Menu

Watch the Video
Ya está disponible la capacitación sobre el COVID-19 para el personal. Obtenga el curso complementario aquí.

Acuerdo de Tratamiento de Datos de Alchemy

CELEBRADO ENTRE:

(1) EL CLIENTE (el “Responsable del tratamiento de datos”); y

(2) Alchemy Systems (el “Encargado del tratamiento de datos”),

(cada uno, en lo individual, una “Parte”, y en conjunto las “Partes”).

CONSIDERANDO QUE:
(A) El Encargado del tratamiento de datos debe proporcionar servicios al Responsable del tratamiento de datos de conformidad con el presente Acuerdo.

(B) El presente Acuerdo se celebra para garantizar que se tomen garantías adecuadas con respecto a la protección de la privacidad y la seguridad de los Datos Personales transmitidos desde el Responsable del tratamiento de datos al Encargado del tratamiento de datos para su tratamiento, o acceso por parte del Encargado del tratamiento de datos bajo la autoridad del Responsable del tratamiento de datos para el tratamiento, o recibidos de otra manera por el Encargado del tratamiento de datos para el tratamiento a nombre del Responsable del tratamiento de datos.

(C) El presente Acuerdo define además ciertos niveles de servicio que se aplicarán a todos los servicios relacionados con los Datos Personales (como se definen a continuación) proporcionados por el Encargado del tratamiento de datos al Responsable del tratamiento de datos.

SE ACUERDA QUE:

1. DEFINICIONES

1.1 En el presente Acuerdo, las siguientes expresiones tendrán los significados mencionados a continuación, a menos que el contexto requiera lo contrario:

“Responsable del tratamiento de datos”
Hace referencia a la entidad que determina los propósitos y medios del Tratamiento de Datos Personales;

“Encargado del tratamiento de datos”
Hace referencia la entidad que trata Datos Personales a nombre del Responsable del tratamiento de datos;

“Interesado”
Hace referencia a una persona física identificada o identificable que es el sujeto de los Datos personales;

“Instrucción”
Hace referencia a la instrucción escrita, presentada por el Responsable del tratamiento de datos al Encargado del tratamiento de datos, y que indica que realice una acción específica con respecto a los Datos personales (incluida la despersonalización, bloqueo, eliminación, puesta a disposición, etc.);

“Datos personales”
Hace referencia a cualquier información relacionada con una persona física identificada o identificable; una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de su físico, identidad fisiológica, genética, mental, económica, cultural o social;

“Violación de la seguridad de los Datos personales»
Hace referencia a una violación de la seguridad que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación o acceso no autorizado a los Datos personales transmitidos, almacenados o tratados de cualquier otra manera;

“Trato/Tratamiento”
Hace referencia a cualquier operación o conjunto de operaciones que se realice sobre los Datos personales, ya sea por medios automáticos o no, como la recopilación, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o de otra forma, puesta a disposición, alineación o combinación, bloqueo, eliminación o destrucción;

“Cronograma”
Hace referencia el cronograma anexo y que forma parte del presente Acuerdo;

“Servicios”
Hace referencia al Tratamiento de los Datos personales por parte del Encargado del tratamiento de datos en relación con y para la prestación de los servicios que el Encargado del tratamiento de datos proporcionará al Responsable del tratamiento de datos en relación con el Acuerdo Maestro de Servicios entre Alchemy Systems y el CLIENTE con fecha del 10 de enero de 2018, incluso como se describe en el Anexo 1 del presente Acuerdo;

“Cláusulas Contractuales Estándar”
Hace referencia al acuerdo celebrado por y entre el Responsable del tratamiento de datos y el Encargado del tratamiento de datos, adjunto al presente como Anexo 3 de conformidad con la decisión de la Comisión Europea (C (2010) 593) del 5 de febrero de 2010 sobre Cláusulas Contractuales Estándar para la transferencia de Datos personales a encargados de tratamiento de datos establecidos en países terceros que no garantizan un nivel adecuado de protección de datos;

“Sub-encargado”
Hace referencia a cualquier encargado del tratamiento de datos contratado por el Encargado del tratamiento de datos (o por cualquier otro Sub-encargado del Encargado del tratamiento de datos) que acepta recibir Datos personales del Encargado del tratamiento de datos (o de cualquier otro Sub-encargado del Encargado del tratamiento de datos) destinados exclusivamente al Tratamiento de dichos Datos personales en nombre del Responsable del tratamiento de datos después de la transferencia de acuerdo con sus instrucciones y los términos del subcontrato escrito;

“Plazo”
Hace referencia al plazo de la SOW (Statement of Work [Declaración de Trabajo]) conforme al Acuerdo Maestro de Servicios celebrado por y entre Alchemy Systems y el CLIENTE con fecha del 20 de abril de 2018.

