Última actualización: 25 de enero de 2024
Este Anexo de procesamiento de datos (este “Anexo”) es ejecutado por y entre Spaceship, Inc. (“el Procesador”) y sus Filiales (“Spaceship”) y usted (“Controlador”, “Cliente”) y se adjunta a nuestros Términos de servicio universales, Política de privacidad y todos y cada uno de los acuerdos que rigen los Servicios cubiertos (colectivamente, los “Términos de servicio”) y los complementa. A menos que se defina lo contrario en este Anexo, todos los términos en mayúsculas que no se definen en este Anexo tendrán los significados que se les otorguen en los Términos de servicio.
“Filiales” hace referencia a cualquier entidad que esté controlada por Spaceship, controle a la misma o esté bajo control común con ella.
“Servicios cubiertos” se refiere a los servicios alojados que le ofrecemos que podrían implicar nuestro procesamiento de datos personales.
“Datos del cliente” se refiere a los Datos personales de cualquier Sujeto de datos procesado por Spaceship dentro de Spaceship Network en nombre del Cliente de conformidad con o en relación con los Términos de servicio.
“Controlador de datos” hace referencia al Cliente como la entidad que determina los propósitos y medios del procesamiento de datos personales.
“Procesador de datos” hace referencia a Spaceship como la entidad que procesa datos personales en nombre del Controlador de datos.
“Leyes de protección de datos” hace referencia al RGPD (según se define a continuación), junto con cualquier ley nacional de aplicación en cualquier Estado miembro de la Unión Europea o el Reino Unido o, en la medida aplicable, en cualquier otro país, en cada caso enmendado, derogado, consolidado o reemplazado de vez en cuando.
“Sujeto de datos” significa la persona con quien se relacionan los Datos personales.
“EEE” significa el Espacio Económico Europeo.
“GDPR” hace referencia al Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos.
“Spaceship Network” hace referencia a las instalaciones del centro de datos, servidores, equipos de red y sistemas de software de alojamiento de Spaceship (por ejemplo, cortafuegos virtuales) que están bajo el control de Spaceship y se utilizan para proporcionar los Servicios cubiertos.
“Datos personales” significa cualquier información relacionada con una persona identificada o identificable.
“Procesamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos personales, ya sea por medios automáticos o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción. “Proceso”, “procesos” y “procesado” se interpretarán en consecuencia. Los detalles del Procesamiento se establecen en el Anexo 1.
“Incidente de seguridad” significa (a) una violación de la seguridad de los Estándares de seguridad de Spaceship que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a cualquier Información del cliente; o (b) cualquier acceso no autorizado a los equipos o instalaciones de Spaceship, donde en cualquier caso dicho acceso resulte en la destrucción, pérdida, divulgación no autorizada o alteración de los Datos del cliente.
“Estándares de seguridad” significa los estándares de seguridad adjuntos a este Anexo como Anexo 2.
“Datos confidenciales” hace referencia a lo siguiente: (a) número de seguro social, número de pasaporte, número de licencia de conducir o identificador similar (o cualquier parte de los mismos); (b) número de tarjeta de crédito o débito (que no sean los (últimos cuatro dígitos) truncados de una tarjeta de crédito o débito), información financiera, números de cuentas bancarias o contraseñas; (c) información laboral, financiera, genética, biométrica o de salud; (d) identificación racial, étnica, afiliación política o religiosa, afiliación sindical o información sobre la vida sexual u orientación sexual; (e) contraseñas de cuentas, apellido de soltera de la madre o fecha de nacimiento; (f) antecedentes penales; o (g) cualquier otra información o combinación de información que se encuentre dentro de la definición de “categorías especiales de datos” según el GDPR o cualquier otra ley o regulación aplicable relacionada con la privacidad y la protección de datos.
“Cláusulas contractuales estándar” o “SCC” se refiere a las cláusulas estándar de protección de datos para la transferencia de datos personales de un controlador a un procesador establecido en terceros países que no garantizan un nivel adecuado de protección de datos, tal como se describe en el artículo 46 del RGPD y como está aprobado por la decisión de la Comisión Europea 2021/914 de 4 de junio de 2021. Las Cláusulas contractuales estándar del Módulo Dos (Controlador a Procesador) están en Anexo 1.
"Subprocesador" significa cualquier Procesador de datos contratado por el Procesador para procesar datos en nombre del Controlador de datos.
"Cláusulas contractuales estándar del Reino Unido" o "SCC del Reino Unido" se refiere a las cláusulas estándar de protección de datos para la transferencia de datos personales a procesadores establecidos en terceros países que no garantizan un nivel adecuado de protección de datos, como se describe en el artículo 46 del RGPD del Reino Unido y como está aprobado por la decisión de la Comisión Europea 2010/87/UE.
2.1 Alcance y roles. Este Anexo se aplica cuando Spaceship procesa los Datos del cliente. En este contexto, Spaceship actuará como Procesador de datos en nombre del Cliente como Controlador de datos con respecto a los Datos del Cliente.
2.2 Detalles del procesamiento de datos. El objeto del procesamiento de los Datos del cliente por parte de Spaceship es la prestación de los Servicios cubiertos de conformidad con los Términos de servicio y los acuerdos específicos del producto. Spaceship solo procesará los datos del cliente en nombre del Cliente y de acuerdo con las instrucciones documentadas del Cliente para los siguientes propósitos: (i) Procesamiento de acuerdo con los Términos de servicio o el acuerdo específico del producto aplicable; (ii) Procesamiento iniciado por usuarios finales en su uso de los Servicios cubiertos; (iii) Procesamiento para cumplir con otras instrucciones documentadas y razonables proporcionadas por los Clientes (por ejemplo, por correo electrónico) cuando dichas instrucciones sean consistentes con los términos del Acuerdo. No se requerirá que Spaceship cumpla u observe las instrucciones del Cliente si dichas instrucciones violan el RGPD o cualquier otra ley de privacidad de datos aplicable. La duración del Procesamiento, la naturaleza y el propósito del Procesamiento, los tipos de datos personales y las categorías de Sujetos de datos Procesados en virtud de este Anexo se especifican con más detalle en el Anexo 1 (“Detalles del Procesamiento”) de este Anexo.
