Apéndice de procesamiento de datos
Este Apéndice de procesamiento de datos (el «Apéndice») se realiza por y entre DEVAR y el Licenciatario («Desarrollador»).
Este Addendum se incorpora a los Términos y Condiciones, acuerdo de licencia y / u otro acuerdo comercial entre el Desarrollador y DEVAR («Acuerdo») y se aplica con respecto a la prestación de los Servicios al Desarrollador si el Procesamiento de Datos Personales del Desarrollador (como se define a continuación) está sujeto al GDPR, solo en la medida en que el Desarrollador sea un Controlador de Datos Personales del Desarrollador y DEVAR sea un Procesador. El Addendum está destinado a satisfacer los requisitos del artículo 28 (3) del GDPR. Este Addendum será efectivo durante la vigencia del Acuerdo.
1. DEFINICIONES.
1.1. A los efectos de la Adenda:
1.1.1. “Datos Personales del Promotor” se refiere a los Datos Personales descritos en la Sección 2 de esta Adenda, respecto de los cuales el Promotor es el Responsable del Tratamiento;
1.1.2. “Legislación sobre protección de datos” hace referencia a toda la legislación aplicable relativa a la protección de datos y la privacidad, incluido, sin limitación, el GDPR, junto con cualquier legislación nacional de aplicación en cualquier Estado miembro de la Unión Europea o, en la medida en que sea aplicable, en cualquier otro país, en su versión modificada, derogada, consolidada o sustituida de vez en cuando;
1.1.3. «GDPR» significa el Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
1.1.4. «Datos personales», “Sujeto de datos”, “Violación de datos personales”, “Proceso”, “Procesador” y “Controlador” tendrán cada uno el significado que se les da en el GDPR; y
1.1.5. “Cláusulas Contractuales Tipo” significa el acuerdo ejecutado por y entre las partes y que se adjunta a la presente como Anexo 1 de conformidad con la Decisión de la Comisión Europea (C(2010)593), de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos.
1.2. Los términos en mayúsculas que no se definan de otro modo en el presente documento tendrán el significado que se les atribuye en el Acuerdo.
2. DETALLES DEL TRATAMIENTO
2.1. Categorías de interesados. El presente Anexo se aplica al Tratamiento de los Datos Personales del Promotor relativos a los usuarios finales de los productos y servicios del Promotor.
2.2. Tipos de datos personales. Los Datos Personales del Promotor incluyen Datos Personales, cuyo alcance es determinado y controlado por el Promotor a su entera discreción, como la dirección IP, el agente de usuario del navegador, la marca, el modelo y el sistema operativo de los dispositivos de los usuarios finales, información relacionada con el uso por parte de los usuarios finales de los productos del Promotor que incorporan el Servicio (es decir, el tiempo que el Servicio está en funcionamiento), un identificador único de dispositivo/aplicación que no puede utilizarse para rastrear dispositivos a través de aplicaciones o sitios web y, con el permiso del usuario final, datos de la cámara del dispositivo del usuario final.
2.3. Objeto y naturaleza del tratamiento. El objeto del Tratamiento de los Datos Personales del Desarrollador por parte de DEVAR es la prestación de los Servicios al Desarrollador que implica el Tratamiento de los Datos Personales del Desarrollador. Los Datos Personales del Desarrollador estarán sujetos a las actividades de Procesamiento que DEVAR necesita realizar para prestar los Servicios de conformidad con el Acuerdo.
2.4. Finalidad del Tratamiento. Los Datos Personales del Desarrollador serán Procesados por DEVAR con el fin de prestar los Servicios establecidos en el Acuerdo.
2.5. Duración del tratamiento. Los Datos Personales del Desarrollador serán Procesados durante la vigencia del Acuerdo, sujeto a la Sección 10 de este Anexo.
3. TRATAMIENTO DE LOS DATOS PERSONALES DEL PROMOTOR
3.1. Las partes reconocen y acuerdan que el Desarrollador es el Controlador de los Datos Personales del Desarrollador y DEVAR es el Procesador de esos datos. DEVAR sólo Procesará los Datos Personales del Desarrollador como Procesador en nombre y de conformidad con las instrucciones previas por escrito del Desarrollador, incluso con respecto a las transferencias de datos personales. DEVAR tiene instrucciones de Procesar los Datos Personales del Desarrollador en la medida necesaria para permitir a DEVAR prestar los Servicios de conformidad con el Acuerdo.
