Home Empresa Legal Adición de Protección de Datos – (DPA)
Aplicaciones

Adición de Protección de Datos – (DPA)

Esbozo

Páginas relacionadas

Este Anexo de Procesamiento de Datos (este “DPA”) se incorpora y forma parte de los Términos de Servicio de Edgio (el “Acuerdo”) entre Edgio, Inc., sus Afiliadas y subsidiarias (en conjunto, “Edgio”) y el Cliente. Si alguna disposición de este DPA entra en conflicto con alguna disposición del Acuerdo, entonces las disposiciones aplicables de este DPA controlan.

1. Definiciones.

Los siguientes términos se utilizan en este DPA y tendrán los significados establecidos en este documento. Los términos en mayúsculas utilizados en este DPA y no definidos en este documento tendrán el significado establecido en el Acuerdo.

1,1 “País adecuado” significa un país o territorio que está reconocido en virtud de las leyes de protección de datos de la UE o la autoridad competente pertinente del Reino Unido (“Reino Unido”) como que proporciona un nivel adecuado de protección de datos personales.

1,2 “Leyes aplicables de protección de datos” significa (i) las leyes y regulaciones del EEE y sus estados miembros, aplicables al Tratamiento de Datos Personales bajo este DPA, incluidas las Leyes de Protección de Datos de la UE; (ii) la Ley de Protección al Consumidor de California (“CCPA”) y la Ley de Derechos de Privacidad de California (“CPRA”); y (iii) todas las leyes que implementen o complementen lo anterior y cualquier otra ley aplicable de protección de datos o privacidad.

1,3 “Datos personales del cliente” significa todos y cada uno de los Datos personales que pertenecen a los consumidores (los “usuarios finales” del cliente) y que son procesados por Edgio o sus subprocesadores en nombre del cliente en el desempeño de los Servicios y otras obligaciones de Edgio en virtud del Acuerdo.

1,4 Por «EEE» se entiende el Espacio Económico Europeo, que incluye a los Estados miembros de la Unión Europea, así como Noruega, Islandia y Liechtenstein.

1,5 «Leyes de protección de la UE» (i) el RGPD; ii) la Directiva de la UE sobre privacidad electrónica (Directiva 2002/58/CE), en su versión modificada, y cualquier legislación que sustituya a la presente Directiva modificada; (iii) cualquier ley nacional de protección de datos hecha en virtud de, de conformidad con, la sustitución o sucesión de lo anterior, y (iv) cuando proceda, debe interpretarse como que incluye las leyes de protección de datos del Reino Unido.

1,6 “GDPR” significa el Reglamento General de Protección de Datos de la UE (Reglamento 2016/679).

1,7 Se entiende por “Cláusulas Contractuales Estándar” en relación con el Tratamiento de Datos Personales de conformidad con este DPA (A) las cláusulas estándar para la transferencia de Datos Personales de los Controladores a los Procesadores establecidos en terceros países aprobadas periódicamente por la Comisión Europea, cuya versión aprobada actualmente es la establecida en la Decisión 2021/914 de la Comisión Europea, de 4 de junio de 2021, disponible en: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021D0914&from=EN, y se establece en la Prueba 2 (las “Cláusulas Contractuales Estándar de la UE”); y b) La adición del Reino Unido a las cláusulas contractuales estándar de la UE, que figura en la prueba 3 (la “adición del Reino Unido”).

1,8 “Leyes de protección de datos del Reino Unido” significa toda la ley aplicable en relación con la protección de datos, el procesamiento de datos personales, la privacidad y / o las comunicaciones electrónicas en vigor de vez en cuando en el Reino Unido, incluido el RGPD del Reino Unido y la Ley de protección de datos de 2018.

1,9 “RGPD del Reino Unido” significa el Reglamento General de Protección de Datos del Reino Unido, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Unión Europea (Retirada) Act 2018.

1,10 “Datos personales” significa cualquier información que constituya “datos personales” o “información personal” en el sentido de las leyes de protección de datos aplicables a las que Edgio pueda acceder en la ejecución de los Servicios en virtud del Acuerdo de Servicios.

1,11 “Procesamiento”, “Proceso”, “Sujeto de datos”, “Controlador”, “Negocio” “Procesador”, “Proveedor de servicios”, “Categorías especiales de datos personales” tienen los significados que les otorgan las leyes de protección de datos aplicables, en la medida en que tales conceptos existan en dichas leyes.

2. Procesamiento de datos

2,1 Alcance y funciones. En consideración a las obligaciones mutuas establecidas en el presente documento, este DPA se aplicará en la medida en que Edgio procese los Datos Personales del Cliente sujetos a las leyes de protección de datos aplicables en relación con los Servicios de conformidad con el Acuerdo. En este contexto, el Cliente y Edgio reconocen y aceptan que: (A) Edgio es un Procesador y el Cliente es el Controlador bajo las Leyes de Protección de Datos aplicables; y (b) Edgio actúa como un mero conducto de cualquier Información Personal que el Cliente o sus Usuarios Finales coloquen en los Servicios. Edgio y el Cliente deberán cumplir con las leyes de protección de datos aplicables para el procesamiento de datos personales sujetos a las leyes de protección de datos aplicables.

2,2 Instrucciones de procesamiento.

(A) Instrucciones del cliente. Edgio procesará los Datos Personales del Cliente como un medio para proporcionar los Servicios y de acuerdo con las instrucciones documentadas del Cliente establecidas en este DPA, o según lo acordado mutuamente entre las partes por escrito. Si Edgio está obligado por las leyes de protección de datos aplicables a procesar los datos personales del cliente de otra manera que no sea lo indicado por el cliente, se lo notificará al cliente antes de que se produzca dicho procesamiento, a menos que la ley lo prohíba.

(i) El propósito del Tratamiento de Datos Personales del Cliente bajo este DPA es la prestación de los Servicios iniciados por el Cliente de vez en cuando de conformidad con el Acuerdo, que incluye el procesamiento de facturas y pagos, la comunicación con los usuarios finales del Cliente y / o subprocesadores sobre los Servicios, el mantenimiento del Cliente, y el procesamiento de los Datos Personales del Cliente. cuentas de usuario final y/o subprocesador, midiendo y/o analizando el uso del Servicio, previniendo o detectando fraudes o abusos de los Servicios y/o del sitio web, manteniendo y/o actualizando los Servicios y/o permitiendo a los subprocesadores llevar a cabo funciones técnicas, logísticas u otras en nombre de Edgio para promover la prestación de los Servicios.

(ii) Edgio certifica que no lo hará (A) “vender” (según se define en la CCPA) o “compartir” (según se define en la CPRA) los datos personales del cliente; (b) retener, usar o divulgar Datos Personales del Cliente para cualquier propósito que no sea para el propósito específico de proporcionar los Servicios en virtud del Acuerdo de Servicios, incluyendo la retención, el uso o la divulgación de Datos Personales del Cliente para un propósito comercial distinto al de la prestación de los Servicios; o (c) conservar, utilizar o divulgar los Datos Personales del Cliente a cualquier persona que no sea necesaria para prestar los Servicios o fuera de la relación comercial directa entre las partes.

(iii) El Cliente declara y garantiza que: (1) sus instrucciones de procesamiento cumplen con todas las leyes de protección de datos aplicables; y (2) ha obtenido y mantiene todos los avisos, consentimientos y permisos legalmente requeridos para el procesamiento y transferencia de todos los Datos personales. El Cliente reconoce que, teniendo en cuenta la naturaleza del Tratamiento, Edgio no está en condiciones de determinar si las instrucciones del Cliente infringen las leyes de protección de datos aplicables.

b) Confidencialidad. Edgio impone obligaciones contractuales apropiadas a su personal y a los terceros que tienen acceso a los Datos Personales, para garantizar que dicho personal y terceros estén obligados y sean conscientes de sus obligaciones de confidencialidad con respecto a dichos Datos Personales.

c) Medidas de seguridad Edgio. Edgio ha implementado y mantiene medidas técnicas y organizativas, establecidas en el Anexo 1, Parte C, diseñadas para proteger los Datos Personales contra la destrucción accidental o ilegal; o la pérdida accidental, alteración, divulgación o acceso no autorizado, o cualquier otro tipo de información. y contra otras formas ilegales de procesamiento. Edgio puede actualizar o modificar dichas medidas técnicas y organizativas de vez en cuando, siempre que dichas actualizaciones o modificaciones no resulten en la degradación de la seguridad general de los Servicios. El Cliente reconoce y acepta que (teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento de datos personales, así como los riesgos para los usuarios finales) las medidas técnicas y organizativas implementadas y mantenidas por Edgio según lo establecido en esta Sección 2,2(c) (Medidas de seguridad de Edgio) proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales. Al utilizar los Servicios, el Cliente reconoce que no debe configurar su uso de los Servicios para almacenar en caché o almacenar datos personales en los servidores de Edgio.

