Anexo sobre procesamiento de datos
Este Anexo de Tratamiento de Datos (este «DPA») establece las obligaciones de Ripple Treasury, Coprocess o CashAnalytics en virtud del Contrato Marco con respecto a los Datos Personales Cubiertos. En cualquier caso, «Ripple Treasury» en este Anexo de Tratamiento de Datos significará la entidad respectiva con la que el Cliente sea parte en virtud de un Contrato Marco.El presente Anexo de Tratamiento de Datos (el «APD») establece las obligaciones de Ripple Treasury, Coprocess o CashAnalytics en virtud del Contrato Marco con respecto a los Datos Personales Cubiertos. En cualquier caso, «Ripple Treasury» en el presente Anexo de Tratamiento de Datos significará la entidad correspondiente con la que el Cliente es parte en un Contrato Marco.
1. Términos Definidos.1. Términos definidos.
Cualquier término en mayúscula en este DPA que no esté definido por este DPA tendrá el significado que le otorgue el Contrato Marco. En caso contrario, los siguientes términos tendrán los siguientes significados.Cualquier término en mayúscula en este DPA que no esté definido en este DPA tendrá el significado que se le atribuye en el Contrato Principal. De lo contrario, los siguientes términos tendrán los siguientes significados.
(a) Por «Datos Personales Cubiertos» se entienden los Datos Personales que:(a) Los “Datos Personales Cubiertos” son Datos Personales que:
(i) Ripple Treasury recibe del Cliente o de cualquier tercero (incluido, entre otros, cualquier Interesado) en el ámbito del Contrato; y(i) Ripple Treasury recibe del Cliente o de cualquier tercero (incluyendo, pero sin limitarse a, cualquier Interesado) en el ámbito del Contrato; y
(ii) Está protegida por la Ley de Protección de Datos y con respecto a la cual la Ley de Protección de Datos impone protecciones debido a su naturaleza personal.Está protegido por la Ley de Protección de Datos y, en virtud de su carácter personal, dicha ley le impone protecciones.
(b) Por «Ley de Protección de Datos» se entiende la ley internacional, nacional, estatal o provincial que protege, o impone restricciones al Tratamiento de, los Datos Personales en cuestión. El término incluye, entre otras, las siguientes, en su versión modificada, y las normas que las desarrollan con fuerza de ley, siempre que cumplan la definición anterior: el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (el «RGPD»), la Ley de Privacidad de Australia de 1988, la Ley de Privacidad de Nueva Zelanda de 2020, la Ley de Protección de la Información Personal y Documentos Electrónicos de Canadá («PIPEDA»), la Ley Federal Suiza de Protección de Datos, la Ley de Protección de Datos del Reino Unido de 2018, la Ley de Privacidad del Consumidor de California de 2018 («CCPA») y la Ley de Derechos de Privacidad de California de 2020 («CPRA»).(b) «Legislación de Protección de Datos» significa toda ley internacional, nacional, estatal o provincial que proteja o imponga restricciones al Tratamiento de los Datos Personales en cuestión. El término incluye, entre otras, las siguientes, según sean modificadas, y las normas que de ellas se deriven y tengan fuerza de ley, siempre que cumplan con la definición anterior: el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (el «RGPD»), la Ley de Privacidad de Australia de 1988, la Ley de Privacidad de Nueva Zelanda de 2020, la Ley de Protección de la Información Personal y los Documentos Electrónicos de Canadá («PIPEDA»), la Ley Federal Suiza de Protección de Datos, la Ley de Protección de Datos del Reino Unido de 2018, la Ley de Privacidad del Consumidor de California de 2018 («CCPA») y la Ley de Derechos de Privacidad de California de 2020 («CPRA»).
(c) Un «Interesado» con respecto a los Datos Personales es la persona física identificada o identificable a la que se refieren los Datos Personales.(c) Un «Interesado» en relación con los Datos Personales es la persona física identificada o identificable a la que se refieren los Datos Personales.
(d) Por «Datos Personales del EEE» se entienden los Datos Personales Cubiertos cuyos Interesados se encuentran en el EEE.(d) “Datos Personales del EEE” significa Datos Personales Cubiertos cuyos Interesados se encuentran en el EEE.
(e) Por «Unión Europea» o «UE» se entienden los Estados miembros de dicha unión tal como se establece en el Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea y los tratados conexos, según dichos Estados miembros puedan adherirse o retirarse.(e) Por «Unión Europea» o «UE» se entiende los Estados miembros de dicha unión, tal como se establece en el Tratado de la Unión Europea, el Tratado de Funcionamiento de la Unión Europea y los tratados conexos, según dichos Estados miembros puedan adherirse o retirarse.
(f) Por «Espacio Económico Europeo» o «EEE» se entienden los Estados miembros adheridos en virtud del Acuerdo sobre el Espacio Económico Europeo, según dichos Estados miembros puedan adherirse o retirarse.
(g) Por «Datos Personales» se entiende toda información sobre una persona física identificada o identificable, entendiéndose por «persona física identificable» toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos característicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física.
(h) Por «Tratamiento» de Datos Personales se entiende cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, ya sea por medios automatizados o no, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción.
2. Generalidades.
(a) El Cliente no proporcionará a Ripple Treasury ningún Dato Personal que no sea necesario para el cumplimiento por parte de Ripple Treasury de sus obligaciones en virtud del Acuerdo.
(b) Las obligaciones de Ripple Treasury en virtud de este DPA se aplican en la medida en que la Ley de Protección de Datos aplicable al Cliente exija que el Cliente imponga dichas obligaciones a los encargados del tratamiento de Datos Personales Cubiertos.
(c) Ripple Treasury no contratará a otro encargado del tratamiento sin la autorización previa específica o general por escrito del Cliente. En el caso de autorización general por escrito, Ripple Treasury informará al Cliente de cualquier cambio previsto relativo a la adición o sustitución de otros encargados del tratamiento y dará al Cliente la oportunidad de oponerse a dichos cambios.
(d) El objeto, la naturaleza y la finalidad del Tratamiento por parte de Ripple Treasury es la entrega de los bienes, servicios y/o software identificados en el Acuerdo.
(e) El tipo de Datos Personales y las categorías de Interesados son los tipos y categorías contemplados en el Acuerdo.
(f) Ripple Treasury Tratará los Datos Personales Cubiertos únicamente siguiendo las instrucciones documentadas del Cliente, incluso con respecto a las transferencias de datos personales a un tercer país o a una organización internacional, a menos que así lo exija la Ley de Protección de Datos a la que Ripple Treasury esté sujeta. En tal caso, Ripple Treasury informará al Cliente de dicho requisito legal antes del Tratamiento, a menos que dicha ley prohíba dicha información por motivos importantes de interés público contemplados en la Ley de Protección de Datos. Para evitar dudas, el Acuerdo constituye las instrucciones documentadas del Cliente a Ripple Treasury para realizar el Tratamiento que sea necesario para que Ripple Treasury cumpla con el Acuerdo.
(g) Ripple Treasury garantizará que sus agentes autorizados para tratar los Datos Personales Cubiertos se hayan comprometido a la confidencialidad o estén sujetos a una obligación legal o profesional de confidencialidad adecuada.
(h) Seguridad.
(i) Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Ripple Treasury implementará medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo, en la medida necesaria y apropiada:
(A) La seudonimización y el cifrado de los Datos Personales Cubiertos;
(B) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de Tratamiento;
(C) La capacidad de restaurar la disponibilidad y el acceso a los Datos Personales Cubiertos de forma oportuna en caso de incidente físico o técnico; y/o
(D) Un proceso para verificar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del Tratamiento.
(ii) Al evaluar el nivel de seguridad adecuado, Ripple Treasury tendrá en cuenta los riesgos que presenta el Tratamiento, en particular los derivados de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
(iii) Ripple Treasury podrá utilizar la adhesión a un código de conducta aprobado contemplado en el artículo 40 del RGPD o un mecanismo de certificación aprobado contemplado en el artículo 42 del RGPD como un elemento para demostrar el cumplimiento de los requisitos identificados en la Sección 2(h)(i).
(iv) Ripple Treasury tomará medidas para garantizar que cualquier persona física que actúe bajo la autoridad del encargado del tratamiento de Ripple Treasury y que tenga acceso a Datos Personales Cubiertos no Trate Datos Personales Cubiertos, excepto siguiendo las instrucciones del Cliente, a menos que así lo exija la Ley de Protección de Datos aplicable.
(i) Ripple Treasury no contratará ni utilizará a ningún tercero para realizar ningún Tratamiento que no sea el previsto en este DPA. Para evitar dudas, Ripple Treasury podrá utilizar servicios de alojamiento proporcionados por Microsoft Corporation, Amazon Web Services, Inc., Rackspace, Inc., y/o sus filiales, siempre que Ripple Treasury obtenga de dicho(s) proveedor(es) obligaciones contractuales coherentes con el cumplimiento de las obligaciones de Ripple Treasury en virtud de este DPA.
(j) Teniendo en cuenta la naturaleza del Tratamiento, Ripple Treasury asistirá al Cliente mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de las obligaciones del Cliente o del responsable del tratamiento del Cliente de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en:
(i) Capítulo III del RGPD, en particular los artículos 12 (Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado), 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado), 14 (Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado), 15 (Derecho de acceso del interesado), 16 (Derecho de rectificación), 17 (Derecho de supresión («el derecho al olvido»)), 18 (Derecho a la limitación del tratamiento), 19 (Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento), 20 (Derecho a la portabilidad de los datos), 21 (Derecho de oposición y decisiones individuales automatizadas), 22 (Decisiones individuales automatizadas, incluida la elaboración de perfiles) y 23 (Restricciones); y/o
(ii) Otra legislación de protección de datos aplicable.
(k) Ripple Treasury ayudará al Cliente a garantizar el cumplimiento de las obligaciones en virtud de los Artículos 32 (Seguridad del tratamiento), 33 (Notificación de una violación de la seguridad de los datos personales a la autoridad de control), 34 (Comunicación de una violación de la seguridad de los datos personales al interesado), 35 (Evaluación de impacto relativa a la protección de datos) y 36 (Consulta previa) del RGPD, y otras Leyes de Protección de Datos aplicables; teniendo en cuenta la naturaleza del Tratamiento y la información disponible para Ripple Treasury.