3.2. Si DEVAR no puede procesar los Datos Personales del Desarrollador de acuerdo con las instrucciones del Desarrollador debido a un requisito legal en virtud de cualquier ley aplicable de la Unión Europea o de un Estado miembro, DEVAR (i) notificará de inmediato al Desarrollador de tal incapacidad, proporcionando un nivel razonable de detalle en cuanto a las instrucciones con las que no puede cumplir y las razones por las que no puede cumplir, en la mayor medida permitida por la ley aplicable; y (ii) cesará todo el Procesamiento de los Datos Personales del Desarrollador afectados (que no sean meramente almacenar y mantener la seguridad de los Datos Personales del Desarrollador afectados) hasta el momento en que el Desarrollador emita nuevas instrucciones con las que DEVAR pueda cumplir.
3.3. Cada Promotor y DEVAR cumplirán con sus respectivas obligaciones en virtud de la Legislación de Protección de Datos. El Desarrollador se asegurará de que el Desarrollador haya obtenido (u obtendrá) todos los derechos y consentimientos (si se requieren) que sean necesarios para que DEVAR Procese los Datos Personales del Desarrollador de acuerdo con este Addendum.
3.4. El Desarrollador reconoce que DEVAR no mantiene los Datos Personales del Desarrollador de una manera que permita a DEVAR asociar los Datos Personales del Desarrollador con cualquier Sujeto de Datos en particular. En consecuencia, el Desarrollador acepta que DEVAR no está obligado a proporcionar la asistencia ofrecida en las Secciones 7, 8 y 9 de este Addendum a menos que (a) los fines para los cuales el Desarrollador procesa los Datos Personales del Desarrollador requieran que el Desarrollador identifique al Sujeto de Datos y (b) el Desarrollador proporcione a DEVAR información suficiente para permitir que DEVAR asocie los Datos Personales del Desarrollador con un Sujeto de Datos.
3.5. En relación con la ejecución del Acuerdo, las Cláusulas Contractuales Estándar que se adjuntan a este Anexo como Anexo 1 se aplicarán a los Datos Personales del Desarrollador que se transfieren fuera del Espacio Económico Europeo («EEE»), ya sea directamente o mediante transferencia ulterior, a cualquier país no reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de datos personales (como se describe en el GDPR). Las Cláusulas Contractuales Tipo dejarán de aplicarse si DEVAR ha implementado un mecanismo de cumplimiento alternativo reconocido para la transferencia legal de datos personales fuera del EEE de conformidad con el artículo 46 del GDPR, como la certificación del marco Privacy Shield.
4. CONFIDENCIALIDAD
4.1. DEVAR se asegurará de que cualquier persona a quien DEVAR autorice a Procesar Datos Personales del Desarrollador en su nombre esté sujeta a obligaciones de confidencialidad con respecto a esos Datos Personales del Desarrollador.
5. MEDIDAS DE SEGURIDAD
5.1. DEVAR implementará medidas técnicas y organizativas apropiadas para proteger contra la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales del Desarrollador (descritos en el Apéndice 2 de las Cláusulas Contractuales Estándar).
5.2. DEVAR, a petición del Desarrollador y sujeto a que el Desarrollador pague todos los honorarios de DEVAR a las tarifas vigentes, y todos los gastos, proporcionará al Desarrollador la asistencia razonable que sea necesaria para el cumplimiento de la obligación del Desarrollador de mantener seguros los Datos Personales del Desarrollador.
6. SUBPROCESAMIENTO
6.1. El Desarrollador autoriza a DEVAR a designar subprocesadores para realizar servicios específicos en nombre de DEVAR que pueden requerir que dichos subprocesadores procesen los Datos Personales del Desarrollador. Para evitar dudas, la autorización anterior constituye el consentimiento previo por escrito del Desarrollador para el subprocesamiento por parte de DEVAR para los fines de la Cláusula 11 de las Cláusulas Contractuales Estándar. DEVAR informará al Desarrollador de cualquier cambio previsto en relación con la adición o sustitución de cualquier sub-Procesador y el Desarrollador tendrá la oportunidad de oponerse a tales cambios por motivos razonables dentro de los quince (15) días hábiles siguientes a ser notificado.
