Stop Fraud Sooner — at the Edge
As we push the boundaries of the network edge closer to the users and locations where computing power is needed, service providers are able to minimize latency, reduce bandwidth...
Our modern identity services are exposed through developer-friendly APIs, SDKs and Low-Code services to deliver the scale and performance required for any and all customer use cases.
Featured Blog Post:
As we push the boundaries of the network edge closer to the users and locations where computing power is needed, service providers are able to minimize latency, reduce bandwidth...
Este Anexo sobre Protección de Datos (este “Anexo”) complementa y forma parte del Acuerdo de Transmit Security para Servicios en la Nube (“Acuerdo”) celebrado entre Usted y Transmit Security. Salvo que se modifiquen en este Anexo, los términos del Acuerdo permanecerán en pleno vigor y efecto y los términos definidos en el Acuerdo tendrán el mismo significado en este Anexo, a menos que se definan de forma diferente en este Anexo. En caso de conflicto entre el Acuerdo y este Anexo, prevalecerán los términos de este Anexo. Para evitar cualquier duda, este Anexo entrará en vigor en la fecha más próxima de las siguientes (según proceda): (i) la fecha de entrada en vigor del Acuerdo, o (ii) el inicio del procesamiento de los Datos Personales de los Usuarios Finales a través de los Servicios en la Nube, y permanecerá en vigor hasta la rescisión del Acuerdo; o el último procesamiento de los Datos Personales de los Usuarios Finales en virtud del Acuerdo y de este Anexo.
Definiciones En este Anexo, las siguientes palabras y expresiones tienen los siguientes significados:
“Controlador”, “Titular de los Datos”, “Violación de Datos Personales”, “Procesador”, “Autoridad Supervisora” y “procesamiento” tienen los significados que se dan a esos términos en el GDPR (y los términos relacionados, como “proceso”, “procesos” y “procesados” tendrán los significados correspondientes).
“Leyes de Protección de Datos” significa todas las leyes y regulaciones relacionadas con la protección de datos y la privacidad aplicables a las partes y/o al procesamiento de Datos Personales Personalizados en virtud de este Anexo, incluido, sin limitación, el Reglamento General de Protección de Datos de la UE 2016/679(“GDPR de la UE”), el GDPR de la UE en la forma en que se incorporó a las leyes del Reino Unido en virtud de la Ley de la Unión Europea (Retirada) de 2018 (“GDPR del Reino Unido”, junto con el GDPR de la UE, el “GDPR”), la Ley de Protección de Datos del Reino Unido de 2018, y cualquier legislación y regulaciones de implementación asociadas, en cada caso, según estén en vigor y sean aplicables, y según se modifiquen, complementen o reemplacen de vez en cuando. “Cláusulas Contractuales Tipo de la UE” se refiere al Anexo de la decisión de la Comisión Europea de 4 de junio de 2021 sobre Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países que no garanticen un nivel adecuado de protección de datos de conformidad con el GDPR.
“Datos Personales del Usuario Final” significa los Datos del Usuario Final en la medida en que dichos datos consistan en Datos Personales;
“Datos Personales del Usuario Final de la Red de Identidad” significa los Datos del Usuario Final de la Red de Identidad en la medida en que dichos datos consistan en Datos Personales.
“Anexo del Reino Unido” significa el Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo, emitido por el Comisionado de Información del Rei
“Sub-Procesador” significa otro Procesador contratado por Transmit Security mientras actúa como Procesador para llevar a cabo actividades de procesamiento con respecto a los Datos Personales del Usuario Final.
Transmit Security como Controlador
Transmit Security y el Cliente serán cada uno Controladores independientes en relación con cualquier Dato Personal del Usuario Final de la Red de Identidad que se procese para todos los fines, incluido, en el caso de Transmit Security, prestar servicios de autenticación al Usuario Final en relación con plataformas tecnológicas de terceros, siempre que Transmit Security siga siendo un Procesador en relación con cualquier uso de Datos Personales del Usuario Final de la Red de Identidad para prestar servicios de autenticación relacionados con el Usuario Final al Cliente. Cada una de las partes cumplirá las Leyes de Protección de Datos aplicables al tratamiento de los Datos Personales del Usuario Final de la Red de Identidad, lo que incluye:
la aplicación y el mantenimiento, durante todo el período en que se procesen los Datos Personales del Usuario Final de la Red de Identidad, de medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado a los riesgos que puedan producirse como resultado del procesamiento de los Datos Personales del Usuario Final de la Red de Identidad, incluida la protección frente a la Violación de Datos Personales;
notificar a los Usuarios Finales cómo se utilizarán los Datos Personales de los Usuarios Finales de la Red de Identidad y obtener los consentimientos necesarios de los Usuarios Finales.