(l) A opción del Cliente, Ripple Treasury eliminará o devolverá todos los Datos Personales Cubiertos al Cliente una vez finalizada la prestación de los servicios relacionados con el Tratamiento y eliminará las copias existentes a menos que la ley aplicable exija la retención continua de los Datos Personales Cubiertos por parte de Ripple Treasury.
(m) Ripple Treasury pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del Artículo 28 del RGPD y obligaciones similares en virtud de otras Leyes de Protección de Datos, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente o por otro auditor designado por el Cliente. Ripple Treasury informará inmediatamente al Cliente si, en opinión de Ripple Treasury, una instrucción infringe la Ley de Protección de Datos.
(n) Si Ripple Treasury contrata a un tercero para llevar a cabo actividades de Tratamiento específicas en nombre o en beneficio del Cliente, se impondrán a dicho tercero, mediante contrato, obligaciones de protección de datos coherentes con el cumplimiento por parte de Ripple Treasury de sus obligaciones establecidas en este DPA y el Contrato Marco, en particular, proporcionando garantías suficientes para implementar medidas técnicas y organizativas adecuadas de tal manera que el Tratamiento cumpla con los requisitos de la Ley de Protección de Datos aplicable. Cuando dicho tercero no cumpla con sus obligaciones de protección de datos, Ripple Treasury seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de dichas obligaciones.
3. Disposiciones Específicas de Estados Unidos.
(a) California. Las siguientes disposiciones se aplican a las transferencias del Cliente a Ripple Treasury de Datos Personales Cubiertos que están sujetos a la Ley de Privacidad del Consumidor de California de 2018 (Cal. Civ. Code § Sección 1798.100 y ss.) (“CCPA”) y la Ley de Derechos de Privacidad de California de 2020 (Cal. Civ. Code § 1798.100 y ss.) (“CPRA”), cada una según enmendada (“Datos Personales Cubiertos de California”), en la medida en que el Cliente sea una “empresa” y Ripple Treasury actúe como “proveedor de servicios” con respecto a los Datos Personales Cubiertos de California.
(i) Ripple Treasury Trata Datos Personales Cubiertos de California como proveedor de servicios.
(ii) El Cliente divulga Datos Personales Cubiertos de California a Ripple Treasury en relación con el Contrato únicamente para los fines limitados y específicos de recibir los servicios en virtud del Contrato.
(iii) Ripple Treasury retendrá, usará, divulgará o de otro modo Tratará Datos Personales Cubiertos de California únicamente con el propósito específico de prestar los servicios en virtud del Contrato o según lo exija la ley.
(iv) Ripple Treasury no hará lo siguiente:
(A) Retener, usar, divulgar o de otro modo Tratar Datos Personales Cubiertos de California, excepto que sea necesario para prestar servicios en virtud del Contrato o según lo exija la ley;
(B) Vender Datos Personales Cubiertos de California; o
(C) Compartir Datos Personales Cubiertos de California salvo lo requerido para cumplir con el Contrato.
(v) Ripple Treasury cooperará con cualquier auditoría, inspección u otras medidas razonables y apropiadas que el Cliente deba realizar según la ley de California para confirmar que Ripple Treasury Trata los Datos Personales Cubiertos de California de manera consistente con las obligaciones de Ripple Treasury en virtud de este DPA.
(vi) Ripple Treasury notificará sin demora al Cliente si Ripple Treasury ya no puede cumplir con las obligaciones de Ripple Treasury en virtud de este DPA.
(vii) Ripple Treasury cooperará con el Cliente para responder e implementar solicitudes verificables de los consumidores para ejercer los derechos otorgados a los consumidores por la ley de California, incluso ayudando con las medidas técnicas y organizativas adecuadas. Ripple Treasury entregará al Cliente, en un plazo de cinco días hábiles, cualquier solicitud de los consumidores para ejercer un derecho en virtud de la ley de California, ya sea recibida de un consumidor o de un agente autorizado, si los Datos Personales del solicitante se encuentran dentro de los Datos Personales Cubiertos de California.
(viii) Previa solicitud por escrito del Cliente o rescisión del Contrato, Ripple Treasury eliminará sin demora todos los Datos Personales Cubiertos de California.
(ix) Ripple Treasury no Tratará Datos Personales Cubiertos de California para crear datos anonimizados sin obtener primero la autorización del Cliente. En caso de que Ripple Treasury esté debidamente autorizado, Ripple Treasury:
(A) Adoptar medidas razonables para evitar que los datos anonimizados se utilicen para inferir información sobre, o se vinculen de otro modo a, una persona física o un hogar en particular;
(B) Mantener y utilizar los datos anonimizados en un formato anonimizado y no intentar reidentificar los datos anonimizados, excepto que Ripple Treasury podrá intentar reidentificar la información únicamente con el fin de determinar si sus procesos de anonimización cumplen con los requisitos de la ley de California; y
(C) Exigir contractualmente a cualquier destinatario de los datos desidentificados, incluidos subencargados, contratistas y otros terceros, que cumpla con obligaciones coherentes con las de Ripple Treasury en virtud de este DPA.
(D) Seguir siendo plenamente responsable de cualquier incumplimiento por parte de Ripple Treasury o sus empleados, agentes o contratistas de las obligaciones de Ripple Treasury con respecto a los datos desidentificados.
(b) Colorado. A partir del 1 de julio de 2023, se aplicarán las siguientes disposiciones a las transferencias de Datos Personales Protegidos del Cliente a Ripple Treasury y al Tratamiento de Datos Personales Protegidos por parte de Ripple Treasury que estén sujetos a la Ley de Privacidad de Colorado (Col. Rev. Stat. § 6-1-1301 et seq.), según enmendada («Datos Personales Protegidos de Colorado»), en la medida en que el Cliente actúe como responsable del tratamiento de los Datos Personales Protegidos de Colorado y Ripple Treasury actúe como encargado del tratamiento de los Datos Personales Protegidos de Colorado:
(i) Ripple Treasury Procesa Datos Personales Protegidos de Colorado como encargado del tratamiento al prestar los servicios en virtud del Acuerdo.
(ii) Ripple Treasury:
(A) Conservar, utilizar, divulgar o procesar de cualquier otra forma Datos Personales Protegidos de Colorado únicamente con el propósito específico de prestar los servicios en virtud del Acuerdo o según lo exija la ley;
(iii) Asegurar que cada agente de Ripple Treasury que Procese Datos Personales Protegidos de Colorado esté sujeto a un deber de confidencialidad con respecto a los Datos Personales Protegidos de Colorado; y
(iv) En la medida en que la ley de Colorado exija al Cliente solicitar lo siguiente a Ripple Treasury:
(A) Ripple Treasury permitirá y cooperará con evaluaciones razonables realizadas por el Cliente o el evaluador designado por el Cliente; o
(B) Ripple Treasury podrá encargar a un evaluador cualificado e independiente que realice una evaluación de las políticas y medidas técnicas y organizativas de Ripple Treasury utilizando un estándar o marco de control y un procedimiento de evaluación apropiados y aceptados para dichas evaluaciones, y Ripple Treasury proporcionará un informe de dicha evaluación al Cliente previa solicitud.
(v) Bajo la dirección del Cliente, Ripple Treasury eliminará o devolverá todos los Datos Personales Protegidos de Colorado al Cliente según lo solicitado al finalizar la prestación de los servicios, a menos que la retención de los Datos Personales Protegidos de Colorado sea exigida por la ley;
(vi) A solicitud razonable del Cliente, Ripple Treasury pondrá a disposición del Cliente toda la información en su poder que sea razonablemente necesaria para demostrar el cumplimiento de Ripple Treasury con este DPA;
(vii) Ripple Treasury cooperará con el Cliente mediante medidas técnicas y organizativas adecuadas, en la medida en que sea razonablemente factible, para cumplir con la obligación del Cliente de responder a las solicitudes de derechos de los consumidores. Ripple Treasury entregará al Cliente, en un plazo de cinco días hábiles, cualquier solicitud de un Interesado para ejercer un derecho en virtud de la ley de Colorado, ya sea recibida de un Interesado o de un agente autorizado, si los Datos Personales Protegidos del solicitante se encuentran dentro de los Datos Personales Protegidos de Colorado.
(viii) Ripple Treasury ayudará al Cliente a cumplir con sus obligaciones en relación con la seguridad del tratamiento de los Datos Personales Protegidos de Colorado y en relación con la notificación de una violación de seguridad del sistema de Ripple Treasury de conformidad con la ley aplicable.
(ix) Ripple Treasury no Procesará Datos Personales Protegidos de Colorado para crear datos desidentificados sin obtener primero la autorización del Cliente. En caso de que Ripple Treasury esté debidamente autorizado, Ripple Treasury:
(A) Adoptar medidas razonables para evitar que los datos desidentificados se utilicen para inferir información sobre, o se vinculen de cualquier otra forma a, una persona física o un hogar en particular; y
(B) Exigir contractualmente a cualquier destinatario de los datos desidentificados, incluidos subencargados, contratistas y otros terceros, que cumpla con obligaciones coherentes con las de Ripple Treasury en virtud de este DPA.
(c) Virginia. Las siguientes disposiciones se aplican a todas las transferencias de Datos Personales Protegidos del Cliente a Ripple Treasury y al Tratamiento de Datos Personales Protegidos por parte de Ripple Treasury que estén sujetos a la Ley de Protección de Datos del Consumidor de Virginia (Va. Code § 59.1-571 et seq.), según enmendada («VCDPA») («Datos Personales Protegidos de Virginia»), en la medida en que el Cliente actúe como Responsable del Tratamiento de los Datos Personales Protegidos de Virginia y Ripple Treasury actúe como Encargado del Tratamiento de los Datos Personales Protegidos de Virginia.
(i) Ripple Treasury Procesa Datos Personales Protegidos de Virginia como Encargado del Tratamiento al prestar los servicios en virtud del Acuerdo.
(ii) Ripple Treasury conservará, utilizará, divulgará o procesará de cualquier otra forma los Datos Personales Protegidos de Virginia únicamente con el propósito específico de prestar los servicios en virtud del Acuerdo o según lo exija la ley.
(iii) Ripple Treasury garantizará que cada agente de Ripple Treasury que procese Datos Personales Cubiertos de Virginia esté sujeto a un deber de confidencialidad con respecto a los datos.