(d) Obligaciones de seguridad del cliente. El Cliente acepta que, sin perjuicio de las obligaciones de Edgio en virtud de la Sección 2,2(c) (Medidas de seguridad de Edgio) y la Sección 6 (Notificación de violación de datos), el Cliente es el único responsable de su uso de los Servicios, incluyendo: (1) hacer un uso adecuado de los Servicios para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales, por ejemplo, elegir y emplear el cifrado; y (2) asegurar las credenciales de autenticación de cuenta, los sistemas y los dispositivos que el Cliente utiliza para acceder a los Servicios. El Cliente reconoce que es responsable de todas las acciones tomadas en los Servicios utilizando las credenciales de autenticación válidas del Cliente, incluyendo, sin limitación, los usuarios finales, los proveedores del Cliente o cualquier otro tercero que actúe en nombre del Cliente.

e) Categorías especiales de datos. El Cliente no podrá, ni permitirá a sus usuarios finales, directa o indirectamente, transmitir o proporcionar de cualquier otra manera a Edgio, de ninguna manera, cualquier Información Personal que revele o contenga cualquiera de los siguientes: Origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o o afiliaciones sindicales, datos genéticos, datos biométricos con el fin de identificar de manera única a una persona física, datos relativos a la salud o datos relativos a la vida sexual u orientación sexual de una persona física o relacionados con condenas o delitos penales de una persona física.

3. Derechos de los interesados

3,1 Teniendo en cuenta la naturaleza de los Servicios y el Tratamiento, el Cliente reconoce que Edgio pone a disposición del Cliente ciertos controles, características y funcionalidades como parte de los Servicios, que el Cliente puede optar por utilizar en relación con sus obligaciones en virtud de las leyes de protección de datos aplicables en relación con las solicitudes de los interesados, incluidas las solicitudes de devolución o eliminación.

3,2 El Cliente es responsable de la correcta configuración de los Servicios para que: (A) los Datos Personales se recopilan, transfieren y utilizan únicamente en la medida necesaria para que el Cliente reciba los Servicios; (b) los Datos Personales se conservan durante el período más corto requerido para que el Cliente reciba los Servicios; y (c) El Cliente utiliza una API o tecnología similar para configurar una solicitud de archivo de registro en caso de que el Cliente desee conservar los Datos Personales durante un período más largo que el conservado por los Servicios.

3,3 En la medida en que los controles, características y/o funcionalidades de los Servicios no incluyan la opción de que el Cliente elimine Datos Personales, entonces Edgio cumplirá con la solicitud razonable del Cliente para facilitar dicha eliminación, siempre que Edgio determine que esto es factible, teniendo en cuenta la naturaleza de los Servicios y Procesamiento y las prácticas de retención de datos de Edgio, y a menos que las leyes de protección de datos aplicables requieran que Edgio retenga los Datos Personales. Edgio puede cobrar una tarifa (basada en los costos razonables de Edgio) por cualquier eliminación de datos bajo esta Sección 3,3. Edgio proporcionará al Cliente los detalles de cualquier tarifa aplicable antes de cualquier eliminación de dichos datos. El Cliente reconoce su obligación de eliminar los Datos Personales de su cuenta al finalizar el Contrato, y dichos Datos Personales no purgados por el Cliente serán eliminados de los sistemas de Edgio en el curso ordinario de sus procesos comerciales.

4. Subprocesamiento

4,1 El cliente concede una autorización general: (A) a Edgio para nombrar a Edgio Affiliates como subprocesadores; y (b) a Edgio y Edgio Affiliates para designar proveedores de servicios de terceros, incluyendo, sin limitación, marketing, negocios, proveedores de ingeniería o soporte al cliente, como subprocesadores, únicamente según sea necesario para apoyar la prestación de los Servicios.

4,2 El Cliente reconoce y acepta que Edgio mantiene una lista de sus subprocesadores a través de la siguiente URL: https://read.edg.io/hubfs/Edgecast-Service-Supplements/Edgio-Sub-processor-Authorized.pdf (“Sitios de subprocesadores”). Al menos treinta (30) días antes de que Edgio permita que un nuevo subprocesador inicie el procesamiento de los datos personales del cliente, Edgio notificará al cliente de dicho nuevo subprocesador agregando dicho nuevo subprocesador al sitio del subprocesador (“Servicio de notificación”).

4,3 Si el Cliente tiene una objeción razonable al uso de un nuevo subprocesador por parte de Edgio, según lo notificado a través del Servicio de Notificación, el Cliente notificará a Edgio cualquier objeción rápidamente por escrito dentro de los diez (10) días hábiles posteriores a la recepción de la información a través del Servicio de Notificación. En caso de que el Cliente presente una objeción razonable a un nuevo subprocesador, Edgio acepta entablar conversaciones de buena fe con el Cliente para abordar la objeción del Cliente. Si el Cliente no presenta una objeción oportuna a ningún subprocesador nuevo o de reemplazo de conformidad con esta Sección 4,3, se considerará que el Cliente ha consentido a dicho subprocesador y renunció a su derecho a oponerse a dicho subprocesador. Edgio puede utilizar un nuevo subprocesador mientras el procedimiento de objeción establecido en esta Sección 4,3 esté en proceso.

4,4 Cuando Edgio contrate subprocesadores de acuerdo con la Sección 4,1, lo hará mediante un acuerdo escrito con el subprocesador (“Subcontrato de procesamiento”) que impone obligaciones sustancialmente equivalentes al subprocesador que se imponen a Edgio en virtud de este DPA. Edgio seguirá siendo responsable ante el Cliente por el cumplimiento de las obligaciones de los subprocesadores en virtud de los términos del subcontrato de procesamiento.

5. Transferencias de datos

5,1 En la medida en que el Tratamiento de Datos Personales del Cliente por parte de Edgio tenga lugar en un lugar fuera de un país adecuado, las partes acuerdan que las Cláusulas Contractuales Estándar aplicables adjuntas a este DPA en el Anexo 2 (Cláusulas Contractuales Estándar de la UE) y el Anexo 3 (Apéndice del Reino Unido) se aplicará con respecto a la transferencia de dichos Datos Personales del Cliente desde el EEE, Suiza o el Reino Unido a Edgio. Edgio, como Procesador, cumplirá con las obligaciones del “importador de datos” en las Cláusulas Contractuales Estándar y el Cliente, como Controlador, cumplirá con las obligaciones del “exportador de datos”.

5,2 Los siguientes términos se aplicarán a las Cláusulas Contractuales Estándar establecidas en el Anexo 2 y previstas en el Anexo 3:

(A) El Cliente puede ejercer su derecho de auditoría bajo la Cláusula 8,9(c) de las Cláusulas Contractuales Estándar como se establece en, y sujeto a los requisitos en la Sección 7 (Auditoría) de este DPA.

(b) Edgio podrá designar subprocesadores según lo establecido en, y sujeto a los requisitos de, la Sección 4 (Subprocesamiento) de este DPA.

5,3 A pesar de todo lo contrario en esta Sección 5, las Cláusulas Contractuales Estándar no se aplicarán en la medida en que el Cliente haya adoptado un estándar de cumplimiento alternativo reconocido para la transferencia legal de Datos Personales del Cliente fuera de un país adecuado.

6. Notificación de violación de datos

6,1 Edgio notificará al Cliente sin demora indebida al darse cuenta de que se ha producido un evento de seguridad real, en la medida en que Edgio determine, a su entera discreción, que dicho evento de seguridad compromete la seguridad y / o confidencialidad de los Datos personales del Cliente (una «violación de datos»). En caso de que Edgio sufra una violación de datos, previa notificación al Cliente, las partes cooperarán de buena fe para acordar y tomar las medidas que sean necesarias para mitigar o remediar los efectos de la violación de datos. La notificación o respuesta de Edgio a una violación de datos en virtud de esta Sección 6 (Notificación de violación de datos) no se interpretará como un reconocimiento por parte de Edgio de cualquier culpa o responsabilidad con respecto a la violación de datos.

