COMISIÓN UE ESTANDARD CONTRACTUAL RECLAMOS (EU SCCs) Y ADDENDUM

Estas Cláusulas Estándar y Añadidas del Reino Unido (juntas “CCS”) se aplican a las transferencias de datos personales sujetas a Reglamento (UE) 2016/679 (“PIPR”), el GDPRde Reino Unido o la ley federal suiza sobre protección de datos, del Área Económica Europea, el Reino Unido, o Suiza a un país que no está sujeto a una decisión de la autoridad competente.

‍

Los SCC se aplican cuando tales transferencias se producen en relación con el uso de nuestro software, servicios, , u otras interacciones con nosotros y donde no hay ningún otro mecanismo de transferencia válido.

‍

Los CECS se aplican automáticamente en la medida necesaria para proporcionar las garantías apropiadas para la transferencia pertinente y se incorporan por referencia en los términos legales que rigen la relación o interacción aplicable.

‍

Determinación de roles

‍

Para los propósitos de los CEC:

‍

Cada parte actúa como controlador donde determina las finalidades y medios del tratamiento de los datos personales.
Cada parte actúa como procesador en el que procesa datos personales con instrucciones documentadas de otra parte.

‍

El módulo aplicable de los CECS está determinado por los respectivos roles de las partes con respecto a la actividad de procesamiento específica que da lugar a la transferencia pertinente.

‍

Donde procesamos datos personales en nombre de un cliente de negocio, el cliente de negocio actúa como el exportador y controlador de datos, y actuamos como el importador y procesador de datos, y la transferencia se rige por el Módulo 2.

Cuando ambas partes determinan de forma independiente los propósitos y los medios de procesamiento, cada una actúa como un controlador y la transferencia se rige por el Módulo 1.

‍

Módulos Aplicables

‍

Dependiendo de la naturaleza de la relación y de las actividades de procesamiento pertinentes, las transferencias de datos personales pueden ser gobernadas por:

Módulo 1: Controlador a Controladoro
Módulo 2: Controlador para Procesador,

de las Normas Contratantes de la Comisión Europea, adoptadas de conformidad con la Decisión de aplicación de la Comisión (UE) 2021/914.

‍

El módulo aplicable sólo se aplica en la medida necesaria para legitimar la transferencia pertinente, según se determinen los papeles de las partes y las circunstancias del proceso.

‍

MOMENTO 1: CONTROLLER-TO-CONTROLLER

‍

SECCIÓN I

Cláusula 1

Propósito y alcance

‍

(a)La finalidad de estas cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en relación con el procesamiento de datos personales y la libre circulación de dichos datos (Regulación General de Protección de Datos) (1) para la transferencia de datos personales a un tercer país.

‍

(b)Las partes:

(i)la persona física o jurídica(s), autoridad pública, agencia/ies u otros órganos/entidades (en adelante 'entidad/ies') que transfieren los datos personales como aparece en el anexo I A (en adelante cada "exportador de datos") y

(i)las entidad/ies de un tercer país que reciben los datos personales del exportador de datos, directa o indirectamente a través de otra entidad también Parte en estos Cláusulos, como se indica en el Anexo I A (de aquí en adelante cada "importador de datos")

han aceptado estas cláusulas contractuales normalizadas (en adelante «Clauses»).

‍

(c)Estas cláusulas se aplican con respecto a la transferencia de datos personales, tal y como se especifica en el Anexo I B.

‍

(d)El Apéndice de estos Claus que contiene los Annexos a los que se hace referencia forma parte integral de estos Clauses.

‍

Cláusula 2

Efecto e invariabilidad de los Claus

‍

(a)Estas cláusulas establecen las salvaguardias adecuadas, incluidos los derechos de los sujetos de datos exigibles y los medios legales eficaces, de conformidad con el apartado 1 del artículo 46 y el apartado 2 del artículo 46 del Reglamento (UE) 2016/679 y, con respecto a la transferencia de datos de controladores a procesadores y/o procesadores a procesadores, cláusulas contractuales estándar de conformidad con el apartado 7 del artículo 28 del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el Módulo apropiado o para añadir o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales estándar establecidas en estas cláusulas en un contrato más amplio y/o que añadan otras cláusulas o salvaguardias adicionales, siempre que no contradigan, directa o indirectamente, estos Claos o prejuzguen los derechos fundamentales o las libertades de los sujetos de datos.

‍

(b)Estos Clauses no tienen prejuicio de las obligaciones a las que el exportador de datos está sujeto en virtud del Reglamento (UE) 2016/679.

‍

Cláusula 3

Destinatarios externos

‍

(a)Los sujetos de datos pueden invocar y hacer cumplir estas cláusulas como terceros beneficiarios, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:

‍

(i)Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

‍

(ii)Cláusula 8.5 (e) y Cláusula 8.9(b);

‍

(ii)N/A

‍

(iv)Cláusula 12(a) y (d);

‍

(v)Cláusula 13;

‍

(vi)Cláusula 15.1(c), (d) y (e);

‍

(vii)Cláusula 16(e);

‍

(vii)Cláusula 18(a) y b).

‍

(b)El apartado (a) no perjudica los derechos de los sujetos de datos conforme al Reglamento (UE) 2016/679.

‍

Cláusula 4

Interpretación

‍

(a)Cuando estas cláusulas usen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicha regulación.

‍

(b)Estas cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.

‍

(c)Estas cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

‍

Cláusula 5

Hierarchy

‍

En caso de contradicción entre estas cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existiendo en el momento en que se acuerden estos Claus o se formalicen posteriormente, prevalecerán estos Claus.

‍

Cláusula 6

Descripción de la transferencia(s)

‍

Los detalles de la transferencia(s), y en particular las categorías de datos personales que se transfieren y las finalidades para las que se transfieren, se especifican en el Anexo I.B.

‍

Cláusula 7

Cláusula opcional de acoplamiento

‍

NO USADO

‍

SECCIÓN II – OBLIGACIONES DE LAS PARTES

‍

Cláusula 8

Protección de datos

‍

El exportador de datos garantiza que ha utilizado esfuerzos razonables para determinar que el importador de datos es capaz, a través de la aplicación de las medidas técnicas y organizativas apropiadas, para cumplir con sus obligaciones derivadas de estas Cláusicas.

‍

8.1 Limitación de propósito

‍

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, según lo establecido en el Anexo I.B. Sólo puede procesar los datos personales para otro fin:

‍

(i)donde ha obtenido el consentimiento previo del interesado de los datos;

‍

(ii)cuando sea necesario para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

‍

(iii)cuando sea necesario para proteger los intereses vitales del sujeto de datos o de otra persona física.

‍

8.2 Transparencia

‍

(a) Con el fin de permitir que los sujetos de datos ejerzan eficazmente sus derechos de conformidad con la cláusula 10, el importador de datos deberá informarles, bien directamente o a través del exportador de datos:

‍

(i)de su identidad y sus datos de contacto;

‍

(ii)de las categorías de datos personales procesados;

‍

(iii)del derecho a obtener una copia de estos claus;

‍

(iv)donde pretende transferir los datos personales a terceros/terceros, del destinatario o categorías de destinatarios (según corresponda con vistas a proporcionar información significativa), el propósito de tal transferencia en adelante y el terreno por lo tanto de conformidad con la Cláusula 8.7.

‍

(b)El apartado (a) no se aplicará cuando el interesado ya disponga de la información, incluso cuando dicha información ya haya sido facilitada por el exportador de datos, o proporcionar la información resulta imposible o implicaría un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos hará, en la medida de lo posible, pública la información.

‍

(c)Si lo solicita, las Partes harán una copia de estos Claus, incluido el Apéndice tal y como los completan, disponible para el sujeto de datos de forma gratuita. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluyendo datos personales, las Partes pueden redactar parte del texto del Apéndice antes de compartir una copia, pero deberá proporcionar un resumen significativo donde el interesado de los datos no podría entender su contenido o ejercer sus derechos. A petición, las Partes facilitarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información modificada.

‍

(d)Los apartados (a) a (c) no tienen prejuicio sobre las obligaciones del exportador de datos de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679.

‍

8.3 Precisión y minimización de datos

‍

(a)Cada Parte velará por que los datos personales sean precisos y, en su caso, estén actualizados. El importador de datos adoptará todas las medidas razonables para garantizar que los datos personales sean inexactos, teniendo en cuenta el propósito (s) del procesamiento, se borra o rectifica sin demora.

‍

(b)Si una de las Partes toma conciencia de que los datos personales que ha transferido o recibido son inexactos, o ha quedado obsoleto, informará a la otra Parte sin demora indebida.

‍

(c)El importador de datos debe asegurarse de que los datos personales se respetan, pertinente y limitado a lo necesario en relación con el propósito (s) de procesamiento.

‍

8.4 Limitación de almacenamiento

‍

El importador de datos conservará los datos personales durante un período no superior al necesario para la finalidad para la que se trata. Establecerá las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, incluyendo borrado o anonimato (2) de los datos y todas las copias de seguridad al final del período de retención.