(iv) En la medida en que la ley de Virginia exija al Cliente requerir lo siguiente de Ripple Treasury:
(A) Ripple Treasury permitirá y cooperará con evaluaciones razonables por parte del Cliente o del evaluador designado por el Cliente; o
(B) Ripple Treasury podrá contratar a un evaluador cualificado e independiente para que realice una evaluación de las políticas y medidas técnicas y organizativas de Ripple Treasury utilizando un estándar o marco de control y un procedimiento de evaluación apropiados y aceptados para dichas evaluaciones, y Ripple Treasury proporcionará un informe de dicha evaluación al Cliente previa solicitud.
(v) Bajo la dirección del Cliente, Ripple Treasury eliminará o devolverá todos los Datos Personales Cubiertos de Virginia al Cliente según lo solicitado al finalizar la prestación de los servicios, a menos que la retención de los Datos Personales Cubiertos de Virginia sea exigida por la ley.
(vi) A solicitud razonable del Cliente, Ripple Treasury pondrá a disposición del Cliente toda la información en su poder necesaria para demostrar el cumplimiento de Ripple Treasury con sus obligaciones en virtud de este DPA.
(vii) Ripple Treasury cooperará con el Cliente, mediante medidas técnicas y organizativas apropiadas, en la medida en que sea razonablemente factible, para cumplir con la obligación del Cliente de responder a las solicitudes de derechos del Interesado. Ripple Treasury entregará al Cliente, dentro de los cinco días hábiles, cualquier solicitud para ejercer un derecho en virtud de la Ley de Protección de Datos de Virginia, ya sea recibida de un Interesado o de un agente autorizado, si los Datos Personales del solicitante se encuentran dentro de los Datos Personales Cubiertos de Virginia.
(viii) Ripple Treasury ayudará al Cliente a cumplir con sus obligaciones en relación con la seguridad del Procesamiento de los Datos Personales Cubiertos de Virginia y en relación con la notificación de una violación de seguridad del sistema de Ripple Treasury en la medida exigida por la ley de Virginia.
(ix) Ripple Treasury no Procesará Datos Personales Cubiertos de Virginia para crear datos desidentificados sin obtener primero la autorización del Cliente. En caso de que Ripple Treasury esté debidamente autorizado, Ripple Treasury:
(A) Adoptar medidas razonables para evitar que los datos desidentificados se utilicen para inferir información sobre, o se vinculen de otro modo con, una persona física o un hogar en particular;
(B) Mantener y utilizar los datos desidentificados en forma desidentificada y no intentar reidentificar los datos desidentificados, excepto que Ripple Treasury podrá intentar reidentificar la información únicamente con el propósito de determinar si sus procesos de desidentificación cumplen con los requisitos de la ley de Virginia; y
(C) Exigir contractualmente a cualquier destinatario de los datos desidentificados, incluidos subprocesadores, contratistas y otros terceros, que cumplan con obligaciones consistentes con las obligaciones de Ripple Treasury en virtud de este DPA.
4. Disposiciones Específicas de Canadá.
Las siguientes disposiciones se aplican a todas las transferencias de Datos Personales Cubiertos del Cliente a Ripple Treasury, cuyo Procesamiento está sujeto a la Ley de Protección de Información Personal y Documentos Electrónicos, según enmendada (“PIPEDA”) y cualquier legislación federal o provincial canadiense similar que rija la protección de Datos Personales (“Datos Personales Canadienses Cubiertos”).
(a) El Cliente actuará como controlador de los Datos Personales Canadienses Cubiertos y Ripple Treasury actuará como Procesador de los Datos Personales Canadienses Cubiertos.
(b) El Cliente proporcionará un aviso adecuado y obtendrá los consentimientos apropiados según lo exijan, según corresponda, la PIPEDA y otras leyes canadienses aplicables.
(c) Ripple Treasury implementará medidas de seguridad para proteger los Datos Personales de Canadá según lo exija el Acuerdo.
(d) Tanto el Cliente como Ripple Treasury deberán cumplir con todas las solicitudes válidas realizadas por las autoridades legales competentes.
(e) A solicitud del Cliente, Ripple Treasury brindará al Cliente la oportunidad de recuperar los Datos Personales de Canadá.
5. Derechos sobre los Datos Personales;
Derecho de Tratamiento. El Cliente declara y garantiza a Ripple Treasury y a sus Filiales y subencargados del tratamiento que el Cliente tiene todos los derechos (ya sea por el consentimiento de los Interesados de los Datos Personales, por tener un interés legítimo según lo previsto en el Artículo 6 del RGPD, por una o varias excepciones en virtud del Artículo 49 del RGPD, o de otro modo en virtud de la Ley de Protección de Datos aplicable) con respecto a los Datos Personales Cubiertos necesarios para transferirlos a Ripple Treasury, hacer que Ripple Treasury posea y Trate dichos Datos Personales según lo estipulado en el presente DPA y/o el Contrato, o instruirle para ello, y permitir que Ripple Treasury posea y trate, y haga subtratar, dichos Datos Personales según lo estipulado en el presente DPA y/o el Contrato. El Cliente indemnizará, defenderá y eximirá de responsabilidad a Ripple Treasury y a sus Filiales y subencargados del tratamiento frente a cualquier reclamación de o en beneficio de cualquier Interesado o autoridad gubernamental, que alegue hechos que, de ser ciertos, constituirían un incumplimiento de las declaraciones y garantías de la presente Sección 5.
6. Disposiciones Específicas del EEE.
El Cliente, como exportador de datos, y Ripple Treasury, como importador de datos, aceptan las Cláusulas Contractuales Tipo adjuntas como Anexo 1 como si el Cliente y Ripple Treasury las hubieran ejecutado y entregado. Dichas Cláusulas Contractuales Tipo se aplican únicamente a los Datos Personales Cubiertos de los Interesados que se encuentren en el EEE.
(a) En el caso de transferencias de Datos Personales Cubiertos por el Cliente a Ripple Treasury, solo se aplicará el Módulo Dos (que cubre las transferencias de Responsable a Encargado del Tratamiento).
(b) En el caso de transferencias de Datos Personales Cubiertos por Ripple Treasury al Cliente, solo se aplicará el Módulo Cuatro (que cubre las transferencias de Encargado a Responsable del Tratamiento).
(c) Los Módulos Uno y Tres no serán de aplicación y ninguna de las Partes realizará ninguna transferencia a la otra que esté cubierta por cualquiera de dichos módulos.
(d) A los efectos de la Cláusula 17, la legislación de los Países Bajos regirá las Cláusulas Contractuales Tipo.
(e) A los efectos de la Cláusula 18, cualquier disputa que surja de las Cláusulas Contractuales Tipo será resuelta por los tribunales de los Países Bajos.
7. Disposiciones Específicas del Reino Unido.
Las siguientes disposiciones se aplican con respecto a los Datos Personales Cubiertos por la Ley de Protección de Datos del Reino Unido de 2018, según enmendada (la "Ley del Reino Unido") (dichos Datos Personales se denominan "Datos Personales Cubiertos del Reino Unido").
(a) El Cliente actúa como responsable del tratamiento y exportador de los Datos Personales Cubiertos del Reino Unido y Ripple Treasury actúa como encargado del tratamiento e importador de los Datos Personales del Reino Unido.
(b) Por "Anexo del Reino Unido" se entiende el Anexo Aprobado B.1.0 emitido por la Oficina del Comisionado de Información del Reino Unido ("ICO") y presentado ante el Parlamento de conformidad con la sección 119A de la Ley del Reino Unido, según se revise en virtud de la Sección 18 de dichas Cláusulas Obligatorias. A la fecha de la última revisión del presente DPA, la versión actual del Anexo del Reino Unido está disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
(c) Las Partes cumplirán con los términos de la Parte 2: Cláusulas Obligatorias del Anexo del Reino Unido, según se revise en virtud de la Sección 18 de dichas Cláusulas Obligatorias;
(d) Al firmar el presente DPA, se considerará que las Partes han firmado el Anexo del Reino Unido;
(e) Con respecto a la Parte 1, Tabla 2 del Anexo del Reino Unido:
(i) Se excluye la Cláusula 7 (Cláusula de Adhesión);
(ii) La autorización previa en virtud de la Cláusula 9(a) (Autorización Previa o Autorización General) no será de aplicación;
(iii) La opción prevista en la Cláusula 11 (Recurso) no será de aplicación;
(iv) La información requerida por la Parte 1, Tablas 1 y 2 del Anexo del Reino Unido se establece en el Anexo I del presente DPA (según corresponda);
(f) Con respecto a la Tabla 4, Parte 1 del Anexo del Reino Unido, cualquiera de las Partes podrá rescindir el Anexo del Reino Unido según lo establecido en la Sección 19 del Anexo del Reino Unido (pero, a efectos aclaratorios, si el Cliente rescinde el Anexo del Reino Unido según lo permitido por la presente Sección 7(f), dicha rescisión no afectará a las obligaciones del Cliente en virtud del Contrato, salvo las del presente DPA; y
(g) Cualquier referencia a las «Cláusulas» en las Cláusulas Contractuales Tipo incluirá las modificaciones establecidas en la presente Sección.
8. Transferencias a Terceros Iniciadas por el Cliente Utilizando los Servicios de Ripple Treasury.
Para evitar dudas, cuando la funcionalidad ordinaria de los bienes, servicios y/o software de Ripple Treasury permita al Cliente iniciar transacciones o utilizar de otro modo los bienes, servicios y/o software para enviar y/o recibir información que incluya Datos Personales, cualquier transferencia resultante de dicha actividad iniciada por el Cliente será una transferencia realizada por el Cliente y no por Ripple Treasury.
9. Interesados como Beneficiarios.
Cuando, pero solo en la medida en que, la Ley de Protección de Datos exija que el Cliente haga que Ripple Treasury designe a uno o más Interesados de Datos Personales Cubiertos como beneficiarios terceros de una o más obligaciones en el presente DPA, cada uno de dichos Interesados de Datos Personales Cubiertos será un beneficiario tercero expreso de las obligaciones de Ripple Treasury en virtud del presente DPA.