Para evitar dudas, las instrucciones del Cliente para el Procesamiento de Datos personales deberán cumplir con todas las leyes de privacidad de datos aplicables. El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos personales y los medios por los cuales el Cliente adquirió los Datos personales. No se requerirá que Spaceship cumpla u observe las instrucciones del Cliente si dichas instrucciones violan las Leyes de protección de datos. La duración del Procesamiento, la naturaleza y el propósito del Procesamiento, los tipos de Datos personales y las categorías de Sujetos de datos Procesados en virtud de este Anexo se especifican con más detalle en el Anexo 1 (“Detalles del procesamiento”) de este Anexo.
Spaceship no proporciona voluntariamente a los gobiernos acceso a ningún dato sobre los usuarios con fines de vigilancia, y Spaceship no divulgará los Datos del cliente a ningún gobierno ni a ningún otro tercero, excepto cuando sea necesario para cumplir con la ley o una orden legal válida y vinculante de organismos encargados de velar por el cumplimiento de las leyes (como una citación u orden judicial). Todo el proceso legal se revisa cuidadosamente para garantizar que cumpla o supere los estándares legales requeridos, y Spaceship interpreta el proceso legal de la manera más restringida posible. Spaceship rechazará o desafiará cualquier solicitud que no tenga una base legal o que sea poco clara, demasiado amplia o inapropiada.
4.1 Spaceship ha implementado y mantendrá las medidas técnicas y organizativas para la Spaceship Network como se describe aquí en esta Sección y como se describe más detalladamente en el Anexo II de las SCC de este Anexo, Estándares de seguridad. En particular, Spaceship ha implementado y mantendrá las siguientes medidas técnicas y organizativas que abordan (i) la seguridad de Spaceship Network; (ii) seguridad física de las instalaciones; (iii) controles sobre el acceso de empleados y contratistas a (i) y/o (ii); y (iv) procesos para probar, analizar y evaluar la eficacia de las medidas técnicas y organizativas implementadas por Spaceship.
4.2 Spaceship pone a disposición una serie de características y funcionalidades de seguridad que el Cliente puede optar por utilizar en relación con los Servicios cubiertos. El Cliente es responsable de (a) configurar correctamente los Servicios cubiertos, (b) utilizar los controles disponibles en relación con los Servicios cubiertos (incluidos los controles de seguridad) para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento, (c) usar los controles disponibles en relación con los Servicios cubiertos (incluidos los controles de seguridad) para permitir que el Cliente restablezca la disponibilidad y el acceso a los Datos del cliente de manera oportuna en caso de un incidente físico o técnico (por ejemplo, copias de seguridad y archivado de rutina de los Datos del Cliente), y (d) tomar las medidas que el Cliente considere adecuadas para mantener la seguridad, la protección y la eliminación adecuadas de los Datos del Cliente, lo que incluye el uso de tecnología de cifrado para proteger los Datos del Cliente del acceso no autorizado y medidas para controlar los derechos de acceso a los Datos del Cliente.
Teniendo en cuenta la naturaleza de los Servicios cubiertos, Spaceship ofrece al Cliente ciertos estándares de seguridad como se describe en la sección “Seguridad” de este Anexo. El Cliente puede utilizar estas medidas técnicas y organizativas establecidas para ayudarlo en relación con sus obligaciones en virtud de las leyes de privacidad aplicables, incluidas sus obligaciones relacionadas con la respuesta a las solicitudes de los Sujetos de datos. En la medida que sea comercialmente razonable, y sea requerido o permitido a nivel legal, Spaceship notificará de inmediato al Cliente si Spaceship recibe directamente una solicitud de un Sujeto de datos para ejercer dichos derechos bajo cualquier ley de privacidad de datos aplicable (“Solicitud del sujeto de datos”). Además, cuando el uso de los Servicios cubiertos por parte del Cliente limite su capacidad para abordar una Solicitud del sujeto de datos, Spaceship puede, cuando esté legalmente permitido y sea apropiado y previa solicitud específica del Cliente, proporcionar asistencia comercialmente razonable para abordar la solicitud, a cargo del Cliente (si corresponde). Los derechos de los Sujetos de datos se especifican con más detalle en las SCC incorporadas en el presente.
6.1 Subprocesadores autorizados. El Cliente acepta que Spaceship puede utilizar Subprocesadores para cumplir con sus obligaciones contractuales en virtud de sus Términos de servicio y este Anexo o para proporcionar determinados servicios en su nombre, como la prestación de servicios de soporte. Por la presente, el Cliente acepta el uso de Subprocesadores por parte de Spaceship como se describe en esta Sección. Salvo que se establezca en esta Sección o que usted lo autorice explícitamente, Spaceship no permitirá ninguna otra actividad de subprocesamiento.
6.2 Obligaciones del Subprocesador. Cuando Spaceship utilice cualquier Subprocesador autorizado como se describe en la Sección 6.1:
a. Spaceship restringirá el acceso del Subprocesador a los Datos del Cliente solo a lo que sea necesario para mantener los Servicios cubiertos o para proporcionar los Servicios cubiertos al Cliente y cualquier usuario final de acuerdo con los Servicios cubiertos. Spaceship prohibirá al Subprocesador acceder a los Datos del Cliente para cualquier otro propósito;
b. Spaceship celebrará un acuerdo por escrito con el Subprocesador y, en la medida en que el Subprocesador realice los mismos servicios de procesamiento de datos que proporciona Spaceship en virtud de este Anexo, Spaceship impondrá al Subprocesador las mismas obligaciones contractuales que tiene Spaceship en virtud de este Anexo; y
c. Spaceship seguirá siendo responsable del cumplimiento de las obligaciones de este Anexo y de cualquier acto u omisión del Subprocesador que haga que Spaceship incumpla cualquiera de las obligaciones de Spaceship en virtud de este Anexo.
7.1 Incidente de seguridad. Si Spaceship se entera de un Incidente de seguridad, Spaceship sin demora indebida: (a) notificará al Cliente del Incidente de seguridad; y (b) tomará medidas razonables para mitigar los efectos y minimizar cualquier daño resultante del Incidente de seguridad.
7.2 Asistencia de Spaceship. Para ayudar al Cliente en relación con cualquier notificación de violación de datos personales que el Cliente deba realizar según las leyes de privacidad aplicables, Spaceship incluirá en la notificación en la sección 8.1 dicha información sobre el Incidente de seguridad que Spaceship pueda revelar razonablemente al Cliente, teniendo en cuenta la naturaleza de los Servicios cubiertos, la información disponible para Spaceship y cualquier restricción sobre la divulgación de la información, como la confidencialidad.