6.2. DEVAR celebrará un acuerdo vinculante por escrito con el sub-procesador que impone al sub-procesador las mismas obligaciones que se aplican a DEVAR en virtud del presente Addendum. Cuando cualquiera de sus sub-Procesadores no cumpla con sus obligaciones de protección de datos, DEVAR será responsable ante el Desarrollador por el cumplimiento de las obligaciones de sus sub-Procesadores.
6.3. No obstante lo anterior, si DEVAR contrata a un proveedor importante como subencargado del tratamiento, como Amazon Web Services, Inc, Microsoft, Inc. o Google, Inc. (un «Súper subprocesador»), el Desarrollador reconoce que DEVAR tendrá derecho a contratar en los términos estándar del Súper subprocesador y, en la medida en que este Addendum imponga obligaciones y responsabilidades que sean inconsistentes con las obligaciones y responsabilidades asumidas por el Súper subprocesador bajo los términos estándar del Súper subprocesador, los términos estándar del Súper subprocesador se aplicarán mutuamente entre DEVAR y el Desarrollador con exclusión de los términos inconsistentes de este Addendum.
7. DERECHOS DEL INTERESADO
7.1. Con sujeción a la Sección 3.4, DEVAR proporcionará al Desarrollador la asistencia necesaria para el cumplimiento de la obligación del Desarrollador de responder a las solicitudes de ejercicio de los derechos de los Titulares de los Datos. El Desarrollador será el único responsable de responder a dichas solicitudes. DEVAR no responderá a dichas solicitudes sin el consentimiento previo por escrito y las instrucciones por escrito del Desarrollador.
8. VIOLACIONES DE DATOS PERSONALES
8.1. DEVAR notificará al Desarrollador sin demoras indebidas después de que tenga conocimiento de cualquier Violación de Datos Personales que afecte cualquier Dato Personal del Desarrollador. A solicitud del Desarrollador y sujeto a la Sección 3.4, DEVAR proporcionará rápidamente al Desarrollador toda la asistencia razonable necesaria para permitir que el Desarrollador notifique las violaciones de seguridad pertinentes a las autoridades competentes de protección de datos y / o a los Sujetos de Datos afectados, si el Desarrollador está obligado a hacerlo en virtud del GDPR. El Desarrollador es el único responsable de cumplir con los requisitos de notificación de incidentes de datos aplicables al Desarrollador y de cumplir con cualquier obligación de notificación a terceros relacionada con cualquier incidente de datos.
9. EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS; CONSULTA PREVIA
9.1. Sujeto a la Sección 3.4, DEVAR, a solicitud del Desarrollador, proporcionará al Desarrollador asistencia razonable para facilitar la realización de evaluaciones de impacto de protección de datos y la consulta con las autoridades de protección de datos, si el Desarrollador debe participar en tales actividades en virtud del GDPR, y únicamente en la medida en que dicha asistencia sea necesaria y se relacione con el Procesamiento por parte de DEVAR de los Datos Personales del Desarrollador, teniendo en cuenta la naturaleza del Procesamiento y la información disponible para DEVAR.
10. DEVOLUCIÓN O ELIMINACIÓN DE DATOS PERSONALES DEL DESARROLLADOR
10.1. DEVAR devolverá o eliminará, a elección del Desarrollador, los Datos Personales del Desarrollador al Desarrollador después de la finalización de la prestación de los Servicios relacionados con el Procesamiento, y eliminará las copias existentes a menos que la ley aplicable de la Unión Europea o del estado miembro requiera el almacenamiento de los datos. Sin perjuicio de lo anterior, DEVAR podrá conservar los datos anonimizados en virtud del Acuerdo.