2. ALCANCE Y APLICACIÓN DEL PRESENTE ACUERDO

2.1 El alcance, la forma y el propósito, así como las categorías de Datos personales y los Interesados afectados se establecen en el Anexo 1 del presente Acuerdo.

2.2 El presente Acuerdo se aplicará, en relación con los Servicios, a:

2.2.1 Todos los Datos personales enviados por o a nombre del Responsable del tratamiento de datos al Encargado del tratamiento de datos para su Tratamiento;

2.2.2 Todos los Datos personales a los que accede el Encargado del tratamiento de datos bajo la autoridad del responsable del tratamiento de datos para el Tratamiento; y

2.2.3 Todos los Datos personales recibidos por el Encargado del tratamiento de datos para su Tratamiento a nombre del Responsable del tratamiento de datos.

3. TRATAMIENTO DE DATOS

El Encargado del tratamiento de datos acepta tratar los Datos personales a los que se aplica el presente Acuerdo en virtud de la cláusula 2 de acuerdo con los términos y condiciones establecidos en el presente Acuerdo, y en particular el Encargado del tratamiento de datos acepta:

3.1 Tratar los Datos personales únicamente en nombre del Responsable del tratamiento de datos y en todo momento de conformidad con las instrucciones del Responsable del tratamiento de datos basadas en el presente Acuerdo, con todas las leyes de protección de datos aplicables y únicamente para los fines (relacionados con la prestación de los servicios por parte del Encargado del tratamiento de datos) y de la manera especificada eventualmente por el Responsable del tratamiento de datos por escrito y para ningún otro propósito o de ninguna manera, excepto con el consentimiento previo y por escrito del Responsable del tratamiento de datos. Las instrucciones dadas oralmente se deberán confirmar de inmediato por escrito. Si el Encargado del tratamiento de datos no puede proporcionar dicho cumplimiento por cualquier motivo, acuerda notificar de inmediato al Responsable del tratamiento de datos de su incapacidad para cumplir, en cuyo caso el Responsable del tratamiento de datos tendrá derecho a suspender la transferencia de Datos y/o rescindir el presente Acuerdo. Cuando el Encargado del tratamiento de datos considere que cumplir con las instrucciones del Responsable del tratamiento de datos resultaría en una violación de cualquier ley aplicable sobre protección de datos, el Encargado del tratamiento de datos deberá notificarlo al Responsable del tratamiento de datos por escrito dentro de un período razonable;

3.2 Que no tiene ninguna razón para creer que alguna ley aplicable le impide cumplir con las instrucciones recibidas del Responsable del tratamiento de datos y con sus obligaciones bajo el presente Acuerdo, y que en caso de un cambio de cualquier ley aplicable que pueda tener un efecto adverso sustancial sobre las obligaciones previstas en el presente Acuerdo, notificará de inmediato al Responsable del tratamiento de datos sobre el cambio tan pronto como tenga conocimiento del mismo, en cuyo caso el Responsable del tratamiento de datos tiene derecho a suspender la transferencia de Datos personales y/o a rescindir el presente Acuerdo;

3.3 Que dentro del área de responsabilidad del Encargado del tratamiento de datos, el Encargado del tratamiento de datos debe estructurar su organización corporativa interna para garantizar el cumplimiento de los requisitos específicos de protección de Datos personales. El Encargado del tratamiento de datos tomará las medidas técnicas y organizacionales necesarias para proteger adecuadamente los Datos personales del Responsable del tratamiento de datos contra mal uso y pérdida. Se adjunta al presente una descripción general de las medidas técnicas y organizacionales como el Anexo 2 (Descripción de las medidas técnicas y organizacionales) del presente Acuerdo. El Encargado del tratamiento de datos monitorea regularmente el cumplimiento de estas medidas;

3.4 Garantizar que cada uno de sus empleados, agentes y sub-encargados conozca sus obligaciones en virtud del presente Acuerdo con respecto a la seguridad y protección de los Datos personales, exigiendo que se asuman obligaciones vinculantes con el Encargado del tratamiento de datos para mantener los niveles de seguridad y protección previstos en el presente Acuerdo;

3.5 Garantizar que todo el personal encargado del Tratamiento de los Datos personales del Responsable del tratamiento de datos se haya comprometido a la confidencialidad o esté bajo una obligación legal de confidencialidad adecuada. La obligación de mantener el secreto de los datos sobrevivirá a la terminación de la relación laboral respectiva;