10. Servicios no cubiertos por el Acuerdo distinto del presente DPA.
Cuando una obligación de Ripple Treasury en virtud del presente DPA o de las Cláusulas Contractuales Tipo no esté cubierta por el Acuerdo distinto del presente DPA, el Cliente pagará a Ripple Treasury por los servicios asociados a dicha obligación a las tarifas vigentes en ese momento de Ripple Treasury (pero, en cualquier caso, comercialmente razonables). Por ejemplo, si el Cliente requiere servicios administrativos o similares para satisfacer las demandas de un Interesado o una evaluación de impacto de la protección de datos y dichos servicios no están cubiertos por el Acuerdo distinto del presente DPA, el Cliente pagará a Ripple Treasury por dichos servicios.
Anexo 1
CLÁUSULAS CONTRACTUALES TIPO
SECCIÓN I
Cláusula 1 – Objeto y ámbito de aplicación
(a) La finalidad de las presentes cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos), para la transferencia de datos personales a un tercer país.
(b) Las Partes:
(i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en adelante, «entidad(es)») que transfiere(n) los datos personales, tal como se indica en el Anexo I.A (en adelante, cada una de ellas, «exportador de datos»), y
(ii) la(s) entidad(es) de un tercer país que recibe(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad también Parte en las presentes Cláusulas, tal como se indica en el Anexo I.A (en adelante, cada una de ellas, «importador de datos»)
han acordado las presentes cláusulas contractuales tipo (en adelante: «Cláusulas»).
(c) Las presentes Cláusulas se aplican con respecto a la transferencia de datos personales tal como se especifica en el Anexo I.B.
(d) El Apéndice de las presentes Cláusulas, que contiene los Anexos a los que se hace referencia en el mismo, forma parte integrante de las presentes Cláusulas.
Cláusula 2 – Efecto e invariabilidad de las Cláusulas
(a) Las presentes Cláusulas establecen garantías adecuadas, incluidos derechos exigibles para los interesados y recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados del tratamiento y/o de encargados del tratamiento a encargados del tratamiento, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el/los Módulo(s) apropiado(s) o para añadir o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni menoscaben los derechos o libertades fundamentales de los interesados.
(b) Las presentes Cláusulas se entenderán sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3 – Terceros beneficiarios
(a) Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8 – Módulo uno: Cláusula 8.5, letra e) y Cláusula 8.9, letra b); Módulo dos: Cláusula 8.1, letra b), 8.9, letras a), c), d) y e); Módulo tres: Cláusula 8.1, letras a), c) y d) y Cláusula 8.9, letras a), c), d), e), f) y g); Módulo cuatro: Cláusula 8.1, letra b) y Cláusula 8.3, letra b);
(iii) Cláusula 9 – Módulo dos: Cláusula 9, letras a), c), d) y e); Módulo tres: Cláusula 9, letras a), c), d) y e);
(iv) Cláusula 12 – Módulo uno: Cláusula 12, letras a) y d); Módulos dos y tres: Cláusula 12, letras a), d) y f);
(v) Cláusula 13;
(vi) Cláusula 15.1, letras c), d) y e);
(vii) Cláusula 16, letra e);
(viii) Cláusula 18 – Módulos uno, dos y tres: Cláusula 18, letras a) y b); Módulo cuatro: Cláusula 18.
(b) El apartado (a) se entenderá sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.
Cláusula 4 – Interpretación
(a) Cuando las presentes Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
(b) Las presentes Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
(c) Las presentes Cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.
Cláusula 5 – Jerarquía
En caso de contradicción entre las presentes Cláusulas y las disposiciones de acuerdos conexos entre las Partes, existentes en el momento en que se acuerden las presentes Cláusulas o que se celebren posteriormente, prevalecerán las presentes Cláusulas.
Cláusula 6 – Descripción de la(s) transferencia(s)
Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren, se especifican en el Anexo I.B.
Cláusula 7 – Opcional
[Omitido intencionadamente.]
SECCIÓN II – OBLIGACIONES DE LAS PARTES
Cláusula 8 – Garantías de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir sus obligaciones en virtud de las presentes Cláusulas.
MÓDULO UNO: Transferencia de responsable a responsable
8.1 Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el Anexo I.B. Solo podrá tratar los datos personales para otra finalidad:
(i) cuando haya obtenido el consentimiento previo del interesado;
(ii) cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
(iii) cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física.
8.2 Transparencia
(a) A fin de permitir a los interesados ejercer eficazmente sus derechos de conformidad con la Cláusula 10, el importador de datos les informará, directamente o a través del exportador de datos:
(i) de su identidad y datos de contacto;
(ii) de las categorías de datos personales tratados;
(iii) del derecho a obtener una copia de las presentes Cláusulas;
(iv) cuando tenga la intención de transferir los datos personales a terceros, del destinatario o categorías de destinatarios (según corresponda para proporcionar información significativa), la finalidad de dicha transferencia posterior y el fundamento de la misma de conformidad con la Cláusula 8.7.
(b) El apartado (a) no se aplicará cuando el interesado ya disponga de la información, incluso cuando dicha información ya haya sido facilitada por el exportador de datos, o cuando la facilitación de la información resulte imposible o suponga un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos, en la medida de lo posible, hará pública la información.
(c) Previa solicitud, las Partes pondrán a disposición del interesado, de forma gratuita, una copia de las presentes Cláusulas, incluido el Apéndice debidamente cumplimentado por ellas. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, las Partes podrán redactar parte del texto del Apéndice antes de compartir una copia, pero deberán proporcionar un resumen significativo cuando el interesado no pudiera, de otro modo, comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes proporcionarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información redactada.
(d) Los apartados (a) a (c) se entenderán sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8.3 Exactitud y minimización de datos
(a) Cada Parte garantizará que los datos personales sean exactos y, cuando sea necesario, se mantengan actualizados. El importador de datos adoptará todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta el fin o fines del tratamiento, sean suprimidos o rectificados sin dilación.
(b) Si una de las Partes tiene conocimiento de que los datos personales que ha transferido o recibido son inexactos o han quedado obsoletos, informará a la otra Parte sin dilación indebida.
(c) El importador de datos garantizará que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con el fin o fines del tratamiento.
8.4 Limitación del plazo de conservación
El importador de datos conservará los datos personales durante no más tiempo del necesario para el fin o fines para los que se tratan. Establecerá medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, incluida la supresión o anonimización de los datos y de todas las copias de seguridad al final del período de conservación.
8.5 Seguridad del tratamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluida la protección contra una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito (en adelante, «violación de la seguridad de los datos personales»). Al evaluar el nivel de seguridad adecuado, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y el fin o fines del tratamiento y los riesgos que el tratamiento entraña para el interesado. Las Partes considerarán en particular recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el fin del tratamiento pueda cumplirse de esa manera.
(b) Las Partes han acordado las medidas técnicas y organizativas establecidas en el Anexo II. El importador de datos realizará controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
(c) El importador de datos garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
(d) En caso de una violación de la seguridad de los datos personales relativos a datos personales tratados por el importador de datos en virtud de las presentes Cláusulas, el importador de datos adoptará las medidas adecuadas para abordar la violación de la seguridad de los datos personales, incluidas las medidas para mitigar sus posibles efectos adversos.
(e) En caso de una violación de la seguridad de los datos personales que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas, el importador de datos notificará sin dilación indebida tanto al exportador de datos como a la autoridad de control competente de conformidad con la Cláusula 13. Dicha notificación contendrá i) una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), ii) sus probables consecuencias, iii) las medidas adoptadas o propuestas para abordar la violación, y iv) los datos de un punto de contacto de quien se pueda obtener más información. En la medida en que no sea posible para el importador de datos proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin dilación indebida adicional.
(f) En caso de una violación de la seguridad de los datos personales que sea probable que entrañe un alto riesgo para los derechos y libertades de las personas físicas, el importador de datos también notificará sin dilación indebida a los interesados afectados la violación de la seguridad de los datos personales y su naturaleza, si es necesario en cooperación con el exportador de datos, junto con la información a que se refiere el apartado (e), puntos ii) a iv), a menos que el importador de datos haya implementado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas, o que la notificación implique esfuerzos desproporcionados. En este último caso, el importador de datos emitirá en su lugar una comunicación pública o tomará una medida similar para informar al público de la violación de la seguridad de los datos personales.
(g) El importador de datos documentará todos los hechos relevantes relacionados con la violación de la seguridad de los datos personales, incluidos sus efectos y cualquier medida correctora adoptada, y mantendrá un registro de los mismos.
8.6 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, los datos genéticos, o los datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o la orientación sexual de una persona, o datos relativos a condenas o infracciones penales (en adelante, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o salvaguardias adicionales adaptadas a la naturaleza específica de los datos y a los riesgos implicados. Esto puede incluir la restricción del personal autorizado para acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a la divulgación posterior.
8.7 Transferencias ulteriores
El importador de datos no revelará los datos personales a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en adelante «transferencia ulterior») a menos que el tercero esté o acepte estar vinculado por las presentes Cláusulas, en virtud del Módulo apropiado. De lo contrario, una transferencia ulterior por parte del importador de datos solo podrá tener lugar si:
(i) se realiza a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
(ii) el tercero garantiza de otro modo las salvaguardias adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
(iii) el tercero celebre un instrumento vinculante con el importador de datos que garantice el mismo nivel de protección de datos que el previsto en las presentes Cláusulas, y el importador de datos proporcione una copia de dichas salvaguardias al exportador de datos;
(iv) sea necesario para la formulación, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos;
(v) sea necesario para proteger los intereses vitales del interesado o de otra persona física; o
(vi) cuando ninguna de las otras condiciones sea aplicable, el importador de datos haya obtenido el consentimiento explícito del interesado para una transferencia ulterior en una situación específica, después de haberle informado de su(s) finalidad(es), la identidad del destinatario y los posibles riesgos de dicha transferencia para él/ella debido a la falta de salvaguardias adecuadas de protección de datos. En este caso, el importador de datos informará al exportador de datos y, a petición de este último, le transmitirá una copia de la información facilitada al interesado. Cualquier transferencia ulterior estará sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en las presentes Cláusulas, en particular la limitación de la finalidad.
8.8 Tratamiento bajo la autoridad del importador de datos
El importador de datos garantizará que cualquier persona que actúe bajo su autoridad, incluido un encargado del tratamiento, trate los datos únicamente siguiendo sus instrucciones.
