Anexo de Protección de Datos – (DPA)
Esbozo
Este Anexo de Procesamiento de Datos (este “DPA”) se incorpora y forma parte de los Términos de Servicio de Edgio (el “Acuerdo”) entre Edgio, Inc., sus filiales y subsidiarias (en conjunto, “Edgio”) y el Cliente. Si alguna disposición de este DPA entra en conflicto con cualquier disposición del Acuerdo, entonces las disposiciones aplicables de este DPA controlan.
1. Definiciones.
Los siguientes términos se utilizan en este DPA y tendrán los significados establecidos en el presente documento. Los términos en mayúsculas utilizados en este DPA y no definidos en el presente tendrán el significado establecido en el Acuerdo.
1,1 “País adecuado” significa un país o territorio que está reconocido por las Leyes de Protección de Datos de la UE o por la autoridad competente pertinente del Reino Unido (“Reino Unido”) como que proporciona un nivel adecuado de protección de los Datos Personales.
1,2 “Leyes de protección de datos aplicables” significa (i) las leyes y reglamentos del EEE y sus estados miembros, aplicables al procesamiento de Datos personales en virtud de este DPA, incluidas las leyes de protección de datos de la UE; (ii) la Ley de Protección al Consumidor de California (“CCPA”) y la Ley de Derechos de Privacidad de California (“CPRA”); y (iii) todas las leyes que implementen o complementen lo anterior y cualquier otra ley aplicable de protección de datos o privacidad.
1,3 “Datos Personales del Cliente” se refiere a todos y cada uno de los Datos Personales que pertenecen a los Consumidores (los “Usuarios Finales” del Cliente) y que son procesados por Edgio o sus subprocesadores en nombre del Cliente en el desempeño de los Servicios y otras obligaciones de Edgio en virtud del Acuerdo.
1,4 Por «EEE» se entiende el Espacio Económico Europeo, que incluye a los Estados miembros de la Unión Europea, así como a Noruega, Islandia y Liechtenstein.
1,5 «Leyes de protección de la UE» significa (i) el RGPD; ii) la Directiva de la UE sobre privacidad electrónica (Directiva 2002/58/CE), en su versión modificada, y cualquier legislación que sustituya a la presente Directiva modificada; (iii) cualquier ley nacional de protección de datos hecha en virtud de, en virtud de, que reemplace o suceda a lo anterior, y (iv) Cuando sea aplicable, debe leerse como incluyendo las leyes de protección de datos del Reino Unido.
1,6 “GDPR” significa el Reglamento General de Protección de Datos de la UE (Reglamento 2016/679).
1,7 “Cláusulas contractuales estándar” en relación con el procesamiento de datos personales de conformidad con este medio DPA (A) las cláusulas estándar para la transferencia de Datos Personales de los Responsables del Tratamiento a los Encargados establecidos en terceros países aprobadas por la Comisión Europea de vez en cuando, cuya versión actual aprobada es la establecida en la Decisión 2021/914 de la Comisión Europea de 4 de junio de 2021, disponible en: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN, y expuesta en el Anexo 2 (las “Cláusulas Contractuales Estándar de la UE”); y B) La adición del Reino Unido a las Cláusulas Contractuales Uniformes de la UE, que figura en la Prueba 3 (la “Adición del Reino Unido”).
1,8 “Leyes de protección de datos del Reino Unido” significa toda la ley aplicable en relación con la protección de datos, el procesamiento de datos personales, la privacidad y / o las comunicaciones electrónicas vigentes de vez en cuando en el Reino Unido, incluyendo el RGPD del Reino Unido y la Ley de protección de datos de 2018.
1,9 “RGPD del Reino Unido” significa el Reglamento General de Protección de Datos del Reino Unido, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018.
1,10 “Datos personales” significa cualquier información que constituya “datos personales” o “información personal” en el sentido de las leyes de protección de datos aplicables a las que Edgio pueda acceder al realizar los Servicios en virtud del Acuerdo de servicios.
1,11 “Procesamiento”, “Procesamiento”, “Sujeto de datos”, “Controlador”, “Empresa”, “Procesador”, “Proveedor de servicios”, “Categorías especiales de datos personales” tienen los significados que les dan las leyes de protección de datos aplicables, en la medida en que tales conceptos existan en dichas leyes.
2. Tratamiento de datos
2,1 Alcance y funciones. En consideración de las obligaciones mutuas establecidas en el presente documento, este DPA se aplicará en la medida en que Edgio procese los Datos Personales del Cliente sujetos a las Leyes de Protección de Datos aplicables en relación con los Servicios de conformidad con el Acuerdo. En este contexto, el Cliente y Edgio reconocen y aceptan que: (A) Edgio es un Procesador y el Cliente es el Controlador bajo las leyes de protección de datos aplicables; y (B) Edgio actúa como un mero conducto de los Datos Personales que el Cliente o sus Usuarios Finales coloquen en los Servicios. Edgio y el Cliente cumplirán con las leyes de protección de datos aplicables para el procesamiento de datos personales sujeto a las leyes de protección de datos aplicables.
2,2 Instrucciones de procesamiento.
(A) Instrucciones al cliente. Edgio procesará los Datos Personales del Cliente como un medio para proporcionar los Servicios y de acuerdo con las instrucciones documentadas del Cliente establecidas en este DPA, o según lo acordado mutuamente entre las partes por escrito. Si Edgio está obligado por las Leyes de Protección de Datos aplicables a procesar los Datos Personales del Cliente de otra manera que no sea según lo indicado por el Cliente, notificará al Cliente antes de que se produzca dicho procesamiento, a menos que la ley lo prohíba.
(i) El propósito del procesamiento de los Datos Personales del Cliente bajo este DPA es la prestación de los Servicios iniciados por el Cliente de vez en cuando de conformidad con el Acuerdo, que incluye el procesamiento de facturación y pagos, la comunicación con los Usuarios Finales del Cliente y/o subprocesadores sobre los Servicios, el mantenimiento y/o la actualización de los Servicios y/o permitir que los subprocesadores lleven a cabo la prestación técnica, logística o Edgio de otros Servicios.
(ii) Edgio certifica que no lo hará (A) “Vender” (según se define en la CCPA) o “Compartir” (según se define en la CPRA) Datos Personales del Cliente; (B) conservar, utilizar o divulgar los Datos Personales del Cliente para cualquier propósito que no sea el propósito específico de proporcionar los Servicios en virtud del Acuerdo de Servicios, incluyendo la retención, el uso o la divulgación de Datos Personales del Cliente para un propósito comercial distinto de la prestación de los Servicios; o (c) retener, utilizar o divulgar Datos Personales del Cliente a cualquier persona que no sea necesario para proporcionar los Servicios o fuera de la relación comercial directa entre las partes.
(iii) El Cliente declara y garantiza que: (1) sus instrucciones de procesamiento cumplen con todas las Leyes de Protección de Datos aplicables; y (2) ha obtenido y mantiene todos los avisos, consentimientos y permisos legalmente requeridos para el procesamiento y la transferencia de todos los Datos Personales. El Cliente reconoce que, teniendo en cuenta la naturaleza del procesamiento, Edgio no está en condiciones de determinar si las instrucciones del Cliente infringen las leyes de protección de datos aplicables.
B) Confidencialidad. Edgio impone obligaciones contractuales apropiadas a su personal y a terceros que tienen acceso a los Datos Personales, para garantizar que dicho personal y terceros estén vinculados por, y sean conscientes de, sus obligaciones de confidencialidad con respecto a dichos Datos Personales.
c) Medidas de seguridad de Edgio. Edgio ha implementado y mantiene medidas técnicas y organizativas, establecidas en el Anexo 1 Parte C, diseñadas para proteger los Datos Personales contra la destrucción accidental o ilícita; o la pérdida accidental, alteración, divulgación o acceso no autorizados, y contra otras formas ilegales de procesamiento. Edgio podrá actualizar o modificar dichas medidas técnicas y organizativas de vez en cuando, siempre que dichas actualizaciones o modificaciones no resulten en la degradación de la seguridad general de los Servicios. El Cliente reconoce y acepta que (teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento de Datos Personales, así como los riesgos para los Usuarios Finales) las medidas técnicas y organizativas implementadas y mantenidas por Edgio según lo establecido en esta Sección 2,2(c) (Medidas de Seguridad de Edgio) proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales. Al utilizar los Servicios, el Cliente reconoce que no debe configurar su uso de los Servicios para almacenar en caché o almacenar datos personales en los servidores perimetrales de Edgio.
