ANEXO DE PROTECCIÓN DE DATOS PARA SERVICIOS EN LA NUBE DE TRANSMIT SECURITY

Este Anexo sobre Protección de Datos (este “Anexo”) complementa y forma parte del Acuerdo de Transmit Security para Servicios en la Nube (“Acuerdo”) celebrado entre Usted y Transmit Security. Salvo que se modifiquen en este Anexo, los términos del Acuerdo permanecerán en pleno vigor y efecto y los términos definidos en el Acuerdo tendrán el mismo significado en este Anexo, a menos que se definan de forma diferente en este Anexo. En caso de conflicto entre el Acuerdo y este Anexo, prevalecerán los términos de este Anexo. Para evitar cualquier duda, este Anexo entrará en vigor en la fecha más próxima de las siguientes (según proceda): (i) la fecha de entrada en vigor del Acuerdo, o (ii) el inicio del procesamiento de los Datos Personales de los Usuarios Finales a través de los Servicios en la Nube, y permanecerá en vigor hasta la rescisión del Acuerdo; o el último procesamiento de los Datos Personales de los Usuarios Finales en virtud del Acuerdo y de este Anexo.

  1. Definiciones En este Anexo, las siguientes palabras y expresiones tienen los siguientes significados:

    1. “Controlador”, “Titular de los Datos”, “Violación de Datos Personales”, “Procesador”, “Autoridad Supervisora” y “procesamiento” tienen los significados que se dan a esos términos en el GDPR (y los términos relacionados, como “proceso”, “procesos” y “procesados” tendrán los significados correspondientes).

    2. “Leyes de Protección de Datos” significa todas las leyes y regulaciones relacionadas con la protección de datos y la privacidad aplicables a las partes y/o al procesamiento de Datos Personales Personalizados en virtud de este Anexo, incluido, sin limitación, el Reglamento General de Protección de Datos de la UE 2016/679(“GDPR de la UE”), el GDPR de la UE en la forma en que se incorporó a las leyes del Reino Unido en virtud de la Ley de la Unión Europea (Retirada) de 2018 (“GDPR del Reino Unido”, junto con el GDPR de la UE, el “GDPR”), la Ley de Protección de Datos del Reino Unido de 2018, y cualquier legislación y regulaciones de implementación asociadas, en cada caso, según estén en vigor y sean aplicables, y según se modifiquen, complementen o reemplacen de vez en cuando. “Cláusulas Contractuales Tipo de la UE” se refiere al Anexo de la decisión de la Comisión Europea de 4 de junio de 2021 sobre Cláusulas Contractuales Tipo para la transferencia de datos personales a terceros países que no garanticen un nivel adecuado de protección de datos de conformidad con el GDPR.

    3. “Datos Personales del Usuario Final” significa los Datos del Usuario Final en la medida en que dichos datos consistan en Datos Personales;

    4. “Datos Personales del Usuario Final de la Red de Identidad” significa los Datos del Usuario Final de la Red de Identidad en la medida en que dichos datos consistan en Datos Personales.

    5. “Anexo del Reino Unido” significa el Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo, emitido por el Comisionado de Información del Rei

    6. “Sub-Procesador” significa otro Procesador contratado por Transmit Security mientras actúa como Procesador para llevar a cabo actividades de procesamiento con respecto a los Datos Personales del Usuario Final.

  2. Transmit Security como Controlador

    1. Transmit Security y el Cliente serán cada uno Controladores independientes en relación con cualquier Dato Personal del Usuario Final de la Red de Identidad que se procese para todos los fines, incluido, en el caso de Transmit Security, prestar servicios de autenticación al Usuario Final en relación con plataformas tecnológicas de terceros, siempre que Transmit Security siga siendo un Procesador en relación con cualquier uso de Datos Personales del Usuario Final de la Red de Identidad para prestar servicios de autenticación relacionados con el Usuario Final al Cliente. Cada una de las partes cumplirá las Leyes de Protección de Datos aplicables al tratamiento de los Datos Personales del Usuario Final de la Red de Identidad, lo que incluye:

      1. la aplicación y el mantenimiento, durante todo el período en que se procesen los Datos Personales del Usuario Final de la Red de Identidad, de medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado a los riesgos que puedan producirse como resultado del procesamiento de los Datos Personales del Usuario Final de la Red de Identidad, incluida la protección frente a la Violación de Datos Personales;

      2. notificar a los Usuarios Finales cómo se utilizarán los Datos Personales de los Usuarios Finales de la Red de Identidad y obtener los consentimientos necesarios de los Usuarios Finales.

    2. Cuando actúe como Controlador de los Datos Personales de los Usuarios Finales de la Red de Identidad, el Cliente también deberá:

      1. proporcionar asistencia razonable a Transmit Security si fuera necesario para: (A) el ejercicio de los Derechos de los Titulares de los Datos; (B) la notificación a los Titulares de los Datos; y (C) la notificación a los Titulares de los Datos y a las Autoridades Supervisoras de las Violaciones de Datos Personales;

      2. notificar a Transmit Security sin demora indebida: (A) la recepción de una solicitud de un Titular de los Datos relativa a los Datos Personales del Usuario Final de la Red de Identidad; (B) la recepción de cualquier reclamación, queja o alegación relativa al procesamiento de los Datos Personales del Usuario Final de la Red de Identidad por parte de cualquier Autoridad Supervisora o tercero; y (C) el conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Usuario Final de la Red de Identidad.

    3. El Cliente autoriza a Transmit Security a copiar, anonimizar, crear trabajos derivados y procesar de cualquier otro modo los Datos Personales del Usuario Final, en su totalidad o en parte, con el fin de obtener datos estadísticos y de uso, así como datos relacionados con la funcionalidad de los productos y servicios de Transmit Security, y combinar o incorporar los Datos Personales del Usuario Final con o en otros datos e información similares disponibles, derivados u obtenidos de otros clientes, licenciatarios, usuarios u otras fuentes para mejorar los productos y servicios existentes de Transmit Security y desarrollar nuevos productos y servicios de Transmit Security. Transmit Security es un Controlador para dicho procesamiento y procesará los Datos Personales del Usuario Final de conformidad con las Leyes de Protección de Datos aplicables al procesamiento de dichos datos.

  3. Transmit Security como Procesador

    1. Aparte de lo establecido en la Sección 2, Transmit Security será un Procesador en relación con los Datos Personales del Usuario Final y se aplicará esta Sección 3.

    2. Mandato de Procesamiento e instrucciones del Controlador: Transmit Security llevará a cabo el procesamiento de los Datos Personales de los Usuarios Finales derivados de la prestación de los Servicios en la Nube contratados por el Cliente de conformidad con el Acuerdo, limitándose a realizar las actuaciones que sean necesarias para prestar al Cliente los Servicios en la Nube relativos al procesamiento de los Datos Personales de los Usuarios Finales y a cumplir, por lo demás, sus obligaciones y las instrucciones del Cliente de conformidad con este Anexo y sus Apéndices. En específico, Transmit Security se compromete a llevar a cabo el procesamiento de los Datos Personales del Usuario Final de conformidad con las instrucciones dadas en todo momento por el Cliente, así como con las disposiciones de las Leyes de Protección de Datos, incluso en lo que respecta a las transferencias de Datos Personales del Usuario Final a un tercer país o a una organización internacional, a menos que Transmit Security esté obligada a hacerlo en virtud de las Leyes de Protección de Datos del Reino Unido, del EEA o de la legislación de los Estados Miembros del EEA que le sean aplicables, en cuyo caso Transmit Security informará al Cliente de este requisito legal antes del procesamiento, a menos que la legislación aplicable se lo prohíba. Cuando Transmit Security considere que una instrucción podría dar lugar a una violación de cualquier Ley de Protección de Datos aplicable, Transmit Security lo notificará al Cliente.

    3. Detalles del Procesamiento. Los detalles de las actividades de procesamiento que llevará a cabo Transmit Security con respecto a los Servicios en la Nube se especifican en el Apéndice 1.

    4. Derechos de los Titulares de los Datos. Teniendo en cuenta la naturaleza del procesamiento, Transmit Security asistirá al Cliente, utilizando las medidas técnicas y organizativas adecuadas, en la medida en que sea posible, en el cumplimiento de las obligaciones del Cliente de responder a las solicitudes de los Titulares de los Datos en el ejercicio de sus derechos en virtud de las Leyes de Protección de Datos.

    5. Confidencialidad. Transmit Security se asegurará de que su personal encargado del procesamiento de los Datos Personales de los Usuarios Finales esté sujeto a un compromiso vinculante de confidencialidad.

    6. Violación de Datos Personales. Transmit Security deberá notificar al Cliente sin demora indebida cualquier Violación de Datos Personales que afecte a los Datos Personales del Usuario Final.

    7. Registro de actividades de procesamiento. Transmit Security mantendrá registros escritos actualizados de sus actividades de procesamiento llevadas a cabo en nombre del Cliente en virtud de esta Sección 3 y según lo exigido por las Leyes de Protección de Datos.