8.9 Documentación y cumplimiento
(a) Cada Parte deberá poder demostrar el cumplimiento de sus obligaciones en virtud de las presentes Cláusulas. En particular, el importador de datos conservará la documentación adecuada de las actividades de tratamiento realizadas bajo su responsabilidad.
(b) El importador de datos pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.
MÓDULO DOS: Transferencia de responsable a encargado del tratamiento
8.1 Instrucciones
(a) El importador de datos tratará los datos personales únicamente siguiendo las instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la duración del contrato.
(b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.
8.2 Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para el(los) fin(es) específico(s) de la transferencia, tal como se establece en el Anexo I.B, a menos que reciba instrucciones adicionales del exportador de datos.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del interesado, de forma gratuita, una copia de las presentes Cláusulas, incluido el Apéndice cumplimentado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos podrá redactar parte del texto del Apéndice de las presentes Cláusulas antes de compartir una copia, pero deberá proporcionar un resumen significativo cuando el interesado no pudiera, de otro modo, comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes proporcionarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información redactada. La presente Cláusula se entenderá sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8.4 Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para suprimir o rectificar los datos.
8.5 Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo tendrá lugar durante el período especificado en el Anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales tratados en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y eliminará las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que seguirá garantizando el cumplimiento de estas Cláusulas y solo los tratará en la medida y durante el tiempo que exija dicha ley local. Esto se entiende sin perjuicio de la Cláusula 14, en particular el requisito para el importador de datos en virtud de la Cláusula 14(e) de notificar al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).
8.6 Seguridad del tratamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a dichos datos (en adelante, «violación de datos personales»). Al evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y el(los) fin(es) del tratamiento y los riesgos que el tratamiento entraña para los interesados. Las Partes considerarán en particular recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico deberá, cuando sea posible, permanecer bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud de este párrafo, el importador de datos aplicará al menos las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos realizará controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
(b) El importador de datos concederá acceso a los datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Se asegurará de que las personas autorizadas a tratar los datos personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
(c) En caso de violación de la seguridad de los datos personales tratados por el importador de datos en virtud de estas Cláusulas, el importador de datos adoptará las medidas adecuadas para subsanar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin dilación indebida después de haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos personales afectados), sus probables consecuencias y las medidas adoptadas o propuestas para subsanar la violación, incluyendo, cuando proceda, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y la información adicional se facilitará, a medida que esté disponible, sin dilación indebida.
(d) El importador de datos cooperará y asistirá al exportador de datos para que este pueda cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
8.7 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en adelante, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o salvaguardias adicionales descritas en el Anexo I.B.
8.8 Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo podrán comunicarse a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en adelante «transferencia ulterior») si el tercero está o acepta estar vinculado por estas Cláusulas, en virtud del Módulo apropiado, o si:
(i) la transferencia ulterior se realiza a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
(ii) el tercero garantiza de otro modo las salvaguardias adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
(iii) la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
(iv) la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.
Cualquier transferencia ulterior estará sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en estas Cláusulas, en particular la limitación de la finalidad.
8.9 Documentación y cumplimiento
(a) El importador de datos atenderá de forma rápida y adecuada las consultas del exportador de datos relacionadas con el tratamiento en virtud de estas Cláusulas.
(b) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas en nombre del exportador de datos.
(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a petición del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por estas Cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en las instalaciones o dependencias físicas del importador de datos y se llevarán a cabo, cuando proceda, con un preaviso razonable.
(e) Las Partes pondrán la información a que se refieren los apartados (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad de control competente previa solicitud.
MÓDULO TRES: Transferencia de encargado a encargado del tratamiento
8.1 Instrucciones
(a) El exportador de datos ha informado al importador de datos de que actúa como encargado del tratamiento bajo las instrucciones de su(s) responsable(s) del tratamiento, las cuales el exportador de datos pondrá a disposición del importador de datos antes del tratamiento.
(b) El importador de datos tratará los datos personales únicamente siguiendo las instrucciones documentadas del responsable del tratamiento, comunicadas al importador de datos por el exportador de datos, y cualquier instrucción documentada adicional del exportador de datos. Dichas instrucciones adicionales no entrarán en conflicto con las instrucciones del responsable del tratamiento. El responsable del tratamiento o el exportador de datos podrán dar instrucciones documentadas adicionales relativas al tratamiento de datos durante toda la duración del contrato.
(c) El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones. Cuando el importador de datos no pueda seguir las instrucciones del responsable del tratamiento, el exportador de datos notificará inmediatamente al responsable del tratamiento.
(d) El exportador de datos garantiza que ha impuesto al importador de datos las mismas obligaciones de protección de datos que las establecidas en el contrato u otro acto jurídico en virtud del Derecho de la Unión o de los Estados miembros entre el responsable del tratamiento y el exportador de datos.
8.2 Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para el(los) fin(es) específico(s) de la transferencia, tal como se establece en el Anexo I.B., a menos que reciba instrucciones adicionales del responsable del tratamiento, comunicadas al importador de datos por el exportador de datos, o del propio exportador de datos.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del interesado, de forma gratuita, una copia de las presentes Cláusulas, incluido el Apéndice cumplimentado por las Partes. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el exportador de datos podrá redactar parte del texto del Apéndice antes de compartir una copia, pero deberá proporcionar un resumen significativo cuando el interesado no pudiera, de otro modo, comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes proporcionarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información redactada.
8.4 Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para rectificar o suprimir los datos.
8.5 Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo tendrá lugar durante el período especificado en el Anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales tratados en nombre del responsable del tratamiento y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y eliminará las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que seguirá asegurando el cumplimiento de las presentes Cláusulas y solo los tratará en la medida y durante el tiempo que lo exija dicha ley local. Esto se entiende sin perjuicio de la Cláusula 14, en particular el requisito para el importador de datos en virtud de la Cláusula 14(e) de notificar al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).
8.6 Seguridad del tratamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a dichos datos (en adelante, «violación de datos personales»). Al evaluar el nivel de seguridad adecuado, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y el(los) fin(es) del tratamiento y los riesgos que el tratamiento entraña para el interesado. Las Partes considerarán en particular recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el fin del tratamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, cuando sea posible, bajo el control exclusivo del exportador de datos o del responsable del tratamiento. En el cumplimiento de sus obligaciones en virtud del presente párrafo, el importador de datos aplicará al menos las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos realizará controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
(b) El importador de datos concederá acceso a los datos a los miembros de su personal únicamente en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Se asegurará de que las personas autorizadas a tratar los datos personales se hayan comprometido a guardar confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
(c) En caso de violación de la seguridad de los datos personales relativos a los datos personales tratados por el importador de datos en virtud de las presentes Cláusulas, el importador de datos adoptará las medidas adecuadas para subsanar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará, sin demora indebida, al exportador de datos y, cuando sea apropiado y factible, al responsable del tratamiento, una vez que haya tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos personales afectados), sus probables consecuencias y las medidas adoptadas o propuestas para subsanar la violación de datos, incluidas las medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y la información adicional se facilitará, a medida que esté disponible, sin demora indebida.
(d) El importador de datos cooperará y asistirá al exportador de datos para permitir que este último cumpla con sus
obligaciones en virtud del Reglamento (UE) 2016/679, en particular, notificar a su responsable del tratamiento para que este, a su vez, pueda notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
8.7 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos, o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o la orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales establecidas en el Anexo I.B.
8.8 Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del responsable del tratamiento, según lo comunicado al importador de datos por el exportador de datos. Además, los datos solo podrán comunicarse a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo, «transferencia ulterior») si el tercero está o acepta estar vinculado por las presentes Cláusulas, en virtud del Módulo apropiado, o si:
(i) la transferencia ulterior se realiza a un país que se beneficia de una decisión de adecuación con arreglo al artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
(ii) el tercero garantiza de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679;
(iii) la transferencia ulterior es necesaria para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
(iv) la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.
Cualquier transferencia ulterior estará sujeta al cumplimiento por parte del importador de datos de todas las demás garantías previstas en las presentes Cláusulas, en particular la limitación de la finalidad.
8.9 Documentación y cumplimiento
(a) El importador de datos atenderá de forma rápida y adecuada las consultas del exportador de datos o del responsable del tratamiento relacionadas con el tratamiento en virtud de las presentes Cláusulas.
(b) Las Partes deberán poder demostrar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos mantendrá la documentación adecuada sobre las actividades de tratamiento realizadas en nombre del responsable del tratamiento.
(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes Cláusulas, quien la facilitará al responsable del tratamiento.
(d) El importador de datos permitirá y contribuirá a las auditorías realizadas por el exportador de datos de las actividades de tratamiento cubiertas por las presentes Cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Lo mismo se aplicará cuando el exportador de datos solicite una auditoría siguiendo las instrucciones del responsable del tratamiento. Al decidir sobre una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
(e) Cuando la auditoría se realice siguiendo las instrucciones del responsable del tratamiento, el exportador de datos pondrá los resultados a disposición del responsable del tratamiento.
(f) El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y se llevarán a cabo, cuando proceda, con un preaviso razonable.
(g) Las Partes pondrán la información a que se refieren los apartados b) y c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad de control competente previa solicitud.
MÓDULO CUATRO: Transferencia del encargado del tratamiento al responsable del tratamiento
8.1 Instrucciones
(a) El exportador de datos tratará los datos personales únicamente siguiendo las instrucciones documentadas del importador de datos que actúe como su responsable del tratamiento.
(b) El exportador de datos informará inmediatamente al importador de datos si no puede seguir esas instrucciones, incluso si dichas instrucciones infringen el Reglamento (UE) 2016/679 u otra legislación de protección de datos de la Unión o de los Estados miembros.
(c) El importador de datos se abstendrá de cualquier acción que impida al exportador de datos cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, incluso en el contexto del subtratamiento o en lo que respecta a la cooperación con las autoridades de control competentes.
(d) Una vez finalizada la prestación de los servicios de tratamiento, el exportador de datos, a elección del importador de datos, suprimirá todos los datos personales tratados en nombre del importador de datos y certificará al importador de datos que así lo ha hecho, o devolverá al importador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes.
8.2 Seguridad del tratamiento
(a) Las Partes aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la seguridad durante la transmisión, y la protección contra una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación o acceso no autorizados, accidentales o ilícitos (en adelante, «violación de la seguridad de los datos personales»). Al evaluar el nivel de seguridad adecuado, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza de los datos personales, la naturaleza, el alcance, el contexto y el(los) fin(es) del tratamiento y los riesgos que el tratamiento entraña para los interesados, y en particular considerarán recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el fin del tratamiento pueda cumplirse de esa manera.