‍

8.5 Seguridad de procesamiento

‍

a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales incluyendo la protección contra un incumplimiento de la seguridad que conduzca a una destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso (en adelante "violación de datos personales"). Al evaluar el nivel de seguridad adecuado, tendrán debidamente en cuenta el estado del arte, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad del procesamiento y los riesgos implicados en el tratamiento para el interesado de datos. Las Partes considerarán en particular recurrir al cifrado o a la seudonimización, incluyendo durante la transmisión, donde el propósito del procesamiento puede ser cumplido de esa manera.

‍

(b)Las Partes han acordado las medidas técnicas y organizativas establecidas en el Anexo II. El importador de datos llevará a cabo controles regulares para garantizar que estas medidas sigan proporcionando un nivel adecuado de seguridad.

‍

c)El importador de los datos velará por que las personas autorizadas a procesar los datos personales se hayan comprometido con la confidencialidad o estén bajo una obligación estatuaria de confidencialidad.

‍

(d)En caso de una violación de datos personales en relación con los datos personales procesados por el importador de datos bajo estas Cláusicas, El importador de datos adoptará las medidas oportunas para hacer frente a la vulneración de datos personales, incluidas las medidas para mitigar sus posibles efectos adversos.

‍

(e)En caso de una violación de los datos personales que puede resultar en un riesgo para los derechos y libertades de las personas físicas, el importador de datos notificará sin demora tanto al exportador de datos como a la autoridad supervisora competente de conformidad con la Cláusula 13. Dicha notificación contendrá i) una descripción de la naturaleza de la infracción (incluyendo, cuando sea posible, categorías y número aproximado de sujetos de datos y registros de datos personales afectados), ii) sus probables consecuencias, iii) las medidas adoptadas o propuestas para abordar el incumplimiento, iv) los datos de un punto de contacto desde el cual se puede obtener más información. En la medida en que no es posible que el importador de datos proporcione toda la información al mismo tiempo, puede hacerlo en fases sin más demora indebida.

‍

(f)En caso de una violación de los datos personales que puede resultar en un alto riesgo para los derechos y libertades de las personas físicas, el importador de datos también notificará sin demora indebidamente a los interesados sobre la violación de los datos personales y su naturaleza en cooperación con el exportador de datos, junto con la información mencionada en el párrafo (e), puntos ii) a iv), a menos que el importador de datos haya implementado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas, o la notificación implicaría esfuerzos desproporcionados. En este último caso, El importador de datos emitirá en su lugar una comunicación pública o tomará una medida similar para informar al público de la violación de los datos personales.

‍

(g)El importador de datos deberá documentar todos los hechos relevantes relacionados con la violación de datos personales, incluyendo sus efectos y cualquier acción remedial tomada, y guardar un registro de los mismos.

‍

8.6 Datos sensacionales

‍

Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o las convicciones terapéuticas, o pertenencia a sindicatos, datos genéticos o datos biométricos con el propósito de identificar de forma única a una persona física. datos relativos a la salud o la vida sexual de una persona u orientación sexual, o datos relacionados con las condenas o delitos penales (en adelante "datos sensibles"), el importador de datos aplicará restricciones específicas y/o salvaguardias adicionales adaptadas a la naturaleza específica de los datos y los riesgos implicados. Esto puede incluir la restricción del personal autorizado para acceder a los datos personales, medidas de seguridad adicionales (como seudónimo) y/o restricciones adicionales con respecto a la divulgación ulterior.

‍

8.7 Transferencias posteriores

‍

El importador de datos no revelará los datos personales a un tercero situado fuera de la Unión Europea (3) (en el mismo país que el importador de datos o en otro tercer país, a menos que la tercera parte esté o acuerde estar vinculada por estas Clauses, bajo el Módulo apropiado. De lo contrario, una transferencia posterior por parte del importador de datos sólo puede tener lugar si:

‍

(i)corresponde a un país que se beneficia de una decisión sobre la lucha contra la delincuencia de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia en adelante;

‍

(ii)el tercero garantiza de otro modo las garantías apropiadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;

‍

(iii)la tercera parte entra en un instrumento vinculante con el importador de datos que garantiza el mismo nivel de protección de datos que en el caso de estas Clauses, y el importador de datos proporciona una copia de estas garantías al exportador de datos;

‍

(iv)es necesario para el establecimiento, ejercicio o defensa de las reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos;

‍

(v)es necesario para proteger los intereses vitales del sujeto de datos o de otra persona física; o

‍

(vi) donde no se aplica ninguna de las otras condiciones, el importador de datos ha obtenido el consentimiento explícito del sujeto de datos para una transferencia posterior en una situación específica, después de haberle informado de su propósito(s), la identidad del destinatario y los posibles riesgos de dicha transferencia a él debido a la falta de garantías adecuadas de protección de datos. En este caso, el importador de datos informará al exportador de datos y, a petición de éstos, le transmitirá una copia de la información facilitada al interesado de los datos.

‍

Cualquier transferencia en adelante está sujeta al cumplimiento por parte del importador de datos con todas las demás garantías contempladas en estas Cláusicas, en particular la limitación de fines.

‍

8.8 Procesando bajo la autoridad del importador de datos

‍

El importador de datos se asegurará de que cualquier persona que actúe bajo su autoridad, incluido un tratador, trate los datos únicamente bajo sus instrucciones.

‍

8.9 Documentación y cumplimiento

‍

a) Cada Parte podrá demostrar el cumplimiento de sus obligaciones derivadas de estas Clausuras. En particular, el importador de datos mantendrá la documentación apropiada de las actividades de procesamiento llevadas a cabo bajo su responsabilidad.

‍

(b)El importador de datos pondrá dicha documentación a disposición de la autoridad supervisora competente previa petición.

‍

Cláusula 9

Uso de subprocesadores

‍

No aplicable

‍

Cláusula 10

Derechos del asunto de datos

‍

(a)El importador de datos, cuando sea pertinente con la ayuda del exportador de datos, se encargará de cualquier consulta y solicitud que reciba de un interesado de datos relacionados con el tratamiento de sus datos personales y el ejercicio de sus derechos en virtud de estos Clauses sin demora indebida y, a más tardar, en el plazo de un mes a partir de la recepción de la consulta o solicitud. (4) The data importer shall take appropriate measures to facilitate such enquiries, requests and the exercise of data subject rights. Cualquier información facilitada al interesado será de una forma inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo.

‍

(b)En particular, a petición del interesado el importador de datos será gratuito:

‍

(i)proporcionar confirmación a los datos sujetos sobre si los datos personales que le conciernen están siendo procesados y, cuando éste sea el caso, una copia de los datos relativos a él y la información en el Anexo I; si los datos personales han sido o serán transferidos, proporcionar información sobre los destinatarios o categorías de destinatarios (según proceda, con vistas a proporcionar información significativa) a la que los datos personales han sido o serán transferidos, la finalidad de tales transferencias posteriores y su territorio de conformidad con la Cláusula 8. ; y proporcionar información sobre el derecho a presentar una queja ante una autoridad supervisora de conformidad con la Cláusula 12(c)(i);

‍

(ii)rectificar datos inexactos o incompletos relativos al sujeto de los datos;

‍

(iii)borrar los datos personales relativos al sujeto de los datos si dichos datos se están procesando o han sido procesados violando cualquiera de estos Clauses garantizando derechos de terceros beneficiarios. o si el interesado retira el consentimiento en el que se basa el tratamiento.

‍

(c)Donde el importador de datos procesa los datos personales con fines de marketing directo, cesará el tratamiento para tales fines si los datos objeto de él.

‍

(d)El importador de datos no tomará una decisión basada únicamente en el tratamiento automatizado de los datos personales transferidos (en adelante «decisión automatizada»), que produciría efectos legales en relación con el sujeto de los datos o de forma similar afectarían significativamente a él, salvo con el consentimiento explícito del interesado de los datos o si está autorizado a hacerlo de acuerdo con las leyes del país de destino, siempre que dichas leyes establezcan medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado de los datos. En este caso, el importador de datos deberá, cuando sea necesario, en cooperación con el exportador de datos:

‍

(i)informar al sujeto de los datos sobre la decisión automatizada prevista, las consecuencias previstas y la lógica asumida; y

‍

(ii)implementar salvaguardas adecuadas, al menos permitiendo a los datos sujetos a disputar la decisión, expresar su punto de vista y obtener revisión por un ser humano.

‍

(e)Cuando las solicitudes de un sujeto de datos son excesivas, en particular debido a su carácter repetitivo, el importador de datos puede o bien cobrar una tasa razonable teniendo en cuenta los gastos administrativos de la concesión de la solicitud o negarse a actuar sobre la misma.

‍

(f)El importador de datos puede rechazar la solicitud de un interesado de datos si dicha denegación está permitida por las leyes del país de destino y es necesaria y proporcionada en una sociedad democrática para proteger uno de los objetivos enumerados en el apartado 1 del artículo 23 del Reglamento (UE) 2016/679.

‍

(g)Si el importador de datos tiene la intención de rechazar la solicitud de un interesado informará al interesado de los motivos de la denegación y de la posibilidad de presentar una queja ante la autoridad supervisora competente y/o de solicitar una reparación judicial.