3.6 No divulgar los Datos personales, ya sea directa o indirectamente a cualquier persona, empresa o de otra manera sin el consentimiento previo por escrito del Responsable del tratamiento de datos, excepto a los de sus empleados, agentes y sub-encargados que se dedican al Tratamiento de los Datos personales y están sujetos a las obligaciones vinculantes a las que se hace referencia en la cláusula 3.4 o 3.5 o salvo que lo exija cualquier ley o reglamento;

3.7 Notificar de inmediato al Responsable del tratamiento de datos sobre:

3.7.1 Cualquier solicitud legalmente vinculante para la divulgación de los Datos personales por parte de una autoridad del orden púbico, a menos que se prohíba lo contrario bajo una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación de aplicación de la ley;

3.7.2 Cualquier interrupción sustancial de los Servicios o interrupciones graves de las operaciones, cualquier infracción por parte del Encargado del tratamiento de datos o sus empleados, de las leyes de protección de datos aplicables o del presente Acuerdo, o cualquier irregularidad material en relación con el Tratamiento de los Datos personales que pertenecen al Responsable del tratamiento de datos;

3.7.3 Cualquier Violación de la seguridad de los Datos personales de la que tenga conocimiento. Dicha notificación incluirá, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Encargado del tratamiento de datos, cualquier información relevante para ayudar al Responsable del tratamiento de datos con sus propias obligaciones de notificación según la ley aplicable:

3.7.4 Cualquier solicitud recibida directamente de los Interesados sin responder a esa solicitud, a menos que el Responsable del tratamiento de datos lo haya autorizado por escrito;

3.8 En caso de que los Interesados ejerzan cualquiera de sus derechos bajo la ley aplicable en relación con los Datos personales (incluidos los derechos de acceso, rectificación, eliminación, bloqueo, objeción, restricción, portabilidad de datos y el derecho a no estar sujeto a una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles), para informar al Responsable del tratamiento de datos lo antes posible, y el Encargado del tratamiento de datos acuerda además ayudar al Responsable del tratamiento de datos con todas las solicitudes del Interesado que puedan recibirse de cualquier Interesado en relación con cualquier Dato personal;

3.9 Tomar en cuenta la naturaleza del Tratamiento, para ayudar al Responsable del tratamiento de datos con las medidas técnicas y organizacionales apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Responsable del tratamiento de datos de responder a las solicitudes de ejercicio de los derechos del Interesado establecidos por la ley aplicable;

3.10 Atender de manera rápida y adecuada todas las consultas del Responsable del tratamiento de datos relacionadas con el Tratamiento de los Datos personales, incluida la puesta a disposición del Responsable del tratamiento de datos de toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente Acuerdo o la información necesaria para que el Responsable del tratamiento de datos cumpla con las leyes aplicables;

3.11 Que cualquier servicio de Tratamiento realizado por un Sub-encargado se realizará de conformidad con la cláusula 6;

3.12 Que el Encargado del tratamiento de datos haya designado un oficial de protección de datos en la medida en que así lo exija la ley aplicable. El Encargado del tratamiento de datos proporcionará los datos de contacto de la persona designada; y

3.13 Ayudar al Responsable del tratamiento de datos a garantizar el cumplimiento de la ley aplicable, incluida la obligación de llevar a cabo evaluaciones de impacto de protección de datos y consultas previas con las autoridades de supervisión, teniendo en cuenta la naturaleza del Tratamiento y la información disponible para el Encargado del tratamiento de datos.

4. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO DE DATOS

Dentro, y restringido al alcance del presente Acuerdo, el Responsable del tratamiento de datos acuerda que se asegurará de que cualquier divulgación de Datos personales que realice al Encargado del tratamiento de datos se realice con el consentimiento del Interesado o sea legal.

5. RESCISIÓN

5.1 El presente Acuerdo se rescindirá automáticamente cuando (a) finalicen o venzan las obligaciones del Encargado del tratamiento de datos en relación con los Servicios, y (b) a elección del Responsable del tratamiento de datos para rescindir el Acuerdo. Al término del presente Acuerdo, el Encargado del tratamiento de datos entregará inmediatamente al Responsable del tratamiento de datos o destruirá, a su exclusivo criterio, todos los Datos personales del Responsable del tratamiento de datos en su posesión o bajo su control. A solicitud del Responsable del tratamiento de datos, el Encargado del tratamiento de datos deberá confirmar el cumplimiento de tales obligaciones por escrito y eliminar todas las copias existentes, a menos que la ley aplicable exija el almacenamiento de los Datos personales.