(b) El exportador de datos asistirá al importador de datos para garantizar la seguridad adecuada de los datos de conformidad con el apartado (a). En caso de una violación de la seguridad de los datos personales relativos a los datos personales tratados por el exportador de datos en virtud de estas Cláusulas, el exportador de datos notificará al importador de datos sin demora indebida después de tener conocimiento de ella y asistirá al importador de datos para abordar la violación.
(c) El exportador de datos garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
8.3 Documentación y cumplimiento
(a) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas.
(b) El exportador de datos pondrá a disposición del importador de datos toda la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud de estas Cláusulas y permitirá y contribuirá a las auditorías.
Cláusula 9 – Uso de subencargados del tratamiento
MÓDULO DOS: Transferencia de responsable a encargado del tratamiento
(a) El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargado(s) del tratamiento de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con al menos 30 días de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados del tratamiento. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho de oposición.
(b) Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que prevea, en esencia, las mismas obligaciones de protección de datos que vinculan al importador de datos en virtud de estas Cláusulas, incluidos los derechos de beneficiario tercero para los interesados. Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos garantizará que el subencargado del tratamiento cumpla con las obligaciones a las que el importador de datos está sujeto en virtud de estas Cláusulas.
(c) El importador de datos proporcionará, a petición del exportador de datos, una copia de dicho acuerdo con el subencargado del tratamiento y de cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho contrato.
(e) El importador de datos acordará una cláusula de beneficiario tercero con el subencargado del tratamiento por la que –en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente– el exportador de datos tendrá derecho a rescindir el contrato con el subencargado del tratamiento y a instruirle para que borre o devuelva los datos personales.
MÓDULO TRES: Transferencia de encargado a encargado del tratamiento
El importador de datos cuenta con la autorización general del responsable del tratamiento para la contratación de subencargado(s) del tratamiento de una lista acordada. El importador de datos informará específicamente al responsable del tratamiento por escrito de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con al menos 30 días de antelación, dando así al responsable del tratamiento tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados del tratamiento. El importador de datos proporcionará al responsable del tratamiento la información necesaria para que este pueda ejercer su derecho de oposición. El importador de datos informará al exportador de datos de la contratación del subencargado o subencargados del tratamiento.
(b) Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (en nombre del responsable del tratamiento), lo hará mediante un contrato escrito que prevea, en esencia, las mismas obligaciones de protección de datos que vinculan al importador de datos en virtud de estas Cláusulas, incluidos los derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, al cumplir esta Cláusula, el importador de datos cumple sus obligac
obligaciones en virtud de la Cláusula 8.8. El importador de datos garantizará que el subencargado del tratamiento cumpla las obligaciones a las que el importador de datos está sujeto en virtud de estas Cláusulas.
(c) El importador de datos facilitará, a petición del exportador de datos o del responsable del tratamiento, una copia de dicho acuerdo con el subencargado del tratamiento y de cualquier modificación posterior. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho contrato.
(e) El importador de datos acordará una cláusula de tercero beneficiario con el subencargado del tratamiento en virtud de la cual – en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o haya devenido insolvente – el exportador de datos tendrá derecho a rescindir el contrato con el subencargado del tratamiento y a ordenar al subencargado del tratamiento que suprima o devuelva los datos personales.
Cláusula 10 – Derechos del interesado
MÓDULO UNO: Transferencia de responsable a responsable del tratamiento
(a) El importador de datos, cuando proceda, con la asistencia del exportador de datos, tramitará cualquier consulta y solicitud que reciba de un interesado relacionada con el tratamiento de sus datos personales y el ejercicio de sus derechos en virtud de estas Cláusulas sin dilación indebida y, a más tardar, en el plazo de un mes a partir de la recepción de la consulta o solicitud. El importador de datos adoptará las medidas adecuadas para facilitar dichas consultas, solicitudes y el ejercicio de los derechos del interesado. Toda la información facilitada al interesado deberá presentarse de forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.
(b) En particular, a petición del interesado el importador de datos deberá, de forma gratuita:
(i) facilitar al interesado la confirmación de si se están tratando datos personales que le conciernen y, en caso afirmativo, una copia de los datos que le conciernen y la información del anexo I; si los datos personales han sido o serán objeto de una transferencia ulterior, facilitar información sobre los destinatarios o las categorías de destinatarios (según proceda para proporcionar información significativa) a los que se han transferido o se transferirán ulteriormente los datos personales, la finalidad de dichas transferencias ulteriores y su fundamento de conformidad con la Cláusula 8.7; y facilitar información sobre el derecho a presentar una reclamación ante una autoridad de control de conformidad con la Cláusula 12, letra c), inciso i);
(ii) rectificar los datos inexactos o incompletos relativos al interesado;
(iii) suprimir los datos personales relativos al interesado si dichos datos están siendo o han sido tratados en violación de cualquiera de estas Cláusulas que garantizan los derechos de terceros beneficiarios, o si el interesado retira el consentimiento en que se basa el tratamiento.
(c) Cuando el importador de datos trate los datos personales con fines de mercadotecnia directa, cesará el tratamiento para dichos fines si el interesado se opone a ello.
(d) El importador de datos no tomará una decisión basada únicamente en el tratamiento automatizado de los datos personales transferidos (en lo sucesivo, «decisión automatizada»), que produzca efectos jurídicos sobre el interesado o le afecte de manera similar y significativa, a menos que cuente con el consentimiento explícito del interesado o esté autorizado a hacerlo en virtud de la legislación del país de destino, siempre que dicha legislación establezca medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado. En este caso, el importador de datos, cuando sea necesario en cooperación con el exportador de datos:
(i) informar al interesado sobre la decisión automatizada prevista, las consecuencias previstas y la lógica aplicada; y
(ii) aplicar garantías adecuadas, al menos permitiendo al interesado impugnar la decisión, expresar su punto de vista y obtener una revisión por parte de un ser humano.
(e) Cuando las solicitudes de un interesado sean excesivas, en particular por su carácter repetitivo, el importador de datos podrá cobrar una tasa razonable teniendo en cuenta los costes administrativos de atender la solicitud o negarse a actuar en consecuencia.
(f) El importador de datos podrá denegar una solicitud del interesado si dicha denegación está permitida por la legislación del país de destino y es necesaria y proporcionada en una sociedad democrática para proteger uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
(g) Si el importador de datos tiene la intención de denegar una solicitud del interesado, informará al interesado de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad de control competente y/o de solicitar tutela judicial.
MÓDULO DOS: Transferencia de responsable a encargado del tratamiento
(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí mismo a menos que haya sido autorizado a hacerlo por el exportador de datos.
(b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.
(c) En el cumplimiento de sus obligaciones en virtud de los apartados (a) y (b), el importador de datos deberá cumplir las instrucciones del exportador de datos.
MÓDULO TRES: Transferencia de encargado a encargado
(a) El importador de datos notificará sin demora al exportador de datos y, cuando proceda, al responsable cualquier solicitud que haya recibido de un interesado, sin responder a dicha solicitud a menos que haya sido autorizado a hacerlo por el responsable.
(b) El importador de datos asistirá, cuando proceda en cooperación con el exportador de datos, al responsable en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según corresponda. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.
(c) En el cumplimiento de sus obligaciones en virtud de los apartados (a) y (b), el importador de datos deberá cumplir las instrucciones del responsable, tal como las haya comunicado el exportador de datos.
MÓDULO CUATRO: Transferencia de encargado a responsable
Las Partes se asistirán mutuamente para responder a las consultas y solicitudes formuladas por los interesados en virtud de la legislación local aplicable al importador de datos o, para el tratamiento de datos por parte del exportador de datos en la UE, en virtud del Reglamento (UE) 2016/679.
Cláusula 10 – Derechos del interesado
MÓDULO UNO: Transferencia de responsable a responsable
(a) El importador de datos, cuando sea pertinente con la asistencia del exportador de datos, atenderá cualquier consulta y solicitud que reciba de un interesado en relación con el tratamiento de sus datos personales y el ejercicio de sus derechos en virtud de estas Cláusulas sin dilación indebida y, a más tardar, en el plazo de un mes a partir de la recepción de la consulta o solicitud. (10) El importador de datos adoptará las medidas adecuadas para facilitar dichas consultas, solicitudes y el ejercicio de los derechos del interesado. Toda la información proporcionada al interesado deberá presentarse de forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.
(b) En particular, a petición del interesado, el importador de datos deberá, de forma gratuita:
(i) proporcionar al interesado confirmación de si se están tratando datos personales que le conciernen y, en su caso, una copia de los datos que le conciernen y la información del Anexo I; si los datos personales han sido o serán transferidos ulteriormente, proporcionar información sobre los destinatarios o categorías de destinatarios (según corresponda para proporcionar información significativa) a los que los datos personales han sido o serán transferidos ulteriormente, la finalidad de dichas transferencias ulteriores y su fundamento de conformidad con la Cláusula 8.7; y proporcionar información sobre el derecho a presentar una reclamación ante una autoridad de control de conformidad con la Cláusula 12(c)(i);
(ii) rectificar los datos inexactos o incompletos relativos al interesado;
(iii) suprimir los datos personales relativos al interesado si dichos datos están siendo o han sido tratados en violación de cualquiera de estas Cláusulas que garantizan los derechos de terceros beneficiarios, o si el interesado retira el consentimiento en el que se basa el tratamiento.
(c) Cuando el importador de datos trate los datos personales con fines de mercadotecnia directa, cesará el tratamiento para dichos fines si el interesado se opone a ello.
(d) El importador de datos no adoptará una decisión basada únicamente en el tratamiento automatizado de los datos personales transferidos (en lo sucesivo, «decisión automatizada»), que produzca efectos jurídicos para el interesado o le afecte de forma similar y significativa, a menos que cuente con el consentimiento explícito del interesado o esté autorizado a hacerlo en virtud de las leyes del país de destino, siempre que dichas leyes establezcan medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado. En este caso, el importador de datos, cuando sea necesario en cooperación con el exportador de datos:
(i) informar al interesado sobre la decisión automatizada prevista, las consecuencias previstas y la lógica implicada; y
(ii) aplicar salvaguardias adecuadas, al menos permitiendo al interesado impugnar la decisión, expresar su punto de vista y obtener una revisión por parte de un ser humano.