7.3 Incidentes de seguridad fallidos. El cliente acepta que:
a. Un Incidente de seguridad fallido no estará sujeto a los términos de este Anexo. Un Incidente de seguridad fallido es aquel que no da como resultado el acceso no autorizado a los Datos del Cliente ni a ninguna red, equipo o instalación de Spaceship que almacene datos del cliente, y puede incluir, entre otros, pings y otros ataques de difusión en firewalls o servidores periféricos, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio, rastreo de paquetes (u otro acceso no autorizado a datos de tráfico que no resulte en acceso más allá de los encabezados) o incidentes similares; y
b. La obligación de Spaceship de informar o responder a un Incidente de seguridad en virtud de esta Sección no es ni se interpretará como un reconocimiento por parte de Spaceship de cualquier culpa o responsabilidad de Spaceship con respecto al Incidente de seguridad.
7.4 Comunicaciones. Las notificaciones de Incidentes de seguridad, si corresponde, se enviarán a uno o más de los administradores del Cliente por cualquier medio que elija Spaceship, incluido el correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que los administradores del Cliente mantengan la información de contacto precisa en el panel de la cuenta de Spaceship y la transmisión segura en todo momento.
8.1 Determinación independiente. El Cliente es responsable de revisar la información puesta a disposición por Spaceship en relación con la seguridad de los datos y sus Estándares de seguridad y de tomar una determinación independiente sobre si los Servicios cubiertos cumplen con los requisitos y las obligaciones legales del Cliente, así como con las obligaciones del Cliente en virtud de este Anexo. La información disponible está destinada a ayudar al Cliente a cumplir con las obligaciones del Cliente en virtud de las leyes de privacidad aplicables, incluido el RGDP, con respecto a las evaluaciones de impacto de la protección de datos y la consulta previa.
8.2 Derechos de auditoría del Cliente. El Cliente tiene derecho a confirmar el cumplimiento de Spaceship con este Anexo según corresponda a los Servicios cubiertos, incluido específicamente el cumplimiento de Spaceship con sus Estándares de seguridad. El Cliente puede hacerlo ejerciendo un derecho razonable para realizar una auditoría o inspección, incluso en virtud de las Cláusulas contractuales estándar, si corresponde, al realizar una solicitud específica por escrito a dpa@spaceship.com. Si Spaceship se niega a seguir cualquier instrucción solicitada por el Cliente con respecto a una auditoría o inspección debidamente solicitada y con el alcance, el Cliente tiene derecho a rescindir este Anexo y los Términos de servicio. Si se aplican las Cláusulas contractuales estándar, nada de lo dispuesto en esta Sección varía o modifica las Cláusulas contractuales estándar ni afecta los derechos de ninguna autoridad de control o sujeto de datos en virtud de las Cláusulas contractuales estándar. Esta Sección también se aplicará en la medida en que Spaceship lleve a cabo el control de los Subprocesadores en nombre del Cliente.
9.1 Procesamiento basado en EE. UU. El Cliente acepta que, excepto cuando se indique específicamente en los Términos de servicio, Spaceship puede transferir Datos del Cliente a los Estados Unidos para su procesamiento. Las transferencias se realizarán de acuerdo con los mecanismos de transferencia exigibles legalmente cuando así lo exijan las Leyes de protección de datos aplicables.
9.2 Aplicación de las Cláusulas contractuales estándar. Las Cláusulas contractuales estándar se aplicarán a los Datos del cliente que se transfieran fuera del EEE, ya sea directamente o mediante una transferencia posterior, a cualquier país que la Comisión Europea no reconozca como proveedor de un nivel adecuado de protección de los datos personales (tal como se describe en el RGPD). Las Cláusulas contractuales estándar no se aplicarán a los Datos del cliente que no se transfieran, ya sea directamente o mediante una transferencia posterior, fuera del EEE. Independientemente de lo anterior, las Cláusulas contractuales estándar no se aplicarán cuando los datos se transfieran de acuerdo con un estándar de cumplimiento reconocido para la transferencia legal de Datos personales fuera del EEE, como cuando sea necesario para la prestación de los Servicios cubiertos de conformidad con los Términos de servicio. o con su consentimiento. Puede encontrar información adicional relacionada con las transferencias de datos personales entre EEE y EE. UU. aquí.
9.3 Con respecto a los Datos del Cliente transferidos desde el Reino Unido para los cuales la ley del Reino Unido (y no la ley de ninguna jurisdicción del EEE) rige la naturaleza internacional de la transferencia, y dicha ley permite el uso de las SCC del Reino Unido pero no el uso de las SCC, las SCC del Reino Unido forman parte de este DPA y prevalecen sobre el resto de este DPA, tal como se establece en las SCC del Reino Unido, hasta el momento en que el Reino Unido adopte Cláusulas contractuales estándar nuevas, en cuyo caso prevalecerán las Cláusulas contractuales estándar nuevas. A efectos de las SCC del Reino Unido, se considerarán cumplidas de la siguiente manera:
a. Los “exportadores” e “importadores” son las Partes y sus Filiales en la medida en que cualquiera de ellas esté involucrada en dicha transferencia, incluidas las establecidas en el Anexo I.A de las SCC.
b. La cláusula 9 de las SCC del Reino Unido especifica que la ley del Reino Unido regirá las SCC del Reino Unido.
c. El contenido del Anexo 1 de las SCC del Reino Unido se establece en el Anexo I de las presentes SCC.
d. El contenido del Anexo 2 de las SCC del Reino Unido se establece en el Anexo II de las SCC del presente.
Las Cláusulas contractuales estándar del Reino Unido no se aplicarán a los Datos del cliente que no se transfieran, ya sea directamente o mediante una transferencia posterior, fuera del Reino Unido. Independientemente de lo anterior, las Cláusulas contractuales estándar del Reino Unido no se aplicarán cuando los datos se transfieran de acuerdo con un estándar de cumplimiento reconocido para la transferencia legal de Datos del cliente fuera del Reino Unido, como cuando sea necesario para la prestación de los Servicios cubiertos de conformidad con los Términos de Servicio o con su consentimiento.
9.4 Con respecto a los Datos personales transferidos desde el Espacio Económico Europeo, las SCC aquí incorporadas se aplicarán y formarán parte de este DPA. En caso de conflicto entre cualquier disposición de las SCC y cualquier disposición de este DPA, las SCC prevalecerán en la medida de los conflictos.
Este Anexo continuará vigente hasta la terminación de nuestro procesamiento de acuerdo con los Términos de servicio (la “Fecha de terminación”).