Cuando actúe como Controlador de los Datos Personales de los Usuarios Finales de la Red de Identidad, el Cliente también deberá:
proporcionar asistencia razonable a Transmit Security si fuera necesario para: (A) el ejercicio de los Derechos de los Titulares de los Datos; (B) la notificación a los Titulares de los Datos; y (C) la notificación a los Titulares de los Datos y a las Autoridades Supervisoras de las Violaciones de Datos Personales;
notificar a Transmit Security sin demora indebida: (A) la recepción de una solicitud de un Titular de los Datos relativa a los Datos Personales del Usuario Final de la Red de Identidad; (B) la recepción de cualquier reclamación, queja o alegación relativa al procesamiento de los Datos Personales del Usuario Final de la Red de Identidad por parte de cualquier Autoridad Supervisora o tercero; y (C) el conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Usuario Final de la Red de Identidad.
El Cliente autoriza a Transmit Security a copiar, anonimizar, crear trabajos derivados y procesar de cualquier otro modo los Datos Personales del Usuario Final, en su totalidad o en parte, con el fin de obtener datos estadísticos y de uso, así como datos relacionados con la funcionalidad de los productos y servicios de Transmit Security, y combinar o incorporar los Datos Personales del Usuario Final con o en otros datos e información similares disponibles, derivados u obtenidos de otros clientes, licenciatarios, usuarios u otras fuentes para mejorar los productos y servicios existentes de Transmit Security y desarrollar nuevos productos y servicios de Transmit Security. Transmit Security es un Controlador para dicho procesamiento y procesará los Datos Personales del Usuario Final de conformidad con las Leyes de Protección de Datos aplicables al procesamiento de dichos datos.
Transmit Security como Procesador
Aparte de lo establecido en la Sección 2, Transmit Security será un Procesador en relación con los Datos Personales del Usuario Final y se aplicará esta Sección 3.
Mandato de Procesamiento e instrucciones del Controlador: Transmit Security llevará a cabo el procesamiento de los Datos Personales de los Usuarios Finales derivados de la prestación de los Servicios en la Nube contratados por el Cliente de conformidad con el Acuerdo, limitándose a realizar las actuaciones que sean necesarias para prestar al Cliente los Servicios en la Nube relativos al procesamiento de los Datos Personales de los Usuarios Finales y a cumplir, por lo demás, sus obligaciones y las instrucciones del Cliente de conformidad con este Anexo y sus Apéndices. En específico, Transmit Security se compromete a llevar a cabo el procesamiento de los Datos Personales del Usuario Final de conformidad con las instrucciones dadas en todo momento por el Cliente, así como con las disposiciones de las Leyes de Protección de Datos, incluso en lo que respecta a las transferencias de Datos Personales del Usuario Final a un tercer país o a una organización internacional, a menos que Transmit Security esté obligada a hacerlo en virtud de las Leyes de Protección de Datos del Reino Unido, del EEA o de la legislación de los Estados Miembros del EEA que le sean aplicables, en cuyo caso Transmit Security informará al Cliente de este requisito legal antes del procesamiento, a menos que la legislación aplicable se lo prohíba. Cuando Transmit Security considere que una instrucción podría dar lugar a una violación de cualquier Ley de Protección de Datos aplicable, Transmit Security lo notificará al Cliente.
Detalles del Procesamiento. Los detalles de las actividades de procesamiento que llevará a cabo Transmit Security con respecto a los Servicios en la Nube se especifican en el Apéndice 1.
Derechos de los Titulares de los Datos. Teniendo en cuenta la naturaleza del procesamiento, Transmit Security asistirá al Cliente, utilizando las medidas técnicas y organizativas adecuadas, en la medida en que sea posible, en el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los Titulares de los Datos en el ejercicio de sus derechos en virtud de las Leyes de Protección de Datos.
Confidencialidad. Transmit Security se asegurará de que su personal encargado del procesamiento de los Datos Personales de los Usuarios Finales esté sujeto a un compromiso vinculante de confidencialidad.
Violación de Datos Personales. Transmit Security deberá notificar al Cliente sin demora indebida cualquier Violación de Datos Personales que afecte a los Datos Personales del Usuario Final.
Registro de actividades de procesamiento. Transmit Security mantendrá registros escritos actualizados de sus actividades de procesamiento llevadas a cabo en nombre del Cliente en virtud de esta Sección 3 y según lo exigido por las Leyes de Protección de Datos.