6,2 En caso de una violación de datos, el Cliente tiene plena autoridad y responsabilidad para determinar si debe notificar a las personas afectadas y otras partes según lo exija la ley aplicable, y la forma y el momento de la notificación.

7. Auditoría

7,1 El cliente acepta que su derecho de auditoría en virtud de las leyes europeas de protección de datos en relación con los datos personales del cliente se ejerce primero a través de una solicitud que Edgio proporcione: (A) al Cliente una copia resumida de los informes de auditoría de Edgio relacionados con las medidas técnicas y organizativas de Edgio a las que se hace referencia en la Sección 2,2 (c) (Medidas de seguridad de Edgio), cuyos informes estarán sujetos a las disposiciones de confidencialidad del Acuerdo, y qué informes deben demostrar que las medidas técnicas y organizativas de Edgio son suficientes y de acuerdo con un estándar de auditoría de la industria aceptado; y (b) información adicional en posesión o control de Edgio a una autoridad supervisora pertinente cuando solicite o requiera información adicional en relación con el Tratamiento de Datos Personales llevado a cabo por Edgio en virtud de este DPA.

7,2 Después de que el Cliente haya recibido el informe de auditoría de conformidad con la Sección 7,1, y sujeto a los términos de la Sección 7,3, el Cliente o un auditor externo independiente por mandato del Cliente puede llevar a cabo una inspección razonable del entorno de procesamiento de Edgio que sea relevante para el procesamiento de datos personales del cliente para verificar el cumplimiento de Edgio con sus obligaciones en virtud de este DPA.

7,3 En el caso de una auditoría de conformidad con la sección 7,2 anterior,

(A) Edgio, de acuerdo con las Leyes Europeas de Protección de Datos, pondrá a disposición del Cliente la información que esté en posesión o control de Edgio que el Cliente pueda solicitar razonablemente, para demostrar el cumplimiento de Edgio con sus obligaciones en virtud de este DPA. El Cliente no ejercerá sus derechos de auditoría más de una vez en cualquier período de doce (12) meses calendario. La auditoría se limitará a los días hábiles (durante el horario normal de trabajo y excluyendo los días festivos federales de los Estados Unidos) y el alcance razonablemente acordado por las partes con antelación. El Cliente debe notificar a Edgio una auditoría con al menos treinta (30) días de antelación y tomar todas las medidas razonables para evitar interrupciones innecesarias en las operaciones de Edgio. El Cliente deberá asumir todos los costos y gastos relacionados con dicha auditoría.

(b) Edgio puede oponerse a cualquier auditor externo designado por el Cliente para llevar a cabo cualquier auditoría bajo la Sección 7,2 si el auditor, en la opinión razonable de Edgio, no está debidamente calificado o independiente, es un competidor de Edgio o manifiestamente inadecuado. Cualquier objeción de Edgio requerirá que el Cliente designe a otro auditor o realice la auditoría por sí mismo.

(c) Nada en este DPA requerirá que Edgio revele al Cliente o a su auditor externo, o que permita al Cliente o a su auditor externo acceder a:

(i) cualquier dato de cualquier otro cliente de Edgio o un afiliado de Edgio;

(ii) cualquier información financiera o contable interna de Edgio o de Edgio Affiliate;

(iii) cualquier secreto comercial de Edgio o un afiliado de Edgio;

(iv) cualquier información que, en la opinión razonable de Edgio, podría (1) comprometer la seguridad de cualquier sistema o local de Edgio o Edgio Affiliate; o (2) hacer que Edgio o cualquier Afiliado de Edgio incumplan sus obligaciones en virtud de las leyes de protección de datos aplicables o sus obligaciones de seguridad y / o privacidad con el Cliente o cualquier tercero; o

(v) Cualquier información a la que el Cliente o su auditor externo intente acceder por cualquier motivo que no sea el cumplimiento de buena fe de las obligaciones del Cliente en virtud de las leyes de protección de datos aplicables.

(d) El Cliente indemnizará, defenderá y mantendrá indemne a Edgio de todos los costos y reclamos alegados por un tercero, ya sean reales o supuestos, que surjan de o en relación con la divulgación de Datos Personales al Cliente como resultado de dicha auditoría. Teniendo en cuenta la naturaleza de los Servicios y Procesamiento, el Cliente reconoce que Edgio no está en condiciones de identificar a las personas basándose en la información del usuario final requerida al Cliente para que Edgio proporcione los Servicios (por ejemplo, y la dirección IP del usuario final).

8. Disposiciones generales

8,1 Terceros beneficiarios. Sin perjuicio de los derechos concedidos en virtud de las Cláusulas Contractuales Uniformes, este DPA no confiere ningún derecho de terceros beneficiarios.

8,2 No divulgación. El Cliente acepta que los detalles de este DPA no se conocen públicamente y constituyen Información Confidencial de Edgio tal como se define en el Acuerdo.

8,3 Supervivencia. Este DPA permanecerá en pleno vigor y efecto durante el plazo aplicable del Acuerdo, y, sin perjuicio de cualquier cosa en contrario en este documento, sobrevivirá a la terminación o expiración del Acuerdo. Tras la terminación o expiración del Acuerdo, Edgio podrá continuar procesando los Datos Personales del Cliente siempre que dicho Tratamiento cumpla con los requisitos de este DPA y las leyes de protección de datos aplicables.

8,4 Acuerdo completo, conflicto. Este DPA reemplaza y reemplaza todas las representaciones, entendimientos, acuerdos o comunicaciones anteriores o contemporáneas entre Edgio y el Cliente, ya sean escritas o verbales, con respecto al Tratamiento de Datos Personales del Cliente. Excepto en la forma enmendada en este DPA, el Acuerdo permanecerá en pleno vigor y efecto. En caso de conflicto entre los términos de este DPA y el Acuerdo, los términos de este DPA prevalecerán en la medida en que el asunto se refiera al Tratamiento de Datos Personales del Cliente.

8,5 Enmienda, Exención. Este DPA solo podrá ser modificado por escrito y firmado por ambas partes. Ningún incumplimiento o retraso por parte de una parte para ejercer o hacer valer cualquier derecho en este documento operará como una renuncia a tal derecho.

PART A

Partes del Controlador del Procesador Cláusulas Contractuales Estándar

Exportador de datos:

Nombre: Según la orden de servicio.

Dirección: Según la orden de servicio.

Nombre de la persona de contacto, posición y detalles de contacto: Según la Orden de servicio.

Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: Consulte las actividades descritas a continuación para el importador de datos.

Función: Controlador

Importador de datos:

Nombre: Edgio, Inc.

Dirección: 11811 N. Tatum Blvd., Suite 3031, Phoenix, AZ 85028

Nombre, cargo y datos de contacto de la persona de contacto: Rich Diegnan, DPO, rdiegnan@edg.io

Actividades relevantes para los datos transferidos en virtud de estas cláusulas: Edgio Inc. Proporciona servicios de red de distribución de contenido, transmisión de video y servicios de seguridad relacionados a los clientes de medios digitales a través de una serie de puntos de presencia en todo el mundo.

Función: Procesador

PART B

Tema

Procesamiento realizado en relación con la prestación de los Servicios, que incluyen Aceleración del Sitio Web, WAF, descarga de Software a través de la Red Edgio y Servicio de Bot Avanzado.

Duration

Desde la Fecha de Efectividad hasta la terminación del Acuerdo.

Categorías de sujetos de datos cuyos datos personales se transfieren.

Usuarios finales del Cliente, Empleados de Negocio del Cliente

Naturaleza del Procesamiento

Desde la Fecha de Efectividad hasta la terminación del Acuerdo.

Categorías de datos personales transferidos:

Categoría

Datos

Seleccione como aplicable

Datos personales de los usuarios finales en el contenido del cliente y Datos personales en los datos registrados

Los datos personales en el contenido del cliente, si los hay, son elegidos por el cliente. Con respecto a dichos datos, el procesamiento, si los hubiera, de dichos datos se limita al papel de Edgio como conducto para dichos datos. Con el fin de proporcionar los Servicios, Edgio puede procesar y retener ciertos datos registrados, lo que implica el almacenamiento a corto plazo de las direcciones IP de los usuarios finales del Exportador de Datos.

X

Los datos sensibles tratados (si procede) y las restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, la limitación estricta de los fines, las restricciones de acceso (incluido el acceso únicamente para el personal que haya seguido una formación especializada), el mantenimiento de un registro del acceso a los datos, restricciones para transferencias ulteriores o medidas de seguridad adicionales.