    8. Sub-Procesadores. El Cliente reconoce y acepta que Transmit Security podrá contratar a cualquiera de los Sub-Procesadores enumerados en el Apéndice 2 para prestar los Servicios en la Nube al Cliente, que Transmit Security podrá actualizar periódicamente. Si Transmit Security nombra a un nuevo Sub-Procesador no identificado en el Apéndice 2, Transmit Security notificará al Cliente dicho nombramiento en un plazo de 10 días hábiles antes de utilizar el nuevo Sub-Procesador para los Servicios en la Nube. Si el Cliente no presenta ninguna objeción en el plazo de dichos 10 días hábiles o si la objeción no está razonablemente fundada en la falta de garantías necesarias en relación con el cumplimiento de las Leyes de Protección de Datos por parte del Sub-Procesador, dicho Sub-Procesador se considerará aprobado por el Cliente.

      Transmit Security se asegurará de que, antes de permitir que cualquier Sub-Procesador procese Datos Personales del Usuario Final, dicho Sub-Procesador haya suscrito un acuerdo vinculante por escrito con Transmit Security que imponga obligaciones sustancialmente equivalentes y no menos protectoras que las obligaciones impuestas a Transmit Security en virtud del presente Anexo (en la medida aplicable a la naturaleza de los servicios prestados por dicho Sub-Procesador). En caso de que dicho Sub-Procesador incumpla sus obligaciones de protección de datos en relación con los Datos Personales del Usuario Final, Transmit Security seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones de dicho SubProcesador

    9. Asistencia. Transmit Security asistirá razonablemente al Cliente en garantizar el cumplimiento de las obligaciones del Cliente relacionadas con la seguridad del procesamiento, la notificación y la comunicación de una Violación de Datos Personales que afecte a los Datos Personales del Usuario Final, la realización de evaluaciones de impacto sobre la protección de datos por parte del Cliente y las consultas previas con la Autoridad Supervisora pertinente en relación con las evaluaciones de impacto sobre la protección de datos.

    10. Información. Transmit Security pondrá a disposición del Cliente, previa solicitud, la información necesaria para demostrar el cumplimiento de las obligaciones de Transmit Security establecidas en esta Sección 3.

    11. Auditorías. A petición razonable del Cliente (pero no más de una vez cada 12 meses), Transmit Security cooperará con las auditorías e inspecciones de su cumplimiento de los requisitos y obligaciones establecidos en este Anexo y/o en las Leyes de Protección de Datos en relación con los Datos Personales del Usuario Final. Dichas auditorías e inspecciones podrán ser llevadas a cabo por el Cliente o por cualquier tercero de confianza designado por el Cliente sujeto a obligaciones de confidencialidad. Las obligaciones de Transmit Security en virtud de esta sección de auditoría están sujetas a que el Cliente:

      1. Notifique a Transmit Security con una antelación razonable las auditorías y/o inspecciones requeridas por el Cliente;

      2. Garantice que toda la información obtenida o generada por el Cliente o sus representantes en relación con dichas auditorías y/o inspecciones se mantenga estrictamente confidencial (salvo para su divulgación a las Autoridades Supervisoras pertinentes o según lo exija la legislación aplicable);

      3. Garantice que dichas auditorías y/o inspecciones se lleven a cabo durante el horario laboral normal, con una interrupción mínima de la actividad de Transmit Security y de la actividad de otros clientes de Transmit Security, en la medida en que sea razonablemente factible.

    12. Medidad Técnicas y Organizativas.

      1. Transmit Security implementará y mantendrá las medidas técnicas y organizativas apropiadas en relación con el procesamiento de los Datos Personales del Usuario Final para garantizar un nivel de seguridad adecuado para tratar y proteger los riesgos para los derechos y libertades de los Titulares de los Datos que puedan producirse como consecuencia del procesamiento de dichos Datos Personales del Usuario Final, y según se requiera para evitar la destrucción, pérdida, alteración o divulgación no autorizada, accidental o ilícita, de los Datos Personales Personalizados, o el acceso no autorizado a los mismos, y/o según se requiera de otro modo de conformidad con las Leyes de Protección de Datos, incluidas, entre otras cosas, las medidas establecidas en el Apéndice 3. En el cumplimiento de las anteriores obligaciones, Transmit Security tendrá en cuenta el estado de desarrollo tecnológico existente en cada momento y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como los riesgos anteriormente mencionados.

      2. Transmit Security se asegurará de que todas las personas que actúen bajo su autoridad o en su nombre y que tengan acceso a los Datos Personales del Usuario Final, no procesen los Datos Personales del Usuario Final excepto según las instrucciones del Cliente y lo permitido en este Anexo.

    13. Transferencias Internacionales de Datos Personales del Reino Unido/EEA

      1. Cuando usted contrate con Transmit Security, Inc en virtud del Acuerdo, las partes reconocen que los Datos Personales del Usuario Final serán transferidos por Usted a Transmit Security en los Estados Unidos de América (EE. UU.), y que EE. UU. es un país no considerado adecuado para la transferencia de Datos Personales por la Comisión Europea (en relación con las transferencias sujetas al GDPR de la UE) o el gobierno del Reino Unido (en relación con las transferencias sujetas al GDPR del Reino Unido) (“País No Adecuado”). En la medida en que los Datos Personales del Usuario Final estén sujetos al GDPR, y no sean proporcionados directamente por los Usuarios Finales a Transmit Security, las partes acuerdan que dicha transferencia de datos se regirá por el Módulo Dos: Controlador a Procesador de las Cláusulas Contractuales Tipo de la UE, que por la presente se incorporan y forman parte de este Anexo en la forma establecida en el Apéndice 4, y las partes por la presente concluyen y acuerdan estar obligadas por dichas Cláusulas Contractuales Tipo de la UE. En la medida en que los Datos Personales del Usuario Final estén sujetos al GDPR del Reino Unido y tal como exige el GDPR del Reino Unido, las Cláusulas Contractuales Tipo de la UE se complementarán con el Anexo del Reino Unido, que figura en el Apéndice 6.

      2. En la medida en que los Datos Personales puestos a su disposición por Transmit Security estén sujetos al GDPR y Usted tenga su sede fuera del EEA o del Reino Unido, en un País No Adecuado, las partes acuerdan que cualquier transferencia de Datos Personales de Transmit Security a Usted se regirá por el Módulo Cuatro: Procesador a Controlador de las Cláusulas Contractuales Tipo de la UE que por la presente se incorporan y forman parte de este Anexo en la forma establecida en el Apéndice 5, y las partes por la presente concluyen y acuerdan estar obligadas por dichas Cláusulas Contractuales Tipo de la UE. En la medida en que los Datos Personales estén sujetos al GDPR del Reino Unido y tal como exige el GDPR del Reino Unido, las Cláusulas Contractuales Tipo de la UE se complementarán con el Anexo del Reino Unido, que figura en el Apéndice 6

      3. Transmit Security no transferirá Datos Personales del Usuario Final a ninguna parte fuera del EEA y del Reino Unido en un País No Adecuado (incluyendo permitir el acceso a Datos Personales Personalizados desde cualquier parte en dichos países) sin el consentimiento previo por escrito del Cliente, a menos que la transferencia/acceso cumpla con las Leyes de Protección de Datos (incluyendo tener implementadas las garantías de transferencia apropiadas según corresponda).

    14. Devolución y Eliminación de Datos Personales. A petición del Cliente, Transmit Security devolverá o destruirá los Datos Personales del Usuario Final, salvo que la legislación del Reino Unido, del EEA o de un Estado Miembro del EEA exija su conservación (según corresponda).

    15. Obligaciones del Cliente. El Cliente se asegurará de que los Datos Personales del Usuario Final proporcionados a Transmit Security se obtengan y transfieran a Transmit Security en conformidad con las Leyes de Protección de Datos. Por el presente, el Cliente declara que es el único responsable de la exactitud, calidad y legitimidad de los Datos Personales del Usuario Final y de los medios a través de los cuales se han recopilado.

  4. Acuerdo completo y modificaciones. El presente Anexo y sus Apéndices constituyen el acuerdo completo e íntegro entre las partes en relación con el objeto del mismo y sustituye a todos los acuerdos y contratos o negociaciones anteriores o contemporáneos en relación con el mismo.

    El presente Anexo sólo podrá modificarse mediante documento escrito firmado por ambas partes.

Apéndice 1 – Detalles del Procesamiento

Naturaleza y finalidad del procesamiento. Transmit Security procesará los Datos Personales del Usuario Final según sea necesario para prestar los Servicios en la Nube contratados por el Cliente en virtud del Acuerdo, y según las instrucciones adicionales del Cliente de conformidad con el Acuerdo, la Orden de Pedido y este Anexo

Duración del procesamiento. Transmit Security procesará los Datos Personales del Usuario Final durante la duración del Acuerdo (o según acuerden las partes por escrito), y de conformidad con las obligaciones de conservación de Transmit Security en virtud de este Anexo y del Acuerdo, siempre que los Datos Personales del Usuario Final no se procesen durante más tiempo del necesario para el fin para el que se recopilaron o se están procesando (excepto cuando se aplique una excepción legal).

Categorías de Titular de los Datos. Usuarios Finales.

Tipos de Datos Personales. El Cliente puede solicitar el procesamiento de Datos Personales del Usuario Final para la prestación de los Servicios en la Nube, que pueden incluir, pero no limitado a, las siguientes categorías de Datos Personales.