5.2 El Responsable del tratamiento de datos tendrá derecho a rescindir el presente Acuerdo inmediatamente mediante notificación por escrito al Encargado del tratamiento de datos si el Responsable del tratamiento de datos recibe una notificación del Encargado del tratamiento de datos de acuerdo con la cláusula 3.1 o 3.2 del presente Acuerdo.

6. NOMBRAMIENTO DE SUB-ENCARGADOS

6.1 El Encargado del tratamiento de datos solo puede autorizar a un Sub-encargado a Tratar Datos personales con la aprobación previa por escrito del Responsable del tratamiento de datos. En el caso de una autorización general por escrito, el Encargado del tratamiento de datos informará al Responsable del tratamiento de datos de cualquier cambio previsto con respecto a la adición o reemplazo de otros Sub-encargados, dando así al Responsable del tratamiento de datos la oportunidad de oponerse a dichos cambios.

6.2 Cualquier Tratamiento de este tipo por parte de un Sub-encargado se realizará de conformidad con un acuerdo firmado que no sea menos restrictivo que el presente Acuerdo.

6.3 Ningún Tratamiento por parte de un Sub-encargado liberará al Encargado del tratamiento de datos de su responsabilidad por sus obligaciones en virtud del presente Acuerdo, y el Encargado del tratamiento de datos será totalmente responsable del trabajo y las actividades de cada uno de sus Sub-encargados.

7. Cláusulas Contractuales Estándar

7.1 En el curso de la prestación de Servicios por parte del Encargado del tratamiento de datos al Responsable del tratamiento de datos, puede ser necesario transferir los Datos personales del Responsable del tratamiento de datos al Encargado del tratamiento de datos ubicado en los Estados Unidos.

7.2 Con respecto a las transferencias de datos a las que se hace referencia en la cláusula 7.1, las Cláusulas Contractuales Estándar celebradas por el Responsables del tratamiento de datos como exportador de Datos y el Encargado del tratamiento de datos como importador de datos se establecen en el Anexo 3.

7.3 Los Sub-encargados se designarán de conformidad con la Cláusula 5 (h) de las Cláusulas Contractuales Estándar como se especifica más adelante en la cláusula 6 del presente Acuerdo.

7.4 En caso de conflicto entre el texto del presente Acuerdo y cualquiera de sus Anexos (sin incluir las Cláusulas Contractuales Estándar) y las Cláusulas Contractuales Estándar en el Anexo 3, prevalecerán las disposiciones que protegen en mayor medida los derechos y libertades de los Interesados.

8. OTRAS DISPOSICIONES

8.1 Las modificaciones o adiciones al presente Acuerdo deben hacerse por escrito para que sean efectivas. Esto también se aplicará a las enmiendas de este requisito de forma escrita. El requisito de forma escrita en esta cláusula no incluye faxes ni ninguna forma no transitoria de reproducción visible de palabras (como correos electrónicos).

8.2 En caso de que alguna disposición del presente Acuerdo sea invalidada, esto no afectará la validez de los términos restantes. En tal caso, las Partes estarán obligadas a cooperar en la creación de términos que logren el resultado legalmente válido comercialmente más cercano al de la disposición inválida. Lo anterior se aplicará en consecuencia al cierre de cualquier vacío en el Acuerdo.

8.3 Las obligaciones del Responsable del tratamiento de datos derivadas de disposiciones legales o de acuerdo con una decisión judicial o reglamentaria no se verán afectadas por el presente Acuerdo.

8.4 El presente Acuerdo se regirá por la misma ley que rige la SOW de conformidad con el Acuerdo Maestro de Servicios celebrado entre Alchemy Systems y el Cliente, de fecha 10 de enero de 2018.

ANEXO 1

DESCRIPCIÓN DEL TRATAMIENTO

Objeto

La prestación de los Servicios por parte de Alchemy Systems como se define en la Sección 1.1 del Acuerdo de Tratamiento de Datos.

Duración del tratamiento

Los datos no se conservarán durante más tiempo del necesario para lograr los fines para los que se recopilaron, trataron o utilizaron, o según lo establecido en las leyes aplicables relacionadas con los períodos de retención de datos.
El Plazo más el período contado a partir del vencimiento del Plazo hasta la eliminación de todos los Datos personales por parte de Alchemy Systems de acuerdo con los Términos, de conformidad con la Sección 5.1 del Acuerdo de Tratamiento de Datos.