11. INFORMACIÓN
11.1 DEVAR a solicitud del Desarrollador y siempre que el Desarrollador acepte las obligaciones de no divulgación aceptables para DEVAR y pague todas las tarifas de DEVAR a las tarifas vigentes, así como todos los gastos, proporcionará al Desarrollador toda la información necesaria para que el Desarrollador demuestre el cumplimiento de sus obligaciones bajo DEVAR y permita auditorías, incluidas las inspecciones realizadas por el Desarrollador o por el auditor en nombre del Desarrollador (siempre que dicho auditor acepte las obligaciones bajo las obligaciones de confidencialidad de DEVAR). En aras de la claridad, toda la información proporcionada o recibida por un Desarrollador de conformidad con esta Sección 11.1 se considerará confidencial por DEVAR. DEVAR notificará DEVAR inmediatamente si cree que la instrucción de un Desarrollador está en violación de la ley de protección de datos, y siempre que tales inspecciones deben llevarse a cabo con al menos seis semanas de antelación por escrito dentro de la jornada laboral normal en una fecha y hora de mutuo acuerdo, no más de una vez al año. En aras de la claridad, toda la información proporcionada o recibida por un desarrollador en virtud de esta Sección 11.1 se considerará confidencial por DEVAR. DEVAR notificará a DEVAR inmediatamente si cree que la instrucción de un Desarrollador está en violación de la legislación de protección de datos. y siempre que tales inspecciones se llevarán a cabo con al menos seis semanas de antelación por escrito dentro de la jornada laboral normal en una fecha y hora mutuamente acordadas, no más de una vez al año. En aras de la claridad, toda la información proporcionada o recibida por un Desarrollador de conformidad con esta Sección 11.1 se considerará confidencial para DEVAR. DEVAR notificará a DEVAR inmediatamente si cree que la instrucción del Desarrollador viola la legislación de protección de datos. 1 se considerará información confidencial de DEVAR. DEVAR informará al desarrollador inmediatamente si cree que las instrucciones del desarrollador violan la legislación de protección de datos. 1 se considerará información confidencial de DEVAR. DEVAR informará al desarrollador inmediatamente si cree que las instrucciones del desarrollador están en violación de la legislación de protección de datos.
12. RESPONSABILIDAD
12.1. La responsabilidad de cada parte hacia la otra parte en virtud o en relación con este Addendum se limitará de conformidad con las disposiciones del Acuerdo.
12.2. El Desarrollador reconoce que DEVAR depende del Desarrollador para la dirección en cuanto a la medida en que DEVAR tiene derecho a Procesar los Datos Personales del Desarrollador en nombre del Desarrollador en el desempeño de los Servicios. En consecuencia, DEVAR no será responsable en virtud del Acuerdo por cualquier reclamo presentado por un Sujeto de Datos que surja de cualquier acción u omisión de DEVAR que resulte de las instrucciones del Desarrollador o del incumplimiento por parte del Desarrollador de sus obligaciones en virtud de la ley de protección de datos aplicable.
13. DISPOSICIONES GENERALES
13.1. En relación con el objeto de la presente Adenda, en caso de contradicciones entre las disposiciones de la misma y el Contrato, prevalecerán las disposiciones de la presente Adenda.
ANEXO 1
Decisión de la Comisión C (2010)593
Cláusulas Contractuales Tipo (transformadores)
A efectos de lo dispuesto en el artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos
Nombre de la organización exportadora de datos: la entidad identificada como Promotor en la Adenda (el exportador de datos)
Y
Nombre de la organización importadora de datos: DEVAR (el importador de datos)
cada una de las «partes»; conjuntamente «las partes»,
HAN CONVENIDO en las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de establecer garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas físicas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.
Artículo 1
Definiciones
A efectos de las Cláusulas
(a) «datos personales», «categorías especiales de datos», «proceso/tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
(b) «el exportador de datos»: el responsable del tratamiento que transfiere los datos personales
(c) «importador de datos»: el encargado del tratamiento que acepta recibir del exportador de datos los datos personales destinados a ser tratados en su nombre tras la transferencia, de conformidad con sus instrucciones y con los términos de las cláusulas, y que no está sujeto al sistema de un tercer país que garantice una protección adecuada en el sentido del apartado 1 del artículo 25 de la Directiva 95/46/CE;
(d) «el subencargado del tratamiento»: cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento del importador de datos datos datos personales destinados exclusivamente a actividades de tratamiento que deban llevarse a cabo por cuenta del exportador de datos tras la transferencia de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito
(e) «legislación aplicable en materia de protección de datos»: la legislación que protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que está establecido el exportador de datos;
(f) «medidas de seguridad técnicas y organizativas»: las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otra forma ilícita de tratamiento.