Producto de Transmit SecurityTipos de Datos
Strong Passwordless y MFACorreo electrónico y número de teléfono del usuario final (opcional), datos de la Transacción y del pago (incluido el importe, el beneficiario y el solicitante del pago), ubicación, agente de usuario de los dispositivos vinculados, dirección IP o cualquier otro Dato Personal asociado a los Usuarios Finales del Cliente y almacenado y gestionado por Transmit Security (es decir, datos personalizados)
Plataforma de Identidad Transmit (Core)Transmit ofrece al cliente la opción de almacenar el correo electrónico del usuario final, su número de teléfono, dirección, nombre, apellidos, segundo nombre, fecha de nacimiento, enlace a una foto de perfil e idioma preferido. Además, Transmit recopila y almacena las direcciones IP de los usuarios finales y los agentes de usuario.
Protección de CuentasLos Datos Personales procesados consisten en una serie de elementos de datos recopilados con el fin de tomar decisiones de identidad y confianza relacionadas con el uso de las aplicaciones web y móviles del Cliente por parte de los usuarios finales del Cliente. Dichos elementos de datos incluyen información de red de los usuarios finales, atributos de hardware, atributos de software, detalles sobre el recorrido de la aplicación y eventos de interacción, así como identificadores. A los usuarios finales se les asigna un identificador único al que se atribuyen los datos recopilados.
Además, el correo electrónico, el número de teléfono y la dirección del usuario final se procesan como parámetros opcionales si los facilita el cliente.
Verificación de Identidad

Nombre y apellidos del usuario final, dirección, país, número de documento de identidad, fecha de nacimiento, fotografía del documento de identidad, datos impresos en el documento de identidad, autofotografía.

Nota: Todos los datos se guardan por defecto durante 90 días, a menos que el cliente defina un periodo diferente.

Apéndice 2 – Sub-Procesadores & Sub-Contratistas

Dependiendo de (a) la ubicación geográfica de un Cliente o de sus Usuarios Finales, y (b) la naturaleza de los Servicios en la Nube prestados, como se indica a continuación, Transmit Security podrá también utilizar Subprocesadores para prestar los Servicios al Cliente.

Entidad Sub-Procesadora Breve Descripción del Procesamiento Ubicación del Sub-Procesador Aplicable a los siguientes Productos:
Amazon Web Services, Inc. Alojamiento EE.UU., UE Plataforma Completa *
Canada Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Detección y Respuesta
MongoDB Atlas Base de Datos como Servicio EE.UU., UE FlexID, BindID, Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Verificación de Identidad
Canada Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Detección y Respuesta
Elastic Cloud Registro de actividad del Usuario Final EE.UU., UE BindID
Redis Labs Base de Datos como Servicio EE.UU., UE Servicios de Detección y Respuesta, Servicios de Autenticación, Servicios de Gestión de Identidades
Google Cloud Platform Alojamiento EE.UU., UE Plataforma Completa
Canada Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Detección y Respuesta
Coralogix Supervisión del sistema y registros UE Plataforma Completa
Sentry Supervisión del Portal de Administración EE.UU Servicios de Detección y Respuesta, Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Verificación de Identidad
Movate Prestar Servicios de Apoyo Nivel 2 India y Costa Rica Plataforma Completa
Cloudflare Enrutamiento y Protección de Redes EE.UU., UE Plataforma Completa
Veriff Proveedor de Verificación de Identidad EE.UU., UE Servicios de Verificación de Identidad
Mitek Proveedor de Verificación de Identidad EE.UU., UE Servicios de Verificación de Identidad
Salesforce Relaciones con los Clientes y Asistencia EE.UU. Plataforma Completa
* Plataforma Completa = FlexID, BindID, Servicios de Autenticación, Servicios de Gestión de Identidades, Servicios de Detección y Respuesta, Servicios de Verificación de Identidad

Apéndice 3- Medidas Técnicas y de Seguridad

ÁMBITO DE SEGURIDADDESCRIPCIÓN DE LA MEDIDA
Medidas Generales de Seguridad
  • Cumplimiento de SOC2
  • Seguridad de TI y Políticas y Procedimientos Operativos
  • Políticas y Herramientas de Supervisión de DevOps/TI
  • Auditoría y SIEM
  • Cifrado de Datos
  • Multi tenencia y Segregaciones
  • Prevención de DDoS
  • Autenticación Multi Factor
  • Pruebas de Penetración y Comprobaciones de Vulnerabilidad
  • SDLC Asegurado
  • Control de Acceso basado en el principio de mínimos privilegios
  • Evaluación Anual de Riesgos
NormasSOC2 Tipo II
GDPR
PolíticasPolíticas exigidas SOC2
RegistrosTodos los registros de datos de los clients están cifrados en reposo.
Métricas
  • Datos sobre vulnerabilidades
  • Formación de los empleados en materia de seguridad
  • Métricas de rendimiento y disponibilidad
  • Inventario y actualización de dispositivos
  • Prevención de Malware
  • Seguimiento de excepciones
Formación y ConcientizaciónFormación y concientización anuales para todos los empleados y subcontratistas
Seguridad Física y MedioambientalDe acuerdo con las políticas de Seguridad Física y Medioambiental
Seguridad de las ComunicacionesDe acuerdo con las políticas de Seguridad de las Comunicaciones de Transmit Security
Seguridad de las OperacionesIncluído en las políticas SOC2
Control de Acceso (Físico y Lógico)Incluído en las políticas SOC2
Adquisición, Desarrollo y Mantenimiento del softwareIncluído en las políticas SOC2
Gestión de IncidentesIncluído en las políticas SOC2
Continuidad de ActividadesDe acuerdo con las políticas de Continuidad de Actividades de la compañía
ProcedimientosProcedimientos operativos de Seguridad, TI, DevOps y SRE

Apéndice 4- Cláusulas Contractuales Tipo de la UE (Controlador a Procesador)

SECCIÓN I

Cláusula 1

Finalidad y ámbito de aplicación

  1. El objeto de las presentes cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas naturales en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) para la transferencia de Datos Personales Personalizados a un tercer país.
  2. Las Partes:
    1. la(s) persona(s) natural(es) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en lo sucesivo, “entidad(es)”) que transfiere(n) los Datos Personales Personalizados, enumerados en el Anexo I.A. (cada uno en lo sucesivo “exportador de datos”), y
    2. la(s) entidad(es) de un tercer país que reciba(n) los Datos Personales Personalizados del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte de estas Cláusulas, tal y como se enumeran en el Anexo I.A. (cada uno en lo sucesivo “importador de datos”) haya(n) aceptado estas cláusulas contractuales tipo (en lo sucesivo, las “Cláusulas”).
  3. Estas Cláusulas se aplican con respecto a la transferencia de Datos Personales Personalizados tal y como se especifica en el Anexo I.B.
  4. El Apéndice de estas Cláusulas, que contiene los Anexos a los que se hace referencia en el mismo, forma parte integrante de estas Cláusulas.

Cláusula 2

Efecto e invariabilidad de las Cláusulas

  1. Estas Cláusulas establecen garantías adecuadas, incluidos derechos exigibles de los titulares de los datos y recursos jurídicos efectivos, de conformidad con el Artículo 46(1) y el Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de controladores a procesadores y/o procesadores a procesadores, cláusulas contractuales tipo de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el Módulo o Módulos adecuados o para añadir o actualizar información en el Apéndice. Esto no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, éstas Cláusulas ni perjudiquen los derechos o libertades fundamentales de los titulares de los datos.
  2. Estas Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679

Cláusula 3

Terceros beneficiarios

  1. Los Titulares de los Datos podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:
    1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
    3. Cláusula 9(a), (c), (d) y (e);
    4. Cláusula 12(a), (d) y (f);
    5. Cláusula 13;
    6. Cláusula 15.1(c), (d) y (e);
    7. Cláusula 16(e);
    8. Cláusula 18(a) y (b)
  2. La letra (a) se entiende sin perjuicio de los derechos de los titulares de los datos en virtud del Reglamento (UE) 2016/679

Cláusula 4

Interpretación

  1. Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
  2. Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.
  3. Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.

Cláusula 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de Datos Personales Personalizados que se transfieren y la(s) finalidad(es) para las que se transfieren, se especifican en el Anexo I. B.

Cláusula 7

Cláusula de adhesión

  1. Una entidad que no sea Parte de las presentes Cláusulas podrá, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.
  2. Una vez completado el Apéndice y firmado el Anexo I.A, la entidad adherente pasará a ser Parte en las presentes Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de conformidad con su designación en el Anexo I.A.
  3. La entidad adherente no tendrá derechos ni obligaciones derivados de las presentes Cláusulas en el período anterior a su adhesion como Parte
SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes Cláusulas.
  1. Instrucciones
    1. El importador de datos procesará los Datos Personales Personalizados únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la vigencia del contrato.
    2. El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones.
  2. Limitación de la finalidad

    El importador de datos procesará los Datos Personales Personalizados únicamente para la finalidad o finalidades específicas de la transferencia, tal como se establece en el Anexo I. B, a menos que reciba instrucciones adicionales del exportador de datos.