Alcance, tipo y propósito del tratamiento

Alchemy Systems tratará los Datos personales con el fin de proporcionar los Servicios.

Interesados

El Encargado del tratamiento de datos puede procesar los Datos personales de los clientes de la subsidiaria del Responsable del tratamiento de datos, el CLIENTE. El Encargado del tratamiento de datos también puede procesar los Datos personales proporcionados por los usuarios finales de los Servicios, que pueden incluir los Datos personales de los empleados actuales, ex empleados y usuarios finales.

Categorías de datos

Datos relacionados con individuos proporcionados por Alchemy Systems a través de los Servicios, por (o bajo la dirección del Cliente) o por los Usuarios finales del Cliente.
• Datos de contacto, como nombre, apellido, teléfono y dirección de correo electrónico.
• Situación de empleo, como departamento, cargo, ubicación y supervisor.

ANEXO 2

Descripción de medidas técnicas y organizacionales

Alchemy implementará y mantendrá las medidas de seguridad para garantizar un nivel de seguridad apropiado para ese riesgo, incluidas, según corresponda, las medidas a que se refiere el artículo 32 (1) del RGPD. Al evaluar el nivel apropiado de seguridad, Alchemy tendrá en cuenta, en particular, los riesgos que presenta la naturaleza de tales actividades de Tratamiento y particularmente los relacionados con posibles Violaciones de la seguridad de los Datos personales.

Alchemy puede actualizar o modificar eventualmente dichas Medidas de seguridad, siempre y cuando dichas actualizaciones y modificaciones no den lugar a la degradación de la seguridad general de los Servicios.

ANEXO 3

Cláusulas Contractuales Estándar (Encargados)

Para los efectos del artículo 26, apartado 2, de la Directriz 95/46/CE para la transferencia de Datos personales a encargados del tratamiento de datos establecidos en terceros países que no garantizan un nivel adecuado de protección de datos
Otra información necesaria para identificar a la organización: n/a

(el Exportador de datos)

Y

Otra información necesaria para identificar a la organización: n/a

(el Importador de datos)

cada uno, en lo individual, una “Parte”, y en conjunto las “Partes”,
HAN ACORDADO las siguientes Cláusulas Contractuales (las “Cláusulas”) con el fin de brindar garantías adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por parte del Exportador de datos al Importador de datos de los Datos personales especificados en el Apéndice 1.

Cláusula 1

Definiciones

Para los fines de las Cláusulas:

(a) ‘Datos Personales’, ‘categorías especiales de datos’, ‘trato/tratamiento’, ‘responsable’, ‘encargado’, ‘interesado’ y ‘autoridad supervisora’ tendrán el mismo significado que en la Directriz 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995, sobre la protección de las personas en lo que respecta al tratamiento de Datos personales y la libre circulación de dichos datos;

(b) “Exportador de datos” significa el responsable que transfiere los Datos personales;

(c) El “Importador de datos” significa el encargado que acepta recibir del Exportador de datos los Datos personales destinados a ser procesados en su nombre después de la transferencia de acuerdo con sus instrucciones y los términos de las Cláusulas y que no está sujeto a un sistema de un país tercero que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directriz 95/46/CE;

(d) El “Sub-encargado” significa cualquier encargado contratado por el Importador de datos o por cualquier otro sub-encargado del Importador de datos que acepte recibir del Importador de datos o de cualquier otro sub-encargado del Importador de Datos, datos personales destinados exclusivamente a actividades de tratamiento llevadas a cabo a nombre del Exportador de datos después de la transferencia de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato por escrito;

e) La “Ley de protección de datos aplicable” significa la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al tratamiento de Datos personales aplicable a un Responsable del tratamiento de datos en el Estado miembro en el que se establece el Exportador de datos;

f) “Medidas de seguridad técnicas y organizacionales” significa las medidas destinadas a proteger los Datos personales contra la destrucción accidental o ilegal o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de tratamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de Datos personales, cuando corresponda, se especifican en el Apéndice 1, que forma parte integral de las Cláusulas.

Cláusula 3

Cláusula de tercero beneficiario

1. El interesado puede hacer cumplir en contra el Exportador de datos esta Cláusula, la Cláusula 4 (b) a (i), la Cláusula 5 (a) a (e) y (g) a (j), la Cláusula 6 (1) y (2), la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12 como tercero beneficiario.

2. El interesado puede hacer cumplir contra el Importador de datos esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que el Exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que una entidad sucesora haya asumido todas las obligaciones legales del Exportador de datos por contrato o por ley, como resultado de lo cual asume los derechos y obligaciones del Exportador de datos, en cuyo caso el sujeto de datos puede imponerlos contra dicha entidad.