Categoría especial
Datos

Ninguna

Nature of the processing

Edgio procesa los Datos Personales del Cliente para proporcionar servicios de entrega de contenido y seguridad como un conduitto de los Datos Personales del Cliente que el Cliente o sus usuarios finales colocan en el Servicio. Edgio procesa los datos registrados con el fin de proporcionar los Servicios. Los datos registrados se transfieren a los EE.UU. Para fines de facturación, etc. y se almacenan a corto plazo.

Frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua)

La transferencia se llevará a cabo de forma continua.

El período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período

El propósito de la transferencia de datos y el procesamiento posterior es permitir a Edgio prestar los Servicios en virtud del Acuerdo, en la medida necesaria.

El período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período

El propósito de la transferencia de datos y el procesamiento posterior es permitir a Edgio prestar los Servicios en virtud del Acuerdo, en la medida necesaria.

Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento

Dependiendo de la configuración de los Servicios del Cliente, los detalles aplicables del subprocesador incluyen los proporcionados en estos enlaces:

https://view.highspot.com/viewer/
616088e19bf7c594a5444f64

Autoridad supervisora competente

Cláusulas contractuales estándar de la UE: La autoridad supervisora responsable de garantizar el cumplimiento por parte del exportador de datos del RGPD en lo que respecta a la transferencia de datos actuará como autoridad supervisora competente.

Anexo del Reino Unido a las cláusulas contractuales estándar de la UE (cuando proceda): Cuando el exportador de datos esté establecido en el Reino Unido o se encuentre dentro del ámbito territorial de aplicación de las leyes y reglamentos de protección de datos del Reino Unido, la Oficina del Comisionado de Información actuará como autoridad supervisora competente.

Parte C

Medidas técnicas y organizativas

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE EDGIO

Política de Seguridad de la Información. Edgio mantiene una política de seguridad de la información formal y documentada, que se basa en varios estándares de seguridad reconocidos de la industria y está alineada con el Marco de Ciberseguridad de NIST y es aplicable a todos los empleados de Edgio y usuarios autorizados en Edgio Assets.

Equipos de Seguridad de la Información. Edgio mantiene equipos de seguridad de la información para promover y ayudar en la aplicación de la política y las prácticas de seguridad de la información de Edgio.

CUMPLIMIENTO DE EDGIO CON LAS NORMAS

Seguridad del producto. Los Servicios Aplicables están diseñados e implementados con controles técnicos, lógicos y físicos que se adaptan a las necesidades de negocio y seguridad de Edgio y sus clientes. Para los servicios empresariales aplicables, Edgio certifica anualmente los controles aplicables al Servicio bajo una o más de las siguientes normas, directrices y prácticas:

PCI (PCI-DSS)

ISO 27001

SSAE-18 SOC 1, 2 o 3

Intercambio de certificados. Cuando y cuando esté disponible, Edgio proporcionará un certificado para cada compra del Cliente de Servicio, a petición razonable del Cliente.

Protección de los certificados Edgio. Los certificados proporcionados a un Cliente se consideran información confidencial.

CONTROLES

Edgio Controls. Edgio protege sus redes utilizando prácticas de seguridad reconocidas por la industria, procedimientos y herramientas específicamente adaptadas al entorno de amenazas y negocios de Edgio.

Seguridad de hardware de terceros. Edgio cambia los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad.

Sistema regular y pruebas de seguridad. Edgio prueba regularmente los sistemas y procesos utilizados para la seguridad de la red para maximizar la capacidad operativa.

Ciclo de desarrollo de software seguro. Edgio desarrolla y mantiene sistemas diseñados para proteger los Datos Personales del Cliente a través de evaluaciones de riesgos de privacidad y ciberseguridad, y cuando corresponde utiliza la automatización en el ciclo de vida del desarrollo para hacer cumplir controles, entre otras prácticas.

Gestión de dispositivos móviles. Los dispositivos emitidos por las corporaciones de Edgio, como los portátiles y los teléfonos móviles estándar, son mantenidos por personas identificables que son responsables y responsables de la protección del dispositivo, así como de la seguridad de los datos procesados por dichos dispositivos. Los activos de Edgio deben estar físicamente bloqueados o comparablemente asegurados siempre que viajen con, transporten o utilicen equipos en entornos físicos que no sean de Edgio.

Monitorización de redes. Edgio utiliza herramientas y procedimientos de monitoreo de red diseñados para identificar actividades no autorizadas en las redes de Edgio.

GESTIÓN DE RIESGOS DE LA CADENA DE SUMINISTRO

Controles de Contrato. Edgio utiliza medidas contractuales para exigir que Edgios de terceros cumpla con los requisitos de seguridad de la información adecuados, como los estándares de seguridad de la información de Edgio, un código de conducta de proveedor y otras políticas de gestión de riesgos.

Edgio Gestión de Riesgos. Edgio ha establecido gobernabilidad, procesos y herramientas que se utilizan en toda la empresa Edgio para gestionar el riesgo de terceros. El programa requiere que los proveedores cumplan o excedan los requisitos de seguridad basados en las políticas de seguridad de la información corporativa de Edgio y las mejores prácticas de la industria. Estas herramientas y prácticas pueden incluir que el proveedor complete un cuestionario, proporcione pruebas de controles y evaluaciones remotas o in situ. El programa descubre problemas con los proveedores y trabaja para resolverlos de manera oportuna.

CONTROLES DE ACCESO

Gestión de accesos

Controles de acceso lógicos. Edgio mantiene políticas lógicas de control de acceso para que solo el personal autorizado tenga acceso a aplicaciones y sistemas empresariales críticos basados en los requisitos de posición y trabajo.

ID de usuario únicos. Edgio asigna a cada usuario autorizado un ID de usuario único para la responsabilidad de las acciones.

Reseñas de acceso. Edgio utiliza revisiones de autorización y procesos de cambio de rol para alertar a los administradores de la necesidad de modificar y/o revocar los derechos de acceso cuando un usuario autorizado ya no necesita acceso.

Registro de actividades. La política de Edgio requiere el registro y la supervisión del acceso a las redes de Edgio y los activos de Edgio.

Herramientas de seguridad. Se han desplegado herramientas basadas en hardware y software en toda la red Edgio para proporcionar alertas en tiempo real de dispositivos como firewalls, sistemas de detección de intrusiones, enrutadores y conmutadores.

Registros de eventos. Los activos críticos de Edgio deben configurarse para generar registros de eventos. Los registros de eventos se conservan de acuerdo con la retención de datos y los requisitos reglamentarios.

Principio de Privilegio Mínimo. Edgio generalmente utilizará el principio de Privilegio Mínimo para administrar el acceso para cada uno de sus sistemas. El acceso privilegiado para las funciones de red, sistema o aplicación de producción generalmente se controlará y restringirá al menor número de personal posible desde el punto de vista operativo y se autorizará sobre la base de la «necesidad de conocer» o «evento por evento».

Autenticación multifactor para acceso remoto. La política de Edgio requiere el uso de autenticación multifactor para asegurar el acceso remoto a la red de Edgio y a los activos de Edgio.

Verificación de identidad. La política de control de acceso de Edgio requiere que las credenciales de acceso de usuario autorizado identifiquen de manera única a una persona, sistema o servicio individual y estén protegidas. El acceso otorgado por esas credenciales de acceso de usuario autorizado debe revisarse periódicamente para validar que todavía es necesario.

Desaprovisionamiento. El acceso debe ser desprovisionado o eliminado cuando ya no sea necesario (por ejemplo, cambio de rol de trabajo) o en el caso de una terminación.

SEGURIDAD FÍSICA

Controles físicos. Edgio utiliza controles para restringir el acceso físico a las instalaciones que albergan los sistemas Edgio al personal autorizado.

Gestión de Acceso Físico. Dependiendo del tipo de instalación, el acceso puede ser permitido por lectores de acceso de tarjetas electrónicas, llaves, guardias de seguridad o personal local de la compañía.

Vigilancia. Las cámaras de CCTV se despliegan en ubicaciones estratégicas para proteger al personal, las operaciones y la propiedad.

Gestión de Visitantes. La política de Edgio requiere que los visitantes tengan y muestren insignias de visitante emitidas por Edgio en todo momento. Edgio requiere que los visitantes inicien sesión en el registro de un visitante antes de recibir una insignia de visitante. El personal de Edgio está obligado a usar una tarjeta de identificación emitida por la compañía en todo momento mientras está en las instalaciones de Edgio.