  3. Transparencia

    Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del titular de los datos una copia de las presentes Cláusulas, incluido el Apéndice completado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los Datos Personales Personalizados, el exportador de datos podrá suprimir parte del texto del Apéndice de las presentes Cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el titular de los datos no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al titular de los datos los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los Artículos 13 y 14 del Reglamento (UE) 2016/679.

  4. Exactitud

    Si el importador de datos tiene conocimiento de que los Datos Personales Personalizados que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin demora injustificada. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

  5. Duración del procesamiento y eliminación o devolución de los datos

    El procesamiento por parte del importador de datos sólo tendrá lugar durante el período especificado en el Anexo I. B. Una vez finalizada la prestación de los servicios de procesamiento, el importador de datos, a elección del exportador de datos, eliminará todos los Datos Personales Personalizados procesados por cuenta del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los Datos Personales Personalizados procesados por cuenta suya y eliminará las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o eliminación de los Datos Personales Personalizados, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo los procesará en la medida y durante el tiempo que exija dicha legislación local. Todo ello sin perjuicio de lo dispuesto en la Cláusula 14, en particular el requisito de que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).

  6. Seguridad del procesamiento
    1. El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de dichos datos (en lo sucesivo, “violación de los Datos Personales Personalizados”). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad o finalidades del procesamiento, así como los riesgos que entraña el procesamiento para los titulares de los datos. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del procesamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los Datos Personales Personalizados a un titular de los datos específico permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que dichas medidas siguen proporcionando un nivel de seguridad adecuado.
    2. El importador de datos concederá acceso a los Datos Personales Personalizados a los miembros de su personal únicamente en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Se asegurará de que las personas autorizadas a procesar los Datos Personales Personalizados se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada
    3. En caso de violación de Datos Personales Personalizados relativos a Datos Personales Personalizados procesados por el importador de datos con arreglo a las presentes Cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora injustificada tras haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de titulares de los datos y registros de Datos Personales Personalizados afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, cuando proceda, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información de que se disponga en ese momento y, posteriormente, a medida que se vaya disponiendo de ella, se facilitará información adicional sin dilaciones indebidas.
    4. El importador de datos cooperará con el exportador de datos y le restará asistencia para que este pueda cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad supervisora competente y a los titulares de los datos afectados, teniendo en cuenta la naturaleza del procesamiento y la información de que disponga el importador de datos.
  7. Datos sensibles

    Cuando la transferencia implique Datos Personales Personalizados que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona natural, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, “datos sensibles”), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el Anexo I. B.

  8. Transferencias ulteriores

    El importador de datos sólo revelará los Datos Personales Personalizados a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán ser revelados a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo “transferencia ulterior”) si el tercero está o acepta estar vinculado por las presentes Cláusulas, o si:

    1. la transferencia ulterior es a un país que se beneficia de una decisión de adecuación de conformidad con el Artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
    2. el tercero de otro modo asegura las garantías adecuadas de conformidad con los Artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;
    3. la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, regulatorios o judiciales específicos; o
    4. la transferencia ulterior es necesaria para proteger los intereses vitales del titular de los datos o de otra persona natural.
    Toda transferencia ulterior estará sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en las presentes Cláusulas, en particular la limitación de la finalidad.
  9. Documentación y cumplimiento
    1. El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos relacionadas con el procesamiento previsto en las presentes Cláusulas.
    2. Las Partes deberán poder demostrar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de procesamiento realizadas por cuenta del exportador de datos.
    3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes Cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de procesamiento cubiertas por las presentes Cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
    4. El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo notificadas con una antelación razonable.
    5. Partes pondrán a disposición de la autoridad supervisora competente, previa solicitud, la información mencionada en las letras (b) y (c), incluidos los resultados de cualquier auditoría.

Cláusula 9

Uso de subprocesadores

  1. El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subprocesadores a partir de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subprocesadores con una antelación mínima de 10 días hábiles, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subprocesadores. El importador de datos facilitará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.
  2. Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades específicas de procesamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de las presentes Cláusulas, incluso en términos de derechos de terceros beneficiarios para los titulares de los datos. Las Partes acuerdan que, mediante el cumplimiento de esta Cláusula, el importador de datos cumple sus obligaciones en virtud de la Cláusula 8.8. El importador de datos velará por que el subprocesador cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes Cláusulas.
  3. El importador de datos facilitará al exportador de datos, a petición de éste, una copia de dicho acuerdo de subprocesador y de cualquier modificación posterior. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, el importador de datos podrá editar el texto del acuerdo antes de compartir una copia.
  4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador de las obligaciones derivadas de dicho contrato.
  5. El importador de datos acordará con el subprocesador una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente- el exportador de datos tendrá derecho a terminar el contrato de subprocesador y a ordenar al subprocesador que borre o devuelva los Datos Personales Personalizados.

Cláusula 10

Derechos del Titular de los Datos

  1. El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un titular de los datos. No responderá por sí mismo a dicha solicitud a menos que el exportador de datos le haya autorizado a hacerlo.
  2. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los titulares de los datos para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del procesamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.
  3. En el cumplimiento de sus obligaciones con arreglo a las letras (a) y (b), el importador de datos cumplirá con las instrucciones del exportador de datos.

Cláusula 11

Reparación

  1. El importador de datos informará a los titulares de los datos en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tratará sin demora las reclamaciones que reciba de un titular de los datos
  2. En caso de litigio entre un titular de los datos y una de las Partes en relación con el cumplimiento de las presentes Cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y en el plazo más breve posible. Las Partes se mantendrán mutuamente informadas de tales litigios y, en su caso, cooperarán para resolverlos.
  3. Cuando el titular de los datos invoque un derecho de tercero beneficiario con arreglo a la Cláusula 3, el importador de datos aceptará la decisión del titular de los datos de:
    1. presentar una reclamación ante la autoridad supervisora del Estado Miembro de su residencia habitual o lugar de trabajo, o ante la autoridad supervisora competente con arreglo a la Cláusula 13;
    2. someter el litigio a los tribunales competentes en el sentido de la Cláusula 18.
  4. Las Partes aceptan que el titular de los datos pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el Artículo 80(1) del Reglamento (UE) 2016/679.
  5. El importador de datos acatará una decisión que sea vinculante con arreglo al derecho aplicable de la UE o de los Estados Miembros
  6. El importador de datos acepta que la elección realizada por el titular de los datos no perjudicará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación applicable.

Cláusula 12

Responsabilidad

  1. Cada una de las Partes será responsable ante la otra u otras Partes de los daños y perjuicios que cause a la otra u otras Partes por el incumplimiento de las presentes Cláusulas.
  2. El importador de datos será responsable ante el titular de los datos, y el titular de los datos tendrá derecho a ser indemnizado, por cualquier daño material o inmaterial que el importador de datos o su subprocesador le cause por vulnerar los derechos de terceros beneficiarios previstos en las presentes Cláusulas.
  3. No obstante lo dispuesto en la letra (b), el exportador de datos será responsable ante el titular de los datos, y el titular de los datos tendrá derecho a ser indemnizado, por cualquier daño material o moral que el exportador de datos o el importador de datos (o su subprocesador) cause al titular de los datos por vulnerar los derechos de terceros beneficiarios con arreglo a las presentes Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un procesador que actúe en nombre de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según corresponda
  4. Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud de la letra (c) de los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.
  5. Cuando más de una Parte es responsable de cualquier daño causado al titular de los datos como consecuencia de un incumplimiento de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el titular de los datos tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.
  6. Las Partes acuerdan que si una Parte es considerada responsable en virtud de la letra (e), tendrá derecho a reclamar a la otra Parte o Partes la porción de la indemnización que corresponda a su responsabilidad por el daño.
  7. El importador de datos no podrá invocar la conducta de un subprocesador para eludir su propia responsabilidad.

Cláusula 13

Supervisión

  1. Cuando el exportador de datos esté establecido en un Estado Miembro de la UE: La autoridad supervisora responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el Anexo I. C, actuará como autoridad supervisora competente.

    Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su Artículo 3(2) y haya designado a un representante con arreglo al Artículo 27(1) del Reglamento (UE) 2016/679: La autoridad supervisora del Estado Miembro en el que esté establecido el representante en el sentido del Artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente.

    Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su Artículo 3(2), sin que, no obstante, deba designar a un representante con arreglo al Artículo 27(2) del Reglamento (UE) 2016/679: Actuará como autoridad supervisora competente la autoridad supervisora de uno de los Estados Miembros en los que se encuentren los titulares de los datos cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle, según se indica en el Anexo I.C.