Sub-Procesadores. El Cliente reconoce y acepta que Transmit Security podrá contratar a cualquiera de los Sub-Procesadores enumerados en el Apéndice 2 para prestar los Servicios en la Nube al Cliente, que Transmit Security podrá actualizar periódicamente. Si Transmit Security nombra a un nuevo Sub-Procesador no identificado en el Apéndice 2, Transmit Security notificará al Cliente dicho nombramiento en un plazo de 10 días hábiles antes de utilizar el nuevo Sub-Procesador para los Servicios en la Nube. Si el Cliente no presenta ninguna objeción en el plazo de dichos 10 días hábiles o si la objeción no está razonablemente fundada en la falta de garantías necesarias en relación con el cumplimiento de las Leyes de Protección de Datos por parte del Sub-Procesador, dicho Sub-Procesador se considerará aprobado por el Cliente.
Transmit Security se asegurará de que, antes de permitir que cualquier Sub-Procesador procese Datos Personales del Usuario Final, dicho Sub-Procesador haya suscrito un acuerdo vinculante por escrito con Transmit Security que imponga obligaciones sustancialmente equivalentes y no menos protectoras que las obligaciones impuestas a Transmit Security en virtud del presente Anexo (en la medida aplicable a la naturaleza de los servicios prestados por dicho Sub-Procesador). En caso de que dicho Sub-Procesador incumpla sus obligaciones de protección de datos en relación con los Datos Personales del Usuario Final, Transmit Security seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones de dicho SubProcesador
Asistencia. Transmit Security asistirá razonablemente al Cliente en garantizar el cumplimiento de las obligaciones del Cliente relacionadas con la seguridad del procesamiento, la notificación y la comunicación de una Violación de Datos Personales que afecte a los Datos Personales del Usuario Final, la realización de evaluaciones de impacto sobre la protección de datos por parte del Cliente y las consultas previas con la Autoridad Supervisora pertinente en relación con las evaluaciones de impacto sobre la protección de datos.
Información. Transmit Security pondrá a disposición del Cliente, previa solicitud, la información necesaria para demostrar el cumplimiento de las obligaciones de Transmit Security establecidas en esta Sección 3.
Auditorías. A petición razonable del Cliente (pero no más de una vez cada 12 meses), Transmit Security cooperará con las auditorías e inspecciones de su cumplimiento de los requisitos y obligaciones establecidos en este Anexo y/o en las Leyes de Protección de Datos en relación con los Datos Personales del Usuario Final. Dichas auditorías e inspecciones podrán ser llevadas a cabo por el Cliente o por cualquier tercero de confianza designado por el Cliente sujeto a obligaciones de confidencialidad. Las obligaciones de Transmit Security en virtud de esta sección de auditoría están sujetas a que el Cliente:
Notifique a Transmit Security con una antelación razonable las auditorías y/o inspecciones requeridas por el Cliente;
Garantice que toda la información obtenida o generada por el Cliente o sus representantes en relación con dichas auditorías y/o inspecciones se mantenga estrictamente confidencial (salvo para su divulgación a las Autoridades Supervisoras pertinentes o según lo exija la legislación aplicable);
Garantice que dichas auditorías y/o inspecciones se lleven a cabo durante el horario laboral normal, con una interrupción mínima de la actividad de Transmit Security y de la actividad de otros clientes de Transmit Security, en la medida en que sea razonablemente factible.
Medidad Técnicas y Organizativas.
Transmit Security implementará y mantendrá las medidas técnicas y organizativas apropiadas en relación con el procesamiento de los Datos Personales del Usuario Final para garantizar un nivel de seguridad adecuado para tratar y proteger los riesgos para los derechos y libertades de los Titulares de los Datos que puedan producirse como consecuencia del procesamiento de dichos Datos Personales del Usuario Final, y según se requiera para evitar la destrucción, pérdida, alteración o divulgación no autorizada, accidental o ilícita, de los Datos Personales Personalizados, o el acceso no autorizado a los mismos, y/o según se requiera de otro modo de conformidad con las Leyes de Protección de Datos, incluidas, entre otras cosas, las medidas establecidas en el Apéndice 3. En el cumplimiento de las anteriores obligaciones, Transmit Security tendrá en cuenta el estado de desarrollo tecnológico existente en cada momento y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como los riesgos anteriormente mencionados.
Transmit Security se asegurará de que todas las personas que actúen bajo su autoridad o en su nombre y que tengan acceso a los Datos Personales del Usuario Final, no procesen los Datos Personales del Usuario Final excepto según las instrucciones del Cliente y lo permitido en este Anexo.