Cualquier eliminación de los Datos del cliente se regirá por los términos de los Servicios cubiertos particulares y los Términos de servicio universales.
La responsabilidad de cada parte en virtud de este Anexo estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en los Términos de servicio y las SCC. El Cliente acepta que cualquier sanción reglamentaria en la que incurra Spaceship en relación con los Datos del Cliente que surja como resultado del incumplimiento del Cliente de sus obligaciones en virtud de este Anexo, o en relación con dicho incumplimiento, y cualquier ley de privacidad aplicable contará y reducirá la responsabilidad de Spaceship en virtud de los Términos de servicio como si fuera una responsabilidad para con el Cliente según los Términos de servicio.
Este Anexo anula y reemplaza todas las representaciones, entendimientos, acuerdos o comunicaciones anteriores o contemporáneos entre el Cliente y Spaceship, ya sea por escrito o verbalmente, con respecto al tema de este Anexo, incluido cualquier apéndice de procesamiento de datos celebrado entre Spaceship y el Cliente con respecto a la tratamiento de datos personales y sobre la libre circulación de dichos datos. Salvo que se modifique por este Anexo, los Términos de servicio permanecerán en plena vigencia y efecto. Si existe un conflicto entre cualquier otro acuerdo entre las partes, incluidos los Términos de servicio y este Anexo, prevalecerán los términos de este Anexo. En caso de conflicto entre cualquier disposición de las SCC y cualquier disposición de este DPA, las SCC prevalecerán en la medida de los conflictos.
[Consulte la Sección 9.2 del Anexo para conocer la aplicabilidad de estas SCC]
CLÁUSULAS CONTRACTUALES ESTÁNDAR
Propósito y alcance
a. Las presentes Cláusulas contractuales estándar tienen por objeto garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos) [1] para la transferencia de datos personales a un tercer país.
b. Las Partes:
i. las personas físicas o jurídicas, las autoridades públicas, las agencias u otros organismos (en adelante, las “entidades”) que transfieren los datos personales, según se enumeran en el Anexo I.A. (en adelante cada “exportador de datos”), y
ii. las entidades en un tercer país que recibe los datos personales del exportador de datos, directa o indirectamente a través de otra entidad también Parte de estas Cláusulas, según se enumeran en el Anexo I.A. (en adelante, cada “importador de datos”) han aceptado estas Cláusulas contractuales estándar (en adelante: “Cláusulas”).
c. Estas Cláusulas se aplican con respecto a la transferencia de datos personales como se especifica en el Anexo I.B.
d. El Anexo a estas Cláusulas que contiene los Anexos a los que se hace referencia en ellas forma una parte integral de estas Cláusulas.
Efecto e invariabilidad de las Cláusulas
a. Estas Cláusulas establecen garantías apropiadas, incluidos los derechos exigibles de los sujetos de datos y los recursos legales efectivos, de conformidad con el Artículo 46 (1) y el Artículo 46 (2) (c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de los controladores a procesadores y/o entre procesadores, cláusulas contractuales estándar de conformidad con el artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar los Módulos adecuados o para añadir o actualizar información en el Anexo. Ello no impide que las Partes incluyan las Cláusulas contractuales estándar previstas en estas Cláusulas en un contrato más amplio y/o agreguen otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas ni perjudiquen los principios fundamentales derechos o libertades de los sujetos de datos.
b. Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
Terceros beneficiarios
a. Los sujetos de datos pueden invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:
i. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
ii. Cláusula 8 - Módulo Uno: Cláusula 8.5 (e) y Cláusula 8.9 (b); Módulo Dos: Cláusula 8.1(b), 8.9(a), (c), (d) y (e); Módulo Tres: Cláusula 8.1(a), (c) y (d) y Cláusula 8.9(a), (c), (d), (e), (f) y (g); Módulo Cuatro: Cláusula 8.1 (b) y Cláusula 8.3 (b);
iii. Cláusula 9 - Módulo Dos: Cláusula 9(a), (c), (d) y (e); Módulo Tres: Cláusula 9(a), (c), (d) y (e);
iv. Cláusula 12 - Módulo Uno: Cláusula 12(a) y (d); Módulos Dos y Tres: Cláusula 12(a), (d) y (f);
c. Cláusula 13;
vi. Cláusula 15.1(c), (d) y (e);
vii. Cláusula 16(e);
viii. Cláusula 18 - Módulos Uno, Dos y Tres: Cláusula 18(a) y (b); Módulo Cuatro: Cláusula 18.
b. El párrafo (a) se entiende sin perjuicio de los derechos de los sujetos de datos en virtud del Reglamento (UE) 2016/679.
Interpretación
a. Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
b. Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.
c. Estas Cláusulas no se interpretarán de manera que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.
Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento en que se acuerden estas Cláusulas o se celebren posteriormente, estas Cláusulas prevalecerán.
Descripción de las transferencias
Los detalles de las transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.
Cláusula de adhesión
a. Una entidad que no sea Parte de estas Cláusulas podrá, con el consentimiento de la Parte, adherirse a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, al completar el Anexo y firmar el Anexo I.A.
b. Una vez que haya completado el Anexo y firmado el Anexo I.A., la entidad que se adhiere se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de acuerdo con su designación en el Anexo I.A.
c. La entidad adherente no tendrá derechos u obligaciones derivados de estas Cláusulas desde el período anterior a convertirse en Parte.
Garantías de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos puede, mediante la implementación de medidas técnicas y organizativas apropiadas, cumplir con sus obligaciones en virtud de estas Cláusulas.
8.1 Instrucciones
a. El importador de datos procesará los datos personales solo siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar tales instrucciones a lo largo de la duración del contrato.
b. El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.
8.2 Limitación de propósito
El importador de datos procesará los datos personales solo para los fines específicos de la transferencia, como se establece en el Anexo I.B, a menos que reciba instrucciones adicionales del exportador de datos.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del sujeto de datos una copia de estas Cláusulas, incluido el Anexo completado por las Partes, de forma gratuita. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos puede redactar parte del texto del Anexo de estas Cláusulas antes de compartir una copia, pero deberá proporcionar un resumen en el que el sujeto de datos no podría comprender el contenido o ejercer sus derechos de otro modo. Previa solicitud, las Partes proporcionarán al sujeto de datos los motivos del resumen, en la medida de lo posible sin revelar la información resumida. Esta Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8.4 Precisión
Si el importador de datos se da cuenta de que los datos personales que ha recibido son inexactos o están desactualizados, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.