  2. El importador de datos acepta someterse a la jurisdicción de la autoridad supervisora competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos acepta responder a las investigaciones, someterse a auditorías y cumplir las medidas adoptadas por la autoridad supervisora, incluidas las medidas correctivas y compensatorias. Facilitará a la autoridad supervisora una confirmación por escrito de que se han adoptado las medidas necesarias.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Leyes y prácticas locales que afectan al cumplimiento de la Cláusulas

  1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al procesamiento de los Datos Personales Personalizados por parte del importador de datos, incluido cualquier requisito de revelar los Datos Personales Personalizados o medidas que autoricen el acceso por parte de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.
  2. Las Partes declaran que, al ofrecer la garantía de la letra (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
    1. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del procesamiento; las categorías y el formato de los Datos Personales Personalizados transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
    2. las leyes y prácticas del tercer país de destino -incluidas las que exigen la revelación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;
    3. cualquiera de las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes Cláusulas, incluidas las medidas aplicadas durante la transmisión y el procesamiento de los Datos Personales Personalizados en el país de destino.
  3. El importador de datos garantiza que, al llevar a cabo la evaluación prevista en la letra (b), ha hecho todo lo posible por facilitar al exportador de datos la información pertinente y acuerda que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de las presentes Cláusulas.
  4. Las Partes acuerdan documentar la evaluación a que se refiere la letra (b) y ponerla a disposición de la autoridad supervisora competente a petición de ésta.
  5. El importador de datos se compromete a notificar sin demora al exportador de datos si, después de haber aceptado las presentes Cláusulas y durante la vigencia del Anexo, tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra (a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos de la letra (a).
  6. Tras una notificación con arreglo a la letra (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le incumben en virtud de las presentes Cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad supervisora competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de Datos Personales Personalizados con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando se rescinda el contrato en virtud de la presente Cláusula, se aplicará la Cláusula 16(d) y (e)

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

  1. Notificación
    1. El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al titular de los datos (en caso necesario, con la ayuda del exportador de datos) si:
      1. recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de las leyes del país de destino para la divulgación de los datos transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los Datos Personales Personalizados solicitados, la autoridad solicitante, la base legal de la solicitud y la respuesta proporcionada; o bien
      2. tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos transferidos con arreglo a las presentes Cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.
    2. Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al titular de los datos, el importador de datos acuerda hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar toda la información posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
    3. Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.)
    4. El importador de datos se compromete a conservar la información a que se refieren las letras (a) a la (c) mientras dure el contrato y a ponerla a disposición de la autoridad supervisora competente a petición de ésta.
    5. Las letras (a) a la (c) se entenderán sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar sin demora al exportador de datos cuando no pueda cumplir dichas Cláusulas.
  2. Revisión de la legalidad y minimización de datos
    1. El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se ajusta a las facultades otorgadas a la autoridad pública requirente, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo a la legislación del país de destino, a las obligaciones aplicables en virtud del derecho internacional y a los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso. Cuando impugne una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los Datos Personales Personalizados solicitados hasta que se le requiera para ello en virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e)
    2. El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad supervisora competente a petición de ésta.
    3. El importador de datos se compromete a facilitar la cantidad mínima de información admisible al responder a una solicitud de divulgación, sobre la base de una interpretación razonable de la solicitud.
SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las Cláusulas y rescisión

  1. El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes Cláusulas.
  2. En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de Datos Personales Personalizados al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Todo ello sin perjuicio de lo dispuesto en la Cláusula 14(f).
  3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de Datos Personales Personalizados con arreglo a las presentes Cláusulas, cuando:
    1. el exportador de datos haya suspendido la transferencia de Datos Personales Personalizados al importador de datos de conformidad con la letra (b) y no se restablezca el cumplimiento de las presentes Cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspension;
    2. el importador de datos incumple de forma sustancial o persistente las presentes Cláusulas; o
    3. el importador de datos incumpla una decisión vinculante de un tribunal competente o de una autoridad supervisora en relación con las obligaciones que le incumben en virtud de las presentes Cláusulas.
    En estos casos, informará de dicho incumplimiento a la autoridad supervisora competente. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, salvo que las Partes hayan acordado otra cosa.
  4. Los Datos Personales Personalizados que hayan sido transferidos antes de la rescisión del contrato de conformidad con la letra (c) serán, a elección del exportador de datos, devueltos inmediatamente al exportador de datos o borrados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los Datos Personales Personalizados transferidos, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo procesará los datos en la medida y durante el tiempo que exija dicha legislación local.
  5. Cualquiera de las Partes podrá revocar su acuerdo de obligarse por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de Datos Personales Personalizados a los que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los Datos Personales Personalizados. Esto se entiende sin perjuicio de otras obligaciones aplicables al procesamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Legislación aplicable

Las presentes Cláusulas se regirán por la legislación de uno de los Estados Miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación de Bélgica.

Cláusula 18

Elección de foro y jurisdicción

  1. Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de un Estado Miembro de la UE
  2. Las Partes acuerdan que serán los tribunales de Bélgica.
  3. El titular de los datos también podrá entablar acciones judiciales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado Miembro en el que tenga su residencia habitual.
  4. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

ANEXO I

A. LISTA DE PARTES
Exportador(es) de datos: Nombre y dirección el nombre y la dirección del “Cliente” (tal y como se define en el Acuerdo). Nombre, cargo y datos de contacto de las personas de contacto: Contacto clave del Cliente según lo comunicado por el Cliente a Transmit Security por escrito periódicamente Actividades relevantes para los datos transferidos: recepción de los Servicios en la Nube prestados por Transmit Security en virtud del Acuerdo. Función: controlador. Importador(es) de datos: Nombre y dirección: Transmit Security, Inc, 201 Washington Street, Suite 2600, Boston, MA 02108, Estados Unidos. Nombre, cargo y datos de las personas de contacto: Nombre: Mickey Boodaei Función: Oficial de Protección de Datos Detalles de contacto: privacy@transmitsecurity.com Datos del representante en la UE: Nombre: Niels Decraene. Datos de contacto: niels@transmitsecurity.com Datos del representante en el Reino Unido:Nombre: Jack Blockley. Datos de contacto: jack.blockley@transmitsecurity.com Actividades relevantes para los datos transferidos: prestación de los Servicios al Cliente de conformidad con el Acuerdo. Función: procesador.
B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de titulares de los datos cuyos datos se transfieren

Los titulares de los datos afectados identificados en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

Categorías de datos personales transferidos:

Las categorías afectadas tal y como se identifican en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la
naturaleza de los datos y los riesgos que involucran, como por ejemplo una estricta limitación de la finalidad, restricciones
de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un
registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales:

Las categorías especiales de datos identificadas en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua):

Continua.

Naturaleza del procesamiento:

La naturaleza del procesamiento identificada en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

Finalidad(es) de la transferencia de datos y del procesamiento posterior:

La finalidad del procesamiento identificada en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

El período durante el cual se conservarán los Datos Personales Personalizados o, si ello no fuera posible, los criterios
utilizados para determinar dicho período:

La duración del procesamiento identificada en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento:

El objeto, la naturaleza y la duración del procesamiento, tal como se indica en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

C. AUTORIDAD SUPERVISORA COMPETENTE

Identifique a la autoridad o autoridades supervisoras competentes de conformidad con la Cláusula 13:

Según lo determinado de conformidad con la Cláusula 13.

ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las
certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance,
el contexto y la finalidad del procesamiento, así como los riesgos para los derechos y libertades de las personas naturales:

Las medidas técnicas y organizativas identificadas en el Apéndice 3 (Medidas Técnicas y de Seguridad) del Anexo.

ANEXO III
LISTA DE SUB-PROCESADORES

El controlador ha autorizado el uso de los siguientes sub-procesadores: : los Sub-Procesadores identificados en el Apéndice 2
(Sub-Procesadores & Sub-Contratistas) del Anexo.

Apéndice 5 Cláusulas Contractuales Tipo de la UE (Procesador a Controlador)

SECCIÓN I

Cláusula 1

Finalidad y ámbito de aplicación

  1. El objeto de las presentes cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas naturales en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)1 para la transferencia de datos personales a un tercer país.
  2. Las Partes:
    1. la(s) persona(s) natural(es) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en lo sucesivo, “entidad(es)”) que transfiere(n) los datos personales, enumerados en el Anexo I.A. (cada uno en lo sucesivo “exportador de datos”), y
    2. la(s) entidad(es) de un tercer país que reciba(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte de estas Cláusulas, tal y como se enumeran en el Anexo I.A. (cada uno en lo sucesivo “importador de datos”) haya(n) aceptado estas cláusulas contractuales tipo (en lo sucesivo, las “Cláusulas”).
  3. Estas Cláusulas se aplican con respecto a la transferencia de datos personales tal y como se especifica en el Anexo I.B.
  4. El Apéndice de estas Cláusulas, que contiene los Anexos a los que se hace referencia en el mismo, forma parte integrante de estas Cláusulas

Cláusula 2

Efecto e invariabilidad de las Cláusulas

  1. Estas Cláusulas establecen garantías adecuadas, incluidos derechos exigibles de los titulares de los datos y recursos jurídicos efectivos, de conformidad con el Artículo 46(1) y el Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de controladores a procesadores y/o procesadores a procesadores, cláusulas contractuales tipo de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para añadir o actualizar información en el Apéndice. Esto no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, éstas Cláusulas ni perjudiquen los derechos o libertades fundamentales de los titulares de los datos.
  2. Estas Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

  1. Los Titulares de los Datos podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:
    1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Cláusula 8.1 (b) y Cláusula 8.3(b);
    3. Cláusula 13;
    4. Cláusula 15.1(c), (d) y (e);
    5. Cláusula 16(e);
    6. Cláusula 18.
  2. La letra (a) se entiende sin perjuicio de los derechos de los titulares de los datos en virtud del Reglamento (UE) 2016/679

Cláusula 4

Interpretación

  1. Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento
  2. Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.
  3. Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.

