Legales

Adenda Sobre Tratamiento de Datos

Descargar el Adenda Sobre Tratamiento de Datos

ADENDA SOBRE TRATAMIENTO DE DATOS

(View English version)


Este DPA forma parte de los Términos de Servicio de Qoria Ltd (“Qoria”, o nosotros). Este DPA se leerá junto con (y tiene prioridad sobre) nuestra Política de Privacidad que forma parte de los Términos de Servicio.

Definiciones

Todos los términos con letra inicial en mayúscula que estén definidos en el Reglamento General de Protección de Datos 679/2016) (“RGPD”) tienen el mismo significado previsto en dicho reglamento.

"Cliente” o “usted” es la entidad que acepta nuestros Términos de Servicio y DPA de manera directa o a través de nuestros distribuidores locales.

“Datos del Cliente” significa todos los datos que Qoria recoge y trata bajo las instrucciones del Cliente para prestar el Servicio. En particular, se trata de los datos listados en la política de privacidad,

“Legislación Aplicable en materia de Protección de Datos” significa:

  1. Legislación sobre protección de datos: 

    • El RGPD: El Reglamento General de Protección de Datos 679/2016, un marco jurídico de la Unión Europea (UE) que establece directrices para la recopilación y el tratamiento de datos personales;

    • El RGPD del Reino Unido: Con respecto al Reino Unido, el RGPD tal como se mantuvo en la legislación del Reino Unido en virtud de la sección 3 de la Ley de la Unión Europea del Reino Unido de 2019 (“RGPD del Reino Unido”) y la Ley de Protección de Datos de 2018 (en conjunto, “Leyes de Protección de Datos del Reino Unido”). En caso de que el Reino Unido decida sustituir el RGPD del Reino Unido con una ley propia en materia de protección de datos, las Leyes de Protección de Datos de Reino Unido incluirá referida ley; y

    • El DPA de Suiza: la Ley Federal de Protección de Datos de Suiza y sus reglamentos de aplicación; y

  2. Las normativas comparables: son leyes de otras jurisdicciones que regulan el control y el tratamiento de datos y limitan los flujos transfronterizos de datos.

Aplicabilidad y ámbito de aplicación

Este DPA se aplica únicamente en la medida en que tratemos, en su nombre, Datos de Clientes a los que se aplique la Legislación Aplicable de Protección de Datos.

Usted se compromete a que sus instrucciones cumplan con la Legislación Aplicable en materia de Protección de Datos y se compromete a garantizar que nuestro tratamiento de los Datos del Cliente, cuando se realice de conformidad con sus instrucciones, no nos hará infringir ninguna ley aplicable, incluida la Legislación Aplicable sobre Protección de Datos. Nos comprometemos a informarle si tenemos conocimiento, o creemos razonablemente que sus instrucciones infringen la legislación aplicable, incluida la Legislación Aplicable en materia de Protección de Datos.

Tratamiento de Datos de Clientes en calidad de Encargado de Tratamiento

Usted, en calidad de Responsable de Tratamiento, nos designa como Encargados del Tratamiento para tratar los Datos del Cliente en su nombre, y de acuerdo con sus instrucciones (a) según lo establecido en su Contrato de Cliente, en el presente DPA, y según sea necesario para prestar los Servicios al Cliente (que puede incluir la investigación de incidentes de seguridad, y la detección y prevención de exploits o abusos); (b) según sea necesario para cumplir con la legislación aplicable, incluida la Legislación Aplicable de Protección de Datos; y (c) según lo acordado por escrito entre las partes ("Fines Permitidos").

En el contexto del tratamiento de los Datos del Cliente, nos comprometemos a: 

  1. Garantizar que los miembros del personal autorizados para tratar los datos se hayan comprometido a respetar la confidencialidad de los Datos del Cliente, o que estén sujetos a una obligación de confidencialidad de carácter legal;
  2. Implementar las medidas necesarias para garantizar la seguridad de los Datos del Cliente, como indicado en la sección “Seguridad”; 
  3. Recurrir a otros encargados solamente con la autorización del Responsable de Tratamiento, según lo previsto en la sección “Subencargados”; 
  4. Asistir al Responsable de Tratamiento, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados;
  5. Ayudar al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
  6. Suprimirá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  7. Adherirse a códigos de conducta u otros mecanismos de certificación, en caso de que existan y sean de aplicación:
  8. Pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
  9. Si usted está ubicado en la Unión Europea, Cumplir con las cláusulas contractuales modelo de la Unión Europea para transferencias internacionales de datos incluidas en el Anexo 1; y
  10. Si usted está ubicado en el Reino Unido, cumplir con las cláusulas contractuales modelo de la Unión Europea para las transferencias internacionales de datos incluidas en el Anexo 1, y el Anexo del Reino Unido sobre transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión de la UE incluidas en el Anexo 2.
  11. Usted se compromete a garantizar que se han realizado todas las notificaciones y se han obtenido todas las autorizaciones exigidas por la legislación aplicable en materia de protección de datos, para que nosotros (y cualquier subencargado del tratamiento) procesemos los Datos del cliente tal y como se contempla en nuestro Acuerdo con el cliente y en la presente DPA.

Subencargados

Por "subencargado del tratamiento" se entiende cualquier tercero encargado del tratamiento de datos contratado por nosotros para ayudarnos a cumplir nuestras obligaciones en virtud de su Contrato de Cliente y que trate Datos del Cliente. Los subencargados del tratamiento pueden ser terceros o nuestras filiales.