8.5 Duración del procesamiento y borrado o devolución de datos
El procesamiento por parte del importador de datos solo tendrá lugar durante la duración especificada en el Anexo I.B. Una vez finalizada la prestación de los servicios de procesamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales procesados en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá a el exportador de datos todos los datos personales procesados en su nombre y eliminará las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo que sea necesario de conformidad con esa ley local. Esto es sin perjuicio de la Cláusula 14, en particular el requisito para el importador de datos bajo la Cláusula 14(e) de notificar al exportador de datos durante la duración del contrato si tiene motivos para creer que está o se ha vuelto sujeto a leyes o prácticas que no respetan los requisitos de la Cláusula 14(a).
8.6 Seguridad del procesamiento
a. El importador de datos y, durante la transmisión, también el exportador de datos implementarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación o acceso no autorizados accidental o ilegal a esos datos (en adelante, “violación de datos personales”). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los propósitos del procesamiento y los riesgos involucrados en el procesamiento para los sujetos de datos. Las Partes considerarán, en particular, recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un sujeto de datos específico permanecerá, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Para cumplir con sus obligaciones bajo este párrafo, el importador de datos deberá implementar al menos las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo comprobaciones periódicas para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.
b. El importador de datos otorgará acceso a los datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Se asegurará de que las personas autorizadas para procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.
c. En el caso de una violación de datos personales relacionada con los datos personales procesados por el importador de datos en virtud de estas Cláusulas, el importador de datos deberá tomar las medidas adecuadas para abordar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tenido conocimiento de la infracción. Dicha notificación contendrá los detalles de un punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la infracción (incluidas, cuando sea posible, las categorías y la cantidad aproximada de sujetos de datos y registros de datos personales afectados), sus posibles consecuencias y la medidas adoptadas o propuestas para hacer frente a la infracción, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando no sea posible proporcionar toda la información al mismo tiempo, y en la medida en que no lo sea, la notificación inicial contendrá la información disponible en ese momento y, a medida que esté disponible, se proporcionará posteriormente sin demora indebida información adicional.
d. El importador de datos cooperará con el exportador de datos y lo asistirá para permitirle cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los sujetos de datos afectados, teniendo en cuenta la naturaleza de procesamiento y la información disponible para el importador de datos.
8.7 Datos confidenciales
Cuando la transferencia involucre datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o la vida sexual de una persona u orientación sexual, o datos relativos a condenas e infracciones penales (en adelante, “Datos confidenciales”), el importador de datos aplicará las restricciones específicas y/o garantías adicionales descritas en el Anexo I.B.
8.8 Transferencias posteriores
El importador de datos solo divulgará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo se pueden divulgar a un tercero ubicado fuera de la Unión Europea [2] (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo "transferencia posterior") si el tercero está de acuerdo con regirse por estas Cláusulas, bajo el Módulo apropiado, o si:
i. la transferencia posterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia posterior;
ii. el tercero otorga las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;
iii. la transferencia posterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o (iv) la transferencia posterior es necesaria para proteger los intereses vitales del sujeto de datos o de otra persona física.
iv. Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías en virtud de estas Cláusulas, en particular, la limitación del propósito.
8.9 Documentación y cumplimiento
a. El importador de datos deberá atender de manera rápida y adecuada las consultas del exportador de datos que se relacionen con el procesamiento en virtud de estas Cláusulas.
b. Las Partes podrán demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de procesamiento llevadas a cabo en nombre del exportador de datos.
c. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a solicitud del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de procesamiento cubiertas por estas Cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos puede tener en cuenta...
d. El exportador de datos puede optar por realizar la auditoría por sí mismo o encargar a un auditor independiente. Las auditorías pueden incluir inspecciones en los locales o instalaciones físicas del importador de datos y, cuando corresponda, se llevarán a cabo con un aviso razonable.
e. Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información a que se refieren los párrafos (b) y (c), incluidos los resultados de cualquier auditoría.
Uso de subprocesadores
a. AUTORIZACIÓN GENERAL POR ESCRITO: El importador de datos tiene la autorización general del exportador de datos para la contratación de subprocesadores de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en esa lista mediante la adición o sustitución de subprocesadores con al menos 10 días de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes a la participación de los subprocesadores. El importador de datos proporcionará al exportador de datos la información necesaria para que el exportador de datos pueda ejercer su derecho de oposición.
b. Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas Cláusulas, incluso en términos de derechos de terceros beneficiarios para los sujetos de datos. [3] Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones bajo la Cláusula 8.8. El importador de datos se asegurará de que el subprocesador cumpla con las obligaciones a las que está sujeto el importador de datos de conformidad con estas Cláusulas.
c. El importador de datos proporcionará, a solicitud del exportador de datos, una copia de dicho acuerdo de subprocesador y cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos puede redactar el texto del acuerdo antes de compartir una copia.
d. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador de sus obligaciones en virtud de ese contrato.
e. El importador de datos acordará una cláusula de tercero beneficiario con el subprocesador por la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subprocesador y pedirle que borre o devuelva los datos personales.
Derechos de los sujetos de datos
a. El importador de datos notificará de inmediato al exportador de datos cualquier solicitud que haya recibido de un sujeto de datos. No responderá a esa solicitud por sí mismo a menos que haya sido autorizado para hacerlo por el exportador de datos.
b. El importador de datos ayudará al exportador de datos a cumplir con sus obligaciones de responder a las solicitudes de los sujetos de datos para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del procesamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.
c. En el cumplimiento de sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos deberá cumplir con las instrucciones del exportador de datos.
Compensación
a. El importador de datos informará a los sujetos de datos en un formato transparente y de fácil acceso, a través de un aviso individual o en su sitio web, de un punto de contacto autorizado para atender quejas. Atenderá con prontitud las quejas que reciba de un sujeto de datos.
b. En caso de una disputa entre un sujeto de datos y una de las Partes con respecto al cumplimiento de estas Cláusulas, esa Parte hará todo lo posible para resolver el problema de manera amistosa en el momento oportuno. Las Partes se mantendrán informadas sobre tales controversias y, en su caso, cooperarán para resolverlas.
c. Cuando el sujeto de datos invoque el derecho de un tercero beneficiario de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del sujeto de datos de:
i. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o la autoridad de control competente de conformidad con la Cláusula 13;
ii. remitir la disputa a los tribunales competentes en el sentido de la Cláusula 18.
d. Las Partes aceptan que el sujeto de datos pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80(1) del Reglamento (UE) 2016/679.
e. El importador de datos deberá acatar una decisión que sea vinculante en virtud de la legislación aplicable de la UE o del Estado miembro.
f. El importador de datos acepta que la elección realizada por el titular de los datos no perjudicará sus derechos fundamentales y procesales para buscar recursos de conformidad con las leyes aplicables.