Transferencias Internacionales de Datos Personales del Reino Unido/EEA
Cuando usted contrate con Transmit Security, Inc en virtud del Acuerdo, las partes reconocen que los Datos Personales del Usuario Final serán transferidos por Usted a Transmit Security en los Estados Unidos de América (EE. UU.), y que EE. UU. es un país no considerado adecuado para la transferencia de Datos Personales por la Comisión Europea (en relación con las transferencias sujetas al GDPR de la UE) o el gobierno del Reino Unido (en relación con las transferencias sujetas al GDPR del Reino Unido) (“País No Adecuado”). En la medida en que los Datos Personales del Usuario Final estén sujetos al GDPR, y no sean proporcionados directamente por los Usuarios Finales a Transmit Security, las partes acuerdan que dicha transferencia de datos se regirá por el Módulo Dos: Controlador a Procesador de las Cláusulas Contractuales Tipo de la UE, que por la presente se incorporan y forman parte de este Anexo en la forma establecida en el Apéndice 4, y las partes por la presente concluyen y acuerdan estar obligadas por dichas Cláusulas Contractuales Tipo de la UE. En la medida en que los Datos Personales del Usuario Final estén sujetos al GDPR del Reino Unido y tal como exige el GDPR del Reino Unido, las Cláusulas Contractuales Tipo de la UE se complementarán con el Anexo del Reino Unido, que figura en el Apéndice 6.
En la medida en que los Datos Personales puestos a su disposición por Transmit Security estén sujetos al GDPR y Usted tenga su sede fuera del EEA o del Reino Unido, en un País No Adecuado, las partes acuerdan que cualquier transferencia de Datos Personales de Transmit Security a Usted se regirá por el Módulo Cuatro: Procesador a Controlador de las Cláusulas Contractuales Tipo de la UE que por la presente se incorporan y forman parte de este Anexo en la forma establecida en el Apéndice 5, y las partes por la presente concluyen y acuerdan estar obligadas por dichas Cláusulas Contractuales Tipo de la UE. En la medida en que los Datos Personales estén sujetos al GDPR del Reino Unido y tal como exige el GDPR del Reino Unido, las Cláusulas Contractuales Tipo de la UE se complementarán con el Anexo del Reino Unido, que figura en el Apéndice 6
Transmit Security no transferirá Datos Personales del Usuario Final a ninguna parte fuera del EEA y del Reino Unido en un País No Adecuado (incluyendo permitir el acceso a Datos Personales Personalizados desde cualquier parte en dichos países) sin el consentimiento previo por escrito del Cliente, a menos que la transferencia/acceso cumpla con las Leyes de Protección de Datos (incluyendo tener implementadas las garantías de transferencia apropiadas según corresponda).
Devolución y Eliminación de Datos Personales. A petición del Cliente, Transmit Security devolverá o destruirá los Datos Personales del Usuario Final, salvo que la legislación del Reino Unido, del EEA o de un Estado Miembro del EEA exija su conservación (según corresponda).
Obligaciones del Cliente. El Cliente se asegurará de que los Datos Personales del Usuario Final proporcionados a Transmit Security se obtengan y transfieran a Transmit Security en conformidad con las Leyes de Protección de Datos. Por el presente, el Cliente declara que es el único responsable de la exactitud, calidad y legitimidad de los Datos Personales del Usuario Final y de los medios a través de los cuales se han recopilado.
Acuerdo completo y modificaciones. El presente Anexo y sus Apéndices constituyen el acuerdo completo e íntegro entre las partes en relación con el objeto del mismo y sustituye a todos los acuerdos y contratos o negociaciones anteriores o contemporáneos en relación con el mismo.
El presente Anexo sólo podrá modificarse mediante documento escrito firmado por ambas partes.
Naturaleza y finalidad del procesamiento. Transmit Security procesará los Datos Personales del Usuario Final según sea necesario para prestar los Servicios en la Nube contratados por el Cliente en virtud del Acuerdo, y según las instrucciones adicionales del Cliente de conformidad con el Acuerdo, la Orden de Pedido y este Anexo
Duración del procesamiento. Transmit Security procesará los Datos Personales del Usuario Final durante la duración del Acuerdo (o según acuerden las partes por escrito), y de conformidad con las obligaciones de conservación de Transmit Security en virtud de este Anexo y del Acuerdo, siempre que los Datos Personales del Usuario Final no se procesen durante más tiempo del necesario para el fin para el que se recopilaron o se están procesando (excepto cuando se aplique una excepción legal).
Categorías de Titular de los Datos. Usuarios Finales.
Tipos de Datos Personales. El Cliente puede solicitar el procesamiento de Datos Personales del Usuario Final para la prestación de los Servicios en la Nube, que pueden incluir, pero no limitado a, las siguientes categorías de Datos Personales.