‍

Cláusula 11

Progreso

‍

(a)El importador de datos informará a los sujetos de datos en un formato transparente y de fácil acceso, a través de un aviso individual o en su sitio web, de un punto de contacto autorizado para tramitar reclamaciones. Se encargará sin demora de las reclamaciones que reciba de un interesado de datos.

‍

(b)En caso de disputa entre un sujeto de datos y una de las Partes en lo que respecta al cumplimiento de estos Claus, que el Partido hará todo lo que esté en su mano para resolver la cuestión de forma amistosa y oportuna. Las Partes se mantendrán informadas mutuamente sobre dichas disputas y, en su caso, cooperarán para resolverlas.

‍

(c)Cuando el sujeto de los datos invoca un derecho de terceros beneficiarios, de conformidad con la cláusula 3, el importador de datos aceptará la decisión de los datos sujetos a:

‍

(i)presentar una queja ante la autoridad supervisora en el Estado miembro de su residencia habitual o lugar de trabajo. o la autoridad supervisora competente de conformidad con la cláusula 13;

‍

(ii)remitir la disputa a los tribunales competentes en el sentido de la cláusula 18.

‍

(d)Las Partes aceptan que el sujeto de datos puede ser representado por un organismo sin ánimo de lucro, organización o asociación en las condiciones establecidas en el apartado 1 del artículo 80 del Reglamento (UE) 2016/679.

‍

e)El importador de datos acatará una decisión que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.

‍

(f)El importador de datos está de acuerdo en que la elección hecha por el sujeto de los datos no perjudicará sus derechos sustanciales y procesales para buscar remedios de acuerdo con las leyes aplicables.

‍

Cláusula 12

Responsabilidad

‍

(a)Cada Parte será responsable ante las demás Partes por cualquier daño que cause a la otra Parte/ies por cualquier infracción de estas Cláusicas.

‍

(b)Cada Parte será responsable del interesado de los datos, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o no material que la Parte cause al interesado violando los derechos de terceros beneficiarios bajo estas Cláusicas. Esto es sin prejuzgar la responsabilidad del exportador de datos de conformidad con el Reglamento (UE) 2016/679.

‍

(c)Cuando más de una Parte sea responsable de cualquier daño causado al sujeto de los datos como consecuencia de una infracción de estos Clauses, todas las Partes responsables serán responsables de forma conjunta y separada, y el sujeto de los datos tiene derecho a interponer una acción judicial contra cualquiera de estas Partes.

‍

(d)Las Partes están de acuerdo en que si una Parte es considerada responsable en virtud del párrafo (c), tendrá derecho a reclamar a la otra Parte/ies que parte de la indemnización que corresponda a ella/su responsabilidad por los daños.

‍

(e)El importador de datos no puede invocar la conducta de un procesador o subprocesador para evitar su propia responsabilidad.

‍

Cláusula 13

Supervisión

‍

(a)La autoridad supervisora de uno de los Estados miembros en los que los sujetos cuyos datos personales se transfieren bajo estas cláusulas en relación con la oferta de bienes o servicios a los mismos o cuyo comportamiento se controla, se localizan, como se indica en el Anexo I. , debe actuar como autoridad supervisora competente.

‍

(b)El importador de datos acuerda someterse a la jurisdicción y cooperar con la autoridad supervisora competente en cualquier procedimiento encaminado a garantizar el cumplimiento de estas Cláusicas. En particular, el importador de datos acuerda responder a las consultas, someter a auditorías y cumplir las medidas adoptadas por la autoridad supervisora, incluidas las medidas compensatorias y compensatorias. La autoridad supervisora deberá confirmar por escrito que se han tomado las medidas necesarias.

‍

SECCIÓN III – LEYES LOCALES Y OBLIGACIONES EN CASE DE ACCESO POR AUTORIAS PÚBLICA

‍

Cláusula 14

Leyes y prácticas locales que afectan al cumplimiento de los Claus

‍

(a)Las Partes garantizan que no tienen ninguna razón para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluyendo cualquier requisito para revelar datos personales o medidas que autoricen el acceso por parte de las autoridades públicas, impiden que el importador de datos cumpla con sus obligaciones en virtud de estas Cláusicas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el apartado 1 del artículo 23 del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusicas.

‍

(b)Las Partes declaran que al proporcionar la garantía en el párrafo (a), han tenido debidamente en cuenta en particular los siguientes elementos:

‍

(i)las circunstancias específicas de la transferencia, incluida la duración de la cadena de procesamiento, el número de actores implicados y los canales de transmisión utilizados; las transferencias en adelante; el tipo de destinatario; la finalidad del proceso; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

‍

(i)las leyes y prácticas del tercer país de destino –incluidas las que requieren la divulgación de datos a las autoridades públicas o la autorización del acceso de dichas autoridades– pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardas aplicables (5);

‍

(iii)cualquier salvaguardia contractual, técnica u organizativa relevante que se establezca para complementar las salvaguardias contempladas en estas Clauses, incluyendo las medidas aplicadas durante la transmisión y al tratamiento de los datos personales en el país de destino.

‍

(c)El importador de datos garantiza que, al realizar la evaluación en virtud del párrafo (b), ha hecho todo lo posible por proporcionar al exportador de datos información relevante y está de acuerdo en que continuará cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusicas.

‍

(d)Las Partes aceptan documentar la evaluación en virtud del apartado (b) y ponerla a disposición de la autoridad supervisora competente a petición.

‍

(e)El importador de datos acuerda notificar al exportador de datos rápidamente si, después de haber aceptado estas cláusulas y durante la duración del contrato, tiene motivos para creer que está o se ha sometido a leyes o prácticas que no se ajustan a los requisitos del párrafo (a), incluyendo el seguimiento de un cambio en las leyes del tercer país o una medida (como una solicitud de revelación) que indica una aplicación de dichas leyes en la práctica que no está en consonancia con los requisitos del párrafo (a).

‍

(f)Siguiendo una notificación de conformidad con el apartado (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones en virtud de estas Clauses, el exportador de datos identificará rápidamente las medidas apropiadas (e. Medidas técnicas o organizativas para garantizar la seguridad y la confidencialidad) a ser adoptadas por el exportador de datos y/o importador de datos para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar salvaguardias apropiadas para dicha transferencia, o si así lo ordena la autoridad supervisora competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en lo que respecta al tratamiento de los datos personales en virtud de estas Cláusicas. Si el contrato implica a más de dos partes, el exportador de datos podrá ejercer este derecho de rescisión sólo con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario. En caso de rescisión del contrato conforme a la presente Cláusula 16(d) y (e) se aplicará.

‍

Cláusula 15

Obligaciones del importador de datos en caso de acceso por las autoridades públicas

‍

12.1 Notificación

‍

(a)El importador de datos acuerda notificar al exportador de datos y, siempre que sea posible, el asunto de los datos rápidamente (si es necesario con la ayuda del exportador de datos) si lo hace:

‍

(i)recibe una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales. de conformidad con las leyes del país de destino para la revelación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, el fundamento jurídico de la solicitud y la respuesta facilitada; o

‍

(ii)tiene conocimiento de todo acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con las leyes del país de destino; Dicha notificación incluirá toda la información disponible para el importador.

‍

(b)Si el importador de datos está prohibido notificar al exportador de datos y/o al sujeto de los datos conforme a las leyes del país de destino, el importador de datos acuerda utilizar sus mejores esfuerzos para obtener una renuncia a la prohibición, con el fin de comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.

‍

(c)Cuando sea permisible según las leyes del país de destino, el importador de datos acuerda proporcionar el exportador de datos, en intervalos regulares durante la duración del contrato, con tanta información relevante como sea posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, solicitando autoridad/as, si las solicitudes han sido impugnadas y el resultado de tales desafíos, etc. .

‍

(d)El importador de datos acepta preservar la información de conformidad con los párrafos (a) a (c) durante la duración del contrato y ponerla a disposición de la autoridad supervisora competente a petición.

‍

(e)Los párrafos (a) a (c) no tienen prejuicio sobre la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos con prontitud en caso de que no pueda cumplir estas Cláusicas.

‍

12.2 Revisión de la legalidad y minimización de datos

‍

(a)El importador de datos acuerda revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de las competencias concedidas a la autoridad pública solicitante, y para cuestionar la solicitud si, tras una evaluación cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal en virtud de las leyes del país de destino, obligaciones aplicables de conformidad con el derecho internacional y los principios de la comisión internacional. El importador de datos, en las mismas condiciones, buscará posibilidades de recurso. Cuando se desafía una solicitud, el importador de los datos buscará medidas provisionales con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente haya decidido sobre sus méritos. No revelará los datos personales solicitados hasta que se requiera hacerlo de conformidad con las normas procesales aplicables. Estos requisitos son sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).

‍

(b)El importador de datos acepta documentar su evaluación legal y cualquier desafío a la solicitud de divulgación y, en la medida permitida por las leyes del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad supervisora competente a petición

‍

(c)El importador de datos acuerda proporcionar la cantidad mínima de información permisible al responder a una solicitud de divulgación, basado en una interpretación razonable de la solicitud.