Responsabilidad
a. Cada Parte será responsable frente a las otras Partes por cualquier daño que cause a las otras Partes por cualquier incumplimiento de estas Cláusulas.
b. El importador de datos será responsable ante el sujeto de datos, y el sujeto de datos tendrá derecho a recibir una compensación, por cualquier daño material o inmaterial que el importador de datos o su subprocesador cause al sujeto de datos al violar los derechos del tercero beneficiario de conformidad con estas Cláusulas.
c. No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el sujeto de datos, y el sujeto de datos tendrá derecho a recibir compensación, por cualquier daño material o no material que el exportador de datos o al importador de datos (o su subprocesador) cause al titular de los datos al violar los derechos del tercero beneficiario de conformidad con estas Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un procesador que actúe en nombre de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.
d. Las Partes acuerdan que si el exportador de datos es responsable conforme al párrafo (c) por los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la compensación correspondiente a la responsabilidad del importador de datos por los daños.
e. Cuando más de una Parte sea responsable de cualquier daño causado al sujeto de datos como consecuencia del incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el sujeto de datos tendrá derecho a emprender acciones judiciales contra cualquiera de estas Partes.
f. Las Partes acuerdan que si una Parte es responsable en virtud del párrafo (e), tendrá derecho a reclamar a la otra Parte/s la parte de la compensación correspondiente a su responsabilidad por el daño.
g. El importador de datos no puede hacer referencia a la conducta de un subprocesador para evitar su propia responsabilidad.
Supervisión
a. Actuará como autoridad de control competente la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo relativo a la transferencia de datos, tal y como se indica en el anexo I.C.
b. El importador de datos se compromete a someterse a la jurisdicción y cooperar con la autoridad de control competente en cualquier procedimiento que tenga como objetivo asegurar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos se compromete a responder consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.
Leyes y prácticas locales que afectan el cumplimiento de las Cláusulas
a. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas en el tercer país de destino aplicables al procesamiento de datos personales por parte del importador de datos, incluidos los requisitos para divulgar datos personales o las medidas que autorizan el acceso por parte de las autoridades públicas, impiden que el importador de datos cumpla con sus obligaciones en virtud de estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respeten la esencia de los derechos y libertades fundamentales y no excedan de lo necesario y proporcionado en una sociedad democrática para resguardar uno de los objetivos enumerados en el artículo 23(1) del Reglamento (UE) 2016/679 no están en contradicción con estas Cláusulas.
b. Las Partes declaran que, al proporcionar la garantía en el párrafo (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
i. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, la cantidad de actores involucrados y los canales de transmisión utilizados; transferencias posteriores previstas, el tipo de destinatario, el propósito del procesamiento, las categorías y el formato de los datos personales transferidos, el sector económico en el que se produce la transferencia, la ubicación de almacenamiento de los datos transferidos;
ii. las leyes y prácticas del tercer país de destino, incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades, pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables [4];
iii. cualquier garantía contractual, técnica u organizativa relevante establecida para complementar las garantías en virtud de estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y el procesamiento de los datos personales en el país de destino.
c. El importador de datos garantiza que, al realizar la evaluación en virtud del párrafo (b), ha hecho todo lo posible para proporcionar al exportador de datos la información pertinente y acepta que continuará cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.
d. Las Partes acuerdan documentar la evaluación en virtud del párrafo (b) y ponerla a disposición de la autoridad de control competente cuando así lo solicite.
e. El importador de datos acuerda notificar al exportador de datos de inmediato si, después de haber aceptado estas Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha quedado sujeto a leyes o prácticas que no se ajustan a los requisitos del párrafo (a), incluso después de un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indica una aplicación de dichas leyes en la práctica que no está en línea con los requisitos del párrafo (a).
f. Después de una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir con sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará de inmediato las medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar seguridad y confidencialidad) que debe adoptar el exportador de datos y/o el importador de datos para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden asegurar las garantías adecuadas para dicha transferencia, o si así lo instruye la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en lo que se refiere al tratamiento de datos personales en virtud de las presentes Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos puede ejercer este derecho de rescisión solo con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicará la Cláusula 16 (d) y (e).
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
15.1 Notificación
a. El importador de datos se compromete a notificar al exportador de datos y, cuando sea posible, al sujeto de datos de inmediato (si es necesario con la ayuda del exportador de datos) si:
i. recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, según las leyes del país de destino para la divulgación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, la base legal de la solicitud y la respuesta brindada; o
ii. se entera de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con estas Cláusulas según las leyes del país de destino; dicha notificación deberá incluir toda la información disponible para el importador.
b. Si el importador de datos tiene prohibido notificar al exportador de datos y/o al sujeto de los datos bajo las leyes del país de destino, el importador de datos acepta hacer sus mejores esfuerzos para obtener una exención de la prohibición, con miras a comunicar tanta información como sea posible, tan pronto como sea posible. El importador de datos se compromete a documentar los mejores esfuerzos que realice para poder demostrarlos cuando el exportador de datos se lo pida.
c. En la medida que lo permitan las leyes del país de destino, el importador de datos acepta proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, tanta información relevante como sea posible sobre las solicitudes recibidas (en particular, cantidad de solicitudes, tipo de datos solicitados, autoridad o autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).
d. El importador de datos se compromete a conservar la información de conformidad con los párrafos (a) a (c) durante la duración del contrato y ponerla a disposición de la autoridad de control competente cuando se le solicite.
e. Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos de inmediato cuando no pueda cumplir con estas Cláusulas.
15.2 Revisión de la legalidad y minimización de datos
a. El importador de datos acepta revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, después de una evaluación cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal según las leyes del país de destino, las obligaciones aplicables según el derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, ejercer las posibilidades de apelación. Al impugnar una solicitud, el importador de datos deberá solicitar medidas cautelares con miras a suspender los efectos de la solicitud hasta que la autoridad judicial competente se pronuncie sobre sus méritos. No divulgará los datos personales solicitados hasta que así lo requieran las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).
b. El importador de datos acepta documentar su evaluación legal y cualquier objeción a la solicitud de divulgación y, en la medida permitida por las leyes del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente que lo solicite.
c. El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, con base en una interpretación razonable de la solicitud.