Cláusula 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y la(s) finalidad(es) para las que se transfieren, se especifican en el Anexo I. B.

Cláusula 7 – Opcional

Cláusula de adhesión

  1. Una entidad que no sea Parte de las presentes Cláusulas podrá, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.
  2. Una vez completado el Apéndice y firmado el Anexo I.A, la entidad adherente pasará a ser Parte en las presentes Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de conformidad con su designación en el Anexo I.A.
  3. La entidad adherente no tendrá derechos ni obligaciones derivados de las presentes Cláusulas en el período anterior a su adhesion como Parte
SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes Cláusulas.
  1. Instrucciones
    1. El exportador de datos procesará los datos personales únicamente siguiendo instrucciones documentadas del importador de datos actuando como controlador.
    2. El exportador de datos informará inmediatamente al importador de datos si no puede seguir esas instrucciones, incluso si dichas instrucciones infringen el Reglamento (UE) 2016/679 u otra legislación de protección de datos de la Unión o de los Estados Miembros
    3. El importador de datos se abstendrá de toda acción que impida al exportador de datos cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, incluso en el contexto del sub-procesamiento o en lo que respecta a la cooperación con las autoridades supervisoras competentes.
    4. Una vez finalizada la prestación de los servicios de procesamiento, el exportador de datos, a elección del importador de datos, borrará todos los datos personales procesados por cuenta del importador de datos y certificará al importador de datos que así lo ha hecho, o devolverá al importador de datos todos los datos personales procesados por cuenta de este y borrará las copias existentes.
  2. Seguridad del procesamiento
    1. Las Partes aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluso durante su transmisión, y la protección contra violaciones de la seguridad que provoquen su destrucción accidental o ilícita, su pérdida, su alteración, su difusión o acceso no autorizados (en lo sucesivo, “violación de los datos personales”). Al evaluar el nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costos de aplicación, la naturaleza de los datos personales,2 la naturaleza, el alcance, el contexto y la finalidad o finalidades del procesamiento, así como los riesgos que entrañe el procesamiento para los titulares de los datos, y considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del procesamiento pueda cumplirse de esa manera.
    2. El exportador de datos ayudará al importador de datos a garantizar la seguridad adecuada de los datos de conformidad con la letra (a). En caso de violación de datos personales relativos a los datos personales procesados por el exportador de datos con arreglo a las presentes Cláusulas, el exportador de datos notificará al importador de datos sin demora injustificada tras tener conocimiento de la misma y asistirá al importador de datos en la resolución de la violación.
    3. El exportador de datos se asegurará de que las personas autorizadas a procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
  3. Documentación y cumplimiento
    1. Las Partes deberán poder demostrar el cumplimiento de las presentes Cláusulas.
    2. El exportador de datos pondrá a disposición del importador de datos toda la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud de las presentes Cláusulas y permitirá las auditorías y contribuirá con ellas.

Cláusula 10

Derechos del Titular de los Datos

Las Partes se prestarán asistencia mutua para responder a las consultas y solicitudes formuladas por los titulares de los datos en virtud de la legislación local aplicable al importador de datos o, para el procesamiento de datos por el exportador de datos en la UE, en virtud del Reglamento (UE) 2016/679.

Cláusula 11

Reparación

  1. El importador de datos informará a los titulares de los datos en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tratará sin demora las reclamaciones que reciba de un titular de los datos.

Cláusula 12

Responsabilidad

  1. Cada una de las Partes será responsable ante la otra u otras Partes de los daños y perjuicios que cause a la otra u otras Partes por el incumplimiento de las presentes Cláusulas.
  2. Cada una de las Partes será responsable ante el titular de los datos, y el titular de los datos tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que la Parte cause al titular de los datos por vulnerar los derechos de terceros beneficiarios en virtud de las presentes Cláusulas. Ello se entiende sin perjuicio de la responsabilidad del exportador de datos en virtud del Reglamento (UE) 2016/679.
  3. Cuando más de una Parte sea responsable de cualquier daño causado al titular de los datos como consecuencia de una infracción de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el titular de los datos tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.
  4. Las Partes acuerdan que si una Parte es considerada responsable en virtud de la letra (c), tendrá derecho a reclamar a la otra Parte o Partes la porción de la indemnización que corresponda a su responsabilidad por el daño.
  5. El importador de datos no podrá invocar la conducta de un procesador o sub-procesador para eludir su propia responsabilidad.
SECCIÓN III – LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Leyes y prácticas locales que afectan al cumplimiento de la Cláusulas

(cuando el procesador en la UE combina los datos personales recibidos del controlador en un tercer país con los datos
personales recogidos por el procesador en la UE)

  1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al procesamiento de los datos personales por parte del importador de datos, incluido cualquier requisito de revelar los datos personales o medidas que autoricen el acceso por parte de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.
  2. Las Partes declaran que, al ofrecer la garantía de la letra (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
    1. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
    2. las leyes y prácticas del tercer país de destino -incluidas las que exigen la revelación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;3;
    3. cualquiera de las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes Cláusulas, incluidas las medidas aplicadas durante la transmisión y el procesamiento de los datos personales en el país de destino.
  3. El importador de datos garantiza que, al llevar a cabo la evaluación prevista en la letra (b), ha hecho todo lo posible por facilitar al exportador de datos la información pertinente y acuerda que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de las presentes Cláusulas.
  4. Las Partes acuerdan documentar la evaluación a que se refiere la letra (b) y ponerla a disposición de la autoridad supervisora competente a petición de ésta.
  5. El importador de datos se compromete a notificar sin demora al exportador de datos si, después de haber aceptado las presentes Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra (a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos de la letra (a).
  6. Tras una notificación con arreglo a la letra (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le incumben en virtud de las presentes Cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad supervisora competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando se rescinda el contrato en virtud de la presente Cláusula, se aplicará la Cláusula 15(d) y (e).

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

(cuando el procesador en la UE combina los datos personales recibidos del controlador en un tercer país con los datos
personales recogidos por el procesador en la UE)

  1. Notificación
    1. El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al titular de los datos (en caso necesario, con la ayuda del exportador de datos) si:
      1. recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de las leyes del país de destino para la divulgación de los datos transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base legal de la solicitud y la respuesta proporcionada; o bien
      2. tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos transferidos con arreglo a las presentes Cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.
    2. Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al titular de los datos, el importador de datos acuerda hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar toda la información posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
    3. Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.)
    4. El importador de datos se compromete a conservar la información a que se refieren las letras (a) a la (c) mientras dure el contrato y a ponerla a disposición de la autoridad supervisora competente a petición de ésta.
    5. Las letras (a) a la (c) se entenderán sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 13(e) y la Cláusula 15 de informar sin demora al exportador de datos cuando no pueda cumplir dichas Cláusulas.
  2. Review of legality and data minimisatio
    1. El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se ajusta a las facultades otorgadas a la autoridad pública requirente, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo a la legislación del país de destino, a las obligaciones aplicables en virtud del derecho internacional y a los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso. Cuando impugne una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que se le requiera para ello en virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 13(e).
    2. El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad supervisora competente a petición de ésta.
    3. El importador de datos se compromete a facilitar la cantidad mínima de información admisible al responder a una solicitud de divulgación, sobre la base de una interpretación razonable de la solicitud.
SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las Cláusulas y rescisión

  1. El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes Cláusulas.
  2. En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Todo ello sin perjuicio de lo dispuesto en la Cláusula 13(f)
  3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de datos personales con arreglo a las presentes Cláusulas, cuando:
    1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con la letra (b) y no se restablezca el cumplimiento de las presentes Cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspension;
    2. el importador de datos incumple de forma sustancial o persistente las presentes Cláusulas; o
    3. el importador de datos incumpla una decisión vinculante de un tribunal competente o de una autoridad supervisora en relación con las obligaciones que le incumben en virtud de las presentes Cláusulas

    En estos casos, informará de dicho incumplimiento a la autoridad supervisora competente. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, salvo que las Partes hayan acordado otra cosa.

  4. Los datos personales recolectados por el exportador de datos en la UE que hayan sido transferidos antes de la rescisión del contrato de conformidad con la letra (c) se suprimirán inmediatamente en su totalidad, incluida cualquier copia de los mismos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales transferidos, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo procesará los datos en la medida y durante el tiempo que exija dicha legislación local.
  5. Cualquiera de las Partes podrá revocar su acuerdo de obligarse por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al procesamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Legislación aplicable

Las presentes Cláusulas se regirán por la legislación de un país que admita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación de Bélgica.

Cláusula 18

Elección de foro y jurisdicción

Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de Bélgica.

ANEXO I

A. LISTA DE PARTES

Exportador(es) de datos:

Nombre y Dirección: el nombre y la dirección de la entidad applicable de Transmit Security tal y como se define en el Acuerdo.