‍

SECCIÓN IV – PROVISIONES FINALES

‍

Cláusula 16

Incumplimiento de las cláusulas y la terminación

‍

(a)El importador de datos informará rápidamente al exportador de datos si no es capaz de cumplir con estas cláusulas por cualquier motivo.

‍

(b)En caso de que el importador de datos infrinja estas cláusulas o sea incapaz de cumplir con estas cláusulas, El exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescienda el contrato. Esto es sin prejuicio de la Cláusula 14(f).

‍

(c)El exportador de datos tendrá derecho a rescindir el contrato, en lo que respecta al tratamiento de datos personales en virtud de estas Cláusicas, donde:

‍

(i)el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y el cumplimiento de estos Clauses no se restablece en un plazo razonable y, en cualquier caso, dentro de un mes de suspensión;

‍

(ii)el importador de datos está en una violación sustancial o persistente de estas Clases; o

‍

(iii)el importador de datos no cumple con una decisión vinculante de un tribunal o autoridad supervisora competente con respecto a sus obligaciones derivadas de estas Cláusicas.

‍

En estos casos, informará a la autoridad supervisora competente de tales incumplimientos. Cuando el contrato implique a más de dos partes, el exportador de datos podrá ejercer este derecho de rescisión sólo con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario.

‍

(d)Los datos personales que se hayan transferido antes de la rescisión del contrato de conformidad con el apartado c) serán devueltos inmediatamente al exportador de datos o eliminados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusicas. En caso de leyes locales aplicables al importador de datos que prohíben la devolución o eliminación de los datos personales transferidos el importador de datos garantiza que seguirá garantizando el cumplimiento de estas Cláusulas y únicamente procesará los datos en la medida y durante el tiempo que sea requerido por la ley local.

‍

(e)Cualquiera de las partes podrá revocar su acuerdo para que esté obligado por estas cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el apartado 3 del artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia de datos personales a los que se aplican estas Cláusiones; o (ii) el Reglamento (UE) 2016/679 se convierte en parte del marco legal del país al que se transfieren los datos personales. Esto es sin perjuicio de otras obligaciones que se aplican a la tramitación en cuestión de conformidad con el Reglamento (UE) 2016/679.

‍

Cláusula 17

Derecho aplicable

‍

Estas cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre y cuando dicha ley permita los derechos de terceros beneficiarios. Las Partes están de acuerdo en que ésta será la ley de Irlanda.

‍

Cláusula 18

Elección de foro y jurisdicción

‍

a) Toda controversia que surja de estas cláusulas será resuelta por los tribunales de un Estado miembro de la UE.

‍

(b)Las Partes acuerdan que éstas serán los tribunales de Irlanda.

‍

(c)Un sujeto de datos también puede incoar procedimientos legales contra el exportador de datos y/o importador de datos ante los tribunales del Estado miembro de su residencia habitual.

‍

(d)Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

‍

APPENDIX

ANNEX I
‍

A. LISTA DE PARTES

Exportador(es): [Identidad, datos de contacto del exportador(es) de datos y, donde sea aplicable, de su/su agente de protección de datos y/o representante en la Unión Europea]

‍

Nombre: Ver la parte 1 de la programación 1.

‍

Dirección: Ver la Parte 1 del Programa 1

Nombre de la persona de contacto, posición y datos de contacto: Ver Parte 1 del Programa 1

‍

Actividades relevantes a los datos transferidos bajo estas Cláusulas: Ver Parte 1 del Programa 1

Firma y fecha: Las partes acuerdan que la ejecución del acuerdo pertinente constituirá la ejecución de estos CECS por ambas partes cuando no se disponga de ningún otro mecanismo de transferencia válido.

Rol (controlador/procesador): Ver Parte 1 de la programación 1

‍

importador(es): [Identidad, datos de contacto del importador(es) de datos, incluyendo a cualquier persona de contacto responsable de la protección de datos]

Nombre: Ver la parte 1 de la programación 1

Dirección: Ver la Parte 1 del Programa 1

Nombre de la persona de contacto, posición y datos de contacto: Ver Parte 1 del Programa 1

Actividades relevantes a los datos transferidos bajo estas Cláusulas: Ver Parte 1 del Programa 1

Rol (controlador/procesador): Ver Parte 1 de la programación 1

‍

B. DESCRIPCIÓN DEL TRANSFER

‍

Categorías de sujetos de datos cuyos datos personales son transferidos

Véase la parte 2 de la programación 1.

‍

Categorías de datos personales transferidos

Véase la parte 2 de la programación 1.

‍

Datos sensibles transferidos (si corresponde) y aplicados restricciones o salvaguardias que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados. tales como, por ejemplo, la estricta limitación del propósito, restricciones de acceso (incluyendo acceso sólo para el personal que haya seguido formación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

Véase la parte 2 de la programación 1.

‍

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua).

Véase la parte 2 de la programación 1.

‍

Naturaleza del procesamiento

Véase la parte 2 de la programación 1.

‍

Propósito(s) de la transferencia de datos y procesamiento posterior

Véase la parte 2 de la programación 1.

‍

El período para el que se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período

Véase la parte 2 de la programación 1.

‍

Para las transferencias a procesadores (sub-), también especificar el tema, la naturaleza y la duración del procesamiento

Véase la parte 5 del programa 1.

‍

C. COMPETENT SUPERVISORY AUTHORITY

‍

Identificar la autoridad supervisora competente de conformidad con la Cláusula 13.

Véase la parte 3 de la programación 1.

‍

ANNEX II

MEDIDA TECNICA Y ORGANISACIONAL INCLUDANDO LAS MEDIDAS TECNICALES Y ORGANISALES PARA Asegurar la seguridad del DATA

‍

Véase la parte 4 de la programación 1.

‍

MOMENTO 2: CONTROLLER-TO-PROCESSOR

‍

SECCIÓN I

‍

Cláusula 1

Propósito y alcance

‍

(a)El propósito de estas cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas con respecto al procesamiento de datos personales y sobre la libre circulación de dichos datos (Regulación General de Protección de Datos) (6) para la transferencia de datos a un tercer país.

‍

(b)Las partes:

‍

(i)la persona física o jurídica(s), la autoridad pública, la agencia/ies u otros organismos/ies (en adelante «entidad/ies») que transfiere los datos personales, tal y como figuran en el Anexo I. (aquí después cada "exportador de datos") y

‍

(i)las entidad/ies de un tercer país que reciben los datos personales del exportador de datos, directa o indirectamente a través de otra entidad también Parte en estos Clanos, como se indica en el Anexo I. (aquí después de cada "importador de datos")

‍

han aceptado estas cláusulas contractuales normalizadas (en adelante «Clauses»).

‍

(c)Estas cláusulas se aplican con respecto a la transferencia de datos personales, tal y como se especifica en el Anexo I.B.

‍

(d)El Apéndice de estos Claus que contiene los Annexos a los que se hace referencia forma parte integral de estos Clauses.

‍

Cláusula 2

Efecto e invariabilidad de los Claus

‍

(b)Estos Clauses no tienen prejuicio de las obligaciones a las que el exportador de datos está sujeto en virtud del Reglamento (UE) 2016/679.

‍

Cláusula 3

Destinatarios externos

‍

(a)Los sujetos de datos pueden invocar y hacer cumplir estas cláusulas como terceros beneficiarios, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:

‍

(i)Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

‍

(ii)Cláusula 8.1(b), 8.9(a), (c), (d) y (e);

‍

(iii)Cláusula 9(a), (c), (d) y (e);

‍

(iv)Cláusula 12(a), (d) y (f);

‍

(v)Cláusula 13;

‍

(vi)Cláusula 15.1(c), (d) y (e);

‍

(vii)Cláusula 16(e);

‍

(vii)Cláusula 18(a) y b).

‍

(b)El apartado (a) no perjudica los derechos de los sujetos de datos conforme al Reglamento (UE) 2016/679.

‍

Cláusula 4

Interpretación

‍

(a)Cuando estas cláusulas usen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicha regulación.

‍

(b)Estas cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.

‍

(c)Estas cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

‍

Cláusula 5

Hierarchy

‍

Cláusula 6

Descripción de la transferencia(s)

‍

Los detalles de la transferencia(s), y en particular las categorías de datos personales que se transfieren y las finalidades para las que se transfieren, se especifican en el Anexo I.B.

‍

Cláusula 7

Cláusula de acoplamiento opcional

‍

NO USADO

‍

SECCIÓN II – OBLIGACIONES DE LAS PARTES

‍

Cláusula 8

Protección de datos

‍

8.1 Instrucciones

‍

(a) El importador de datos procesará los datos personales únicamente con instrucciones documentadas del exportador de datos. El exportador de datos puede dar estas instrucciones durante la duración del contrato.

‍

(b)El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.

‍

8.2 Limitación de propósito

‍

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, según lo establecido en el Anexo I. , a menos que se sigan instrucciones adicionales del exportador de datos.

