx


Cargo: Vicepresidente y Director de privacidad y riesgos digitales


Firma autorizada

Document Metadata

Filed: May 22nd, 2020