(D) Obligaciones de Seguridad del Cliente. El Cliente acepta que, sin perjuicio de las obligaciones de Edgio en virtud de la Sección 2,2(c) (Medidas de Seguridad de Edgio) y la Sección 6 (Notificación de violación de datos), el Cliente es el único responsable de su uso de los Servicios, incluyendo: (1) hacer un uso adecuado de los Servicios de Cuenta para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales, por ejemplo, elegir y emplear cifrado; e incluir las credenciales de terceros.
E) Categorías especiales de datos. El Cliente no podrá, ni permitirá a sus Usuarios Finales, directa o indirectamente, transmitir o proporcionar a Edgio, de ninguna manera, ningún dato personal que revele o contenga cualquiera de los siguientes: Origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliaciones sindicales, datos genéticos, datos biométricos con el fin de identificar de forma única a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física o relacionados con condenas o delitos penales de una persona física.
3. Derechos del sujeto de datos
3,1 Teniendo en cuenta la naturaleza de los Servicios y el procesamiento, el Cliente reconoce que Edgio pone a disposición del Cliente ciertos controles, características y funcionalidades como parte de los Servicios, que el Cliente puede elegir utilizar en relación con sus obligaciones en virtud de las leyes de protección de datos aplicables en relación con las solicitudes de los interesados, incluidas las solicitudes de devolución o eliminación.
3,2 El Cliente es responsable de configurar correctamente los Servicios para que: (A) los Datos Personales se recopilan, transfieren y utilizan únicamente en la medida necesaria para que el Cliente reciba los Servicios; (B) los Datos Personales se conservan durante el período más corto requerido para que el Cliente reciba los Servicios; y (c) El Cliente utiliza una API o una tecnología similar para configurar una solicitud de archivo de registro en caso de que el Cliente desee conservar los Datos Personales durante un período más largo que el retenido por los Servicios.
3,3 En la medida en que los controles, características y/o funcionalidades de los Servicios no incluyan la opción de que el Cliente elimine Datos Personales, Edgio cumplirá con la solicitud razonable del Cliente para facilitar dicha eliminación, siempre que Edgio determine que esto es factible, teniendo en cuenta la naturaleza de los Servicios y el procesamiento y las prácticas de retención de datos de Edgio, y a menos que las leyes de protección de datos aplicables requieran que Edgio retenga los Datos Personales. Edgio puede cobrar una tarifa (basada en los costos razonables de Edgio) por cualquier eliminación de datos en virtud de esta Sección 3,3. Edgio proporcionará al Cliente los detalles de cualquier tarifa aplicable antes de cualquier eliminación de dichos datos. El Cliente reconoce su obligación de purgar los Datos Personales de su Cuenta al finalizar el Acuerdo, y cualquier Datos Personales no purgados por el Cliente se eliminará de los sistemas de Edgio en el curso ordinario de sus procesos comerciales.
4. Subprocesamiento
4,1 El Cliente concede una autorización general: (A) a Edgio para nombrar a los Afiliados de Edgio como subprocesadores; y (B) a Edgio y a los Afiliados de Edgio para nombrar proveedores de servicios de terceros, incluidos, entre otros, proveedores de marketing, negocios, ingeniería o atención al cliente, como subprocesadores, únicamente según sea necesario para apoyar la prestación de los Servicios.
4,2 El Cliente reconoce y acepta que Edgio mantiene una lista de sus subprocesadores a través de la siguiente URL: https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“Sitios de subprocesadores”). Al menos treinta (30) días antes de que Edgio permita que un nuevo subprocesador comience a procesar Datos Personales del Cliente, Edgio notificará al Cliente de dicho nuevo subprocesador agregando dicho nuevo subprocesador al Sitio del Subprocesador (“Servicio de Notificación”).
4,3 Si el Cliente tiene una objeción razonable al uso por parte de Edgio de un nuevo subprocesador según se le notifica a través del Servicio de Notificación, el Cliente notificará a Edgio de cualquier objeción por escrito dentro de los diez (10) días hábiles siguientes a la recepción de la información a través del Servicio de Notificación. En el caso de que el Cliente presente una objeción razonable a un nuevo subprocesador, Edgio acepta entablar conversaciones de buena fe con el Cliente para abordar la objeción del Cliente. Si el Cliente no proporciona una objeción oportuna a cualquier subprocesador nuevo o de reemplazo de acuerdo con esta Sección 4,3, se considerará que el Cliente ha dado su consentimiento a dicho subprocesador y renunció a su derecho a oponerse a dicho subprocesador. Edgio puede utilizar un nuevo subprocesador mientras el procedimiento de objeción establecido en esta Sección 4,3 está en proceso.
4,4 Cuando Edgio contrate subprocesadores de acuerdo con la Sección 4,1, lo hará mediante un acuerdo escrito con el subprocesador (“Sub-contrato de procesamiento”) que impone obligaciones sustancialmente equivalentes al subprocesador que se imponen a Edgio en virtud de este DPA. Edgio seguirá siendo responsable ante el Cliente por el cumplimiento de las obligaciones de los subprocesadores bajo los términos del Subcontrato de Procesamiento.
5. Transferencias de datos
5,1 En la medida en que el procesamiento de Datos Personales del Cliente por parte de Edgio tenga lugar en un lugar fuera de un país adecuado, las partes acuerdan que las Cláusulas Contractuales Estándar aplicables adjuntas a este DPA en el Anexo 2 (Cláusulas Contractuales Estándar de la UE) y el Anexo 3 (Anexo del Reino Unido) se aplicarán con respecto a la transferencia de dichos Datos Personales del Cliente desde el EEE, Suiza o el Reino Unido a Edgio. Edgio, como Encargado del Tratamiento, cumplirá con las obligaciones del ‘importador de datos’ en las Cláusulas Contractuales Estándar y el Cliente, como Responsable del Tratamiento, cumplirá con las obligaciones del ‘exportador de datos’.
5,2 Los siguientes términos se aplicarán a las Cláusulas Contractuales Uniformes establecidas en el Anexo 2 y previstas en el Anexo 3:
(A) El Cliente puede ejercer su derecho de auditoría bajo la Cláusula 8,9(c) de las Cláusulas Contractuales Estándar tal como se establece en, y sujeto a los requisitos de la Sección 7 (Auditoría) de este DPA.
(B) Edgio puede designar subprocesadores según lo establecido en, y sujeto a los requisitos de, la Sección 4 (Subprocesamiento) de este DPA.
5,3 Sin perjuicio de cualquier disposición en contrario en esta Sección 5, las Cláusulas Contractuales Estándar no se aplicarán en la medida en que el Cliente haya adoptado una norma de cumplimiento alternativa reconocida para la transferencia legal de Datos Personales del Cliente fuera de un país adecuado.
6. Notificación de violación de datos
6,1 Edgio notificará al Cliente sin demora indebida al darse cuenta de que se ha producido un evento de seguridad real, en la medida en que Edgio determine, a su entera discreción, que dicho evento de seguridad compromete la seguridad y/o confidencialidad de los Datos Personales del Cliente (una “Violación de Datos”). En el caso de que Edgio sufra una violación de datos, previa notificación al Cliente, las partes cooperarán de buena fe para acordar y tomar las medidas que sean necesarias para mitigar o remediar los efectos de la violación de datos. La notificación de Edgio o la respuesta a una Violación de Datos en virtud de esta Sección 6 (Notificación de Violación de Datos) no se interpretará como un reconocimiento por parte de Edgio de cualquier falta o responsabilidad con respecto a la Violación de Datos.
6,2 En el caso de una violación de datos, el Cliente tiene plena autoridad y responsabilidad para determinar si debe notificar a las personas afectadas y a otras partes según lo exija la ley aplicable, y la forma y el momento de la notificación.