‍

8.3 Transparencia

‍

Si lo solicita, el exportador de datos realizará una copia de estos Clauses, incluyendo el Apéndice tal y como lo completan las Partes, disponible para el sujeto de datos de forma gratuita. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos puede redactar parte del texto del Apéndice de estos Clauses antes de compartir una copia, pero proporcionará un resumen significativo en el que el interesado de los datos no podrá entender su contenido o ejercer sus derechos. A petición, las Partes facilitarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información modificada. Esta cláusula no prejuzga las obligaciones del exportador de datos de conformidad con los artículos 13 y 14 del Reglamento (UE) 2016/679.

‍

8.4 Precisión

‍

Si el importador de datos se hace consciente de que los datos personales que ha recibido son inexactos, o ha quedado obsoleto, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

‍

8.5 Duración del procesamiento y borrado o devolución de datos

‍

El tratamiento por parte del importador de datos sólo tendrá lugar durante la duración especificada en el Anexo I.B. Una vez finalizada la prestación de los servicios de procesamiento, el importador de datos deberá ser elegido por el exportador de datos, borrar todos los datos personales procesados en nombre del exportador de datos y certificar al exportador de datos que lo ha hecho, o volver al exportador de datos todos los datos personales procesados en su nombre y eliminar copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusicas. En caso de leyes locales aplicables al importador de datos que prohíben la devolución o eliminación de los datos personales el importador de datos garantiza que seguirá garantizando el cumplimiento de estas Cláusulas y que sólo lo procesará en la medida y durante el tiempo que sea requerido por esa ley local. Esto es sin prejuicio de la cláusula 14, en particular el requisito de que el importador de datos de conformidad con la Cláusula 14(e) notifique al exportador de datos a lo largo de la duración del contrato si tiene motivos para creer que está o ha llegado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos establecidos en la Cláusula 14(a).

‍

8.6 Seguridad de procesamiento

‍

(a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos incluida la protección contra una violación de la seguridad que conduce a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a esos datos (en adelante, "violación de los datos personales"). Al evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado del arte, los costes de implementación, la naturaleza, el alcance, el contexto y la finalidad del procesamiento y los riesgos implicados en el procesamiento para los sujetos de los datos. Las Partes considerarán en particular recurrir al cifrado o a la seudonimización, incluyendo durante la transmisión, donde el propósito del procesamiento puede ser cumplido de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un sujeto de datos específicos, siempre que sea posible, permanezcan bajo el control exclusivo del exportador de datos. En cumplimiento de las obligaciones contraídas en el presente párrafo, el importador de datos aplicará al menos las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo controles regulares para garantizar que estas medidas sigan proporcionando un nivel adecuado de seguridad.

‍

(b)El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para su implementación, gestión y control del contrato. Garantizará que las personas autorizadas para procesar los datos personales se hayan comprometido con la confidencialidad o estén bajo una obligación de confidencialidad apropiada.

‍

(c) En caso de una violación de datos personales en relación con los datos personales procesados por el importador de datos bajo estas Cláusicas, el importador de datos tomará las medidas apropiadas para hacer frente a la infracción, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tomado conciencia de la incumplimiento. Dicha notificación contendrá los detalles de un punto de contacto en el que se pueda obtener más información, una descripción de la naturaleza de la brecha (incluyendo, cuando sea posible, categorías y número aproximado de sujetos de datos y registros de datos personales afectados), sus probables consecuencias y las medidas adoptadas o propuestas para abordar el incumplimiento incluyendo, en su caso, medidas para mitigar sus posibles efectos adversos. Donde y en la medida en que no es posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información entonces disponible y la información adicional, a medida que esté disponible, se facilitará posteriormente sin demora indebida.

‍

(d) El importador de datos cooperará y ayudará al exportador de datos para permitir al exportador de datos cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad supervisora competente y a los sujetos de datos afectados, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el importador de datos.

‍

8.7 Datos sensibles

‍

8.8 Transferencias posteriores

‍

El importador de datos sólo revelará los datos personales a un tercero con instrucciones documentadas del exportador de datos. Además, los datos sólo pueden ser revelados a un tercero situado fuera de la Unión Europea (7) (en el mismo país que el importador de datos o en otro tercer país, hasta ahora 'en adelante transferir') si el tercero está o está de acuerdo en estar vinculado por estas Clauses, bajo el Módulo apropiado, o si:

(i)la transferencia en adelante es a un país que se beneficia de una decisión sobre el uso de la droga, de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia en adelante;

(ii)el tercero garantiza de otro modo las garantías apropiadas de conformidad con el Reglamento (CE) nº 46 o 47 de 2016/679 con respecto al procesamiento en cuestión;

(iii)la transferencia posterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

(iv)la transferencia hacia adelante es necesaria para proteger los intereses vitales del sujeto de datos o de otra persona natural.
‍

‍

8.9 Documentación y cumplimiento

‍

a) El importador de datos tramitará rápida y adecuadamente las consultas del exportador de datos relativas al procesamiento bajo estas Cláusicas.

(b)Las Partes podrán demostrar el cumplimiento de estas Cláusicas. En particular, el importador de datos conservará la documentación apropiada sobre las actividades de procesamiento realizadas en nombre del exportador de datos.

(c)El importador de datos pondrá a disposición del exportador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas cláusulas y a petición del exportador de datos permiten y contribuyen a las auditorías de las actividades de procesamiento cubiertas por estos Claus, en intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos puede tener en cuenta las certificaciones relevantes del importador de datos.

(d)El exportador de datos puede elegir llevar a cabo la auditoría por sí mismo o mandar un auditor independiente. Deberá incluir inspecciones en las instalaciones o instalaciones físicas del importador de datos y, en su caso, se efectuarán con un aviso razonable.

(e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.
‍

‍

Cláusula 9

Uso de subprocesadores

‍

(a)El importador de datos tiene la autorización general del exportador de datos para la contratación de subprocesador(es) de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subprocesadores con al menos treinta (30) días de antelación, dando así al exportador de datos tiempo suficiente para poder objetar dichos cambios antes de la participación de los subprocesador(es). El importador de datos proporcionará al exportador la información necesaria para que el exportador de datos pueda ejercer su derecho de objeción.

‍

(b) Cuando el importador de datos involucre a un subprocesador para llevar a cabo actividades específicas de procesamiento (en nombre del exportador de datos), lo hará por medio de un contrato por escrito que estipule, en esencia, las mismas obligaciones de protección de datos que las que obligan al importador de datos en virtud de estas Cláusulas. incluyendo en términos de los derechos de terceros beneficiarios de los sujetos de datos. (8) The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. El importador de datos se asegurará de que el subprocesador cumpla con las obligaciones a las que se somete el importador de datos de conformidad con estas Cláusicas.

‍

(c)El importador de datos facilitará, a petición del exportador de datos, copia de dicho acuerdo de subprocesador y cualquier enmienda posterior al exportador de datos. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluyendo datos personales, el importador de datos puede redactar el texto del acuerdo antes de compartir una copia.

(d)El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de cualquier incumplimiento por parte del subprocesador de sus obligaciones en virtud de dicho contrato.

‍

e)El importador de datos acordará una cláusula beneficiaria de terceros con el subprocesador según la cual, en caso de que el importador de datos haya desaparecido objetivamente, cedido a existir en la ley o se ha vuelto insolvente: el exportador de datos tendrá derecho a rescindir el contrato de subprocesador y a ordenar al subprocesador que elimine o devuelva los datos personales.

‍

Cláusula 10

Derechos del asunto de datos

‍

(a) El importador de datos avisará rápidamente al exportador de datos de cualquier solicitud que haya recibido de un asunto de datos. No responderá a esa petición por sí sola a menos que el exportador de datos la haya autorizado.

‍

(b)El importador de datos ayudará al exportador a cumplir con sus obligaciones de responder a las solicitudes de los sujetos de datos para el ejercicio de sus derechos de conformidad con el Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas. teniendo en cuenta la naturaleza del procesamiento, por el cual se prestará la asistencia, así como el alcance y el alcance de la ayuda requerida.

‍

(c)En el cumplimiento de sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá las instrucciones del exportador de datos.

‍

Cláusula 11

Progreso

‍

(c)Cuando el asunto de los datos invoca a un beneficiario de terceros de conformidad con la Cláusula 3, los datos

el importador aceptará la decisión de los datos sujetos a:

‍

(i)presentar una queja ante la autoridad supervisora en el Estado miembro de su residencia habitual o lugar de trabajo. o la autoridad supervisora competente de conformidad con la cláusula 13;

‍

(ii)remitir la disputa a los tribunales competentes en el sentido de la cláusula 18.

‍

e)El importador de datos acatará una decisión que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.

‍

Cláusula 12

Responsabilidad

‍

(a)Cada Parte será responsable ante las demás Partes por cualquier daño que cause a la otra Parte/ies por cualquier infracción de estas Cláusicas.

‍

(b)El importador de datos será responsable del interesado y el interesado tendrá derecho a recibir una indemnización, para cualquier daño material o no material que el importador de datos o su subprocesador cause el sujeto de los datos violando los derechos de terceros beneficiarios en virtud de estas Cláusicas.