Producto de Transmit Security | Tipos de Datos |
Strong Passwordless y MFA | Correo electrónico y número de teléfono del usuario final (opcional), datos de la Transacción y del pago (incluido el importe, el beneficiario y el solicitante del pago), ubicación, agente de usuario de los dispositivos vinculados, dirección IP o cualquier otro Dato Personal asociado a los Usuarios Finales del Cliente y almacenado y gestionado por Transmit Security (es decir, datos personalizados) |
Plataforma de Identidad Transmit (Core) | Transmit ofrece al cliente la opción de almacenar el correo electrónico del usuario final, su número de teléfono, dirección, nombre, apellidos, segundo nombre, fecha de nacimiento, enlace a una foto de perfil e idioma preferido. Además, Transmit recopila y almacena las direcciones IP de los usuarios finales y los agentes de usuario. |
Protección de Cuentas | Los Datos Personales procesados consisten en una serie de elementos de datos recopilados con el fin de tomar decisiones de identidad y confianza relacionadas con el uso de las aplicaciones web y móviles del Cliente por parte de los usuarios finales del Cliente. Dichos elementos de datos incluyen información de red de los usuarios finales, atributos de hardware, atributos de software, detalles sobre el recorrido de la aplicación y eventos de interacción, así como identificadores. A los usuarios finales se les asigna un identificador único al que se atribuyen los datos recopilados. Además, el correo electrónico, el número de teléfono y la dirección del usuario final se procesan como parámetros opcionales si los facilita el cliente. |
Verificación de Identidad | Nombre y apellidos del usuario final, dirección, país, número de documento de identidad, fecha de nacimiento, fotografía del documento de identidad, datos impresos en el documento de identidad, autofotografía. Nota: Todos los datos se guardan por defecto durante 90 días, a menos que el cliente defina un periodo diferente. |
Dependiendo de (a) la ubicación geográfica de un Cliente o de sus Usuarios Finales, y (b) la naturaleza de los Servicios en la Nube prestados, como se indica a continuación, Transmit Security podrá también utilizar Subprocesadores para prestar los Servicios al Cliente.
Entidad Sub-Procesadora | Breve Descripción del Procesamiento | Ubicación del Sub-Procesador | Aplicable a los siguientes Productos: |
Amazon Web Services, Inc. | Alojamiento | EE.UU., UE | Plataforma Completa * |
Canada | Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Detección y Respuesta | ||
MongoDB Atlas | Base de Datos como Servicio | EE.UU., UE | FlexID, BindID, Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Verificación de Identidad |
Canada | Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Detección y Respuesta | ||
Elastic Cloud | Registro de actividad del Usuario Final | EE.UU., UE | BindID |
Redis Labs | Base de Datos como Servicio | EE.UU., UE | Servicios de Detección y Respuesta, Servicios de Autenticación, Servicios de Gestión de Identidades |
Google Cloud Platform | Alojamiento | EE.UU., UE | Plataforma Completa |
Canada | Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Detección y Respuesta | ||
Coralogix | Supervisión del sistema y registros | UE | Plataforma Completa |
Sentry | Supervisión del Portal de Administración | EE.UU | Servicios de Detección y Respuesta, Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Verificación de Identidad |
Movate | Prestar Servicios de Apoyo Nivel 2 | India y Costa Rica | Plataforma Completa |
Cloudflare | Enrutamiento y Protección de Redes | EE.UU., UE | Plataforma Completa |
Veriff | Proveedor de Verificación de Identidad | EE.UU., UE | Servicios de Verificación de Identidad |
Mitek | Proveedor de Verificación de Identidad | EE.UU., UE | Servicios de Verificación de Identidad |
Salesforce | Relaciones con los Clientes y Asistencia | EE.UU. | Plataforma Completa |
ÁMBITO DE SEGURIDAD | DESCRIPCIÓN DE LA MEDIDA |
Medidas Generales de Seguridad |
|
Normas | SOC2 Tipo II GDPR |
Políticas | Políticas exigidas SOC2 |
Registros | Todos los registros de datos de los clients están cifrados en reposo. |
Métricas |
|
Formación y Concientización | Formación y concientización anuales para todos los empleados y subcontratistas |
Seguridad Física y Medioambiental | De acuerdo con las políticas de Seguridad Física y Medioambiental |
Seguridad de las Comunicaciones | De acuerdo con las políticas de Seguridad de las Comunicaciones de Transmit Security |
Seguridad de las Operaciones | Incluído en las políticas SOC2 |
Control de Acceso (Físico y Lógico) | Incluído en las políticas SOC2 |
Adquisición, Desarrollo y Mantenimiento del software | Incluído en las políticas SOC2 |
Gestión de Incidentes | Incluído en las políticas SOC2 |
Continuidad de Actividades | De acuerdo con las políticas de Continuidad de Actividades de la compañía |
Procedimientos | Procedimientos operativos de Seguridad, TI, DevOps y SRE |
Cláusula 1
Finalidad y ámbito de aplicación
Cláusula 2
Efecto e invariabilidad de las Cláusulas
Cláusula 3
Terceros beneficiarios
Cláusula 4
Interpretación
Cláusula 5
Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.Cláusula 6
Descripción de la(s) transferencia(s)
Los detalles de la(s) transferencia(s), y en particular las categorías de Datos Personales Personalizados que se transfieren y la(s) finalidad(es) para las que se transfieren, se especifican en el Anexo I. B.Cláusula 7
Cláusula de adhesión
Cláusula 8
Garantías de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes Cláusulas.El importador de datos procesará los Datos Personales Personalizados únicamente para la finalidad o finalidades específicas de la transferencia, tal como se establece en el Anexo I. B, a menos que reciba instrucciones adicionales del exportador de datos.