Seguridad del centro de datos. Edgio requiere controles de seguridad física para cada sala de computadoras, centro de datos e instalaciones similares.

CAPACITACIÓN EN SEGURIDAD DE LA INFORMACIÓN PARA EMPLEADOS Y CONTRATISTAS

Formación anual de sensibilización sobre la seguridad de la información. Edgio requiere que los empleados y contratistas de Edgio completen anualmente una capacitación sobre seguridad de la información y ciberseguridad para informarles de su papel en la seguridad de la información.

PRUEBAS DE PENETRACIÓN

Uso Interno de Pruebas de Penetración de Edgio. Edgio realiza pruebas de penetración en los entornos internos y externos de Edgio, basadas en el riesgo.

Restricciones en las pruebas de penetración. Debido a las preocupaciones de seguridad planteadas a Edgio y sus clientes, Edgio no permite a los clientes probar el estado de seguridad de los dispositivos de red que Edgio posee, opera o que se encuentran en un centro de datos de Edgio. Además, Edgio no permite la denegación de servicio, inundación o cualquier actividad de prueba similar que implique un consumo significativo de ancho de banda de la red.

FIREWALLS Y SEGMENTACIÓN DE REDES

Cortafuegos y herramientas de seguridad. Edgio utiliza herramientas basadas en hardware y software (como firewalls) en toda la red de Edgio para proporcionar alertas en tiempo real de dispositivos como sistemas de detección de intrusiones, enrutadores y conmutadores.

Arquitectura de redes y sistemas. Edgio utiliza prácticas de arquitectura de sistemas, software y redes para mitigar los riesgos cibernéticos.

BACK-UPS (no aplicable al contenido del cliente)

Políticas de respaldo. Edgio mantiene formalmente políticas y procedimientos de copia de seguridad de datos cuando sea apropiado. Las copias de seguridad de datos se rigen y se consideran al completar actividades de mapeo, retención o eliminación de datos.

Copias de seguridad y pruebas de archivos críticos. Los administradores deben realizar copias de seguridad periódicas de los archivos críticos y tomar las precauciones adecuadas para proteger la información de compromisos, pérdidas o daños. Además, se requiere que los administradores realicen pruebas periódicas de los procedimientos de restauración de copias de seguridad/recuperación en caso de desastre.

RETENCIÓN DE DATOS Y DESTRUCCIÓN DE DATOS (no aplicable al contenido del cliente)

Política de retención de datos. La política de Edgio requiere la gestión y protección de los datos de una manera sistemática y estructurada a lo largo del ciclo de vida de los datos; desde la creación, transmisión, almacenamiento, modificación, etc. retención y destrucción.

Sistema específico. Edgio gestiona la retención de datos mediante el uso de resúmenes de retención de datos específicos del sistema. Un resumen de la retención de datos registra qué tipos de datos contiene el sistema, el propósito de la recopilación y el uso de cada tipo de datos, los eventos desencadenantes para la destrucción y el período de tiempo que deben conservarse los datos. Estos resúmenes de retención de datos son necesarios para cumplir con el calendario de retención de datos de toda la empresa de Edgio y cualquier ley, reglamento y requisitos aplicables del cliente.

Destrucción de datos. Las prácticas de destrucción de datos de Edgio se alinean con el NIST 800-88, y abarcan los datos contenidos en los medios magnéticos, de estado sólido, ópticos y documentos confidenciales en papel.

RESPUESTA A INCIDENTES/VIOLACIÓN DE DATOS

Programa

Plan de respuesta a incidentes. Edgio mantiene un plan de respuesta a incidentes escrito y procesable para permitir que Edgio reaccione oportunamente a las filtraciones de datos.

Prueba del plan de respuesta. El plan de respuesta a incidentes de Edgio se prueba mediante el uso de ejercicios de mesa para coordinar y verificar los procedimientos documentados.

Respuesta y mitigación de incidentes

Reseñas de eventos de seguridad. Los datos de eventos de seguridad se revisan y analizan de forma programada. Se requiere que los eventos de seguridad se escalen rápidamente cuando se superen los umbrales de eventos predeterminados y se respondan de acuerdo con un proceso de gestión de incidentes definido.

RECURSOS HUMANOS

Sistemas de recursos humanos; desaprovisionamiento. Se requiere que los protocolos y procedimientos de seguridad de la información de Edgio estén integrados en todos los sistemas y procesos de Recursos Humanos de Edgio. El departamento de Recursos Humanos de Edgio (“RR.HH.”) y el departamento DE TI han implementado rutinas automatizadas y auditables para la creación de cuentas, permisos de roles y desaprovisionamiento de acceso que cubren una solicitud de nuevo empleado, un cambio en roles o la terminación de un empleado.

Verificación de antecedentes. Sujeto a la ley aplicable, HR completa una investigación exhaustiva de antecedentes previos al empleo de los empleados de Edgio en el momento de su contratación, que incluye antecedentes penales, SSN, autorización de trabajo y verificación de la lista de partidos prohibidos (por ejemplo, la Oficina de Control de Activos Extranjeros).

Código de Conducta Edgio. El Código de Conducta de Edgio requiere que los empleados de Edgio cumplan con las políticas y procedimientos de seguridad de la información de Edgio.

PROGRAMA DE GESTIÓN DE VULNERABILIDADES

Mitigación de Riesgos de Vulnerabilidad. El programa de gestión de vulnerabilidades de Edgio está diseñado para implementar y mantener prácticas y procedimientos para mitigar el riesgo de vulnerabilidades en el entorno empresarial de Edgio.

Proceso de gestión de parches. Para mantener un alto nivel de funcionalidad y seguridad de sus redes y sistemas alojados, Edgio tiene un proceso establecido de gestión de parches para el hardware de producción y software instalado en la red Edgio. Los parches de seguridad de los proveedores se evalúan inicialmente para determinar el riesgo y la prioridad de implementación. Una vez que un parche ha pasado los procedimientos de prueba adecuados, se libera para que la programación se implemente en la producción.

Cambios significativos en el sistema. Edgio programa, monitorea, controla y rastrea cambios significativos de los activos de Edgio.

Escaneos de vulnerabilidad. Edgio realiza análisis de vulnerabilidad internos y externos de forma periódica. Los propietarios de sistemas pueden programar escaneos de sistemas de vulnerabilidad en tiempo real según sea necesario para adaptarse a los vectores de amenazas cambiantes.

Restricciones en el escaneo del cliente. Debido al potencial de interrumpir los sistemas de Edgio y crear riesgos de seguridad para Edgio y sus clientes, Edgio no permite a los clientes (o sus terceros) probar o escanear los activos de Edgio.

Restricciones en el intercambio de informes. Edgio no proporciona informes de vulnerabilidad ni responde a preguntas específicas de Vulnerabilidad Común y Exposiciones (“CVE”) sobre el uso y/o no uso de hardware, software o productos de terceros específicos implementados dentro de la infraestructura de Edgio.

CONTINUIDAD DEL NEGOCIO Y GESTIÓN DE EVENTOS (“BCEM”)

Protocolos de Continuidad del Negocio. Edgio mantiene protocolos de continuidad de negocio y recuperación ante desastres diseñados para mejorar la capacidad de Edgio para responder a eventos significativos que podrían interrumpir las redes e instalaciones de Edgio o afectar la capacidad de Edgio para proporcionar servicio.

Evaluación del riesgo de desastres. Las prácticas de continuidad de negocio y recuperación ante desastres de Edgio identifican los riesgos potenciales de recuperación para los activos de Edgio e implementan medidas diseñadas para ayudar a minimizar y mitigar esos riesgos utilizando prácticas aceptadas por la industria.

Recursos de equipo dedicados. Edgio desarrolla e implementa estrategias diseñadas para minimizar los riesgos de recuperación y validar las capacidades de respuesta de Edgio a través de una planificación rigurosa estandarizada y pruebas periódicas.

PRUEBA 2: CLÁUSULAS CONTRACTUALES ESTÁNDAR PARA SU USO EN TRANSFERENCIAS DESDE LA UE

(Controladores a Procesadores)

DECISIÓN DE EJECUCIÓN (UE) 2021/914 de LA COMISIÓN, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (transferencias del responsable del tratamiento a un procesador).

Entre el Cliente en lo sucesivo “exportador de datos” y Edgio, Inc. En lo sucesivo “importador de datos” cada uno de ellos una “parte”; juntos “las partes”,

TENIENDO EN CUENTA los pactos y promesas mutuos que figuran en el presente documento

HAN ACORDADO las siguientes cláusulas contractuales (las “cláusulas”) con el fin de ofrecer garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el Anexo 1.