‍

(c)Sin perjuicio del apartado (b), el exportador de datos será responsable del sujeto de los datos, y el interesado tendrá derecho a recibir una indemnización, para cualquier daño material o no material que el exportador de datos o el importador de datos (o su subprocesador) cause al sujeto de los datos violando los derechos de terceros beneficiarios en virtud de estas Cláusicas. Esto es sin prejuicio de la responsabilidad del exportador de datos y, donde el exportador de datos es un procesador que actúa en nombre de un controlador, a la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según corresponda.

‍

(d)Las Partes están de acuerdo en que si el exportador de datos es considerado responsable en virtud del párrafo (c) de los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la compensación correspondiente a la responsabilidad del importador de los datos por los daños.

‍

(e)Cuando más de una Parte sea responsable de cualquier daño causado al sujeto de los datos como consecuencia de una infracción de estos Clauses, todas las Partes responsables serán responsables de forma conjunta y separada, y el sujeto de los datos tiene derecho a interponer una acción judicial contra cualquiera de estas Partes.

‍

(f)Las Partes están de acuerdo en que si una parte es considerada responsable en virtud del párrafo (e), tendrá derecho a reclamar a la otra Parte/ies que parte de la indemnización que corresponda a ella/su responsabilidad por los daños.

‍

(g)El importador de datos no puede invocar la conducta de un subprocesador para evitar su propia responsabilidad.

‍

Cláusula 13

Supervisión

‍

a) La autoridad supervisora de uno de los Estados miembros en los que los datos de los sujetos cuyos datos personales se transfieren bajo estas cláusulas en relación con la oferta de bienes o servicios a los mismos o cuyo comportamiento se controla, se localizan, como se indica en el Anexo I. , actuará como autoridad supervisora competente.
‍

‍

SECCIÓN III – LEYES LOCALES Y OBLIGACIONES EN CASE DE ACCESO POR AUTORIAS PÚBLICA

‍

Cláusula 14

Leyes y prácticas locales que afectan al cumplimiento de los Claus

‍

(b)Las Partes declaran que al proporcionar la garantía en el párrafo (a), han tenido debidamente en cuenta en particular los siguientes elementos:

‍

(d)Las Partes aceptan documentar la evaluación en virtud del apartado (b) y ponerla a disposición de la autoridad supervisora competente a petición.

‍

Cláusula 15

Obligaciones del importador de datos en caso de acceso por las autoridades públicas

‍

12.1 Notificación

‍

(a)El importador de datos acuerda notificar al exportador de datos y, siempre que sea posible, el asunto de los datos rápidamente (si es necesario con la ayuda del exportador de datos) si lo hace:

‍

15.2 Revisión de la legalidad y minimización de datos

‍

(c)El importador de datos acuerda proporcionar la cantidad mínima de información permisible al responder a una solicitud de divulgación, basado en una interpretación razonable de la solicitud.

‍

SECCIÓN IV – PROVISIONES FINALES

‍

Cláusula 16

Incumplimiento de las cláusulas y la terminación

‍

(a)El importador de datos informará rápidamente al exportador de datos si no es capaz de cumplir con estas cláusulas por cualquier motivo.

‍

(c)El exportador de datos tendrá derecho a rescindir el contrato, en lo que respecta al tratamiento de datos personales en virtud de estas Cláusicas, donde:

‍

(ii)el importador de datos está en una violación sustancial o persistente de estas Clases; o

‍

(iii)el importador de datos no cumple con una decisión vinculante de un tribunal o autoridad supervisora competente con respecto a sus obligaciones derivadas de estas Cláusicas.

‍

Cláusula 17

Derecho aplicable

‍

Cláusula 18

Elección de foro y jurisdicción

‍

a) Toda controversia que surja de estas cláusulas será resuelta por los tribunales de un Estado miembro de la UE.

‍

(b)Las Partes acuerdan que éstas serán los tribunales de Irlanda.

‍

(c)Un sujeto de datos también podrá incoar procedimientos legales contra el exportador de datos y/o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

‍

(d)Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

‍

APPENDIX

ANNEX I

‍

A. LISTA DE PARTES

‍

Exportador(es): [Identidad, datos de contacto del exportador(es) de datos y, donde sea aplicable, de su/su agente de protección de datos y/o representante en la Unión Europea]

Nombre: Ver la parte 1 de la programación 1.

Dirección: Ver la Parte 1 del Programa 1

Nombre de la persona de contacto, posición y datos de contacto: Ver Parte 1 del Programa 1

Actividades relevantes a los datos transferidos bajo estas Cláusulas: Ver Parte 1 del Programa 1

Rol (controlador/procesador): Ver Parte 1 de la programación 1

‍

importador(es): [Identidad, datos de contacto del importador(es) de datos, incluyendo a cualquier persona de contacto responsable de la protección de datos]

Nombre: Ver la parte 1 de la programación 1

Dirección: Ver la Parte 1 del Programa 1

Nombre de la persona de contacto, posición y datos de contacto: Ver Parte 1 del Programa 1

Actividades relevantes a los datos transferidos bajo estas Cláusulas: Ver Parte 1 del Programa 1

Rol (controlador/procesador): Ver Parte 1 de la programación 1

‍

B. DESCRIPCIÓN DEL TRANSFER

‍

Categorías de sujetos de datos cuyos datos personales son transferidos

Véase la parte 2 de la programación 1.

‍

Categorías de datos personales transferidos

Véase la parte 2 de la programación 1.

‍

Véase la parte 2 de la programación 1.

‍

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua).

Véase la parte 2 de la programación 1.

‍

Naturaleza del procesamiento

Véase la parte 2 de la programación 1.

‍

Propósito(s) de la transferencia de datos y procesamiento posterior

Véase la parte 2 de la programación 1.

‍

El período para el que se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período

Véase la parte 2 de la programación 1.

‍

Para las transferencias a procesadores (sub-), también especificar el tema, la naturaleza y la duración del procesamiento

Véase la parte 5 del programa 1.

‍

C. COMPETENT SUPERVISORY AUTHORITY

‍

Identificar la autoridad supervisora competente de conformidad con la Cláusula 13.

Véase la parte 3 de la programación 1.

‍

ANNEX II

MEDIDA TECNICA Y ORGANISACIONAL INCLUDANDO LAS MEDIDAS TECNICALES Y ORGANISALES PARA Asegurar la seguridad del DATA

‍

Véase la parte 4 de la programación 1.

‍

ANNEX III

‍

LISTA DE SUB-PROCESORES

‍

Véase la parte 5 del programa 1.

‍

La transferencia internacional de datos del Reino Unido se agrega a los CCS de la UE

‍

Este agregado ha sido emitido por el Comisionado de Información para las Partes que hacen Transferencias Restringidas. El Comisario de Información considera que establece la Aprobación de Garantías para Transferencias Restringidas cuando se firma como contrato legalmente vinculante.

Parte 1: Tablas

‍

Tabla 1: Partes

Start date	The date shall be the same as the date of the relevant agreement.
The Parties	Exporter (who sends the Restricted Transfer)	Importer (who receives the Restricted Transfer)
Parties’ details	See Part 1 of Schedule 1	See Part 1 of Schedule 1
Key Contact	See Part 1 of Schedule 1	See Part 1 of Schedule 1

‍

Tabla 2: Selección de SCCs, Módulos y Clausas Seleccionadas

Addendum EU SCCs	☒ The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information: Date: The date shall be the same as the date of the relevant agreement Reference (if any): Module 1: Controller-to-Controller and Module 2: Controller-to-Processor Other identifier (if any): Not used

‍

Tabla 3: Información del Apéndice

“Apéndice Información” hace referencia a la información que debe proporcionarse para los módulos seleccionados, tal y como se establece en el Apéndice de los CS de la UE aprobados (aparte de las Partes), y cuál para este agregado está establecido en:

Annex 1A: List of Parties: Part 1 of Schedule 1
Annex 1B: Description of Transfer: Part 2 of Schedule 1
Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: Part 4 of Schedule 1

‍

Tabla 4: Finalizando esta Añadidura cuando el Agregado Aprobado cambia

Ending this Addendum when the Approved Addendum changes	Which Parties may end this Addendum as set out in Section ‎19: ☒ Importer ☒ Exporter ☐ neither Party

‍

Parte 2: Clausura obligatoria

Mandatory Clauses	Part 2: Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 28 January 2022, as it is revised under Section ‎‎18 of those Mandatory Clauses.

‍

ESCHEDULE 1

‍

DESCRIPCIÓN DEL TRANSFER

‍

Parte 1, Parte 2, Parte 3 y Parte 4 de esta Agenda forma parte de la UE SCC (Módulo 1 y Módulo 2)

‍

Parte 1, Parte 2, Parte 3 y Parte 4 de este programa forma parte de los SCs del Reino Unido

‍

PARTE 1

‍

EXPORTADORES DE DATA Y IMPORTADORES DE DATOS

‍

EXPORTADORES DE DATA

‍

Los exportadores de datos son:

‍

Todos aquellos Controladores y Procesadores establecidos en el EEE y/o el Reino Unido que transfieren datos personales a un receptor de datos establecido fuera del EEE, el Reino Unido o un Contrato Adecuado, según se especifica en el acuerdo pertinente, incluyendo GVE Global Vision Inc. con domicilio social en 16800 Rte Transcanadienne, Kirkland, Quebec, H9H 4M7, Canadá.