3. El interesado puede hacer cumplir contra el sub-encargado esta Cláusula, la Cláusula 5 (a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8 (2) y las Cláusulas 9 a 12, en los casos en que el Exportador de datos y el Importador de datos hayan desaparecido de hecho o hayan dejado de existir en la ley o se hayan vuelto insolvente, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del Exportador de datos por medio de contrato o por cumplimiento de la ley como resultado de lo cual asume los derechos y obligaciones del Exportador de datos, en cuyo caso el interesado puede hacerlas cumplir contra dicha entidad. Dicha responsabilidad de terceros del sub-encargado se limitará a sus propias operaciones de procesamiento según las Cláusulas.

4. Las Partes no se oponen a que un sujeto de datos sea representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.

Cláusula 4

Obligaciones del Exportador de datos.

El Exportador de datos acepta y garantiza:

(a) que el tratamiento, incluida la transferencia misma, de los Datos personales se ha llevado a cabo y continuará de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, cuando corresponda, se ha notificado a las autoridades pertinentes del Estado miembro donde está establecido el Exportador de datos) y que no viola las disposiciones pertinentes de ese Estado;

(b) que ha instruido, y que instruirá durante toda la duración de los servicios de tratamiento de Datos personales al Importador de datos para que trate los Datos personales transferidos solo en nombre del Exportador de datos y de conformidad con la ley de protección de datos aplicable y las Cláusulas;

(c) que el Importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizacionales especificadas en el Apéndice 2 de este contrato;

(d) que después de evaluar los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son apropiadas para proteger los Datos personales contra la destrucción accidental o ilegal o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de tratamiento, y que estas medidas garantizan un nivel de seguridad apropiado a los riesgos presentados por el tratamiento y la naturaleza de los datos a proteger teniendo en cuenta el estado del arte y el costo de su implementación;

(e) que garantizará el cumplimiento de las medidas de seguridad;

(f) que, si la transferencia involucra categorías especiales de datos, el interesado ha sido informado o será informado antes, o tan pronto como sea posible después, de la transferencia de que sus datos podrían transmitirse a un tercer país que no proporciona protección adecuada dentro del significado de la Directriz 95/46/CE;

(g) remitir cualquier notificación recibida del Importador de datos o de cualquier sub-encargado de conformidad con la Cláusula 5 (b) y la Cláusula 8 (3) a la autoridad supervisora de protección de datos si el Exportador de datos decide continuar la transferencia o levantar la suspensión;

(h) poner a disposición de los interesados, previa solicitud, una copia de las Cláusulas, con la excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de sub-tratamiento que deba realizarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso puede eliminar dicha información comercial;

(i) que, en caso de sub-tratamiento, la actividad de tratamiento se lleva a cabo de conformidad con la Cláusula 11 por un sub-encargado que proporcione al menos el mismo nivel de protección para los Datos personales y los derechos del interesado que el Importador de datos según las Cláusulas; y

(j) que garantizará el cumplimiento de las Cláusulas 4 (a) a (i).

Cláusula 5

Obligaciones del Importador de datos.

El Importador de datos acepta y garantiza:

(a) tratar los Datos personales solo en nombre del Exportador de Datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar dicho cumplimiento por cualquier razón, acuerda informar de inmediato al Exportador de datos de su incapacidad para cumplir, en cuyo caso el Exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

(b) que no tiene ninguna razón para creer que la legislación aplicable le impide cumplir con las instrucciones recibidas del Exportador de datos y sus obligaciones en virtud del contrato y que en caso de un cambio en esta legislación que probablemente tenga un efecto adverso sustancial sobre las garantías y obligaciones proporcionadas por las Cláusulas, notificará de inmediato el cambio al Exportador de datos tan pronto como tenga conocimiento, en cuyo caso el Exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el Contrato;

(c) que ha implementado las medidas de seguridad técnicas y organizacionales especificadas en el Apéndice 2 antes de tratar los Datos personales transferidos;

(d) que notificará de inmediato al Exportador de datos sobre:

(i) cualquier solicitud legalmente vinculante de divulgación de los Datos personales por parte de una autoridad encargada de hacer cumplir la ley, a menos que se prohíba lo contrario, como una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación de aplicación de la ley,

(ii) cualquier acceso accidental o no autorizado, y

(iii) cualquier solicitud recibida directamente de los interesados sin responder a esa solicitud, a menos que haya sido autorizado de otra manera para hacerlo;