SECCIÓN I

Cláusula 1

Finalidad y alcance

A) El objetivo de las presentes cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos) para la transferencia de datos a un tercer país.

b) Las Partes:

i) la persona física o jurídica, la autoridad o autoridades públicas, las agencias u otros organismos (en lo sucesivo, «entidades») que transfieran los datos personales, tal como se indica en la letra A del anexo I (en lo sucesivo, «exportadores de datos»), y

ii) la entidad o entidades de un tercer país que reciban los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte en estas cláusulas, enumeradas en el anexo I.A (en lo sucesivo, cada «importador de datos»)

Han aceptado las presentes cláusulas contractuales tipo (en lo sucesivo: «Cláusulas»).

c) Estas cláusulas se aplican con respecto a la transferencia de datos personales, tal como se especifica en la letra B del anexo I.

d) el apéndice de estas cláusulas que contiene los anexos a que se hace referencia en ellas forma parte integrante de dichas cláusulas.

Cláusula 2

Efecto e invariabilidad de las cláusulas

(A) estas cláusulas establecen garantías adecuadas, incluidos los derechos exigibles de los interesados y recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de los responsables del tratamiento a los encargados del tratamiento y/o de los encargados del tratamiento a los encargados del tratamiento, cláusulas contractuales estándar de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el Módulo o los Módulos apropiados o para añadir o actualizar información en el Apéndice. Esto no impide a las Partes incluir las cláusulas contractuales estándar establecidas en estas cláusulas en un contrato más amplio y/o añadir otras cláusulas o salvaguardias adicionales, siempre que no contradigan, directa o indirectamente, estas cláusulas o perjudiquen los derechos o libertades fundamentales de los interesados.

b) Estas cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

(A) Los interesados pueden invocar y hacer cumplir estas cláusulas, como terceros beneficiarios, contra el exportador y/o importador de datos, con las siguientes excepciones:

i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

ii) Cláusula 8 – Módulo dos: Cláusula 8,1(b), 8,9(a), (c), (d) y (e);

iii) Cláusula 9 – Módulo dos: Cláusula 9(a), c), d) y e);

iv) Cláusula 12 – Módulos dos: Cláusula 12 a), d) y f);

v) Cláusula 13;

vi) Cláusula 15.1 c), d) y e);

vii) Cláusula 16 e);

viii) Cláusula 18 – Módulo dos: Cláusula 18(a) y(b).

b) Párrafo A) se entenderá sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Cláusula 4

Interpretación

A) Cuando estas cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

b) Estas cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.

c) Las presentes cláusulas no se interpretarán de manera que entren en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre estas cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, vigentes en el momento en que se acuerden o se suscriban estas cláusulas, prevalecerán estas cláusulas.

Cláusula 6

Descripción de la(s) transferencia(s)

Los detalles de la transferencia y, en particular, las categorías de datos personales que se transfieren y el propósito para el que se transfieren se especifican en el anexo I.B.

Cláusula 7

Cláusula de acoplamiento

DELIBERADAMENTE EN BLANCO.

SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas apropiadas, de cumplir sus obligaciones en virtud de estas cláusulas.

8,1 Instrucciones

A) El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante la duración del contrato.

b) el importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.

8,2 Limitación de propósito

El importador de datos solo tratará los datos personales para los fines específicos de la transferencia, según se establece en el anexo I.B, a menos que el exportador de datos siga instrucciones adicionales.

8,3 Transparencia

A petición del interesado, el exportador de datos pondrá gratuitamente a disposición del interesado una copia de estas cláusulas, incluido el Apéndice, tal como hayan sido completadas por las Partes. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá redactar parte del texto del apéndice de estas cláusulas antes de compartir una copia. sin embargo, proporcionará un resumen significativo cuando el interesado no pueda comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes facilitarán al interesado las razones de las redacciones, en la medida de lo posible sin revelar la información redactada. La presente Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8,4 Precisión

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para eliminar o rectificar los datos.

8,5 Duración del procesamiento y borrado o devolución de datos

El tratamiento por parte del importador de datos solo tendrá lugar durante el período especificado en la letra B del anexo I. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, eliminar todos los datos personales procesados en nombre del exportador de datos y certificar al exportador de datos que lo ha hecho, o devolver al exportador de datos todos los datos personales procesados en su nombre y eliminar las copias existentes. Hasta que se supriman o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que seguirá garantizando el cumplimiento de estas cláusulas y solo lo procesará en la medida y durante el tiempo que lo exija la legislación local. Esto se entiende sin perjuicio de lo dispuesto en la cláusula 14, en particular, el requisito de que el importador de datos en virtud de la cláusula 14(e) notifique al exportador de datos a lo largo de la duración del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no estén en consonancia con los requisitos de la cláusula 14(a).

8,6 Seguridad del procesamiento

A) El importador de datos y, durante la transmisión, también el exportador de datos adoptarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación o acceso no autorizados accidentales o ilegales a dichos datos (en lo sucesivo, «violación de datos personales»). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad del tratamiento y los riesgos que conlleva el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, cuando sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de las obligaciones que le incumben en virtud del presente apartado, el importador de datos aplicará al menos las medidas técnicas y organizativas especificadas en el anexo II El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

b) el importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Se asegurará de que las personas autorizadas para tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.

c) en caso de violación de los datos personales relativos a los datos personales tratados por el importador de datos en virtud de estas cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tenido conocimiento de la violación. Dicha notificación incluirá los detalles de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidos, cuando sea posible, categorías y número aproximado de interesados y registros de datos personales de que se trate), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la infracción, incluidas, cuando proceda, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, a medida que esté disponible, se facilitará ulteriormente sin demora indebida información adicional.

d) el importador de datos cooperará con el exportador de datos y lo asistirá para que éste pueda cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los interesados afectados; teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el importador de datos.

8,7 Datos sensibles

Cuando la transferencia implique datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera única a una persona física, datos relativos a la salud o la vida sexual u orientación sexual de una persona, o los datos relativos a condenas y delitos penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o salvaguardias adicionales descritas en la letra B del anexo I.

8,8 Transferencias posteriores

El importador de datos solo divulgará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo podrán ser divulgados a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo, «transferencia ulterior») si el tercero está o acepta estar sujeto a estas cláusulas, en el marco del Módulo correspondiente, o si:

i) la transferencia ulterior se efectúe a un país que se beneficie de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubra la transferencia ulterior;

ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

(iii) la transferencia posterior sea necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

(iv) la transferencia posterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías en virtud de estas cláusulas, en particular la limitación de la finalidad.

8,9 Documentación y cumplimiento

A) El importador de datos deberá atender pronta y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento en virtud de estas cláusulas.

b) Las Partes podrán demostrar el cumplimiento de estas cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas en nombre del exportador de datos.

c) el importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas cláusulas y, a petición del exportador de datos, permitir y contribuir a las auditorías de las actividades de tratamiento cubiertas por estas cláusulas; a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes en poder del importador de datos.

d) El exportador de datos podrá optar por llevar a cabo la auditoría por sí mismo o encomendar a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, cuando proceda, se llevarán a cabo con un aviso razonable.

e) Las Partes facilitarán la información mencionada en los párrafos b) y c), incluidos los resultados de las auditorías, a disposición de la autoridad de control competente previa solicitud.

Cláusula 9

Uso de subprocesadores

A) el importador de datos disponga de la autorización general del exportador de datos para contratar a subprocesadores de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con al menos treinta (30) días de antelación, de este modo, se da al exportador de datos tiempo suficiente para poder oponerse a tales cambios antes de la contratación del subprocesador o subprocesadores. El importador de datos facilitará al exportador de datos la información necesaria para que pueda ejercer su derecho de oposición.

b) cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades específicas de tratamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que prevea, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas cláusulas; incluyendo en términos de derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8,8. El importador de datos se asegurará de que el subprocesador cumpla las obligaciones a las que está sujeto el importador de datos en virtud de estas cláusulas.

c) el importador de datos facilitará, a petición del exportador de datos, una copia de dicho acuerdo de subprocesador y de cualquier modificación posterior del exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos puede redactar el texto del acuerdo antes de compartir una copia.

d) el importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador de las obligaciones que le incumben en virtud de dicho contrato.

e) el importador de datos acordará con el subprocesador una cláusula relativa al beneficiario de un tercero en virtud de la cual, en caso de que el importador de datos haya desaparecido de hecho, dejado de existir por ley o se ha convertido en insolvente: el exportador de datos tendrá derecho a rescindir el contrato de subprocesador y a instruir al subprocesador para que borre o devuelva los datos personales.