(e) Cuando las solicitudes de un interesado sean excesivas, en particular por su carácter repetitivo, el importador de datos podrá cobrar una tasa razonable teniendo en cuenta los costes administrativos de atender la solicitud o negarse a tramitarla.
(f) El importador de datos podrá denegar una solicitud de un interesado si dicha denegación está permitida por las leyes del país de destino y es necesaria y proporcionada en una sociedad democrática para proteger uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
(g) Si el importador de datos tiene la intención de denegar una solicitud de un interesado, informará al interesado de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad de control competente y/o de solicitar una vía de recurso judicial.
MÓDULO DOS: Transferencia de responsable a encargado
(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí mismo a menos que haya sido autorizado a hacerlo por el exportador de datos.
(b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.
(c) En el cumplimiento de sus obligaciones en virtud de los apartados a) y b), el importador de datos cumplirá las instrucciones del exportador de datos.
MÓDULO TRES: Transferencia de encargado a encargado
(a) El importador de datos notificará sin demora al exportador de datos y, cuando proceda, al responsable cualquier solicitud que haya recibido de un interesado, sin responder a dicha solicitud a menos que haya sido autorizado a hacerlo por el responsable.
(b) El importador de datos asistirá, cuando proceda en cooperación con el exportador de datos, al responsable en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según corresponda. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.
(c) En el cumplimiento de sus obligaciones en virtud de los apartados a) y b), el importador de datos cumplirá las instrucciones del responsable, tal como le sean comunicadas por el exportador de datos.
MÓDULO CUATRO: Transferencia de encargado a responsable
Las Partes se asistirán mutuamente para responder a las consultas y solicitudes formuladas por los interesados con arreglo a la legislación local aplicable al importador de datos o, en el caso del tratamiento de datos por el exportador de datos en la UE, con arreglo al Reglamento (UE) 2016/679.
Cláusula 11 – Recursos
(a) El importador de datos informará a los interesados, en un formato transparente y de fácil acceso, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tramitará sin demora cualquier reclamación que reciba de un interesado.
MÓDULO UNO: Transferencia de responsable a responsable
MÓDULO DOS: Transferencia de responsable a encargado
MÓDULO TRES: Transferencia de encargado a encargado
(b) En caso de litigio entre un interesado y una de las Partes en relación con el cumplimiento de las presentes Cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y en un plazo razonable. Las Partes se mantendrán informadas mutuamente sobre dichos litigios y, cuando proceda, cooperarán para resolverlos.
(c) Cuando el interesado invoque un derecho de tercero beneficiario de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del interesado de:
(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente de conformidad con la Cláusula 13;
(ii) remitir el litigio a los tribunales competentes en el sentido de la Cláusula 18.
(d) Las Partes aceptan que el interesado podrá ser representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
(e) El importador de datos acatará una decisión que sea vinculante en virtud del Derecho aplicable de la UE o del Estado miembro.
(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a solicitar recursos de conformidad con las leyes aplicables.
Cláusula 12 – Responsabilidad
MÓDULO UNO: Transferencia de responsable a responsable del tratamiento
MÓDULO CUATRO: Transferencia de encargado a responsable del tratamiento
(a) Cada Parte será responsable ante la(s) otra(s) Parte(s) por cualquier daño que cause a la(s) otra(s) Parte(s) por cualquier incumplimiento de estas Cláusulas.
(b) Cada Parte será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que la Parte cause al interesado al incumplir los derechos de terceros beneficiarios en virtud de estas Cláusulas. Esto se entenderá sin perjuicio de la responsabilidad del exportador de datos en virtud del Reglamento (UE) 2016/679.
(c) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas Cláusulas, todas las Partes responsables serán conjunta y solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de estas Partes.
(d) Las Partes acuerdan que si una Parte es considerada responsable en virtud del apartado (c), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a la responsabilidad que le/les corresponda por el daño.
(e) El importador de datos no podrá invocar la conducta de un encargado o subencargado del tratamiento para eludir su propia responsabilidad.
MÓDULO DOS: Transferencia de responsable a encargado del tratamiento
MÓDULO TRES: Transferencia de encargado a encargado del tratamiento
(a) Cada Parte será responsable ante la(s) otra(s) Parte(s) por cualquier daño que cause a la(s) otra(s) Parte(s) por cualquier incumplimiento de estas Cláusulas.
(b) El importador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el importador de datos o su subencargado del tratamiento cause al interesado al incumplir los derechos de terceros beneficiarios en virtud de estas Cláusulas.
(c) No obstante lo dispuesto en el apartado (b), el exportador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subencargado del tratamiento) cause al interesado al incumplir los derechos de terceros beneficiarios en virtud de estas Cláusulas. Esto se entenderá sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad de este último en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.
(d) Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del apartado (c) por los daños causados por el importador de datos (o su subencargado del tratamiento), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por el daño.
(e) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas Cláusulas, todas las Partes responsables serán conjunta y solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de estas Partes.
(f) Las Partes acuerdan que, si una Parte es considerada responsable en virtud del apartado (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la compensación correspondiente a su responsabilidad por el daño.
(g) El importador de datos no podrá invocar la conducta de un subencargado para eludir su propia responsabilidad.
Cláusula 13 – Supervisión
MÓDULO UNO: Transferencia de responsable a responsable
MÓDULO DOS: Transferencia de responsable a encargado
MÓDULO TRES: Transferencia de encargado a encargado
(a) Cuando el exportador de datos esté establecido en un Estado miembro de la UE: La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C, actuará como autoridad de control competente.
(b) Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre dentro del ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado un representante de conformidad con el artículo 27, apartado 1, del Reglamento (UE) 2016/679: La autoridad de control del Estado miembro en el que esté establecido el representante a que se refiere el artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de control competente.
(c) Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre dentro del ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin tener que designar un representante de conformidad con el artículo 27, apartado 2, del Reglamento (UE) 2016/679: La autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieren en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento sea objeto de seguimiento, tal como se indica en el anexo I.C, actuará como autoridad de control competente.
(b) El importador de datos se compromete a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos se compromete a responder a las consultas, a someterse a auditorías y a cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctoras y compensatorias. Deberá proporcionar a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.
SECCIÓN III – LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14 – Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas
MÓDULO UNO: Transferencia de responsable a responsable
MÓDULO DOS: Transferencia de responsable a encargado
MÓDULO TRES: Transferencia de encargado a encargado
MÓDULO CUATRO: Transferencia de encargado a responsable (cuando el encargado de la UE combina los datos personales recibidos del responsable de un tercer país con datos personales recogidos por el encargado en la UE)
(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de datos personales o las medidas que autorizan el acceso por parte de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con las presentes Cláusulas.
(b) Las Partes declaran que, al otorgar la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
(i) las circunstancias específicas de la transferencia, incluida la duración de la cadena de tratamiento, el número de actores implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
(ii) las leyes y prácticas del tercer país de destino –incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso por parte de dichas autoridades–, pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;
(iii) cualesquiera salvaguardias contractuales, técnicas u organizativas pertinentes establecidas para complementar las salvaguardias en virtud de estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y al tratamiento de los datos personales en el país de destino.
(c) El importador de datos garantiza que, al realizar la evaluación en virtud del apartado (b), ha hecho todo lo posible para proporcionar al exportador de datos la información relevante y se compromete a seguir cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.
(d) Las Partes acuerdan documentar la evaluación realizada en virtud del apartado (b) y ponerla a disposición de la autoridad de control competente si así se le solicita.
(e) El importador de datos se compromete a notificar sin demora al exportador de datos si, después de haber aceptado estas Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos del apartado (a), incluso a raíz de un cambio en las leyes del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no se ajuste a los requisitos del apartado (a).
(f) Tras una notificación de conformidad con el apartado (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deban adoptar el exportador de datos y/o el importador de datos para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar salvaguardias adecuadas para dicha transferencia, o si así se lo indica la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de estas Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte relevante, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicarán las Cláusulas 16(d) y (e).
Cláusula 15 – Obligaciones del importador de datos en caso de acceso por parte de autoridades públicas
MÓDULO UNO: Transferencia de responsable a responsable
MÓDULO DOS: Transferencia de responsable a encargado
MÓDULO TRES: Transferencia de encargado a encargado
MÓDULO CUATRO: Transferencia de encargado a responsable (cuando el encargado de la UE combina los datos personales recibidos del responsable de un tercer país con los datos personales recogidos por el encargado en la UE)
15.1 Notificación
(a) El importador de datos se compromete a notificar al exportador de datos y, cuando sea posible, al interesado sin demora (si es necesario con la ayuda del exportador de datos) si:
(i) reciba una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de las leyes del país de destino para la divulgación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base legal de la solicitud y la respuesta proporcionada; o
(ii) tenga conocimiento de cualquier acceso directo por parte de autoridades públicas a datos personales transferidos de conformidad con estas Cláusulas, de acuerdo con las leyes del país de destino; dicha notificación incluirá toda la información disponible para el importador.
(b) Si el importador de datos tiene prohibido notificar al exportador de datos y/o al interesado en virtud de las leyes del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una exención de la prohibición, con el fin de comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
(c) Cuando lo permitan las leyes del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, la mayor cantidad posible de información relevante sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad(es) solicitante(s), si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).
(d) El importador de datos se compromete a conservar la información de conformidad con los apartados (a) a (c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente si así se le solicita.
(e) Los apartados (a) a (c) se entenderán sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 14(e) y la Cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir con estas Cláusulas.
15.2 Revisión de la legalidad y minimización de datos
El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si esta se mantiene dentro de las facultades concedidas a la autoridad pública solicitante, y a impugnar la solicitud si, tras una evaluación cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal según las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos, en las mismas condiciones, buscará posibilidades de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas provisionales con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente haya decidido sobre su fondo. No divulgará los datos personales solicitados hasta que así se le exija en virtud de las normas de procedimiento aplicables. Estos requisitos se entenderán sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).
(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permitan las leyes del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente si así se solicita.
(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.
SECCIÓN IV – DISPOSICIONES FINALES
Cláusula 16 – Incumplimiento de las Cláusulas y rescisión
(a) El importador de datos informará sin demora al exportador de datos si no puede cumplir las presentes Cláusulas, por cualquier motivo.