Rol (controlador/procesador):

(1)Módulo 1: Controlador a Controlador
Controlador

(2) Módulo 2: Controlador a procesador
o Procesador

‍

IMPORTADORES DE DATA

‍

Los importadores de datos son:

‍

Todos aquellos Controladores y Procesadores establecidos fuera de la EEA y/o del Reino Unido a los que los datos personales son transferidos por esos Controladores y Procesadores establecidos en la EEA, el Reino Unido o que acceden a los datos personales desde fuera del EEE, el Reino Unido o un País adecuado, como se especifica en el acuerdo pertinente, incluyendo GVE Global Vision Inc. con domicilio social en 16800 Rte Transcanadienne, Kirkland, Quebec, H9H 4M7, Canadá.

‍

Rol (controlador/procesador):

‍

1)Módulo 1: Controlador a Controlador

Controlador

‍

(2) Módulo 2: Controlador a Procesador

Controlador o procesador

‍

ACTIVIDADES RELEVANTES AL TRANSFER

‍

La operación del negocio de GVE Global Vision Inc. necesita la transferencia transfronteriza o datos personales entre los exportadores de datos y los importadores de datos.

‍

PINTA DE CONTACTO PARA ENQURIOS DE PROTECCIÓN DE DATOS

‍

GVE Global Vision Inc.

Por correo electrónico: privacy@globalvision.co

Por correo postal: GVE Global Vision Inc.

Attn: Departamento de Cumplimiento

16800 Route Trans-Canada

Kirkland, Quebec, H9H 4M7

Canadá

‍

Nuestro Oficial de Protección de Datos u Oficial de Privacidad, que es el Director de Gobernanza, El riesgo y el cumplimiento pueden ser contactados a través del correo electrónico o la dirección postal arriba indicada.

‍

PARTE 2

DESCRIPCIÓN DE LA PROCESSING Y TRANSFER

‍

Categorías de sujetos de datos cuyos datos personales son transferidos

Los datos personales procesados y transferidos se refieren al follocategorías de sujetos de datos:

Clientes comerciales y sus usuarios autorizados
Visitantes del sitio web

‍

Categorías de datos personales transferidos

Los datos personales tratados y transferidos se refieren a las siguientes categorías de datos:

Identificación e información de contacto
Datos de cuenta y autenticación
Uso, dispositivo y datos técnicos

‍

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialized training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

No procesado intencionalmente.

‍

Las medidas técnicas y organizativas relativas a los datos sensibles se exponen en la Parte 4 del Programa 1.

‍

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua).

La frecuencia de las transferencias de datos personales entre el exportador de datos y el importador de datos se mantendrá durante la duración del acuerdo entre el exportador de datos y el importador de datos o de forma ocasional para los visitantes del sitio web.

‍

Naturaleza del procesamiento

La naturaleza del procesamiento incluye (en cada caso, según sea necesario para los propósitos indicados a continuación):

Recopilación, recepción, combinación, acceso, revisión, organización, estructura, alteración, adaptación, análisis y uso de los datos personales
Grabar, almacenar, archivar y eliminar datos personales
Divulgar, transferir y compartir datos personales (incluidos los importadores de datos y sus socios y personal; proveedores de servicios de terceros de los importadores de datos y del personal de dichos proveedores de servicios de terceros; organismos legales y regulatorios, tribunales, organismos gubernamentales y organismos encargados de hacer cumplir la ley; asesores profesionales, auditores y consultantes; y organizaciones y asesores financieros
Como se requiere de otra manera para los propósitos expuestos a continuación.

‍

Propósito(s) de la transferencia de datos y procesamiento posterior

El tratamiento y la transferencia de datos personales se lleva a cabo con los siguientes fines:

Entregar nuestros productos y prestar nuestros servicios
Proporcionando soporte al cliente
Mejorar nuestros productos y servicios
Análisis de adopción del usuario
Monitoreo de uso excesivo
Enviando comunicaciones de marketing
Organizar eventos
Mantener la seguridad de nuestros productos y servicios
Cumpliendo con nuestras obligaciones legales

‍

El período para el que se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período

Los períodos de conservación de los datos personales se determinarán teniendo en cuenta los requisitos de la ley aplicable y la finalidad para la que se procesan los datos personales, teniendo en cuenta las obligaciones legales y regulatorias, los períodos de limitación para emprender acciones legales, buenas prácticas y GVE Global Vision Inc. .

‍

Para las transferencias a procesadores (sub-), también especifique el tema, la naturaleza y la duración del procesamiento.

‍

Módulo 1: Controlador a Controlador

No aplicable

‍

Módulo 2: Controlador a Procesador

El propósito, la naturaleza y la duración de las transferencias a los Procesadores y subprocesadores es como se describe anteriormente, sujeto a los requisitos del Módulo 2: Controlador a Procesador SCC.

‍

PARTE 3

‍

AUTORIDAD DE SUPERVISORIA (EU SCCS)

‍

A efectos de la cláusula 13 de las CECA de la UE, la autoridad supervisora competente y la ley y jurisdicción de los CECA de la UE se considerarán como la de Irlanda.

‍

PARTE 4

‍

MEDIDA TECNICA Y ORGANISACIONAL INCLUDANDO LAS MEDIDAS TECNICALES Y ORGANISALES PARA Asegurar la seguridad del DATA

‍

GVE Global Vision Inc. ha implementado las siguientes medidas técnicas y organizativas para garantizar la seguridad de los datos personales:

‍

Medidas de cifrado de datos personales

GVE Global Vision Inc. protege los datos personales mediante una combinación de cifrado fuerte (en reposo y en transita), controles de acceso, y políticas organizativas, alineadas con los estándares de la industria y las regulaciones de privacidad.

‍

Medidas para asegurar la confidencialidad, integridad, disponibilidad y resistencia de los sistemas de procesamiento y servicios

GVE Global Vision Inc. asegura la confidencialidad, integridad, disponibilidad y resistencia continuas de sus sistemas y servicios de procesamiento mediante un enfoque técnico en capas, controles organizativos y procedimentales, alineados con las mejores prácticas y revisados regularmente para su eficacia.

‍

Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidentes físicos o técnicos

GVE Global Vision Inc. ha establecido objetivos de RTO y RPO. Basado en estos objetivos, la protección y restauración del acceso y los datos personales son de copias de seguridad. Estos respaldos forman parte de un plan holístico de continuidad empresarial. Este plan se prueba en intervalos regulares.

‍

Procesos para comprobar, evaluar y evaluar regularmente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del procesamiento

GVE Global Vision Inc. asegura la eficacia continua de sus medidas de seguridad técnicas y organizativas a través de un programa estructurado de auditorías, Evaluaciones de vulnerabilidades, pruebas de penetración, revisiones de políticas, sesiones de tablas, capacitación de empleados e informes regulares de gestión. Estos procesos son documentados, actualizados regularmente y alineados con las normas internacionales. GVE Global Vision Inc. está certificada ISO 27001 y ISO 9001.

‍

Medidas para la identificación y autorización del usuario

GVE Global Vision Inc. asegura la identificación y autorización segura del usuario a través de identificadores de usuario únicos, gestión centralizada de identidad, RBAC, autenticación fuerte (incluyendo MFA), revisiones de acceso regulares y monitorización integral. Estas medidas se rigen por políticas documentadas y formación periódica.

‍

Medidas para garantizar la seguridad física de las ubicaciones en las que se procesan los datos personales

GVE Global Vision Inc. garantiza la seguridad física de las ubicaciones que procesan datos personales a través de acceso restringido, controles electrónicos de entrada, Competencia, salvaguardias ambientales, gestión de equipos seguros, auditorías regulares y capacitación de empleados. Estas medidas se rigen por políticas formales y están alineadas con las normas internacionales. Global Vision está certificada ISO 27001 y ISO 9001.

‍

Medidas para asegurar el registro de eventos

GVE Global Vision Inc. asegura que los sistemas sean monitoreados a través de diferentes subconjuntos de herramientas. Los registros se almacenan y mantienen en base a la política de retención de datos de Global Vision.

‍

Medidas para asegurar la configuración del sistema, incluyendo la configuración predeterminada

GVE Global Vision Inc. asegura una configuración segura del sistema mediante la imposición de líneas de base endurecidas, la revisión y actualización de los ajustes predeterminados, usando herramientas de configuración automatizada y administración de parches, aplicar políticas de control de acceso, llevar a cabo auditorías y mantener una documentación completa y capacitación del personal.

‍

Medidas para la gestión y gestión interna de TI y seguridad de TI

GVE Global Vision Inc. la gobernanza interna de TI y seguridad de TI se basa en papeles claros, políticas, gestión de riesgos, cumplimiento de las normas, monitoreo continuo, manejo formal de cambios, capacitación regular, gestión de proveedores y auditorías y mejoras continuas.

‍

Medidas para certificación/garantía de procesos y productos

GVE Global Vision Inc. garantiza la certificación y la seguridad de sus procesos y productos a través de la alineación con estándares internacionales como ISO 27001 (seguridad de la información) y ISO 9001 (gestión de calidad), auditorías internas y externas, evaluaciones independientes de terceros, prácticas de desarrollo seguro y de calidad, políticas formales y un compromiso con la mejora continua.