Cláusula 10

Derechos de los interesados

a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí misma a menos que haya sido autorizada para ello por el exportador de datos.

b) el importador de datos ayudará al exportador de datos a cumplir sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, mediante el cual se prestará la asistencia, así como el alcance y el alcance de la asistencia requerida.

c) En el cumplimiento de las obligaciones que le incumben en virtud de los párrafos a) y b) el importador de datos cumplirá las instrucciones del exportador de datos.

Cláusula 11

Reparación

A) El importador de datos informará a los interesados, en un formato transparente y de fácil acceso, mediante un aviso individual o en su sitio web, de un punto de contacto autorizado para tramitar reclamaciones. Se ocupará sin demora de cualquier queja que reciba de un interesado.

(b) en caso de controversia entre un interesado y una de las Partes en relación con el cumplimiento de estas cláusulas, esa Parte hará todo lo posible para resolver el problema de manera amistosa y oportuna. Las Partes se mantendrán informadas mutuamente sobre dichas controversias y, cuando proceda, cooperarán en su solución.

(c) cuando el interesado invoque un derecho beneficiario de un tercero de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del interesado de:

i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente de conformidad con la cláusula 13;

(ii) remitir la controversia a los tribunales competentes en el sentido de la Cláusula 18.

d) las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

e) el importador de datos deberá cumplir una decisión vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.

(f) el importador de datos acepta que la elección hecha por el interesado no perjudicará sus derechos sustantivos y procesales a buscar soluciones de conformidad con las leyes aplicables.

Cláusula 12

Responsabilidad

(A) Cada Parte será responsable ante la otra Parte/s por cualquier daño que cause a la otra Parte/s por cualquier incumplimiento de estas cláusulas.

(b) el importador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización por cualquier daño material o inmaterial que el importador de datos o su subprocesador cause al interesado al violar los derechos de terceros beneficiarios en virtud de estas cláusulas.

c) No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subprocesador) cause al interesado al violar los derechos de terceros beneficiarios en virtud de estas cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento con arreglo al Reglamento (UE) 2016/679 o al Reglamento (UE) 2018/1725, según proceda.

(d) las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo (c) por daños causados por el importador de datos (o su subencargado), tendrá derecho a reclamar al importador de datos la parte de la compensación correspondiente a la responsabilidad del importador de datos por el daño.

(e) cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas cláusulas, todas las Partes Responsables serán solidariamente responsables y el interesado tiene derecho a entablar una acción judicial contra cualquiera de estas Partes.

(f) las Partes acuerdan que si una Parte es considerada responsable bajo el párrafo (e), tendrá derecho a reclamar a la otra Parte la parte de la indemnización correspondiente a su responsabilidad por el daño.

g) el importador de datos no podrá invocar la conducta de un subencargado para eludir su propia responsabilidad.

Cláusula 13

Supervisión

La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C, actuará como autoridad de control competente.

b) el importador de datos se compromete a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de estas cláusulas. En particular, el importador de datos se compromete a responder a las consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad supervisora, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad de control una confirmación escrita de que se han adoptado las medidas necesarias.

SECCIÓN III – LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Leyes y prácticas locales que afectan el cumplimiento de las cláusulas

A) las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de datos personales o las medidas que autorizan el acceso de las autoridades públicas; impedir que el importador de datos cumpla con sus obligaciones en virtud de estas cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con estas cláusulas.

(b) Las Partes declaran que al proporcionar la garantía en el párrafo a) han tenido debidamente en cuenta, en particular, los siguientes elementos:

i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

ii) las leyes y prácticas del tercer país de destino, incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades, pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;

iii) cualquier salvaguardia contractual, técnica u organizativa pertinente que se establezca para complementar las salvaguardias previstas en estas cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

c) el importador de datos garantiza que, al realizar la evaluación prevista en el apartado b) Ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y está de acuerdo en que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de estas cláusulas.

(d) las Partes acuerdan documentar la evaluación de conformidad con el párrafo (b) y ponerla a disposición de la autoridad supervisora competente, previa solicitud.

(e) el importador de datos se compromete a notificar al exportador de datos sin demora si, después de haber aceptado estas cláusulas y durante la duración del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no estén en consonancia con los requisitos establecidos en la letra a), incluir una modificación de las leyes del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no esté en consonancia con los requisitos del párrafo a).

(f) después de una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones en virtud de estas cláusulas, el exportador de datos identificará sin demora las medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y confidencialidad) que adopte el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse garantías adecuadas para dicha transferencia, o si la autoridad de control competente le ha dado instrucciones de hacerlo. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de estas cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicará la Cláusula 16(d) y (e).

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15,1 Notificación

A) el importador de datos se compromete a notificar al exportador de datos y, cuando sea posible, al interesado sin demora (si es necesario con la ayuda del exportador de datos) si:

(i) recibe una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino para la divulgación de los datos personales transferidos en virtud de estas cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, la base jurídica de la solicitud y la respuesta proporcionada; o

ii) tenga conocimiento de cualquier acceso directo de las autoridades públicas a los datos personales transferidos en virtud de estas cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.

(b) si el importador de datos tiene prohibido notificar al exportador de datos y/o al sujeto de datos en virtud de las leyes del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una renuncia a la prohibición, con el fin de comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.

c) cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la duración del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, si se han impugnado las solicitudes y el resultado de esas impugnaciones, etc.).

d) el importador de datos se compromete a conservar la información de conformidad con las letras a) a c) durante la duración del contrato y a ponerla a disposición de la autoridad de control competente que lo solicite.

(e) Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos sin demora cuando no pueda cumplir con estas cláusulas.

15,2 Revisión de la legalidad y minimización de datos

A) el importador de datos acepta examinar la legalidad de la solicitud de divulgación, en particular si sigue siendo competencia de la autoridad pública requirente; y impugnar la solicitud si, tras una evaluación cuidadosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita en virtud de las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos, en las mismas condiciones, deberá buscar la posibilidad de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas provisionales con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre su fondo. No divulgará los datos personales solicitados hasta que se lo exija en virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la cláusula 14(e).

b) el importador de datos acepta documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, poner la documentación a disposición del exportador de datos. Asimismo, la pondrá a disposición de la autoridad de control competente, previa solicitud.

c) el importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, sobre la base de una interpretación razonable de la solicitud.

SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las cláusulas y terminación

A) el importador de datos informará sin demora al exportador de datos si no puede cumplir estas cláusulas, por cualquier motivo.

b) en caso de que el importador de datos infrinja estas cláusulas o no pueda cumplir estas cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se rescinda el contrato. Esto se entiende sin perjuicio de lo dispuesto en la cláusula 14 f).

c) el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas, cuando:

(i) el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas cláusulas no se restablece en un plazo razonable y, en cualquier caso, dentro de un mes de la suspensión;

(ii) el importador de datos está en incumplimiento sustancial o persistente de estas cláusulas; o

(iii) el importador de datos no cumple con una decisión vinculante de un tribunal o autoridad de control competente en relación con sus obligaciones en virtud de estas cláusulas.

En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato involucre a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa.

(d) los datos personales que se hayan transferido antes de la terminación del contrato de conformidad con el párrafo c) a elección del exportador de datos, se devolverá inmediatamente al exportador de datos o se suprimirá en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que se supriman o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que seguirá garantizando el cumplimiento de estas cláusulas y solo procesará los datos en la medida y durante el tiempo que lo exija la legislación local.

e) Cualquiera de las Partes podrá revocar su acuerdo de obligarse por estas cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican estas cláusulas; o ii) El Reglamento (UE) 2016/679 pasa a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Derecho aplicable

Estas cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de Irlanda.

Cláusula 18

Elección del foro y jurisdicción

A) cualquier controversia que surja de estas cláusulas será resuelta por los tribunales de un Estado miembro de la UE.