Nombre, cargo y datos de contacto de las personas de contacto:

Nombre: Mickey Boodaei

Función: Oficial de Protección de Datos

Detalles de contacto: privacy@transmitsecurity.com

Datos del representante en la UE: Nombre: Niels Decraene. Datos de contacto: niels@transmitsecurity.com

Datos del representante en el Reino Unido: Nombre: Jack Blockley. Datos de contacto: jack.blockley@transmitsecurity.com

Actividades relevantes para los datos transferidos: prestación de los servicios de Red de Identidad proporcionados por Transmit Security en virtud del Acuerdo.

Función: procesador.

Importador(es) de datos:

Nombre y Dirección: el nombre y la dirección del “Cliente” (tal y como se define en el Acuerdo).

Nombre, cargo y datos de contacto de la persona de contacto: Contacto clave del Cliente, tal y como el Cliente comunique por escrito a Transmit Security periódicamente.

Actividades relacionadas con los datos transferidos: recepción de los servicios de la Red de Identidad prestados por Transmit Security en virtud del Acuerdo.

Función: controlador.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de titulares de los datos cuyos datos se transfieren:

Los titulares de los datos afectados identificados en el Apéndice 1 (Detalles del Procesamiento) del Anexo; usuarios finales de otros clientes.

Categorías de Datos Personales transferidos:

Las categorías afectadas identificadas en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la
naturaleza de los datos y los riesgos que envuelven, como, por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales:

N/A

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua):

Continua.

Naturaleza del procesamiento:

Transmit Security procesará y transferirá los Datos Personales al Cliente según sea necesario para llevar a cabo los Servicios en la Nube contratados por el Cliente en virtud del Acuerdo, y según las instrucciones adicionales del Cliente de conformidad con el Acuerdo, la Orden de Pedido y el Anexo.

Finalidad(es) de la transferencia de datos y posterior procesamiento:

Transmit Security procesará y transferirá Datos Personales al Cliente según sea necesario para prestar los Servicios en la Nube contratados por el Cliente en virtud del Acuerdo, y según las instrucciones adicionales del Cliente de conformidad con el Acuerdo, la Orden de Pedido y el Anexo.

El período durante el cual se conservarán los Datos Personales Personalizados o, si esto no es posible, los criterios utilizados para determinar dicho período:

Las partes procesarán los Datos Personales durante la vigencia del Acuerdo (o según acuerden las partes por escrito), y de conformidad con las obligaciones de conservación de las partes en virtud del presente Anexo, el Acuerdo y el aplicable siempre que los Datos Personales no se procesen durante más tiempo del necesario para los fines para los que se recopilaron o se están procesando (salvo cuando se aplique una excepción legal).

Para las transferencias a (sub-)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento:

El objeto, la naturaleza y la duración del procesamiento identificados en el Apéndice 1 (Detalles del Procesamiento) del Anexo.

Apéndice 6 – Anexo a las Cláusulas Contractuales Tipo de la Comisión Europea sobre Transferencia Internacional de Datos

Las Partes confirman que el Anexo del Reino Unido a las Cláusulas Contractuales Tipo de la UE (o “Cláusulas”), tal como se establece y completa a continuación (“Anexo del Reino Unido”), se aplicará a la transferencia de Datos Personales de Usuario Final procedentes del Reino Unido a (a) Transmit Security como Procesador en EE.UU. o (b) al Cliente como Controlador, y mediante la ejecución de las Cláusulas Contractuales Tipo de la UE y el presente Anexo del Reino Unido, las Partes aceptan quedar vinculadas por el Anexo del Reino Unido. A menos que se indique expresamente a continuación, no se aplicarán las cláusulas opcionales contenidas en el Anexo del Reino Unido. Las Partes colaborarán, de buena fe, para suscribir cualquier versión actualizada del Anexo del Reino Unido publicado por la Oficina del Comisionado de Información o negociar una solución alternativa que permita la transferencia de Datos Personales Personalizados procedentes del Reino Unido a Transmit Security en EE.UU. de conformidad con la Legislación Británica sobre Protección de Datos y las directrices vinculantes emitidas por la Oficina del Comisionado de Información.

Antecedentes:

Este Anexo ha sido publicado por el Comisionado de Información para las Partes que realicen transferencias restringidas. El Comisionado de Información considera que proporciona las salvaguardias adecuadas para las transferencias restringidas cuando se celebra como un contrato jurídicamente vinculante.

PARTE 1
Fecha de entrada en vigor El Anexo del Reino Unido es efectivo a partir de la fecha de su entrada en vigor.
Tabla 1: Partes

Controlador a Procesador

Exportador y contacto claveSegún lo establecido en el Anexo I de las Cláusulas Contractuales Tipo de la UE en el Apéndice 4
Importador y contacto clave:Según lo establecido en el Anexo I de las Cláusulas Contractuales Tipo de la UE en el Apéndice 4

Procesador a Controlador

Exportador y contacto claveSegún lo establecido en el Anexo I de las Cláusulas Contractuales Tipo de la UE en el Apéndice 5
Importador y contacto clave:Según lo establecido en el Anexo I de las Cláusulas Contractuales Tipo de la UE en el Apéndice 5
Tabla 2: Cláusulas Contractuales Tipo de la UE, Módulos y Cláusulas Seleccionadas

Controlador a Procesador

Anexo Cláusulas Contractuales
Tipo de la UE
Módulo 2 de las Cláusulas Contractuales Tipo de la UE, tal como figuran en el Apéndice 4

Procesador a Controlador

Anexo Cláusulas Contractuales
Tipo de la UE
Módulo 4 de las Cláusulas Contractuales Tipo de la UE, tal como figuran en el Apéndice 5
Tabla 3: Información de los Apéndices

Según lo establecido en los Anexos I y II de las Cláusulas Contractuales Tipo de la UE en los Apéndices 4 y 5

PARTE 2

Suscripción del presente Anexo

  1. Cada Parte acepta quedar vinculada por los términos y condiciones establecidos en el presente Anexo, a cambio de que la otra Parte también acepte quedar vinculada por el presente Anexo.
  2. Aunque el Anexo I.A y la Cláusula 7 de las Cláusulas Contractuales Tipo de la UE Aprobadas requieren la firma de las Partes, a efectos de realizar Transferencias Restringidas, las Partes podrán suscribir el presente Anexo de cualquier forma que los haga jurídicamente vinculantes para las Partes y permita a los titulares de los datos hacer valer sus derechos según lo establecido en el presente Anexo. La suscripción del presente Anexo tendrá el mismo efecto que la firma de las Cláusulas Contractuales Tipo de la UE Aprobadas y de cualquier parte de las Cláusulas Contractuales Tipo de la UE Aprobadas

Interpretación del presente Anexo

  1. Cuando en el presente Anexo se utilicen términos definidos en las Cláusulas Contractuales Tipo de la UE Aprobadas, dichos términos tendrán el mismo significado que en las Cláusulas Contractuales Tipo de la UE Aprobadas. Además, los siguientes términos tienen el siguiente significado:
    AnexoEste Anexo que se compone del presente Anexo que incorpora el Anexo Cláusulas Contractuales Tipo de la UE.
    Anexo Cláusulas Contractuales Tipo de la UELa(s) versión(es) de las Cláusulas Contractuales Tipo de la UE Aprobadas que figuran en el Apéndice 4, incluido el Apéndice de Información.
    Apéndice de InformaciónSegún lo establecido en el Anexo I de las Cláusulas Contractuales Tipo incluidas en el Apéndice 4.
    Garantías AdecuadasEl nivel de protección de los Datos Personales Personalizados y de los derechos de los titulares de los datos, que exige la Legislación Británica sobre Protección de Datos cuando se realiza una transferencia restringida basada en cláusulas estándar de protección de datos con arreglo al artículo 46(2)(d) del GDPR del Reino Unido
    Anexo AprobadoLa plantilla Anexo emitida por la Oficina del Comisionado de Información y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, y como se revisa en la Sección 18.
    Cláusulas Contractuales Tipo de la UE AprobadasLas Cláusulas Contractuales Tipo establecidas en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
    OCIOficina del Comisionado de Información.
    Transferencia RestringidaUna transferencia cubierta por el Capítulo V del GDPR del Reino Unid.
    Reino UnidoEl Reino Unido de Gran Bretaña e Irlanda del Norte.
    Leyes de Protección de Datos del
    Reino Unido
    Todas las leyes relativas a la protección de datos, el procesamiento de Datos Personales Personalizados, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluidos el GDPR del Reino Unido y la Ley de Protección de Datos de 2018.
    GDPR del Reino UnidoComo se define en la sección 3 de la Ley de Protección de Datos de 2018
  2. El presente Anexo debe interpretarse siempre de forma coherente con las Leyes de Protección de Datos del Reino Unido y de modo que cumpla la obligación de las Partes de proporcionar las Garantías Adecuadas..
  3. Si las disposiciones incluidas en el Anexo Cláusulas Contractuales Tipo de la UE modifican las Cláusulas Contractuales Tipo de la UE Aprobadas de alguna manera que no esté permitida en virtud de Cláusulas las Contractuales Tipo de la UE Aprobadas o del Anexo Aprobado, dicha(s) modificación(es) no se incorporará(n) al presente Anexo y la disposición
    equivalente de las Cláusulas Contractuales Tipo de la UE Aprobadas ocupará su lugar.
  4. En caso de incoherencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y el presente Anexo, se aplicarán las Leyes de Protección de Datos del Reino Unido.
  5. Si el significado de este Anexo no está claro o hay más de un significado, se aplicará el que más se ajuste a las Leyes de Protección de Datos del Reino Unido.
  6. Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa esa legislación (o disposición específica), tal y como puede cambiar con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, promulgada de nuevo y/o sustituida con posterioridad a la celebración del presente Anexo.
Jerarquía
  1. Aunque la Cláusula 5 de las Cláusulas Contractuales Tipo de la UE Aprobadas establece que las Cláusulas Contractuales Tipo de la UE Aprobadas prevalecen sobre todos los acuerdos relacionados entre las partes, éstas acuerdan que, para las Transferencias Restringidas, prevalecerá la jerarquía de la Sección 10.
  2. Cuando exista alguna incoherencia o conflicto entre el Anexo Aprobado y el Anexo Cláusulas Contractuales Tipo de la UE (según proceda), el Anexo Aprobado prevalecerá sobre el Anexo Cláusulas Contractuales Tipo de la UE, excepto cuando (y en la medida en que) los términos incoherentes o conflictivos del Anexo Cláusulas Contractuales Tipo de la UE proporcionen una mayor protección a los titulares de los datos, en cuyo caso dichos términos prevalecerán sobre el Anexo Aprobado.
  3. Cuando el presente Anexo incorpore Anexo Cláusulas Contractuales Tipo de la UE que se hayan suscrito para proteger transferencias sujetas al Reglamento General de Protección de Datos (UE) 2016/679, las Partes reconocen que nada de lo dispuesto en el presente Anexo afectará aquellas.