(b) En caso de que el importador de datos incumpla las presentes Cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Esto se entiende sin perjuicio de la Cláusula 14(f).
(c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes Cláusulas, cuando:
(i) el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y el cumplimiento de las presentes Cláusulas no se restablece en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión;
(ii) el importador de datos incurre en un incumplimiento sustancial o persistente de las presentes Cláusulas; o
(iii) el importador de datos incumple una decisión vinculante de un tribunal o autoridad de control competente en relación con sus obligaciones en virtud de las presentes Cláusulas. En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado lo contrario.
(d) Para el Módulo Dos: Los datos personales que hayan sido transferidos antes de la rescisión del contrato de conformidad con el apartado (c) serán, a elección del exportador de datos, devueltos inmediatamente al exportador de datos o suprimidos en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. Para el Módulo Cuatro: Los datos personales recogidos por el exportador de datos en la UE que hayan sido transferidos antes de la rescisión del contrato de conformidad con el apartado (c) serán suprimidos inmediatamente en su totalidad, incluida cualquier copia de los mismos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o supresión de los datos personales transferidos, el importador de datos garantiza que seguirá garantizando el cumplimiento de las presentes Cláusulas y solo tratará los datos en la medida y durante el tiempo que exija dicha ley local.
(e) Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican las presentes Cláusulas; o
(ii) el Reglamento (UE) 2016/679 pasa a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
Cláusula 17 – Legislación aplicable
MÓDULO UNO: Transferencia de responsable a responsable
MÓDULO DOS: Transferencia de responsable a encargado
MÓDULO TRES: Transferencia de encargado a encargado
Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la legislación del Estado miembro identificado en el Acuerdo de Protección de Datos al que se adjuntan estas cláusulas.
MÓDULO CUATRO: Transferencia de encargado a responsable
Las presentes Cláusulas se regirán por la legislación de un país que permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la legislación identificada en el Acuerdo de Protección de Datos al que se adjuntan estas cláusulas.
Cláusula 18 – Elección de foro y jurisdicción
MÓDULO UNO: Transferencia de responsable a responsable
MÓDULO DOS: Transferencia de responsable a encargado
MÓDULO TRES: Transferencia de encargado a encargado
(a) Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de un Estado miembro de la UE.
(b) Las Partes acuerdan que estos serán los tribunales del Estado miembro identificado en el Acuerdo de Protección de Datos al que se adjuntan estas cláusulas.
(c) Un interesado también podrá interponer acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
MÓDULO CUATRO: Transferencia de encargado a responsable
Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales del Estado miembro identificado en el Acuerdo de Protección de Datos al que se adjuntan estas cláusulas.
APÉNDICE
ANEXO I
A. LISTA DE PARTES
MÓDULO UNO: Transferencia de responsable a responsable
MÓDULO DOS: Transferencia de responsable a encargado
MÓDULO TRES: Transferencia de encargado a encargado
MÓDULO CUATRO: Transferencia de encargado a responsable
Exportador(es) de datos: Cliente, según se identifica en el Acuerdo de Procesamiento de Datos al que se adjuntan las Cláusulas Contractuales Tipo.
1. Nombre:
Cliente, según se identifica en el Contrato Marco.
Dirección:
Según se identifica en el Contrato Marco.
Nombre, cargo y datos de contacto de la persona de contacto:
Según se identifica en el Contrato Marco.
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas:
Recepción y uso de los bienes, servicios y/o software conforme al Contrato.
Firma y fecha:
Véase la página de firmas del Contrato Marco.
Por: [counterpartySignerSignature_EQfX7Ot]
(Firma)
[counterpartySignerName_pZT2SXq]_
(Nombre en mayúsculas)
Su: [counterpartySignerTitle_z1IeB0y]_
(Cargo)
Rol (responsable del tratamiento/encargado del tratamiento):
Responsable del tratamiento
Importador(es) de datos: Ripple Treasury, según se identifica en el Acuerdo de Procesamiento de Datos al que se adjuntan las Cláusulas Contractuales Estándar
1. Nombre:
Ripple Treasury, según se identifica en el Contrato Marco.
Dirección:
Según lo establecido en el Contrato Marco.
Nombre, cargo y datos de contacto de la persona de contacto:
Según lo establecido en el Contrato Marco.
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas:
Cumplimiento del Contrato.
Firma y fecha:
Véase la página de firmas del Contrato Marco.
Firma: [counterpartySignerSignature_01PXzlP]
(Firma)
[counterpartySignerName_2Li13B0]
(Nombre legible)
Cargo: [counterpartySignerTitle_l33M0Ml]
(Cargo)
Función (responsable del tratamiento/encargado del tratamiento):
Encargado del tratamiento
B. DESCRIPCIÓN DE LA TRANSFERENCIA
MÓDULO UNO: Transferencia de responsable del tratamiento a responsable del tratamiento
MÓDULO DOS: Transferencia de responsable del tratamiento a encargado del tratamiento
MÓDULO TRES: Transferencia de encargado del tratamiento a encargado del tratamiento
MÓDULO CUATRO: Transferencia de encargado del tratamiento a responsable del tratamiento
Categorías de interesados cuyos datos personales se transfieren.
Empleados, contratistas y otros que reciben y utilizan el software y/o los servicios de Ripple Treasury y/o que administran la relación entre Ripple Treasury y el Cliente.
Personas cuyos datos personales el Cliente incluye en los registros de los sistemas de Ripple Treasury en la medida necesaria para que Ripple Treasury cumpla con el Acuerdo.
Categorías de datos personales transferidos
Información habitualmente contenida en un ticket de soporte (por ejemplo, nombre, número de teléfono de la empresa, dirección de correo electrónico de la empresa y función organizativa).
Información necesaria para proporcionar y mantener tickets de credenciales de inicio de sesión y similares (por ejemplo, nombre, número de teléfono de la empresa, dirección de correo electrónico de la empresa y función organizativa) o para facturar y recibir pagos.
Información necesaria para proporcionar servicios de formación y/o consultoría (por ejemplo, nombre, número de teléfono de la empresa, dirección de correo electrónico de la empresa, función organizativa, ubicación, formación intentada y formación recibida).
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados, como, por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso solo para el personal que haya recibido formación especializada), el mantenimiento de un registro de acceso a los datos, restricciones para transferencias ulteriores o medidas de seguridad adicionales.
Ninguno.
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).
Continuo.
Naturaleza del tratamiento
Recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o combinación, limitación, supresión y/o destrucción, todo ello en la medida necesaria para cumplir con el Acuerdo.
Finalidad(es) de la transferencia de datos y del tratamiento posterior
Ejecución conforme a, y/o disfrute del beneficio de, el Acuerdo.
El período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período
El plazo del Acuerdo, así como cualquier tiempo adicional que dicho Acuerdo exija a Ripple Treasury conservar dicha información y, en cualquier caso, el tiempo, utilizando prácticas estándar de la industria, necesario para eliminar dicha información.
Para las transferencias a (sub)encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del tratamiento.
El plazo del Acuerdo, así como cualquier tiempo adicional que dicho Acuerdo exija a Ripple Treasury conservar dicha información y, en cualquier caso, el tiempo, utilizando prácticas estándar de la industria, necesario para eliminar dicha información.
C. AUTORIDAD DE CONTROL COMPETENTE
MÓDULO UNO: Transferencia de responsable a responsable del tratamiento
MÓDULO DOS: Transferencia de responsable a encargado del tratamiento
MÓDULO TRES: Transferencia de encargado a encargado del tratamiento
Identificar la(s) autoridad(es) de control competente(s) de conformidad con la Cláusula 13.
Según se describe en la Cláusula 13.
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
MÓDULO UNO: Transferencia de responsable a responsable del tratamiento
MÓDULO DOS: Transferencia de responsable a encargado del tratamiento
MÓDULO TRES: Transferencia de encargado a encargado del tratamiento
Las medidas técnicas y organizativas exigidas por el Acuerdo distintas de este DPA.
ANEXO III
LISTA DE SUBENCARGADOS DEL TRATAMIENTO
MÓDULO DOS: Transferencia de responsable a encargado del tratamiento
MÓDULO TRES: Transferencia de encargado a encargado del tratamiento
El responsable del tratamiento ha autorizado el uso de los siguientes subencargados del tratamiento:
1. Nombre
Microsoft Corp. (y/o aquellas de sus filiales que presten servicios de Azure)
Dirección
One Microsoft Way
Redmond, Washington 98052-6399
+1425-882-8080
Nombre, puesto y datos de contacto de la persona de contacto:
Delegado de Protección de Datos de Microsoft para la UE
One Microsoft Place
South County Business Park
Leopardstown
Dublín 18
D18 P521
Irlanda
Teléfono: +353 (1) 706-3117
Descripción del procesamiento (incluida una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados del tratamiento):
Servicios de alojamiento necesarios para prestar los servicios en virtud del Acuerdo.
2. Nombre
Amazon Web Services, Inc. (y/o aquellas de sus filiales que presten servicios de alojamiento de AWS, incluyendo, entre otras, Amazon Web Services EMEA SARL y Amazon Internet Services Private Limited)
Dirección
410 Terry Avenue North
Seattle, Washington 98109-5210,
+1425-882-8080
Nombre, puesto y datos de contacto de la persona de contacto:
Delegado de Protección de Datos de Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy
L-1855, Luxemburgo,
Atención: AWS EMEA Legal
Descripción del tratamiento (incluyendo una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados del tratamiento):
Servicios de alojamiento necesarios para prestar los servicios conforme al Acuerdo.
3. Nombre
Rackspace Technology, Inc. (y/o aquellas de sus filiales que presten servicios de alojamiento)
Dirección
1 Fanatical Place
Windcrest, Texas 78218
+1 210-312-4000
Nombre, cargo y datos de contacto de la persona de contacto:
Director de Privacidad
Rackspace Technology, Inc.
1 Fanatical Place
Windcrest, Texas 78218
Descripción del tratamiento (incluyendo una clara delimitación de responsabilidades en caso de que se autoricen varios subencargados del tratamiento):
Servicios de alojamiento necesarios para prestar los servicios conforme al Acuerdo.
Ver Ripple Treasury en acción
Conéctese hoy mismo con expertos de apoyo, soluciones integrales y posibilidades sin explotar.