7. Auditoría
7,1 El Cliente acepta que su derecho de auditoría en virtud de las Leyes Europeas de Protección de Datos en relación con los Datos Personales del Cliente se ejerce primero a través de una solicitud que Edgio proporciona: (A) al Cliente una copia resumida de los informes de auditoría de Edgio relacionados con las medidas técnicas y organizativas de Edgio a las que se hace referencia en la Sección 2,2(c) (Medidas de Seguridad de Edgio), cuyos informes estarán sujetos a las disposiciones de confidencialidad del Acuerdo, y cuyos informes deberán demostrar que las medidas técnicas y organizativas de Edgio son suficientes y de acuerdo con una norma de auditoría de la industria aceptada; y (B) información adicional en posesión o control de Edgio a una autoridad de control pertinente cuando solicite o requiera información adicional en relación con el procesamiento de Datos Personales llevado a cabo por Edgio bajo este DPA.
7,2 Después de que el Cliente haya recibido el informe de auditoría de conformidad con la Sección 7,1, y sujeto a los términos de la Sección 7,3, el Cliente o un auditor externo independiente encargado por el Cliente puede llevar a cabo una inspección razonable del entorno de procesamiento de Edgio que sea relevante para el procesamiento de los Datos Personales del Cliente para verificar el cumplimiento de Edgio con sus obligaciones bajo este DPA.
7,3 En el caso de una auditoría de conformidad con la sección 7,2 anterior,
(A) Edgio, de conformidad con las leyes europeas de protección de datos, pondrá a disposición del Cliente dicha información en posesión o control de Edgio que el Cliente pueda razonablemente solicitar, para demostrar el cumplimiento de Edgio con sus obligaciones bajo este DPA. El Cliente no ejercerá sus derechos de auditoría más de una vez en un período de doce (12) meses calendario. La auditoría se limitará a días hábiles (durante el horario laboral normal y excluyendo los días festivos federales de los Estados Unidos) y el alcance razonablemente acordado por las partes con antelación. El Cliente debe notificar a Edgio de una auditoría con al menos treinta (30) días de antelación y tomar todas las medidas razonables para evitar interrupciones innecesarias en las operaciones de Edgio. El Cliente asumirá todos los costes y gastos relacionados con dicha auditoría.
(B) Edgio podrá oponerse a cualquier auditor tercero designado por el Cliente para llevar a cabo cualquier auditoría conforme a la Sección 7,2 si el auditor, en opinión razonable de Edgio, no está debidamente calificado o independiente, es un competidor de Edgio o es manifiestamente inadecuado. Cualquier objeción de Edgio requerirá que el Cliente designe a otro auditor o realice la auditoría por sí mismo.
(c) Nada en este DPA requerirá que Edgio divulgue al Cliente o a su auditor externo, o que permita al Cliente o a su auditor externo acceder a:
(i) cualquier dato de cualquier otro cliente de Edgio o un afiliado de Edgio;
(ii) cualquier información contable o financiera interna de Edgio o Edgio Affiliate;
(iii) cualquier secreto comercial de Edgio o un Afiliado de Edgio;
(iv) cualquier información que, en opinión razonable de Edgio, pueda (1) comprometer la seguridad de los sistemas o instalaciones de Edgio o de los afiliados de Edgio; o (2) hacer que Edgio o cualquier afiliado de Edgio incumpla sus obligaciones en virtud de las Leyes de Protección de Datos aplicables o sus obligaciones de seguridad y / o privacidad con el Cliente o cualquier tercero; o
(v) Cualquier información a la que el Cliente o su auditor externo pretenda acceder por cualquier motivo que no sea el cumplimiento de buena fe de las obligaciones del Cliente en virtud de las Leyes de Protección de Datos aplicables.
(D) El Cliente indemnizará, defenderá y eximirá de responsabilidad a Edgio de todos los costos y reclamaciones planteadas por un tercero, ya sean reales o supuestamente, que surjan de o en conexión con la divulgación de Datos Personales al Cliente como resultado de dicha auditoría. Teniendo en cuenta la naturaleza de los Servicios y el procesamiento, el Cliente reconoce que Edgio no está en condiciones de identificar a las personas en función de la información del usuario final requerida del Cliente para que Edgio proporcione los Servicios (por ejemplo, y la dirección IP del usuario final).
8. Disposiciones generales
8,1 Terceros beneficiarios. Sin perjuicio de los derechos otorgados en virtud de las Cláusulas Contractuales Estándar, este DPA no confiere ningún derecho de terceros beneficiarios.
8,2 No divulgación. El Cliente acepta que los detalles de este DPA no son públicamente conocidos y constituyen Información Confidencial de Edgio tal como se define ese término en el Acuerdo.
8,3 Supervivencia. Este DPA permanecerá en pleno vigor y efecto durante el plazo aplicable del Acuerdo, y, a pesar de cualquier disposición en contrario en el presente, sobrevivirá la terminación o expiración del Acuerdo. Tras la terminación o expiración del Acuerdo, Edgio podrá continuar procesando los Datos Personales del Cliente siempre que dicho procesamiento cumpla con los requisitos de este DPA y las leyes de protección de datos aplicables.
8,4 Acuerdo completo, conflicto. Este DPA reemplaza y reemplaza todas las representaciones, entendimientos, acuerdos o comunicaciones anteriores o contemporáneas entre Edgio y el Cliente, ya sean escritas o verbales, en relación con el procesamiento de los Datos Personales del Cliente. Excepto en los casos enmendados en este DPA, el Acuerdo permanecerá en pleno vigor y efecto. En caso de cualquier conflicto entre los términos de este DPA y el Acuerdo, los términos de este DPA prevalecerán en la medida en que el tema se refiera al procesamiento de los Datos Personales del Cliente.
8,5 Enmienda, Exención. Esta DPA solo podrá ser modificada por escrito y firmada por ambas partes. Ningún fallo o retraso por parte de una parte para ejercer o hacer cumplir cualquier derecho en este documento operará como una renuncia a cualquier derecho.
PART A
Partes en el Contralor al Procesador Cláusulas Contractuales Estándar
Exportador de datos:
Nombre: Según la orden de servicio.
Dirección: Según la orden de servicio.
Nombre, posición y datos de contacto de la persona de contacto: Según la orden de servicio.
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: Consulte las actividades descritas a continuación para el Importador de datos.
Función: Contralor
Importador de datos:
Nombre: Edgio, Inc.
Dirección: 11811 N. Tatum Blvd., Suite 3031, Phoenix, AZ 85028
Nombre, cargo y datos de contacto de la persona de contacto: Rich Diegnan, DPO, rdiegnan@edg.io
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: Edgio Inc. Proporciona servicios de red de distribución de contenidos, transmisión de vídeo y servicios de seguridad relacionados a clientes de medios digitales a través de una serie de puntos de presencia en todo el mundo.
Función: Procesador
PART B
Asunto
Procesamiento realizado en relación con la prestación de los Servicios, que incluyen la aceleración del sitio web, WAF, descarga de software a través de la red Edgio, y el servicio de bot avanzado.
Duration
Desde la Fecha de Vigencia hasta la terminación del Acuerdo.
Categorías de sujetos de datos cuyos datos personales se transfieren.
Usuarios finales del Cliente, Empleados de Negocios del Cliente
Naturaleza del tratamiento
Desde la Fecha de Vigencia hasta la terminación del Acuerdo.
Categorías de datos personales transferidos:
Categoría
Datos
Seleccione según corresponda
Datos Personales de los Usuarios Finales en Contenido del Cliente y Datos Personales en Datos Registrados
Los Datos Personales en el Contenido del Cliente, si los hay, son elegidos por el Cliente. Con respecto a dichos datos, el procesamiento, en su caso, de dichos datos se limita al papel de Edgio como conducto para dichos datos. Con el fin de proporcionar los Servicios, Edgio puede procesar y retener ciertos datos registrados, lo que implica el almacenamiento a corto plazo de las direcciones IP de los usuarios finales del Exportador de Datos.
X
Datos sensibles tratados (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados, tales como, por ejemplo, limitación estricta de la finalidad, restricciones de acceso (incluido el acceso solo para el personal que ha seguido formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales. |
Categoría especial
Datos
Ninguna
Nature of the processing
Edgio procesa los Datos Personales del Cliente para proporcionar servicios de entrega de contenido y seguridad como un conducto de Datos Personales del Cliente que el Cliente o sus Usuarios Finales colocan en el Servicio. Edgio procesa los datos registrados con el fin de proporcionar los Servicios. Los datos registrados se transfieren a los EE.UU. Para fines de facturación, etc. y se almacenan a corto plazo.
Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua)
La transferencia se llevará a cabo de forma continua.
El período durante el cual se conservarán los datos personales o, si ello no es posible, los criterios utilizados para determinar dicho período
El propósito de la transferencia de datos y el procesamiento posterior es permitir a Edgio proporcionar los Servicios en virtud del Acuerdo, en la medida necesaria.
El período durante el cual se conservarán los datos personales o, si ello no es posible, los criterios utilizados para determinar dicho período
El propósito de la transferencia de datos y el procesamiento posterior es permitir a Edgio proporcionar los Servicios en virtud del Acuerdo, en la medida necesaria.
Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento
Dependiendo de la configuración de los Servicios del Cliente, los detalles del subprocesador aplicables incluyen los proporcionados en estos enlaces:
https://view.highspot.com/viewer/
616088e19bf7c594a5444f64
Autoridad supervisora competente
Cláusulas contractuales estándar de la UE: La autoridad supervisora responsable de garantizar el cumplimiento del RGPD por parte del exportador de datos en lo que respecta a la transferencia de datos actuará como autoridad supervisora competente.
Anexo del Reino Unido a las Cláusulas Contractuales Uniformes de la UE (cuando corresponda): Cuando el exportador de datos esté establecido en el Reino Unido o esté dentro del ámbito territorial de aplicación de las Leyes y Reglamentos de Protección de Datos del Reino Unido, la Oficina del Comisionado de Información actuará como autoridad supervisora competente.
Parte C
Medidas técnicas y organizativas
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE EDGIO
Política de Seguridad de la Información. Edgio mantiene una política de seguridad de la información formal y documentada, que se basa en varios estándares de seguridad reconocidos de la industria y está alineada con el Marco de Ciberseguridad del NIST y es aplicable a todos los empleados y usuarios autorizados de Edgio Assets.
Equipos de Seguridad de la Información . Edgio mantiene equipos de seguridad de la información para promover y ayudar en la aplicación de la política y prácticas de seguridad de la información de Edgio.
EDGIO CUMPLIMIENTO DE LAS NORMAS
Seguridad del producto. Los Servicios aplicables están diseñados e implementados con controles técnicos, lógicos y físicos que se adaptan a las necesidades de negocio y seguridad de Edgio y sus clientes. Para los servicios empresariales aplicables, Edgio certifica anualmente los controles aplicables al Servicio bajo una o más de las siguientes normas, directrices y prácticas:
PCI (PCI-DSS)
ISO 27001
SSAE-18 SOC 1, 2 o 3
Intercambio de certificados . Donde y cuando esté disponible, Edgio proporcionará un certificado para cada servicio que el Cliente compre, a petición razonable del Cliente.
Protección de certificados Edgio . Los certificados proporcionados a un Cliente se consideran información confidencial.
CONTROLES
Edgio Controls. Edgio protege sus redes utilizando prácticas, procedimientos y herramientas de seguridad reconocidas por la industria adaptadas específicamente al panorama de amenazas y al entorno empresarial de Edgio.
Seguridad de hardware de terceros . Edgio cambia los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.
Sistema regular y pruebas de seguridad. Edgio prueba regularmente los sistemas y procesos utilizados para la seguridad de la red para maximizar la capacidad operativa.
Ciclo de desarrollo de software seguro. Edgio desarrolla y mantiene sistemas diseñados para proteger los Datos Personales del Cliente a través de evaluaciones de riesgos de privacidad y ciberseguridad, y cuando corresponda utiliza la automatización en el ciclo de vida del desarrollo para hacer cumplir los controles, entre otras prácticas.
Gestión de dispositivos móviles . Los dispositivos emitidos por las empresas de Edgio, como las computadoras portátiles y los teléfonos móviles de edición estándar, son mantenidos por personas identificables que son responsables y responsables de la protección del dispositivo, así como de la seguridad de los datos procesados por dichos dispositivos. Los activos de Edgio deben estar físicamente bloqueados o comparablemente asegurados cuando viajen con, transporten o utilicen equipos en entornos físicos que no sean de Edgio.
Monitoreo de la red . Edgio utiliza herramientas y procedimientos de monitoreo de red diseñados para identificar actividades no autorizadas en redes Edgio.
GESTIÓN DE RIESGOS DE LA CADENA DE SUMINISTRO
Controles de contratos . Edgio utiliza medidas contractuales para obligar a Edgios a cumplir con los requisitos de seguridad de la información apropiados, como las normas de seguridad de la información de Edgio, un código de conducta de proveedores y otras políticas de gestión de riesgos.
Edgio Gestión de Riesgos . Edgio ha establecido la gobernanza, los procesos y las herramientas que se utilizan en toda la empresa de Edgio para gestionar el riesgo de terceros. El programa requiere que los proveedores cumplan o superen los requisitos de seguridad basados en las políticas de seguridad de la información corporativa de Edgio y las mejores prácticas de la industria. Estas herramientas y prácticas pueden incluir que el proveedor complete un cuestionario, proporcione pruebas de control y evaluaciones remotas o in situ. El programa descubre problemas con los proveedores y trabaja para resolverlos de manera oportuna.
CONTROLES DE ACCESO
Gestión de acceso
Controles de acceso lógicos . Edgio mantiene políticas de control de acceso lógico para que solo el personal autorizado tenga acceso a aplicaciones y sistemas empresariales críticos basados en los requisitos de puesto y trabajo.
Identificadores de usuario únicos . Edgio asigna a cada usuario autorizado un ID de usuario único para la responsabilidad de las acciones.
Reseñas de acceso . Edgio utiliza revisiones de autorización y procesos de cambio de rol para alertar a los administradores de la necesidad de modificar y/o revocar los derechos de acceso cuando un usuario autorizado ya no necesita acceso.
Registro de actividad . La política de Edgio requiere el registro y monitoreo del acceso a las redes de Edgio y los activos de Edgio.
Herramientas de seguridad . Se han desplegado herramientas basadas en hardware y software en toda la red Edgio para proporcionar alertas en tiempo real desde dispositivos como firewalls, sistemas de detección de intrusos, enrutadores y switches.
Registros de eventos . Los activos críticos de Edgio deben configurarse para generar registros de eventos. Los registros de eventos se conservan de acuerdo con la retención de datos y los requisitos reglamentarios.
Principio de menor privilegio. Edgio generalmente utilizará el principio de privilegios mínimos para administrar el acceso a cada uno de sus sistemas. El acceso privilegiado para las funciones de red de producción, sistema o aplicación generalmente se controlará y restringirá a la menor cantidad de personal posible desde el punto de vista operacional y se autorizará sobre la base de “necesidad de saber” o “evento por evento”.
Autenticación multifactor para acceso remoto. La política de Edgio requiere el uso de autenticación multifactor para asegurar el acceso remoto a la red de Edgio y a los activos de Edgio.
Verificación de identidad . La política de control de acceso de Edgio requiere que las credenciales de acceso de usuario autorizadas identifiquen de forma única a una persona, sistema o servicio individual y estén protegidas. El acceso otorgado por los usuarios autorizados Las credenciales de acceso deben ser revisadas periódicamente para validar que todavía es necesario.
Desaprovisionamiento. El acceso debe ser desaprovisionado o eliminado cuando ya no sea necesario (por ejemplo, cambio de rol del trabajo) o en caso de terminación.
SEGURIDAD FÍSICA
Controles físicos . Edgio utiliza controles para restringir el acceso físico a las instalaciones que albergan los sistemas Edgio al personal autorizado.
Gestión de Acceso Físico . Dependiendo del tipo de instalación, el acceso puede ser permitido por lectores de acceso de tarjetas electrónicas, llaves, guardias de seguridad o personal de la compañía local.
Vigilancia. Las cámaras de circuito cerrado de televisión se despliegan en lugares estratégicos para proteger al personal, las operaciones y los bienes.
Gestión de Visitantes . La política de Edgio requiere que los visitantes tengan y muestren las insignias de visitante emitidas por Edgio en todo momento. Edgio requiere que los visitantes inicien sesión en el registro de un visitante antes de recibir una insignia de visitante. El personal de Edgio está obligado a usar una tarjeta de identificación emitida por la compañía en todo momento mientras se encuentra en las instalaciones de Edgio.