‍

Medidas para asegurar la calidad de los datos

GVE Global Vision Inc. garantiza la calidad de los datos a través de controles de validación, revisiones regulares, mecanismos de corrección, restricciones de acceso, pistas de auditoría, capacitación del personal y políticas formales.

‍

Medidas para asegurar retención de datos limitada

Los datos serán borrados en cualquier momento previa solicitud por escrito del cliente.

‍

Medidas para asegurar la responsabilidad

GVE Global Vision Inc. garantiza la responsabilidad a través de controles de acceso (RBAC, autenticación, revisión de acceso, auditorías pendientes, segregación de funciones), gobernanza clara, políticas integrales, capacitación obligatoria, documentación exhaustiva, evaluaciones y auditoría de riesgos regulares, informes de incidentes, mejora continua y gestión estricta de terceros.

‍

PARTE 5

‍

SUB-PROCESORES

‍

Se puede acceder a una lista de subprocesadores de GVE Global Vision Inc a través del siguiente enlace: https://trust.globalvision.co/subprocessors

‍

¹ Donde el exportador de datos es un procesador sujeto a la Regulación (UE) 2016/679 actuando en nombre de una institución u organismo de la Unión como controlador, la dependencia de estos Clauses a la hora de implicar a otro procesador (subprocesamiento) que no esté sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del apartado 4 del artículo 29 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018 sobre la protección de las personas físicas en relación con el tratamiento de datos personales por parte de las instituciones de la Unión. organismos, oficinas y agencias y sobre la libre circulación de estos datos y por la que se deroga el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295, 21. 1.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto legal entre el titular y el procesador de conformidad con el apartado 3 del artículo 29 del Reglamento (UE) 2018/1725 están alineadas. Este será en particular el caso en que el controlador y el procesador se basen en las cláusulas contractuales estándar incluidas en la Decisión 2021/915.

² This requires rendering the data anonymous in such a way that the individual is no longer identifiable by anyone, in line with recital 26 of Regulation (EU) 2016/679, and that this process is irreversible.

³ El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la extensión del mercado interior de la Unión Europea a los tres Estados EEE Icelanes, Liechtenstein y Noruega. La legislación de protección de datos de la Unión, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado al Anexo XI del mismo. Por lo tanto, cualquier revelación por parte del importador de datos a un tercero situado en el EEE no califica como una transferencia en adelante para los fines de estas Cláusicas.

⁴ Ese período puede prorrogarse un máximo de dos meses más. en la medida necesaria teniendo en cuenta la complejidad y el número de solicitudes. El importador de datos informará debidamente y con prontitud al interesado de dicha extensión.

⁵ En lo que respecta al impacto de tales leyes y prácticas en el cumplimiento de estas Clauses, diferentes elementos pueden ser considerados como parte de una evaluación global. Estos elementos pueden incluir experiencias prácticas relevantes y documentadas con casos previos de solicitudes de divulgación por parte de las autoridades públicas. o la ausencia de tales solicitudes, cubriendo un plazo suficientemente representativo. Esto se refiere en particular a los registros internos u otra documentación, elaborado de forma continua de acuerdo con la diligencia debida y certificado a nivel de alta dirección siempre que esta información pueda ser compartida legalmente con terceros. Donde se basa esta experiencia práctica para concluir que no se impedirá al importador de datos cumplir con estos Clauses, necesita ser apoyada por otros elementos relevantes y objetivos, y corresponde a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de fiabilidad y representatividad, para apoyar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica está corroborada y no está en contradicción con el acceso público o de otro modo accesible. información fiable sobre la existencia o ausencia de solicitudes dentro del mismo sector y/o la aplicación de la ley en la práctica. tales como la jurisprudencia y los informes de organismos independientes de exceso.

⁶ Cuando el exportador de datos es un procesador sujeto a la Regulación (UE) 2016/679 actuando en nombre de una institución u organismo de la Unión como controlador, la dependencia de estos Clauses a la hora de implicar a otro procesador (subprocesamiento) que no esté sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del apartado 4 del artículo 29 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018 sobre la protección de las personas físicas en relación con el tratamiento de datos personales por parte de las instituciones de la Unión. organismos, oficinas y agencias y sobre la libre circulación de estos datos y por la que se deroga el Reglamento (CE) nº 45/2001 y la Decisión nº 1247/2002/CE (DO L 295, 21. 1.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto legal entre el titular y el procesador de conformidad con el apartado 3 del artículo 29 del Reglamento (UE) 2018/1725 están alineadas. Este será en particular el caso en que el controlador y el procesador se basen en las cláusulas contractuales estándar incluidas en la Decisión 2021/915.

⁷ El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la extensión del mercado interior de la Unión Europea a los tres Estados EEE Icelanes, Liechtenstein y Noruega. La legislación de protección de datos de la Unión, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado al Anexo XI del mismo. Por lo tanto, cualquier revelación por parte del importador de datos a un tercero situado en el EEE no califica como una transferencia en adelante para los fines de estas Cláusicas. quitar la nota al pie de página que agregaste en la cláusula 8.9 del módulo 2

⁸ Este requisito puede ser satisfecho por el subprocesador accediendo a estas Clauses bajo el Módulo apropiado, de conformidad con la cláusula 7.

⁹ En lo que respecta al impacto de dichas leyes y prácticas en el cumplimiento de estas Clauses, diferentes elementos pueden ser considerados como parte de una evaluación global. Estos elementos pueden incluir experiencias prácticas relevantes y documentadas con casos previos de solicitudes de divulgación por parte de las autoridades públicas. o la ausencia de tales solicitudes, cubriendo un plazo suficientemente representativo. Esto se refiere en particular a los registros internos u otra documentación, elaborado de forma continua de acuerdo con la diligencia debida y certificado a nivel de alta dirección siempre que esta información pueda ser compartida legalmente con terceros. Donde se basa esta experiencia práctica para concluir que no se impedirá al importador de datos cumplir con estos Clauses, necesita ser apoyada por otros elementos relevantes y objetivos, y corresponde a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de fiabilidad y representatividad, para apoyar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica está corroborada y no está en contradicción con el acceso público o de otro modo accesible. información fiable sobre la existencia o ausencia de solicitudes dentro del mismo sector y/o la aplicación de la ley en la práctica. tales como la jurisprudencia y los informes de organismos independientes de exceso.

COMISIÓN UE ESTANDARD CONTRACTUAL RECLAMOS (EU SCCs) Y ADDENDUM

MOMENTO 1: CONTROLLER-TO-CONTROLLER

SECCIÓN I

Cláusula 1

Cláusula 2

Cláusula 3

Cláusula 4

Cláusula 5

Cláusula 6

Cláusula 7

SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 8

8.1 Limitación de propósito

8.2 Transparencia

8.3 Precisión y minimización de datos

8.4 Limitación de almacenamiento

8.5 Seguridad de procesamiento

8.6 Datos sensacionales

8.7 Transferencias posteriores

8.8 Procesando bajo la autoridad del importador de datos

8.9 Documentación y cumplimiento

Cláusula 9

Cláusula 10

Cláusula 11

Cláusula 12

Cláusula 13

SECCIÓN III – LEYES LOCALES Y OBLIGACIONES EN CASE DE ACCESO POR AUTORIAS PÚBLICA

Cláusula 14

Cláusula 15

12.1 Notificación

12.2 Revisión de la legalidad y minimización de datos

SECCIÓN IV – PROVISIONES FINALES

Cláusula 16

Cláusula 17

Cláusula 18

APPENDIX

ANNEX I‍

ANNEX II

MOMENTO 2: CONTROLLER-TO-PROCESSOR

SECCIÓN I

Cláusula 1

Cláusula 2

Cláusula 3

Cláusula 4

Cláusula 5

Cláusula 6

Cláusula 7

SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 8

8.1 Instrucciones

8.2 Limitación de propósito

8.3 Transparencia

8.4 Precisión

8.5 Duración del procesamiento y borrado o devolución de datos

8.6 Seguridad de procesamiento

8.7 Datos sensibles

8.8 Transferencias posteriores

8.9 Documentación y cumplimiento

Cláusula 9

Cláusula 10

Cláusula 11

Cláusula 12

Cláusula 13

SECCIÓN III – LEYES LOCALES Y OBLIGACIONES EN CASE DE ACCESO POR AUTORIAS PÚBLICA

Cláusula 14

Cláusula 15

12.1 Notificación

SECCIÓN IV – PROVISIONES FINALES

Cláusula 16

Cláusula 17

Cláusula 18

APPENDIX

ANNEX I

ANNEX II

MEDIDA TECNICA Y ORGANISACIONAL INCLUDANDO LAS MEDIDAS TECNICALES Y ORGANISALES PARA Asegurar la seguridad del DATA

‍

ANNEX III

LISTA DE SUB-PROCESORES

La transferencia internacional de datos del Reino Unido se agrega a los CCS de la UE

ESCHEDULE 1

ANNEX I
‍