(e) atender de manera rápida y adecuada todas las consultas del Exportador de datos relacionadas con el tratamiento de los Datos personales sujetos a la transferencia y cumplir con el consejo de la autoridad supervisora con respecto al tratamiento de los datos transferidos;

(f) a solicitud del Exportador de datos, presentar sus instalaciones de tratamiento de datos para la auditoría de las actividades de tratamiento cubiertas por las Cláusulas que deberá realizar el Exportador de datos o un organismo de inspección compuesto por miembros independientes y en posesión de las calificaciones profesionales requeridas vinculadas por un deber de confidencialidad, seleccionado por el Exportador de datos, cuando corresponda, de acuerdo con la autoridad supervisora;

(g) poner a disposición del interesado, previa solicitud, una copia de las Cláusulas, o cualquier contrato existente para el sub-tratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso puede eliminar dicha información comercial, con la excepción del Apéndice 2 que se reemplazará por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del Exportador de datos;

(h) que, en caso de sub-tratamiento, haya informado previamente al Exportador de datos y obtenido su consentimiento previo por escrito;

(i) que los servicios de tratamiento por parte del sub-encargado se llevarán a cabo de conformidad con la Cláusula 11;

(j) enviar sin demora una copia de cualquier acuerdo de sub-encargado que celebre en virtud de las Cláusulas al Exportador de datos.

Cláusula 6

Responsabilidad

1. Las Partes acuerdan que cualquier interesado que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o sub-encargado tendrá derecho a recibir una compensación del Exportador de datos por el daño sufrido.

2. Si un interesado no puede presentar una reclamación de indemnización de conformidad con el párrafo 1 contra el Exportador de datos, debido a un incumplimiento por parte del Importador de datos o su sub-encargado de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11, debido a que el Exportador de datos ha desaparecido o ha dejado de existir legalmente o se ha vuelto insolvente, el Importador de datos acepta que el interesado puede emitir una reclamación contra el Importador de datos como si fuera el Exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del Exportador de datos por contrato o por cumplimiento de la ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad.
El Importador de datos no puede confiar en un incumplimiento por parte de un sub-encargado de sus obligaciones para evadir sus propias responsabilidades.

3. Si un interesado no puede presentar una reclamación contra el Exportador de datos o el Importador de datos a que se refieren los párrafos 1 y 2, como resultado de una infracción por parte del sub-encargado de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 porque tanto el Exportador de datos como el Importador de datos han desaparecido o han dejado de existir legalmente o han quedado insolventes, el sub-encargado acepta que el interesado puede emitir una reclamación contra el sub-encargado con respecto a sus propias operaciones de tratamiento en virtud de las Cláusulas como si fuera el Exportador de datos o el Importador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del Exportador o Importador de datos por contrato o por ley, en cuyo caso el interesado puede hacer valer sus derechos contra dicha entidad. La responsabilidad del sub-encargado se limitará a sus propias operaciones de tratamiento según las Cláusulas.

Cláusula 7

Mediación y jurisdicción

1. El Importador de datos acepta que si el interesado invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el Importador de datos aceptará la decisión del interesado:

(a) de remitir la disputa a mediación, por una persona independiente o, en su caso, por la autoridad supervisora;

(b) de remitir la disputa a los tribunales del Estado miembro en el que esté establecido el Exportador de datos.

2. Las Partes acuerdan que la elección realizada por el interesado no perjudicará sus derechos sustantivos o procesales para buscar recursos de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades supervisoras

1. El Exportador de datos acuerda depositar una copia de este contrato con la autoridad supervisora si así lo solicita, o si dicho depósito es requerido por la ley de protección de datos aplicable.

2. Las Partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del Importador de datos y de cualquier sub-encargado, que tenga el mismo alcance y sujeto a las mismas condiciones que se aplicarían en una auditoría del Exportador de datos bajo la ley de protección de datos aplicable.

3. El Importador de datos informará sin demora al Exportador de datos sobre la existencia de legislación aplicable a él o a cualquier sub-encargado que impida la realización de una auditoría del Importador de datos o de cualquier sub-encargado, de conformidad con el párrafo 2. En tal caso, el Exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5 (b).

Cláusula 9

Legislación aplicable

Las cláusulas se regirán por la ley del Estado miembro en el que esté establecido el Exportador de datos.

Cláusula 10

Variación del contrato
Las Partes se comprometen a no variar o modificar las Cláusulas. Esto no impide que las Partes agreguen cláusulas sobre asuntos relacionados con el negocio cuando sea necesario, siempre que no contradigan la Cláusula original.