Seguridad del centro de datos . Edgio requiere controles de seguridad físicos para cada sala de computadoras, centro de datos e instalaciones similares.
CAPACITACIÓN EN SEGURIDAD DE LA INFORMACIÓN DE EMPLEADOS Y CONTRATISTAS
Formación anual de sensibilización sobre seguridad de la información. Edgio requiere que los empleados y contratistas de Edgio completen anualmente una capacitación que cubra la seguridad de la información y la ciberseguridad para informarles de su papel en la seguridad de la información.
PRUEBAS DE PENETRACIÓN
Uso Interno de las Pruebas de Penetración de Edgio. Edgio realiza pruebas de penetración en los entornos internos y externos de Edgio, en función del riesgo.
Restricciones en las pruebas de penetración . Debido a las preocupaciones de seguridad planteadas a Edgio y sus clientes, Edgio no permite a los clientes probar el estado de seguridad de los dispositivos de red que Edgio posee, opera o que se encuentran en un centro de datos de Edgio. Además, Edgio no permite la denegación de servicio, inundación o cualquier actividad de prueba similar que implique un consumo significativo de ancho de banda de red.
FIREWALLS Y SEGMENTACIÓN DE REDES
Firewalls y herramientas de seguridad. Edgio utiliza herramientas basadas en hardware y software (como cortafuegos) en toda la red Edgio para proporcionar alertas en tiempo real desde dispositivos como sistemas de detección de intrusos, enrutadores y conmutadores.
Arquitectura de redes y sistemas. Edgio utiliza prácticas de arquitectura de sistemas, software y redes para mitigar los riesgos cibernéticos.
BACK-UPS (no aplicable al contenido del cliente)
Políticas de respaldo . Edgio mantiene formalmente políticas y procedimientos de copia de seguridad de datos cuando sea apropiado. Las copias de seguridad de datos se rigen y se consideran al completar actividades de mapeo, retención o eliminación de datos.
Crítico Archivo Copias de Seguridad y Pruebas. Los administradores deben hacer copias de seguridad periódicas de archivos críticos y tomar las precauciones adecuadas para proteger la información de peligros, pérdidas o daños. Además, se requiere que los administradores realicen pruebas periódicas de los procedimientos de recuperación de copias de seguridad y recuperación en caso de desastre.
RETENCIÓN Y DESTRUCCIÓN DE DATOS (no aplicable al contenido del cliente)
Política de retención de datos . La política de Edgio requiere la gestión y protección de los datos de manera sistemática y estructurada a lo largo de todo el ciclo de vida de los datos; desde su creación, transmisión, almacenamiento, modificación, retención y destrucción.
Específicos del sistema . Edgio gestiona la retención de datos mediante el uso de resúmenes de retención de datos específicos del sistema. Un resumen de retención de datos registra los tipos de datos que contiene el sistema, el propósito de la recopilación y el uso de cada tipo de datos, los eventos desencadenantes para la destrucción y el período de tiempo que deben conservarse los datos. Estos resúmenes de retención de datos son necesarios para cumplir con el programa de retención de datos de toda la compañía de Edgio y cualquier ley, regulación y requerimiento del cliente aplicable.
Destrucción de datos . Las prácticas de destrucción de datos de Edgio se alinean con NIST 800-88, y abarcan datos contenidos en documentos magnéticos, de estado sólido, ópticos y confidenciales en papel.
RESPUESTA A INCIDENTES/VIOLACIÓN DE DATOS
Programa
Plan de Respuesta a Incidentes . Edgio mantiene un plan de respuesta a incidentes escrito y procesable para permitir a Edgio reaccionar oportunamente a las violaciones de datos.
Pruebas del Plan de Respuesta . El plan de respuesta a incidentes de Edgio se prueba mediante el uso de ejercicios de mesa para coordinar y verificar los procedimientos documentados.
Respuesta y mitigación de incidentes
Reseñas de eventos de seguridad . Los datos de eventos de seguridad se revisan y analizan de forma programada. Se requiere que los eventos de seguridad se intensifiquen rápidamente cuando se superen los umbrales de eventos predeterminados y se responda a ellos de acuerdo con un proceso definido de gestión de incidentes.
RECURSOS HUMANOS
Sistemas de recursos humanos; Deprovisionamiento. Los protocolos y procedimientos de seguridad de la información de Edgio deben integrarse en todos los sistemas y procesos de Recursos Humanos de Edgio. El departamento de Recursos Humanos (“RR.HH.”) y el departamento DE TI DE Edgio han implementado rutinas automatizadas y auditables para la creación de cuentas, permisos de roles y desaprovisionamiento de acceso que cubren una nueva solicitud de empleado, un cambio en los roles o la terminación de un empleado.
Comprobación de antecedentes . Sujeto a la ley aplicable, HR completa una exhaustiva investigación previa al empleo de los empleados de Edgio en el momento de la contratación, que incluye controles de antecedentes penales, SSN, autorización de trabajo y lista de partes prohibidas (por ejemplo, la Oficina de Control de Activos Extranjeros).
Código de conducta de Edgio . El Código de Conducta de Edgio requiere que los empleados de Edgio cumplan con las políticas y procedimientos de seguridad de la información de Edgio.
PROGRAMA DE GESTIÓN DE VULNERABILIDADES
Mitigación del riesgo de vulnerabilidad . El programa de gestión de vulnerabilidades de Edgio está diseñado para implementar y mantener prácticas y procedimientos para mitigar el riesgo de vulnerabilidades en el entorno empresarial de Edgio.
Proceso de gestión de parches . Para mantener un alto nivel de funcionalidad y seguridad de sus redes y sistemas alojados, Edgio tiene un proceso de gestión de parches establecido para el hardware de producción y software instalado en la red Edgio. Los parches de seguridad del proveedor se evalúan inicialmente para determinar el riesgo y la prioridad de implementación. Una vez que un parche ha superado los procedimientos de prueba adecuados, se libera para que la programación se implemente en la producción.
Cambios significativos en el sistema . Edgio programa, supervisa, controla y rastrea cambios significativos de los activos de Edgio.
Escaneos de vulnerabilidad . Edgio realiza análisis de vulnerabilidades internas y externas de forma periódica. Los propietarios del sistema pueden programar escaneos del sistema de vulnerabilidades en tiempo real según sea necesario para adaptarse a los vectores de amenazas cambiantes.
Restricciones en el escaneo del cliente . Debido al potencial de interrumpir los sistemas de Edgio y crear riesgos de seguridad para Edgio y sus clientes, Edgio no permite a los clientes (o sus terceros) probar o escanear los activos de Edgio.
Restricciones en el intercambio de informes . Edgio no proporciona informes de vulnerabilidades ni responde preguntas específicas sobre vulnerabilidades y exposiciones comunes (“CVE”) relativas al uso y/o no uso de hardware, software o productos de terceros específicos implementados dentro de la infraestructura de Edgio.
CONTINUIDAD DE NEGOCIO Y GESTIÓN DE EVENTOS (“BCEM”)
Protocolos de Continuidad de Negocios . Edgio mantiene protocolos de continuidad de negocio y recuperación ante desastres diseñados para mejorar la capacidad de Edgio para responder a eventos significativos que podrían interrumpir las redes e instalaciones de Edgio o perjudicar la capacidad de Edgio para proporcionar servicio.
Evaluación de Riesgo de Desastres . Las prácticas de continuidad del negocio y recuperación ante desastres de Edgio identifican los riesgos potenciales de recuperación para Edgio Assets e implementan medidas diseñadas para ayudar a minimizar y mitigar esos riesgos utilizando prácticas aceptadas por la industria.
Recursos dedicados del equipo. Edgio desarrolla e implementa estrategias diseñadas para minimizar los riesgos de recuperación y validar las capacidades de respuesta de Edgio a través de una planificación estandarizada rigurosa y pruebas periódicas.
PRUEBA 2: CLÁUSULAS CONTRACTUALES ESTÁNDAR PARA SU USO EN TRANSFERENCIAS DESDE LA UE
(Controladores a procesadores)
DECISIÓN DE EJECUCIÓN (UE) 2021/914 DE LA COMISIÓN de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (transferencias de responsable a encargado del tratamiento).