(b) Las Partes acuerdan que esos serán los tribunales de Irlanda.

c) El interesado también podrá entablar acciones judiciales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

(d) las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

Cláusula 19

Transferencia sujeta a la ley suiza de protección de datos

(A) en la medida en que las leyes y regulaciones de protección de datos y privacidad de Suiza (“Ley suiza de protección de datos”) Aplicar a una transferencia de datos personales, el exportador de datos y el importador de datos aceptan que estas cláusulas se modifiquen para que, con respecto (solo) a dicha transferencia (y sin limitar o afectar la aplicación de estas cláusulas de otro modo):

i. Las referencias generales y específicas en estas cláusulas al Reglamento (UE) 2016/679 o “dicho Reglamento” o al Derecho de la UE o de los Estados miembros tienen el mismo significado que la referencia equivalente en las leyes suizas de protección de datos;

ii. El término “Estado miembro” no se interpretará de tal manera que excluya a los interesados en Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la cláusula 18(c) de estas cláusulas;

iii Los detalles de las transferencias son los especificados en el anexo I, en el que las leyes suizas de protección de datos se aplican al procesamiento del exportador de datos al realizar dicha transferencia;

iv. Estas cláusulas también se aplican a la transferencia de información relativa a una entidad jurídica identificada o identificable cuando dicha información esté protegida de manera similar como “datos personales” en virtud de las leyes suizas de protección de datos hasta que dichas leyes se modifiquen para que dejen de aplicarse a una entidad jurídica; y

v. El Comisionado Federal de Protección de Datos e Información de Suiza es la autoridad supervisora competente a los efectos de la cláusula 13 de estas cláusulas.


ANEXO I DE LA PRUEBA 2

A. LISTA DE LAS PARTES

EXPORTADOR(s) de DATOS: [Identidad y datos de contacto del exportador(es) de datos y, en su caso, de su delegado de protección de datos y/o representante en la Unión Europea]

Véase la prueba 1 Parte A.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Véase la prueba 1 Parte B.

C. AUTORIDAD SUPERVISORA COMPETENTE

Véase la prueba 1 Parte B.

ANEXO II DE LA PRUEBA 2

Véase la prueba 1 Parte C..

ANEXO III DE LA PRUEBA 2

LISTA DE SUBPROCESADORES

No se aplica.


EXPOSICIÓN 3

ADICIÓN DEL REINO UNIDO A LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR DE LA UE

Fecha de la presente adición:

1. Esta Adenda es efectiva a partir de la misma fecha que las cláusulas.

Antecedentes:

2. El Comisionado de Información considera que esta Adenda proporciona garantías adecuadas para los fines de la transferencia de datos personales a un tercer país o una organización internacional, de conformidad con los artículos 46 del RGPD del Reino Unido y, con respecto a las transferencias de datos de los responsables del tratamiento a los procesadores y/o procesadores a los procesadores.

Interpretación de esta adición

3. Cuando la presente adición utilice términos definidos en el anexo, dichos términos tendrán el mismo significado que en 2.22 del anexo. Además, los siguientes términos tienen los siguientes significados:

Esta adición

Esta adición a las cláusulas

El anexo

Las cláusulas contractuales tipo establecidas en el anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021

Leyes de protección de datos del Reino Unido

Todas las leyes relacionadas con la protección de datos, el procesamiento de datos personales, la privacidad y / o las comunicaciones electrónicas en vigor de vez en cuando en el Reino Unido, incluido el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.

RGPD DEL REINO UNIDO

El Reglamento General de Protección de Datos del Reino Unido, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud del artículo 3 de la Unión Europea (Retirada) Act 2018.

REINO UNIDO

Reino Unido de Gran Bretaña e Irlanda del Norte

4. Este Anexo se leerá e interpretará a la luz de las disposiciones de las Leyes de Protección de Datos del Reino Unido, y de modo que si cumple con la intención de que proporcione las garantías adecuadas según lo exigido por el artículo 46 del RGPD.

5. Este Anexo no se interpretará de manera que entre en conflicto con los derechos y obligaciones establecidos en las leyes de protección de datos del Reino Unido.

6. Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa que la legislación (o disposición específica) puede cambiar con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) se haya consolidado, repromulgado y/o reemplazado después de que se haya celebrado la presente Adenda.

Jerarquía

En caso de conflicto o incoherencia entre la presente Adenda y las disposiciones de las cláusulas u otros acuerdos relacionados entre las Partes, vigentes en el momento en que se acuerde o se celebre la presente Adenda posteriormente, prevalecerán las disposiciones que ofrezcan la mayor protección a los interesados.

Incorporación de las cláusulas

8. La presente adición incorpora las cláusulas que se consideren modificadas en la medida necesaria para que funcionen:

a. Para las transferencias realizadas por el exportador de datos al importador de datos, en la medida en que las leyes de protección de datos del Reino Unido se apliquen al procesamiento del exportador de datos al realizar dicha transferencia; y

b. Proporcionar las garantías adecuadas para las transferencias de acuerdo con los artículos 46 de las leyes del RGPD del Reino Unido.

9. Las enmiendas requeridas por la Sección 7 anterior, incluyen (sin limitación):

a. Las referencias a las “cláusulas” se refieren a esta adición, ya que incorpora las cláusulas

b. Cláusula 6 La descripción de la(s) transferencia(s) se sustituye por:

“Los detalles de las transferencias y, en particular, las categorías de datos personales que se transfieren y el propósito para el que se transfieren son los especificados en el anexo I.B, donde las leyes de protección de datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar dicha transferencia.”

d. Las referencias a “Reglamento (UE) 2016/679″ o “Ese Reglamento” se sustituyen por “Leyes de Protección de Datos del Reino Unido” y las referencias a los artículos específicos del “Reglamento (UE) 2016/679″ se sustituyen por el artículo o sección equivalente de las Leyes de Protección de Datos del Reino Unido.

e. Se suprimen las referencias al Reglamento (UE) 2018/1725/97.

f. Las referencias a la «Unión», «UE» y «Estado miembro de la UE» se sustituyen por el «Reino Unido».

g. No se utilizan la cláusula 13 a) y la parte C del anexo II; la «autoridad supervisora competente» es el Comisionado de Información;

h. La cláusula 17 se sustituye por la siguiente: “Estas cláusulas se rigen por las leyes de Inglaterra y Gales”.

i. La cláusula 18 se sustituye por la siguiente:

j. “Cualquier controversia que surja de estas cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un interesado también puede entablar acciones legales contra el exportador de datos y / o importador de datos ante los tribunales de cualquier país en el Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales”.

k. Las notas a pie de página de las cláusulas no forman parte de la adición.

Enmiendas a la presente adición

Las Partes podrán acordar cambiar la Cláusula 17 y/o 18 para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.

Las Partes podrán modificar esta Adenda siempre que mantenga las garantías adecuadas requeridas por el artículo 46 del RGPD del Reino Unido para la transferencia pertinente mediante la incorporación de las cláusulas y la realización de cambios en las mismas de conformidad con la Sección 7 anterior.

Ejecutar este Apéndice

12.- Las Partes podrán suscribir el Addendum (incorporando las cláusulas) de cualquier forma que las haga legalmente vinculantes para las Partes y permita a los interesados hacer valer sus derechos tal como se establecen en las cláusulas. Esto incluye (pero no se limita a):

a. Añadiendo la presente adición a las cláusulas e incluyendo en el anexo 1A las firmas que figuran a continuación:

“Al firmar, aceptamos estar vinculados por el Anexo del Reino Unido a las Cláusulas Contractuales Estándar de la Comisión Europea fechadas:” y añadimos la fecha (donde todas las transferencias están bajo el Anexo)

“Al firmar también aceptamos estar vinculados por la Adenda del Reino Unido a las Cláusulas Contractuales Estándar de la Comisión Europea fechadas” y añadimos la fecha (cuando haya transferencias tanto en virtud de las Cláusulas como en virtud de la Adenda) (o palabras en el mismo efecto) y ejecutamos las Cláusulas; o

b. Modificando las cláusulas de conformidad con la presente adición y ejecutando las cláusulas modificadas.


ANEXO I DE LA PRUEBA 3

A. LISTA DE LAS PARTES

EXPORTADOR(s) de DATOS: [Identidad y datos de contacto del exportador(es) de datos y, en su caso, de su delegado de protección de datos y/o representante en la Unión Europea]

Véase la prueba 1 Parte A.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Véase la prueba 1 Parte B.

C. AUTORIDAD SUPERVISORA COMPETENTE

Véase la prueba 1 Parte B.


ANEXO II DE LA PRUEBA 3

Véase la prueba 1 Parte C..


ANEXO III DE LA PRUEBA 3

LISTA DE SUBPROCESADORES

No se aplica.

Documentos relacionados

2022 Informe ESG