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del titular de los datos una copia de las presentes Cláusulas, incluido el Apéndice completado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los Datos Personales Personalizados, el exportador de datos podrá suprimir parte del texto del Apéndice de las presentes Cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el titular de los datos no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al titular de los datos los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los Artículos 13 y 14 del Reglamento (UE) 2016/679.
Si el importador de datos tiene conocimiento de que los Datos Personales Personalizados que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin demora injustificada. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.
El procesamiento por parte del importador de datos sólo tendrá lugar durante el período especificado en el Anexo I. B. Una vez finalizada la prestación de los servicios de procesamiento, el importador de datos, a elección del exportador de datos, eliminará todos los Datos Personales Personalizados procesados por cuenta del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los Datos Personales Personalizados procesados por cuenta suya y eliminará las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o eliminación de los Datos Personales Personalizados, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo los procesará en la medida y durante el tiempo que exija dicha legislación local. Todo ello sin perjuicio de lo dispuesto en la Cláusula 14, en particular el requisito de que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).
Cuando la transferencia implique Datos Personales Personalizados que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona natural, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, “datos sensibles”), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el Anexo I. B.
El importador de datos sólo revelará los Datos Personales Personalizados a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán ser revelados a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo “transferencia ulterior”) si el tercero está o acepta estar vinculado por las presentes Cláusulas, o si:
Cláusula 9
Uso de subprocesadores
Cláusula 10
Derechos del Titular de los Datos
Cláusula 11
Reparación
Cláusula 12
Responsabilidad
Cláusula 13
Supervisión
Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su Artículo 3(2) y haya designado a un representante con arreglo al Artículo 27(1) del Reglamento (UE) 2016/679: La autoridad supervisora del Estado Miembro en el que esté establecido el representante en el sentido del Artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente.
Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su Artículo 3(2), sin que, no obstante, deba designar a un representante con arreglo al Artículo 27(2) del Reglamento (UE) 2016/679: Actuará como autoridad supervisora competente la autoridad supervisora de uno de los Estados Miembros en los que se encuentren los titulares de los datos cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle, según se indica en el Anexo I.C.
Clause 14
Leyes y prácticas locales que afectan al cumplimiento de la Cláusulas
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
Cláusula 16
Incumplimiento de las Cláusulas y rescisión
Cláusula 17
Legislación aplicable
Las presentes Cláusulas se regirán por la legislación de uno de los Estados Miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación de Bélgica.Cláusula 18
Elección de foro y jurisdicción
Categorías de titulares de los datos cuyos datos se transfieren
Los titulares de los datos afectados identificados en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
Categorías de datos personales transferidos:
Las categorías afectadas tal y como se identifican en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la
naturaleza de los datos y los riesgos que involucran, como por ejemplo una estricta limitación de la finalidad, restricciones
de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un
registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales:
Las categorías especiales de datos identificadas en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua):
Continua.
Naturaleza del procesamiento:
La naturaleza del procesamiento identificada en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
Finalidad(es) de la transferencia de datos y del procesamiento posterior:
La finalidad del procesamiento identificada en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
El período durante el cual se conservarán los Datos Personales Personalizados o, si ello no fuera posible, los criterios
utilizados para determinar dicho período:
La duración del procesamiento identificada en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento:
El objeto, la naturaleza y la duración del procesamiento, tal como se indica en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
Identifique a la autoridad o autoridades supervisoras competentes de conformidad con la Cláusula 13:
Según lo determinado de conformidad con la Cláusula 13.
Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las
certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance,
el contexto y la finalidad del procesamiento, así como los riesgos para los derechos y libertades de las personas naturales:
Las medidas técnicas y organizativas identificadas en el Apéndice 3 (Medidas Técnicas y de Seguridad) del Anexo.
El controlador ha autorizado el uso de los siguientes sub-procesadores: : los Sub-Procesadores identificados en el Apéndice 2
(Sub-Procesadores & Sub-Contratistas) del Anexo.