Entre el Cliente en adelante “exportador de datos” y Edgio, Inc. En adelante “importador de datos”, cada uno es una “parte”; en conjunto “las partes”,
En CONSIDERACIÓN DE los pactos y promesas mutuos contenidos en el presente documento
HAN ACORDADO las siguientes cláusulas contractuales (las «cláusulas») con el fin de aducir garantías adecuadas con respecto a la protección de la intimidad y los derechos y libertades fundamentales de las personas físicas para la transmisión por el exportador de datos al importador de datos de los datos personales especificados en el anexo 1.
SECCIÓN I
Cláusula 1
Finalidad y alcance
A) El objetivo de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (Reglamento general de protección de datos) para la transferencia de datos a un tercer país.
B) Las Partes:
i) la persona física o jurídica, autoridad pública, agencia u otro organismo o organismos (en lo sucesivo, «entidad») que transfieran los datos personales, según se indica en el anexo I.A (en lo sucesivo, «exportador de datos»), y
ii) la entidad o entidades de un tercer país que reciban los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte en estas cláusulas, según se indica en el anexo I.A (en lo sucesivo, cada «importador de datos»)
Han aceptado estas cláusulas contractuales tipo (en lo sucesivo, «cláusulas»).
(c) estas cláusulas se aplican con respecto a la transferencia de datos personales según se especifica en el Anexo I.B.
D) el apéndice de estas cláusulas que contiene los anexos mencionados en ellas forma parte integrante de estas cláusulas.
Cláusula 2
Efecto e invariabilidad de las cláusulas
(A) estas cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y las vías de recurso efectivas, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de los responsables a los encargados del tratamiento y/o los encargados del tratamiento a los encargados del tratamiento, cláusulas contractuales estándar de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el módulo o para añadir o actualizar la información del apéndice. Esto no impide a las Partes incluir las cláusulas contractuales tipo establecidas en estas cláusulas en un contrato más amplio y/o añadir otras cláusulas o salvaguardias adicionales, siempre que no contradigan, directa o indirectamente, estas cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
B) Las presentes cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3
Terceros beneficiarios
(A) Los interesados podrán invocar y hacer cumplir estas cláusulas, como terceros beneficiarios, contra el exportador y/o importador de datos, con las siguientes excepciones:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8 – Módulo Dos: Cláusula 8,1(b), 8,9(a), (c), (d) y (e);
iii) Cláusula 9 – Módulo dos: Cláusula 9(a), c), d) y e);
iv) Cláusula 12 – Módulos dos: Cláusula 12(a), (d) y (f);
v) Cláusula 13;
vi) Cláusula 15.1(c), (d) y (e);
vii) Cláusula 16 e);
(viii) Cláusula 18 – Módulo Dos: Cláusula 18(a) y (b).
B) Párrafo A) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.
Cláusula 4
Interpretación
A) Cuando estas cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
B) Las presentes cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
c) Las presentes cláusulas no se interpretarán de manera que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.
Cláusula 5
Jerarquía
En caso de contradicción entre estas cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento en que estas cláusulas se acuerden o se celebran posteriormente, prevalecerán estas cláusulas.
Cláusula 6
Descripción de la(s) transferencia(s)
Los detalles de la transferencia o transferencias, y en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el anexo I.B.
Cláusula 7
Cláusula de acoplamiento
DELIBERADAMENTE EN BLANCO.
SECCIÓN II – OBLIGACIONES DE LAS PARTES
Cláusula 8
Salvaguardias de protección de datos
El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas apropiadas, de cumplir con sus obligaciones en virtud de estas cláusulas.
8,1 Instrucciones
A) El importador de datos procesará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar tales instrucciones durante toda la duración del contrato.
B) El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.
8,2 Limitación del propósito
El importador de datos procesará los datos personales solo para los fines específicos de la transferencia, según se establece en el anexo I.B, a menos que se reciban instrucciones adicionales del exportador de datos.
8,3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del interesado una copia de estas cláusulas, incluido el Apéndice completado por las Partes. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá redactar parte del texto del apéndice de estas cláusulas antes de compartir una copia, pero proporcionará un resumen significativo cuando el interesado no pueda comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información redactada. La presente Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8,4 Precisión
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado desactualizados, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para suprimir o rectificar los datos.
8,5 Duración del tratamiento y supresión o devolución de los datos
El procesamiento por parte del importador de datos solo tendrá lugar durante el período especificado en el Anexo I.B. Después de la finalización de la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales tratados en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales procesados en su nombre y eliminará las copias existentes. Hasta que los datos se eliminen o devuelvan, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que continuará garantizando el cumplimiento de estas cláusulas y solo los procesará en la medida y durante el tiempo que sea requerido por esa ley local. Esto se entiende sin perjuicio de lo dispuesto en la Cláusula 14, en particular el requisito de que el importador de datos en virtud de la Cláusula 14(e) notifique al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no estén en consonancia con los requisitos de la Cláusula 14(a).
8,6 Seguridad del tratamiento
(A) el importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que dé lugar a la destrucción accidental o ilícita, pérdida, alteración, divulgación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento y los riesgos que implica el tratamiento para los interesados. En particular, las Partes considerarán la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del tratamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, cuando sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de las obligaciones que le incumben en virtud del presente apartado, el importador de datos aplicará al menos las medidas técnicas y organizativas especificadas en el anexo II El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.
B) El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
(c) En caso de violación de datos personales en relación con datos personales procesados por el importador de datos en virtud de estas cláusulas, el importador de datos tomará las medidas adecuadas para hacer frente a la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tenido conocimiento de la infracción. Dicha notificación incluirá los detalles de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la infracción (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la infracción, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, a medida que se disponga, se facilitará ulteriormente sin demora indebida información complementaria.
D) el importador de datos cooperará con el exportador de datos y lo ayudará a fin de que pueda cumplir las obligaciones que le incumben en virtud del Reglamento (UE) 2016/679, en particular para notificarlo a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
8,7 Datos sensibles
Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de forma única a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas y delitos penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o garantías adicionales descritas en el anexo I.B.
8,8 Traslados posteriores
El importador de datos solo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo podrán ser revelados a un tercero ubicado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo «transferencia ulterior») si el tercero está o acepta estar vinculado por estas cláusulas, en virtud del módulo correspondiente, o si:
(i) la transferencia ulterior se efectúe a un país que se beneficie de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679/99, que cubra la transferencia ulterior;
ii) que el tercero garantice de otro modo las salvaguardias adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
(iii) la transferencia ulterior sea necesaria para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
iv) la transferencia ulterior sea necesaria para proteger los intereses vitales del interesado o de otra persona física.
Cualquier transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías bajo estas cláusulas, en particular la limitación de finalidad.
8,9 Documentación y cumplimiento
(A) el importador de datos atenderá pronta y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento en virtud de estas cláusulas.
(B) Las Partes podrán demostrar el cumplimiento de estas cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas por cuenta del exportador de datos.
(c) el importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas cláusulas y, a petición del exportador de datos, permitir y contribuir a las auditorías de las actividades de tratamiento cubiertas por estas cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes en poder del importador de datos.
(D) el exportador de datos puede optar por realizar la auditoría por sí mismo o encargar a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, cuando proceda, se realizarán con un aviso razonable.
(E) las Partes facilitarán la información a que se refieren los párrafos b) y c), incluidos los resultados de las auditorías, a disposición de la autoridad de supervisión competente, previa solicitud.
Cláusula 9
Uso de subprocesadores
(A) el importador de datos tiene la autorización general del exportador de datos para contratar a subprocesadores de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subprocesadores con al menos treinta (30) días de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subprocesador. El importador de datos proporcionará al exportador de datos la información necesaria para que el exportador de datos pueda ejercer su derecho de oposición.
B) cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades específicas de tratamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas cláusulas, incluidos los derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones bajo la Cláusula 8,8. El importador de datos se asegurará de que el subencargado del tratamiento cumple las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.
(c) el importador de datos proporcionará, a petición del exportador de datos, una copia de dicho acuerdo de subencargado del tratamiento y cualquier modificación posterior del exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos puede redactar el texto del acuerdo antes de compartir una copia.
(D) el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de las obligaciones que le incumben en virtud de dicho contrato.
(E) El importador de datos deberá acordar una cláusula de terceros beneficiarios con el subprocesador en virtud de la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir en la ley o se haya declarado insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subprocesador y a instruir al subprocesador para que borre o devuelva los datos personales.