Incumplimiento de las Cláusulas y terminación
a. El importador de datos informará de inmediato al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.
b. En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplir con estas Cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice nuevamente el cumplimiento o se rescinda el contrato. Esto es sin perjuicio de la Cláusula 14(f).
c. El exportador de datos tendrá derecho a rescindir el contrato, en lo que se refiere al tratamiento de datos personales en virtud de las presentes Cláusulas, cuando:
i. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Cláusulas no se restablezca dentro de un tiempo razonable y, en cualquier caso, dentro de un mes de suspensión;
ii. el importador de datos esté en incumplimiento sustancial o persistente de estas Cláusulas; o
iii. el importador de datos no cumpla con una decisión vinculante de un tribunal competente o autoridad supervisora con respecto a sus obligaciones en virtud de estas Cláusulas.
En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato involucre a más de dos Partes, el exportador de datos puede ejercer este derecho de rescisión solo con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario.
d. Los datos personales que hayan sido transferidos antes de la rescisión del contrato de conformidad con el párrafo (c), a elección del exportador de datos, se devolverán inmediatamente al exportador de datos o se eliminarán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo que sea necesario de conformidad con esa ley local.
e. Cualquiera de las Partes podrá revocar su acuerdo de obligarse por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco legal del país al que se transfieren los datos personales. Todo ello sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
Ley aplicable
Estas Cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de Bélgica.
Elección de foro y jurisdicción
a. Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de un Estado miembro de la UE.
b. Las Partes acuerdan que serán los tribunales de Bélgica.
c. Un sujeto de datos también puede emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
d. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
Exportadores de datos: el Exportador de datos es la entidad identificada como "Cliente" en el Anexo que ha ingresado a los Términos de servicio con Spaceship y sus datos de contacto son los que proporcionó al suscribirse a los Términos de servicio.
Firma y fecha: a partir de la fecha de aceptación por parte del Exportador de datos de los Términos de servicio del Importador de datos, se considera que el Exportador de datos ha firmado el Anexo de protección de datos, incluidas estas Cláusulas contractuales estándar en su totalidad.
Rol: controlador
Importadores de datos: Spaceship, Inc.
Detalles de contacto: oficina del Responsable de la protección de datos - dpo@spaceship.com
Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: proporcionar los Servicios al Exportador de Datos.
Firma y fecha: a partir de la fecha de aceptación por parte del Exportador de datos de los Términos de servicio del Importador de datos, se considera que el Importador de datos ha firmado el Anexo de protección de datos, incluidas estas Cláusulas contractuales estándar en su totalidad.
Rol: procesador
El Cliente puede cargar Datos personales en el curso de su uso de los Servicios cubiertos, en la medida en que el Cliente determine y controle a su exclusivo criterio, lo que puede incluir, entre otros, Datos personales relacionados con las siguientes categorías de Sujetos de datos:
- Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que son personas físicas)
- Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y proveedores del Cliente
- Empleados, agentes, asesores, trabajadores autónomos del Cliente (que son personas físicas)
- Usuarios del Cliente autorizados por el Cliente para usar los Servicios cubiertos
El Cliente puede cargar Datos personales en el curso de su uso de los Servicios cubiertos, cuyo tipo y medida el Cliente determina y controla a exclusivo criterio, y que pueden incluir, entre otros, las siguientes categorías de Datos personales de los Sujetos de datos:
- Nombre
- Dirección
- Número de teléfono
- Fecha de nacimiento
- Dirección de correo electrónico
- Otros datos recopilados que pudieran identificarle directa o indirectamente.
Spaceship no recopila intencionalmente categorías especiales de datos, pero el exportador de datos, a su propia discreción, puede recopilar dichos datos. Estas categorías pueden incluir origen racial o étnico, opiniones políticas, creencias filosóficas, afiliación sindical, datos de salud o sexo. El exportador de datos es el único responsable de cumplir con todas las obligaciones relacionadas con la recopilación, el uso y la transferencia de dichos datos.
Los datos se transfieren de forma continua, mientras dure el Acuerdo entre las partes.
Spaceship procesará los Datos personales según sea necesario para prestar los Servicios cubiertos de conformidad con los Términos de los servicios, los acuerdos específicos del producto y según las instrucciones adicionales del Cliente a lo largo de su uso de los Servicios cubiertos.
Los Términos de servicio de Spaceship, los acuerdos específicos del producto y las instrucciones adicionales del Cliente a lo largo de su uso de los Servicios cubiertos.
Los datos personales se conservarán durante el tiempo necesario para proporcionar los Servicios cubiertos en virtud de los Términos de servicio, o según lo exija la ley aplicable.
Los subprocesadores de Spaceship procesarán los datos personales para ayudar a Spaceship a brindar los Servicios cubiertos de conformidad con el Acuerdo, durante el tiempo que sea necesario para que Spaceship brinde los Servicios cubiertos.
Con respecto a las SCC, las partes acuerdan que la autoridad de control competente es la Autoridad de Protección de Datos d
e Bélgica. Con respecto a los SCC del Reino Unido, la autoridad supervisora competente es la Oficina del Comisario de Información del Reino Unido.
Estándares de seguridad
Estamos, como siempre, comprometidos con la protección de la información de nuestros clientes. Para brindar el mejor nivel de seguridad, consideramos una serie de factores, como las mejores prácticas, el costo de ejecución, los detalles y las circunstancias del procesamiento, la gravedad y el riesgo de que ocurra una filtración de datos y su impacto potencial en un cliente. También probamos, analizamos y evaluamos periódicamente la eficacia de nuestros procedimientos. A continuación, se encuentran los estándares técnicos y organizacionales que hemos implementado en nuestras operaciones centrales en los EE. UU. para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de nuestros sistemas y servicios de procesamiento. Tenga la seguridad de que continuamente estamos ampliando las formas en que sus datos están seguros con nosotros.
Nuestro Programa de privacidad de datos se establece para mantener un gobierno de datos global a lo largo de su ciclo de vida. Este programa es supervisado por nuestro Responsable de la protección de datos.
A continuación, se presentan las prácticas que utilizamos para proteger la confidencialidad de los datos personales de nuestros clientes.