Cláusula 11

Sub-tratamiento

1. El Importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del Exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del Exportador de datos. Cuando el Importador de datos subcontrate sus obligaciones en virtud de las Cláusulas con el consentimiento del Exportador de datos, solo lo hará mediante un acuerdo por escrito con el sub-encargado que imponga las mismas obligaciones al sub-encargado que se imponen al Importador de datos en virtud del Cláusulas. Cuando el sub-encargado no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el Importador de datos seguirá siendo totalmente responsable ante el Exportador de datos por el cumplimiento de las obligaciones del sub-encargado en virtud de dicho acuerdo.

2. El contrato previo por escrito entre el Importador de datos y el sub-encargado también estipulará una cláusula de tercero beneficiario como se establece en la Cláusula 3 para los casos en que el interesado no pueda presentar la reclamación de indemnización mencionada en el párrafo 1 de la Cláusula 6 contra el Exportador de datos o el Importador de datos porque de hecho hayan desaparecido, hayan dejado de existir en la ley o se hayan vuelto insolventes y ninguna entidad sucesora ha asumido todas las obligaciones legales del Exportador o Importador de datos por contrato o por cumplimiento de la ley. Dicha responsabilidad de tercero del sub-encargado se limitará a sus propias operaciones de procesamiento según las Cláusulas.

3. Las disposiciones relativas a los aspectos de protección de datos para el sub-tratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el Exportador de datos.

4. El Exportador de datos deberá mantener una lista de los acuerdos de sub-tratamiento celebrados en virtud de las Cláusulas y notificados por el Importador de datos de conformidad con la Cláusula 5 (j), que se actualizará al menos una vez al año. La lista estará disponible para la autoridad supervisora de protección de datos del Exportador de datos.

Cláusula 12

Obligación después de la terminación de los servicios de tratamiento de Datos personales

1. Las Partes acuerdan que al finalizar la prestación de servicios de tratamiento de datos, el Importador de datos y el sub-encargado, a elección del Exportador de datos, devolverán todos los Datos personales transferidos y las copias de los mismos al Exportador de datos o destruirán todos los Datos personales y certificará al Exportador de datos que lo ha hecho, a menos que la legislación impuesta al Importador de datos le impida devolver o destruir la totalidad o parte de los Datos personales transferidos. En tal caso, el Importador de datos garantizará la confidencialidad de los Datos personales transferidos y ya no tratará activamente los Datos personales transferidos.

2. El Importador de datos y el sub-encargado garantizan que, a solicitud del Exportador de datos y/o de la autoridad supervisora, presentarán sus instalaciones de tratamiento de datos para una auditoría de las medidas mencionadas en el párrafo 1.

APÉNDICE 1 DE LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR
Este Apéndice forma parte de las Cláusulas y debe ser completado y firmado por las Partes.
Los Estados miembros pueden completar o especificar, de acuerdo con sus procedimientos nacionales, cualquier información adicional necesaria que se incluirá en este Apéndice.

Para todas las Partes del Apéndice 1, consulte la descripción contenida en el Anexo 1 del Acuerdo de Tratamiento de Datos.

Exportador de datos
El Exportador de datos es (especifique brevemente sus actividades relevantes para la transferencia):
………………………………………………………………………………………………………………………………………………………………………………………………

Importador de datos
El Importador de datos es (especifique brevemente las actividades relevantes para la transferencia):
………………………………………………………………………………………………………………………………………………………………………………………………

Interesados
Los Datos personales transferidos se refieren a las siguientes categorías de interesados(por favor especifique):
………………………………………………………………………………………………………………………………………………………………………………………………

Categorías de datos
Los Datos personales transferidos se refieren a las siguientes categorías de datos (especifique):
………………………………………………………………………………………………………………………………………………………………………………………………

Categorías especiales de datos (si corresponde)
Los Datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifique):
………………………………………………………………………………………………………………………………………………………………………………………………

Operaciones de tratamiento
Los Datos personales transferidos estarán sujetos a las siguientes actividades básicas de tratamiento (especifique):
………………………………………………………………………………………………………………………………………………………………………………………………

APÉNDICE 2 DE LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR
Este Apéndice forma parte de las Cláusulas y debe ser completado y firmado por las Partes.
Descripción de las medidas de seguridad técnicas y organizacionales implementadas por el Importador de datos de conformidad con las Cláusulas 4 (d) y 5 (c) (o documento/legislación adjunta):

Consulte la descripción que figura en el Anexo 2 del Acuerdo de Tratamiento de Datos.