Cláusula 10
Derechos del sujeto de datos
a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí misma, a menos que haya sido autorizada para ello por el exportador de datos.
(B) el importador de datos ayudará al exportador de datos a cumplir sus obligaciones de responder a las solicitudes de los interesados de ejercer sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, mediante el cual se prestará la asistencia, así como el alcance y el alcance de la asistencia requerida.
c) en el cumplimiento de las obligaciones que le incumben en virtud de los párrafos a) y b) el importador de datos cumplirá las instrucciones del exportador de datos.
Cláusula 11
Reparación
A) El importador de datos informará a los interesados en un formato transparente y de fácil acceso, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar reclamaciones. Tramitará sin demora cualquier reclamación que reciba de un interesado.
(B) En caso de una controversia entre un interesado y una de las Partes en relación con el cumplimiento de estas cláusulas, esa Parte hará todo lo posible para resolver el asunto de manera amistosa y oportuna. Las Partes se mantendrán informadas mutuamente acerca de dichas controversias y, en su caso, cooperarán para resolverlas.
(c) cuando el interesado invoque un derecho de terceros beneficiarios de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del interesado de:
i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente de conformidad con la cláusula 13;
(ii) remitir la controversia a los tribunales competentes en el sentido de la Cláusula 18.
(D) las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
E) el importador de datos deberá cumplir una decisión vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.
(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a buscar recursos de conformidad con las leyes aplicables.
Cláusula 12
Responsabilidad civil
(A) Cada Parte será responsable ante la otra Parte/s por cualquier daño que cause a la otra Parte/s por cualquier incumplimiento de estas cláusulas.
(B) El importador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o no material que el importador de datos o su subprocesador cause al interesado al violar los derechos de terceros beneficiarios bajo estas cláusulas.
c) No obstante lo dispuesto en el párrafo (B), el exportador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una compensación, por cualquier daño material o no material que el exportador de datos o el importador de datos (o su subprocesador) cause al interesado al violar los derechos de terceros beneficiarios bajo estas cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.
(D) las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo 2 (c) por daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por el daño.
(E) cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a entablar una acción judicial contra cualquiera de estas Partes.
(f) las Partes acuerdan que si una Parte es considerada responsable conforme al párrafo 2 (E), tendrá derecho a reclamar a la otra Parte/es la parte de la indemnización correspondiente a su responsabilidad por el daño.
(G) el importador de datos no podrá invocar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.
Cláusula 13
Supervisión
La autoridad de control responsable de garantizar el cumplimiento por el exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, como se indica en el anexo I.C, actuará como autoridad de control competente.
(B) el importador de datos se compromete a someterse a la jurisdicción de la autoridad supervisora competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de estas cláusulas. En particular, el importador de datos acepta responder a las consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.
SECCIÓN III – LEGISLACIONES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14
Leyes y prácticas locales que afectan al cumplimiento de las cláusulas
(A) Las Partes garantizan que no tienen ninguna razón para creer que las leyes y prácticas del tercer país de destino aplicables al procesamiento de los datos personales por el importador de datos, incluidos los requisitos para revelar datos personales o las medidas que autorizan el acceso de las autoridades públicas, impiden al importador de datos cumplir con sus obligaciones en virtud de estas cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con estas cláusulas.
(B) las Partes declaran que al proporcionar la garantía en el párrafo 2 a) han tenido debidamente en cuenta, en particular, los siguientes elementos:
i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
ii) las leyes y prácticas del tercer país de destino, incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso a dichas autoridades, pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;
(iii) cualesquiera garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las salvaguardias previstas en estas cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.
c) el importador de datos garantice que, al realizar la evaluación prevista en el párrafo 1 B) Ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y conviene en que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de estas cláusulas.
(D) las Partes acuerdan documentar la evaluación de conformidad con el párrafo (b) y ponerla a disposición de la autoridad supervisora competente, previa solicitud.
(E) el importador de datos se compromete a notificar sin demora al exportador de datos si, después de haber aceptado estas cláusulas y durante la duración del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no están en consonancia con los requisitos del párrafo (a), incluso después de un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no está en consonancia con los requisitos del párrafo (a).
(f) Tras una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir con sus obligaciones bajo estas cláusulas, el exportador de datos deberá identificar rápidamente las medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y confidencialidad) que el exportador de datos y/o el importador de datos deberán suspender la transferencia de datos si considera que no se pueden garantizar garantías apropiadas para dicha transferencia, o si la autoridad supervisora competente se refiere a la Parte.
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
15,1 Notificación
A) el importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario con la ayuda del exportador de datos) si:
(i) reciba una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de la legislación del país de destino para la divulgación de datos personales transferidos de conformidad con estas cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, la base jurídica de la solicitud y la respuesta proporcionada; o
(ii) tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con las presentes cláusulas de conformidad con las leyes del país de destino; dicha notificación incluirá toda la información de que disponga el importador.
B) Si el importador de datos tiene prohibido notificar al exportador de datos y/o al interesado en virtud de la legislación del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una renuncia a la prohibición, con miras a comunicar tanta información como sea posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
c) Cuando lo permita la legislación del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de esas impugnaciones, etc.).
D) el importador de datos se compromete a conservar la información de conformidad con los apartados a) a c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente, previa solicitud.
(E) Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14 (e) y la Cláusula 16 de informar al exportador de datos con prontitud cuando no pueda cumplir con estas cláusulas.
15,2 Revisión de la legalidad y minimización de datos
A) El importador de datos conviene en revisar la legalidad de la solicitud de divulgación, en particular si sigue estando dentro de las facultades otorgadas a la autoridad pública solicitante, y en impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo a la legislación del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos, en las mismas condiciones, recurrirá a la posibilidad de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas provisionales para suspender los efectos de la solicitud hasta que la autoridad judicial competente haya decidido sobre su fondo. No divulgará los datos personales solicitados hasta que así lo exijan las normas de procedimiento aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14.e).
(B) el importador de datos acepta documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, poner la documentación a disposición del exportador de datos. También lo pondrá a disposición de la autoridad de control competente, previa solicitud.
(c) el importador de datos se compromete a proporcionar la cantidad mínima de información permisible al responder a una solicitud de divulgación, sobre la base de una interpretación razonable de la solicitud.
SECCIÓN IV – DISPOSICIONES FINALES
Cláusula 16
Incumplimiento de las cláusulas y terminación
A) El importador de datos informará sin demora al exportador de datos si, por cualquier motivo, no puede cumplir las presentes cláusulas.
(B) En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplir con estas cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Esto se entiende sin perjuicio de lo dispuesto en la cláusula 14(f).
(c) el exportador de datos tendrá derecho a resolver el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas, cuando:
(i) el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas cláusulas no se restablece dentro de un plazo razonable y, en cualquier caso, dentro de un mes a partir de la suspensión;
(ii) el importador de datos está en una violación sustancial o persistente de estas cláusulas; o
(iii) el importador de datos no cumpla una decisión vinculante de un tribunal competente o autoridad de control en relación con sus obligaciones en virtud de estas cláusulas.
En estos casos, informará de dicho incumplimiento a la autoridad de control competente. Cuando el contrato involucre a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa.
(D) Datos personales que hayan sido transferidos con anterioridad a la rescisión del contrato de conformidad con el párrafo 1 c) a elección del exportador de datos se devolverá inmediatamente al exportador de datos o se suprimirá en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos se eliminen o devuelvan, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará garantizando el cumplimiento de estas cláusulas y solo procesará los datos en la medida y durante el tiempo que sea requerido por esa ley local.
(E) cualquiera de las Partes podrá revocar su acuerdo de obligarse por estas cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican estas cláusulas, o (ii) El Reglamento (UE) 2016/679 pasa a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
Cláusula 17
Ley aplicable
Estas cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de Irlanda.
Cláusula 18
Elección del foro y jurisdicción
A) cualquier litigio derivado de estas cláusulas será resuelto por los órganos jurisdiccionales de un Estado miembro de la UE.