Artículo 2
Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales cuando proceda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.
Artículo 3
Cláusula de terceros beneficiarios
1. El interesado podrá hacer valer frente al exportador de datos la presente Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e), y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2), y las Cláusulas 9 a 12 como tercero beneficiario.
2. El interesado podrá hacer valer frente al importador de datos la presente cláusula, la cláusula 5, letras a) a e) y g), la cláusula 6, la cláusula 7, la cláusula 8, apartado 2, y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir jurídicamente, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad.
3. El interesado podrá hacer valer frente al subencargado del tratamiento la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.
4. Las partes no se oponen a que el interesado sea representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.
Artículo 4
Obligaciones del exportador de datos
El exportador de datos acepta y garantiza:
(a) que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades pertinentes del Estado miembro en el que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicho Estado;
(b) que ha dado instrucciones y, mientras duren los servicios de tratamiento de datos personales, dará instrucciones al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y con las Cláusulas;
(c) que el importador de datos proporcionará garantías suficientes respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;
(d) que, tras evaluar los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otra forma ilícita de tratamiento, y que dichas medidas garantizan un nivel de seguridad adecuado a los riesgos que presente el tratamiento y a la naturaleza de los datos que deban protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
(e) que garantizará el cumplimiento de las medidas de seguridad;
(f) que, si la transferencia afecta a categorías especiales de datos, el interesado ha sido informado o será informado antes de la transferencia, o lo antes posible después de la misma, de que sus datos podrían transmitirse a un tercer país que no ofrezca una protección adecuada en el sentido de la Directiva 95/46/CE;
(g) remitir toda notificación recibida del importador de datos o de cualquier subencargado del tratamiento con arreglo a la cláusula 5, letra b), y a la cláusula 8, apartado 3, a la autoridad de control de la protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión;
(h) poner a disposición de los interesados que lo soliciten una copia de las cláusulas, con excepción del apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba celebrarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial;
(i) que, en caso de subtratamiento, la actividad de tratamiento se lleva a cabo de conformidad con la Cláusula 11 por un subencargado del tratamiento que ofrece al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos en virtud de las Cláusulas; y
(j) que garantizará el cumplimiento de la Cláusula 4(a) a (i).
Artículo 5
Obligaciones del importador de datos
El importador de datos acepta y garantiza:
(a) a tratar los datos personales únicamente en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar tal cumplimiento por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;
(b) que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las cláusulas, notificará sin demora el cambio al exportador de datos tan pronto como tenga conocimiento del mismo, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato;
(c) que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;
(d) que notificará sin demora al exportador de datos sobre:
(i) cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario, como una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial,
(ii) cualquier acceso accidental o no autorizado, y
(iii) cualquier solicitud recibida directamente de los interesados, sin responder a dicha solicitud, a menos que se le haya autorizado a hacerlo de otro modo;
(e) atender rápida y adecuadamente todas las consultas del exportador de datos relativas a su tratamiento de los datos personales objeto de la transferencia y acatar el dictamen de la autoridad de control en relación con el tratamiento de los datos transferidos;
(f) a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento contempladas en las cláusulas, que será realizada por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, sujetos a un deber de confidencialidad, seleccionados por el exportador de datos, en su caso, de acuerdo con la autoridad de control
(g) poner a disposición del interesado que lo solicite una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial, con excepción del apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;
(h) que, en caso de subtratamiento, ha informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;
(i) que los servicios de tratamiento prestados por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;
(j) enviar sin demora al exportador de datos una copia de cualquier acuerdo de subencargado del tratamiento que celebre en virtud de las Cláusulas.
Artículo 6
Responsabilidad
1. Las partes acuerdan que todo interesado que haya sufrido daños y perjuicios como consecuencia de cualquier incumplimiento de las obligaciones contempladas en la cláusula 3 o en la cláusula 11 por cualquiera de las partes o subencargados del tratamiento tiene derecho a recibir una indemnización del exportador de datos por los daños sufridos.