Incorporación y modificaciones de las Cláusulas Contractuales Tipo de la UE

  1. El presente Anexo incorpora el Anexo Cláusulas Contractuales Tipo de la UE, que se modifican en la medida necesaria para que:
    1. conjuntamente operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se apliquen al procesamiento del exportador de datos al realizar esa transferencia de datos, y proporcionen Garantías Adecuadas para esas transferencias de datos;
    2. Secciones 9 a la 11 anulan la Cláusula 5 (Jerarquía) del Anexo Cláusulas Contractuales Tipo de la UE; y
    3. el presente Anexo (incluidos el Anexo Cláusulas Contractuales Tipo de la UE incorporados al mismo) (1) se rige por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja del mismo será resuelta por los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.
  2. A menos que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.
  3. No se podrán realizar modificaciones a las Cláusulas Contractuales Tipo de la UE Aprobadas que no sean para cumplir con los requisitos de la Sección 12.
  4. Se introducen las siguientes modificaciones en el Anexo Cláusulas Contractuales Tipo de la UE (a efectos de la Sección 12):
    1. Las referencias a las “Cláusulas” significan el presente Anexo, que incorpora el Anexo Cláusulas Contractuales Tipo de la UE;
    2. En la Cláusula 2, se suprimen las palabras:
      “y, con respecto a las transferencias de datos de controladores a procesadores y/o procesadores a procesadores, las cláusulas contractuales tipo de conformidad con el artículo 28(7) del Reglamento (UE) 2016/679”;
    3. La Cláusula 6 (Descripción de la(s) transferencia(s)) se reemplaza por:
      “Los detalles de la(s) transferencia(s) y, en particular, las categorías de Datos Personales Personalizados que se transfieren y la(s) finalidad(es) para la(s) que se transfieren) son los especificados en el Anexo I.B cuando las Leyes de Protección de Datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar dicha transferencia.”
    4. Cláusula 8.7(i) del Modulo 1 se reemplaza por:
      “es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del GDPR del Reino Unido que cubre la transferencia ulterior”
    5. Cláusula 8.8(i) de los Módulos 2 y 3 se reemplazan por:
      “la transferencia ulterior es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del GDPR del Reino Unido que cubre la transferencia ulterior;”
    6. Las referencias al “Reglamento (UE) 2016/679”, “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas naturales en lo que respecta al procesamiento de Datos Personales Personalizados y a la libre circulación de estos datos (Reglamento General de Protección de Datos)” y “dicho Reglamento” se sustituyen por “Leyes de Protección de Datos del Reino Unido”. Las referencias a Artículos específicos del “Reglamento (UE) 2016/679” son reemplazadas por el Artículo o Sección equivalente de la Legislación Británica sobre Protección de Datos;
    7. Se suprimen las referencias al Reglamento (UE) 2018/1725;
    8. Las referencias a la “Unión Europea”, “Unión”, “UE”, “Estado Miembro de la UE”, “Estado Miembro” y “UE o Estado Miembro” se sustituyen por “Reino Unido”;
    9. La referencia a la “Cláusula 12(c)(i)” en la Cláusula 10(b)(i) del Módulo uno, se reemplaza por “Cláusula 11(c)(i)”;
    10. No se utilizan la Cláusula 13(a) ni la Parte C del Anexo I.
    11. Los términos “autoridad supervisora competente” y “autoridad supervisora” se sustituyen por “Comisionado de Información”.
    12. En la Cláusula 16(e), la subsección (i) se reemplaza por:
      “el Secretario de Estado elabora reglamentos de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de Datos Personales Personalizados a los que se aplican estas cláusulas;”;
    13. La Cláusula 17 se reemplaza por:
      “Estas Cláusulas se rigen por las leyes de Inglaterra y Gales.”;
    14. La Cláusula 18 se reemplaza por:
      “Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de Inglaterra y Gales. El titular de los datos también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país en el Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales”; y
    15. Las notas a pie de página de las Cláusulas Contractuales Tipo de la UE Aprobadas no forman parte del Anexo, salvo las notas 8, 9, 10 y 11.

Modificaciones a este Anexo

  1. Las Partes podrán acordar cambiar las Cláusulas 17 y/o 18 del Anexo Cláusulas Contractuales Tipo de la UE para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte..
  2. Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Anexo Aprobado, podrán hacerlo acordando el cambio por escrito, siempre que éste no reduzca las Garantías Adecuadas.
  3. De vez en cuando, la Oficina del Comisionado de Información podrá publicar un Anexo Aprobado revisado que:
    1. introduzca cambios razonables y proporcionados en el Anexo Aprobado, incluida la corrección de errores en el mismo; y/o
    2. refleje cambios en la Legislación Británica sobre Protección de Datos;

    El Anexo Aprobado revisado especificará la fecha a partir de la cual los cambios al Anexo Aprobado serán efectivos y si las Partes necesitan revisar este Anexo incluyendo el Apéndice de Información. Este Anexo se modificará automáticamente según lo establecido en el Anexo Aprobado revisado a partir de la fecha de inicio especificada.

  4. Si la Oficina del Comisionado de Información emite un Anexo Aprobado revisado en virtud de la Sección 18, y el Procesador, como resultado directo de los cambios en el Anexo Aprobado, tiene un aumento sustancial, desproporcionado y demostrable en:
    1. sus costos directos de ejecución de las obligaciones derivadas del Anexo; y/o
    2. su riesgo en virtud del Anexo

    y, en cualquiera de los dos casos, el Procesador haya tomado primero medidas razonables para reducir dichos costos o riesgos de modo que no sea sustancial y desproporcionado, entonces el Procesador podrá poner fin al presente Anexo al final de un período de preaviso razonable, notificando por escrito dicho período al Controlador antes de la fecha de inicio del Anexo Aprobado revisado.

  5. Las Partes no necesitan el consentimiento de terceros para introducir cambios en el presente Anexo, pero cualquier modificación deberá realizarse de conformidad con sus términos.
  1.  Cuando el exportador de datos sea un procesador sujeto al Reglamento (UE) 2016/679 que actúe por cuenta de una institución u organismo de la
    Unión como controlador, la confianza en estas Cláusulas al contratar a otro procesador (sub-procesamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del Artículo 29(4) del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas naturales en lo que respecta al procesamiento de datos personales por las instituciones, órganos y organismos de la Unión.
  2. Esto incluye si la transferencia y el procesamiento posterior implican datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas o infracciones penales.
  3. En lo que respecta al impacto de dichas leyes y prácticas en el cumplimiento de estas Cláusulas, se pueden considerar diferentes elementos como parte de una evaluación general. Dichos elementos pueden incluir la experiencia práctica pertinente y documentada con casos anteriores de solicitudes de divulgación por parte de las autoridades públicas, o la ausencia de dichas solicitudes, que abarquen un marco temporal suficientemente representativo. Esto se refiere, en particular, a los registros internos u otra documentación, elaborada de forma continua de conformidad con la diligencia debida y certificada a nivel de la alta dirección, siempre que esta información pueda compartirse legalmente con terceros. Cuando se confíe en esta experiencia práctica para llegar a la conclusión de que no se impedirá al importador de datos cumplir con estas Cláusulas, deberá apoyarse en otros elementos pertinentes y objetivos, y corresponderá a las Partes considerar detenidamente si estos elementos juntos tienen suficiente peso, en términos de su fiabilidad y representatividad, para apoyar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica se ve corroborada y no contradicha por información fiable, disponible públicamente o accesible de otro modo, sobre la existencia o ausencia de solicitudes en el mismo sector y/o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de organismos de supervisión independientes.