(B) Las Partes acuerdan que estos serán los tribunales de Irlanda.
c) El interesado también podrá entablar acciones judiciales contra el exportador y/o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
(D) las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
Cláusula 19
Transferencia sujeta a la ley suiza de protección de datos
(A) en la medida en que las leyes y reglamentos de protección de datos y privacidad de Suiza (“Ley Suiza de Protección de Datos”) se aplica a una transferencia de datos personales, el exportador de datos y el importador de datos acuerdan que estas cláusulas se modifiquen para que, con respecto (solo) a dicha transferencia (y sin limitar o afectar la aplicación de estas cláusulas de otro modo):
i.. Las referencias generales y específicas en estas cláusulas al Reglamento (UE) 2016/679 o a «dicho Reglamento» o al Derecho de la UE o de los Estados miembros tienen el mismo significado que la referencia equivalente en la legislación suiza de protección de datos;
ii El término “Estado miembro” no se interpretará de tal manera que excluya a los interesados en Suiza de la posibilidad de demandar sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la cláusula 18(c) de estas cláusulas;
iii Los detalles de las transferencias son los especificados en el anexo I cuando las leyes suizas de protección de datos se aplican al procesamiento del exportador de datos al realizar dicha transferencia;
iv. Estas cláusulas también se aplican a la transferencia de información relativa a una entidad jurídica identificada o identificable cuando dicha información está protegida de manera similar a la de los “datos personales” según las leyes suizas de protección de datos hasta que dichas leyes se modifiquen para que ya no se apliquen a una entidad jurídica; y
V. El Comisionado Federal Suizo de Protección de Datos e Información es la autoridad supervisora competente a los efectos de la cláusula 13 de estas cláusulas.
ANEXO I DE LA PRUEBA 2
A. LISTA DE PARTES
EXPORTADOR(s) DE DATOS: [Datos de identidad y de contacto del exportador(s) de datos y, en su caso, de su delegado de protección de datos y/o representante en la Unión Europea]
Véase la prueba 1, parte A..
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Véase la prueba 1, parte B.
C. AUTORIDAD SUPERVISORA COMPETENTE
Véase la prueba 1, parte B.
ANEXO II DE LA PRUEBA 2
Véase la prueba 1, parte C..
ANEXO III DE LA PRUEBA 2
LISTA DE SUBPROCESADORES
No se aplica.
PRUEBA 3
ADICIÓN DEL REINO UNIDO A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR DE LA UE
Fecha de la presente adición:
1. El presente Anexo surtirá efecto a partir de la misma fecha que las cláusulas.
Antecedentes:
2. El Comisario de Información considera que este Anexo proporciona las salvaguardias adecuadas para los fines de la transferencia de datos personales a un tercer país o a una organización internacional en virtud de los artículos 46 del RGPD del Reino Unido y, con respecto a las transferencias de datos de los responsables del tratamiento a los procesadores y / o procesadores a los procesadores.
Interpretación de la presente adición
3. Cuando en la presente adición se utilicen términos definidos en el anexo, dichos términos tendrán el mismo significado que en 2.22 el anexo. Además, los siguientes términos tienen los siguientes significados:
La presente adición
Este Anexo a las Cláusulas
El anexo
Leyes de protección de datos del Reino Unido
Todas las leyes relacionadas con la protección de datos, el procesamiento de datos personales, la privacidad y / o las comunicaciones electrónicas en vigor en el Reino Unido, incluyendo el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.
REINO UNIDO GDPR
El Reglamento General de Protección de Datos del Reino Unido, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018.
REINO UNIDO
Reino Unido de Gran Bretaña e Irlanda del Norte
4. Este Anexo se leerá e interpretará a la luz de las disposiciones de las Leyes de Protección de Datos del Reino Unido, y de modo que, si cumple con la intención de que proporcione las salvaguardias adecuadas según lo requerido por el Artículo 46 del RGPD.
5. Este Anexo no se interpretará de manera que entre en conflicto con los derechos y obligaciones previstos en las leyes de protección de datos del Reino Unido.
6. Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa que la legislación (o disposición específica) puede cambiar con el tiempo. Esto incluye los casos en que esa legislación (o disposición específica) se ha consolidado, vuelto a promulgar y/o sustituido después de la entrada en vigor de la presente Adición.
Jerarquía
En caso de conflicto o incoherencia entre este Anexo y las disposiciones de las cláusulas u otros acuerdos relacionados entre las Partes, existentes en el momento en que se acuerde o se celebre este Anexo en adelante, prevalecerán las disposiciones que brinden la mayor protección a los interesados.
Incorporación de las cláusulas
8. El presente Anexo incorpora las cláusulas que se consideran modificadas en la medida necesaria para su funcionamiento:
a. Para las transferencias realizadas por el exportador de datos al importador de datos, en la medida en que las leyes de protección de datos del Reino Unido se apliquen al procesamiento del exportador de datos al realizar esa transferencia; y
b. Proporcionar las salvaguardias adecuadas para las transferencias de acuerdo con los artículos 46 de las leyes del RGPD del Reino Unido.
9. Las enmiendas requeridas por la Sección 7 anterior, incluyen (sin limitación):
a. Las referencias a las “Cláusulas” se refieren a este Anexo, ya que incorpora las cláusulas
b. Cláusula 6 La descripción de la transferencia(s) se sustituye por:
“Los detalles de las transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren) son los especificados en el Anexo I.B, donde las leyes de protección de datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar esa transferencia”.
d. Las referencias al “Reglamento (UE) 2016/679” o “dicho Reglamento” se sustituyen por “Leyes de protección de datos del Reino Unido” y las referencias a artículos específicos del “Reglamento (UE) 2016/679” se sustituyen por el artículo o sección equivalente de las Leyes de protección de datos del Reino Unido.
e. Se suprimen las referencias al Reglamento (UE) 2018/1725/99.
f. Las referencias a la «Unión», «UE» y «Estado miembro de la UE» se sustituyen por «Reino Unido»
g. No se utilizan la cláusula 13, letra a), ni la parte C del anexo II; la «autoridad de control competente» es el Comisionado de Información;
h. La cláusula 17 se sustituye para que diga: “Estas cláusulas se rigen por las leyes de Inglaterra y Gales”.
i.. La cláusula 18 se sustituye por el siguiente texto:
j. “Cualquier disputa que surja de estas cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un interesado también puede entablar acciones legales contra el exportador de datos y / o importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.”
k. Las notas a pie de página de las cláusulas no forman parte de la adición.
Enmiendas a la presente adición
Las Partes podrán acordar cambiar la Cláusula 17 y/o 18 para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.
11. Las Partes podrán modificar este Anexo siempre que mantenga las salvaguardias apropiadas requeridas por el artículo 46 del RGPD del Reino Unido para la transferencia correspondiente mediante la incorporación de las cláusulas y la realización de cambios en las mismas de conformidad con la Sección 7 anterior.
Ejecución de la presente Addendum
12. Las Partes podrán suscribir el Anexo (incorporando las cláusulas) de cualquier manera que las haga legalmente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo establecido en las cláusulas. Esto incluye (pero no se limita a):
a. Añadiendo el presente Anexo a las Cláusulas e incluyendo, en lo siguiente, las firmas del Anexo 1A:
“Al firmar, aceptamos estar obligados por el Anexo del Reino Unido a las Cláusulas Contractuales Estándar de la Comisión de la UE fechadas:” y añadimos la fecha (donde todas las transferencias están bajo el Anexo)
“Al firmar también aceptamos estar vinculados por el Anexo del Reino Unido a las Cláusulas Contractuales Estándar de la Comisión de la UE con fecha” y añadir la fecha (cuando haya transferencias tanto bajo las Cláusulas como bajo el Anexo) (o palabras en el mismo efecto) y la ejecución de las cláusulas; o
b. Modificando las cláusulas de conformidad con este Anexo, y ejecutando dichas cláusulas modificadas.
ANEXO I DE LA PRUEBA 3
A. LISTA DE PARTES
EXPORTADOR(s) DE DATOS: [Datos de identidad y de contacto del exportador(s) de datos y, en su caso, de su delegado de protección de datos y/o representante en la Unión Europea]
Véase la prueba 1, parte A..
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Véase la prueba 1, parte B.
C. AUTORIDAD SUPERVISORA COMPETENTE
Véase la prueba 1, parte B.
ANEXO II DE LA PRUEBA 3
Véase la prueba 1, parte C..
ANEXO III DE LA PRUEBA 3
LISTA DE SUBPROCESADORES
No se aplica.