Seguridad física
Contamos con controles de acceso físico, así como sistemas de vigilancia (incluidas alarmas y monitoreo de circuito cerrado de televisión donde corresponda). También implementamos políticas de escritorio limpio (bloqueo de computadoras desatendidas, gabinetes cerrados, etc.), gestión de acceso de visitantes y trituración de documentos/discos de destrucción.
Control de acceso y prevención de acceso no autorizado
La gerencia revisa y aprueba los nuevos accesos a los sistemas antes de otorgarlos. Realizamos revisiones periódicas de las cuentas de usuario y los permisos asignados para los sistemas clave. También limitamos el personal que puede otorgar, alterar o cancelar el acceso autorizado a los datos y recursos. Usamos 2FA (autenticación de 2 factores) para servicios de importancia fundamental. Todos los servicios están conectados a través de la solución Microsoft Active Directory (ADFS) con prácticas de seguridad habilitadas y asignación de privilegios RBAC para tener un inicio de sesión único seguro en nuestros servicios internos.
Cifrado y seudonimización
Brindamos cifrado de comunicaciones externas e internas a través de fuertes protocolos criptográficos y acceso remoto a las redes de la empresa a través de VPN con cifrado de seguridad y 2FA. También hemos implementado y utilizamos seudonimización, cuando corresponde.
Minimización de datos
La minimización de datos se logra mediante la minimización de PII/SPI, la segregación de datos almacenados por función (prueba, preparación, en vivo), la segregación lógica de datos por derechos de acceso basados en roles y períodos de retención de datos definidos basados en sistemas/productos para datos personales.
Pruebas de seguridad
Realizamos escaneos regulares de redes y vulnerabilidades en todo nuestro sistema y tenemos un programa de recompensas externo para recibir hallazgos de vulnerabilidades de investigadores de seguridad independientes e implementar una solución más adelante.
Nos centramos en varias formas de garantizar la integridad de los datos de los clientes.
Gestión de cambios y versiones
Spaceship cuenta con un proceso de gestión de cambios y versiones, así como el aprovisionamiento de acceso a roles y funciones en entornos de producción. Requerimos conexiones cifradas a nuestras interfaces de servicios entre el Cliente y Spaceship en todo momento. También utilizamos mecanismos de cifrado estándar de la industria para los datos en tránsito.
Registro y monitoreo
Spaceship recopila registros. Los registros pueden incluir ID de acceso, tiempo, datos de diagnóstico y otra actividad relevante. Los registros se utilizan (i) para proporcionar, asegurar, administrar, medir y mejorar los servicios de Spaceship, (ii) según las indicaciones o instrucciones del Cliente y sus Usuarios, y/o (iii) para cumplir con las políticas de Spaceship, la ley aplicable, la regulación, o solicitud gubernamental. Esto puede incluir la supervisión del rendimiento, la estabilidad, el uso y la seguridad de los servicios de Spaceship.
Implementamos medidas de seguridad y continuidad apropiadas para mantener la disponibilidad de nuestro servicio, los datos personales que residen dentro de esos servicios y la capacidad de restaurar oportunamente dichos datos, incluidos los siguientes:
- Amplio monitoreo e informes de rendimiento/disponibilidad para sistemas fundamentales
- Programa de respuesta a incidentes
- Datos importantes, ya sea replicados o respaldados (copias de seguridad en la nube/discos duros/replicación de bases de datos, etc.)
- Mantenimiento planificado de software, infraestructura y seguridad (actualizaciones de software, parches de seguridad, etc.)
- Sistemas redundantes y resilientes (clústeres de servidores, bases de datos replicadas con duplicación geográficamente remota, configuraciones de alta disponibilidad, etc.) ubicados fuera del sitio y/o ubicaciones separadas a nivel geográfico. Uso de fuentes de alimentación ininterrumpida, hardware redundante en caso de falla y sistemas de red
- Sistemas de alarma y seguridad implementados
- Medidas de protección física implementadas para sitios importantes (protección contra sobretensiones, pisos elevados, sistemas de enfriamiento, detectores de fuego y/o humo, sistemas de extinción de incendios, etc.)
- Protección DDOS para mantener la disponibilidad
- Medidas de protección contra fallas implementadas, incluidos mecanismos diseñados para abordar la pérdida de disponibilidad de datos, que incluye el almacenamiento de copias de datos en un lugar diferente de donde se encuentra el procesamiento del equipo informático principal.
Hemos establecido políticas y acuerdos de privacidad internos para garantizar que los datos personales se procesen de acuerdo con las preferencias e instrucciones de los clientes.
[1] Cuando el exportador de datos sea un procesador sujeto al Reglamento (UE) 2016/679 que actúe en nombre de una institución u organismo de la Unión como controlador, la dependencia de estas Cláusulas cuando contrata a otro procesador (subprocesamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del artículo 29(4) del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de instituciones, organismos y agencias de la Unión y sobre la libre circulación de dichos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/EC (OJ L 295 de 21.11.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto legal entre el controlador y el procesador de conformidad con el Artículo 29(3) del Reglamento (UE) 2018/1725 estén alineados. Este será el caso, en particular, cuando el responsable y el encargado se basen en las Cláusulas contractuales estándar incluidas en la Decisión 2021/915.
[2] El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de protección de datos de la Unión, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado al Anexo XI del mismo. Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero ubicado en el EEE no califica como una transferencia posterior a los efectos de estas Cláusulas.
[3] Este requisito se puede cumplir si el subprocesador se adhiere a estas Cláusulas bajo el Módulo apropiado, de conformidad con la Cláusula 7.
[4] Con respecto al impacto de tales leyes y prácticas en el cumplimiento de estas Cláusulas, se pueden considerar diferentes elementos como parte de una evaluación general. Dichos elementos pueden incluir experiencia práctica relevante y documentada con casos anteriores de solicitudes de divulgación de las autoridades públicas, o la ausencia de tales solicitudes, que cubran un plazo lo suficientemente representativo. Esto se refiere en particular a los registros internos u otra documentación, elaborados de forma continua de acuerdo con la debida diligencia y certificados a nivel de la alta gerencia, siempre que esta información pueda compartirse legalmente con terceros. Cuando se confíe en esta experiencia práctica para concluir que no se impedirá que el importador de datos cumpla con estas Cláusulas, debe estar respaldada por otros elementos objetivos relevantes, y corresponde a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de su confiabilidad y representatividad, para apoyar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica está corroborada y no se contradice por información confiable disponible públicamente o accesible de otro modo sobre la existencia o ausencia de solicitudes dentro del mismo sector y/o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de los órganos de control independientes.