Cláusula 1
Finalidad y ámbito de aplicación
Cláusula 2
Efecto e invariabilidad de las Cláusulas
Cláusula 3
Terceros beneficiarios
Cláusula 4
Interpretación
Cláusula 5
Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.Cláusula 6
Descripción de la(s) transferencia(s)
Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y la(s) finalidad(es) para las que se transfieren, se especifican en el Anexo I. B.Cláusula 7 – Opcional
Cláusula de adhesión
Cláusula 8
Garantías de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes Cláusulas.Cláusula 10
Derechos del Titular de los Datos
Las Partes se prestarán asistencia mutua para responder a las consultas y solicitudes formuladas por los titulares de los datos en virtud de la legislación local aplicable al importador de datos o, para el procesamiento de datos por el exportador de datos en la UE, en virtud del Reglamento (UE) 2016/679.Cláusula 11
Reparación
Cláusula 12
Responsabilidad
Cláusula 14
Leyes y prácticas locales que afectan al cumplimiento de la Cláusulas
(cuando el procesador en la UE combina los datos personales recibidos del controlador en un tercer país con los datos
personales recogidos por el procesador en la UE)
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
(cuando el procesador en la UE combina los datos personales recibidos del controlador en un tercer país con los datos
personales recogidos por el procesador en la UE)
Cláusula 16
Incumplimiento de las Cláusulas y rescisión
En estos casos, informará de dicho incumplimiento a la autoridad supervisora competente. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, salvo que las Partes hayan acordado otra cosa.
Cláusula 17
Legislación aplicable
Las presentes Cláusulas se regirán por la legislación de un país que admita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación de Bélgica.Cláusula 18
Elección de foro y jurisdicción
Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de Bélgica.Exportador(es) de datos:
Nombre y Dirección: el nombre y la dirección de la entidad applicable de Transmit Security tal y como se define en el Acuerdo.
Nombre, cargo y datos de contacto de las personas de contacto:
Nombre: Mickey Boodaei
Función: Oficial de Protección de Datos
Detalles de contacto: privacy@transmitsecurity.com
Datos del representante en la UE: Nombre: Niels Decraene. Datos de contacto: niels@transmitsecurity.com
Datos del representante en el Reino Unido: Nombre: Jack Blockley. Datos de contacto: jack.blockley@transmitsecurity.com
Actividades relevantes para los datos transferidos: prestación de los servicios de Red de Identidad proporcionados por Transmit Security en virtud del Acuerdo.
Función: procesador.
Importador(es) de datos:
Nombre y Dirección: el nombre y la dirección del “Cliente” (tal y como se define en el Acuerdo).
Nombre, cargo y datos de contacto de la persona de contacto: Contacto clave del Cliente, tal y como el Cliente comunique por escrito a Transmit Security periódicamente.
Actividades relacionadas con los datos transferidos: recepción de los servicios de la Red de Identidad prestados por Transmit Security en virtud del Acuerdo.
Función: controlador.
Categorías de titulares de los datos cuyos datos se transfieren:
Los titulares de los datos afectados identificados en el Apéndice 1 (Detalles del Procesamiento) del Anexo; usuarios finales de otros clientes.
Categorías de Datos Personales transferidos:
Las categorías afectadas identificadas en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la
naturaleza de los datos y los riesgos que envuelven, como, por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales:
N/A
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua):
Continua.
Naturaleza del procesamiento:
Transmit Security procesará y transferirá los Datos Personales al Cliente según sea necesario para llevar a cabo los Servicios en la Nube contratados por el Cliente en virtud del Acuerdo, y según las instrucciones adicionales del Cliente de conformidad con el Acuerdo, la Orden de Pedido y el Anexo.
Finalidad(es) de la transferencia de datos y posterior procesamiento:
Transmit Security procesará y transferirá Datos Personales al Cliente según sea necesario para prestar los Servicios en la Nube contratados por el Cliente en virtud del Acuerdo, y según las instrucciones adicionales del Cliente de conformidad con el Acuerdo, la Orden de Pedido y el Anexo.
El período durante el cual se conservarán los Datos Personales Personalizados o, si esto no es posible, los criterios utilizados para determinar dicho período:
Las partes procesarán los Datos Personales durante la vigencia del Acuerdo (o según acuerden las partes por escrito), y de conformidad con las obligaciones de conservación de las partes en virtud del presente Anexo, el Acuerdo y el aplicable siempre que los Datos Personales no se procesen durante más tiempo del necesario para los fines para los que se recopilaron o se están procesando (salvo cuando se aplique una excepción legal).
Para las transferencias a (sub-)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento:
El objeto, la naturaleza y la duración del procesamiento identificados en el Apéndice 1 (Detalles del Procesamiento) del Anexo.