2. Si un interesado no puede presentar una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada del incumplimiento por el importador de datos o su subencargado del tratamiento de cualquiera de sus obligaciones a que se hace referencia en la cláusula 3 o en la cláusula 11, debido a que el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha declarado insolvente, el importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad.
El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades.
3. Si el interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada del incumplimiento por el subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, porque tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir jurídicamente o se han declarado insolventes, el subencargado del tratamiento acepta que el interesado pueda presentar una reclamación contra el subencargado del tratamiento en relación con sus propias operaciones de tratamiento con arreglo a las cláusulas como si fuera el exportador de datos o el importador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las cláusulas.lauses.
Artículo 7
Mediación y jurisdicción
1. El importador de datos acuerda que si el interesado invoca contra él sus derechos de tercero beneficiario y/o reclama una indemnización por daños y perjuicios con arreglo a las Cláusulas, el importador de datos aceptará la decisión del interesado de
(a) remitir el litigio a mediación, por una persona independiente o, en su caso, por la autoridad de control;
(b) someter el litigio a los tribunales del Estado miembro en el que esté establecido el exportador de datos.
2. Las partes acuerdan que la elección realizada por el interesado no menoscabará sus derechos sustantivos o procesales a interponer recursos de conformidad con otras disposiciones del Derecho nacional o internacional.
Artículo 8
Cooperación con las autoridades de control
1. El exportador de datos se compromete a depositar una copia del presente contrato ante la autoridad de control si así lo solicita o si dicho depósito es exigido en virtud de la legislación aplicable en materia de protección de datos.
2. Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos, y de cualquier subencargado del tratamiento, que tendrá el mismo alcance y estará sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación aplicable en materia de protección de datos.
3. El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, o de cualquier subencargado del tratamiento, con arreglo al apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la letra (b) de la cláusula 5.
Artículo 9
Ley aplicable
Las cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
Artículo 10
Variación del contrato
Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan las Cláusulas.
Artículo 11
Subprocesamiento
1. El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo escrito con el subencargado del tratamiento que imponga al subencargado las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Si el subencargado del tratamiento incumple sus obligaciones en materia de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento también establecerá una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda presentar la reclamación de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de facto o hayan dejado de existir jurídicamente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las Cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en que esté establecido el exportador de datos.
4. El exportador de datos mantendrá una lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.
Artículo 12
Obligación tras la finalización de los servicios de tratamiento de datos personales
1. Las partes acuerdan que, una vez finalizada la prestación de servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento devolverán al exportador de datos, a elección de éste, todos los datos personales transferidos y las copias de los mismos, o destruirán todos los datos personales y certificarán al exportador de datos que así lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir total o parcialmente los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que no volverá a tratar activamente los datos personales transferidos.
2. El importador de datos y el subencargado del tratamiento garantizan que, a petición del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas mencionadas en el apartado 1.
APÉNDICE 1 A LAS CLÁUSULAS CONTRACTUALES TIPO
Este Apéndice forma parte de las Cláusulas y debe ser cumplimentado y firmado por las partes.
Exportador de datos. El exportador de datos es la entidad identificada como «Promotor» en el Anexo.
Importador de datos. El importador de datos es la entidad identificada como «DEVAR» en la Adenda.
Titulares de los datos. Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquese):
Los interesados se definen en la sección 2.1 de la Adenda.
Categorías de datos. Los datos personales transferidos se refieren a las siguientes categorías de datos (especifique):
Las categorías de datos personales se definen en la Sección 2.2 de la Adenda.
Categorías especiales de datos (si procede). Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifíquese):
No procede.
Operaciones de tratamiento. Los datos personales transferidos serán objeto de las siguientes actividades básicas de tratamiento (especifíquese):
Las actividades de tratamiento definidas en la sección 2 del apéndice y en el Acuerdo.
APÉNDICE 2 A LAS CLÁUSULAS CONTRACTUALES TIPO
Este Apéndice forma parte de las Cláusulas y debe ser cumplimentado y firmado por las partes.
Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o documento/legislación adjunta):
Las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos se describen en https://mywebar.com/es/documents/tom.