Las Partes confirman que el Anexo del Reino Unido a las Cláusulas Contractuales Tipo de la UE (o “Cláusulas”), tal como se establece y completa a continuación (“Anexo del Reino Unido”), se aplicará a la transferencia de Datos Personales de Usuario Final procedentes del Reino Unido a (a) Transmit Security como Procesador en EE.UU. o (b) al Cliente como Controlador, y mediante la ejecución de las Cláusulas Contractuales Tipo de la UE y el presente Anexo del Reino Unido, las Partes aceptan quedar vinculadas por el Anexo del Reino Unido. A menos que se indique expresamente a continuación, no se aplicarán las cláusulas opcionales contenidas en el Anexo del Reino Unido. Las Partes colaborarán, de buena fe, para suscribir cualquier versión actualizada del Anexo del Reino Unido publicado por la Oficina del Comisionado de Información o negociar una solución alternativa que permita la transferencia de Datos Personales Personalizados procedentes del Reino Unido a Transmit Security en EE.UU. de conformidad con la Legislación Británica sobre Protección de Datos y las directrices vinculantes emitidas por la Oficina del Comisionado de Información.
Antecedentes:
Este Anexo ha sido publicado por el Comisionado de Información para las Partes que realicen transferencias restringidas. El Comisionado de Información considera que proporciona las salvaguardias adecuadas para las transferencias restringidas cuando se celebra como un contrato jurídicamente vinculante.
Controlador a Procesador
Exportador y contacto clave | Según lo establecido en el Anexo I de las Cláusulas Contractuales Tipo de la UE en el Apéndice 4 |
Importador y contacto clave: | Según lo establecido en el Anexo I de las Cláusulas Contractuales Tipo de la UE en el Apéndice 4 |
Procesador a Controlador
Exportador y contacto clave | Según lo establecido en el Anexo I de las Cláusulas Contractuales Tipo de la UE en el Apéndice 5 |
Importador y contacto clave: | Según lo establecido en el Anexo I de las Cláusulas Contractuales Tipo de la UE en el Apéndice 5 |
Controlador a Procesador
Anexo Cláusulas Contractuales Tipo de la UE | Módulo 2 de las Cláusulas Contractuales Tipo de la UE, tal como figuran en el Apéndice 4 |
Procesador a Controlador
Anexo Cláusulas Contractuales Tipo de la UE | Módulo 4 de las Cláusulas Contractuales Tipo de la UE, tal como figuran en el Apéndice 5 |
Según lo establecido en los Anexos I y II de las Cláusulas Contractuales Tipo de la UE en los Apéndices 4 y 5
Suscripción del presente Anexo
Interpretación del presente Anexo
Anexo | Este Anexo que se compone del presente Anexo que incorpora el Anexo Cláusulas Contractuales Tipo de la UE. |
Anexo Cláusulas Contractuales Tipo de la UE | La(s) versión(es) de las Cláusulas Contractuales Tipo de la UE Aprobadas que figuran en el Apéndice 4, incluido el Apéndice de Información. |
Apéndice de Información | Según lo establecido en el Anexo I de las Cláusulas Contractuales Tipo incluidas en el Apéndice 4. |
Garantías Adecuadas | El nivel de protección de los Datos Personales Personalizados y de los derechos de los titulares de los datos, que exige la Legislación Británica sobre Protección de Datos cuando se realiza una transferencia restringida basada en cláusulas estándar de protección de datos con arreglo al artículo 46(2)(d) del GDPR del Reino Unido |
Anexo Aprobado | La plantilla Anexo emitida por la Oficina del Comisionado de Información y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, y como se revisa en la Sección 18. |
Cláusulas Contractuales Tipo de la UE Aprobadas | Las Cláusulas Contractuales Tipo establecidas en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021. |
OCI | Oficina del Comisionado de Información. |
Transferencia Restringida | Una transferencia cubierta por el Capítulo V del GDPR del Reino Unid. |
Reino Unido | El Reino Unido de Gran Bretaña e Irlanda del Norte. |
Leyes de Protección de Datos del Reino Unido | Todas las leyes relativas a la protección de datos, el procesamiento de Datos Personales Personalizados, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluidos el GDPR del Reino Unido y la Ley de Protección de Datos de 2018. |
GDPR del Reino Unido | Como se define en la sección 3 de la Ley de Protección de Datos de 2018 |
Incorporación y modificaciones de las Cláusulas Contractuales Tipo de la UE
Modificaciones a este Anexo
El Anexo Aprobado revisado especificará la fecha a partir de la cual los cambios al Anexo Aprobado serán efectivos y si las Partes necesitan revisar este Anexo incluyendo el Apéndice de Información. Este Anexo se modificará automáticamente según lo establecido en el Anexo Aprobado revisado a partir de la fecha de inicio especificada.
y, en cualquiera de los dos casos, el Procesador haya tomado primero medidas razonables para reducir dichos costos o riesgos de modo que no sea sustancial y desproporcionado, entonces el Procesador podrá poner fin al presente Anexo al final de un período de preaviso razonable, notificando por escrito dicho período al Controlador antes de la fecha de inicio del Anexo Aprobado revisado.