Usted acepta que (a) podemos contratar a subencargados (que figuran en nuestro sitio web https://qoria.com/privacy/sub-processors), que pueden cambiar de vez en cuando; y (b) dichos subencargados pueden contratar respectivamente a terceros encargados para que traten los Datos del Cliente en nuestro nombre.

Usted nos otorga una autorización general para que contratemos a subencargados del tratamiento con sujeción a las siguientes condiciones: a) restrinjamos el acceso del subencargado posterior a los Datos del Cliente únicamente a lo estrictamente necesario para prestar los Servicios, y prohibiremos al subencargado el tratamiento de los Datos del Cliente para cualquier otro fin; b) impongamos obligaciones contractuales de protección de datos, incluidas las medidas técnicas y organizativas adecuadas para proteger los Datos del cliente y las cláusulas contractuales modelo de la UE que requieran que dicho subencargado proteja los Datos del Cliente conforme a los estándares exigidos por la Legislación Aplicable en materia de Protección de Datos; c) seguiremos siendo responsables de cualquier incumplimiento del presente DPA causado por un acto u omisión de sus subencargados.

Podremos añadir o suprimir subencargados del tratamiento notificándoselo con una antelación razonable. Cuando lo hagamos, nos comprometemos a actualizar la lista de encargados del tratamiento (que figura en nuestro sitio web https://qoria.com/privacy/sub-processors) al menos 10 días antes de cualquier cambio. Si usted se opone por motivos razonables (en nuestra opinión) a dicho cambio, nos comprometemos a trabajar con usted de buena fe para encontrar una solución alternativa. En caso de que las partes no puedan encontrar dicha solución, usted podrá rescindir el Contrato sin coste adicional.

Auditorías

En la medida en que lo exija la Legislación Aplicable en materia de Protección de Datos, le proporcionaremos asistencia razonable (a su costa) en relación con las evaluaciones de impacto sobre la protección de datos o las consultas previas a las autoridades de protección de datos que deba realizar en virtud de dicha legislación.

Reconocemos que, como Encargados del Tratamiento de datos en su nombre, usted debe poder evaluar nuestro cumplimiento de las obligaciones que nos incumben en virtud de la Legislación Aplicable en materia de Protección de Datos y del presente DPA. Nos comprometemos a poner a su disposición toda la información razonablemente necesaria para demostrar el cumplimiento del presente DPA exigida por la Legislación Aplicable en materia de Protección de Datos.

Aceptamos permitir a usted (o a sus auditores externos designados) llevar a cabo una auditoría a su costa (incluidos, sin limitación, nuestros costes) tras una violación de la seguridad sufrida por nosotros, o por instrucción de una autoridad de protección de datos que actúe en virtud de la Legislación Aplicable en materia de Protección de Datos. Usted se compromete a notificarnos con una antelación razonable dicho requerimiento, a realizar una auditoría durante el horario laboral normal y a tomar todas las medidas razonables para evitar una interrupción innecesaria de nuestras operaciones. Cualquier auditoría de este tipo estará sujeta a nuestras condiciones y directrices de seguridad y confidencialidad y sólo podrá realizarse un máximo de una vez al año. Si nos negamos a seguir cualquier instrucción razonable por su parte en relación con dicha auditoría, usted tendrá derecho a terminar la prestación de los Servicios.

Derechos de los Interesados

En caso de que una de las partes reciba (a) una solicitud de un Interesado para ejercer cualquiera de sus derechos en virtud de la Legislación Aplicable en materia de Protección de Datos o (b) una solicitud de un tercero en relación con el tratamiento de los datos de la cuenta o de los Datos del Cliente efectuado por la otra parte, dicha parte informará inmediatamente a la otra por escrito. Las partes acuerdan cooperar, de buena fe, en la medida necesaria para responder a cualquier solicitud de terceros y cumplir sus respectivas obligaciones en virtud de la Legislación Aplicable en materia de Protección de Datos.

Transferencias de datos

Usted reconoce que nosotros y nuestros subencargados podemos transferir y tratar sus Datos de Cliente fuera de su jurisdicción, incluidos los Estados Unidos de América.  Nos comprometemos a garantizar que dichas transferencias se realicen de conformidad con la Legislación Aplicable en materia de Protección de Datos y el presente DPA. 

La Legislación Aplicable en materia de Protección de Datos puede imponer restricciones o exigir cláusulas contractuales tipo ("CCT") con respecto a las transferencias transfronterizas de datos. En los casos en que sean de aplicación las CCT (modificadas o sustituidas), éstas se incorporarán en nuestro contrato con nuestros subencargados del tratamiento. Las partes reconocen que, en la medida en que las cláusulas contractuales tipo entren en conflicto con cualquier disposición de su Acuerdo con el Cliente (incluido el presente DPA), las CCT prevalecerán.

Seguridad y brechas de seguridad

Hemos establecido y mantenemos medidas apropiadas diseñadas para proteger sus Datos de Cliente. Nos comprometemos a garantizar que estas medidas cumplen la Legislación Aplicable en materia de Protección de Datos. Nos comprometemos a garantizar que nuestros empleados y contratistas reciben la formación adecuada en materia de seguridad y privacidad y están sujetos al deber de confidencialidad.

En caso de que tengamos conocimiento de una violación de la seguridad, nos comprometemos a cumplir con la legislación local y a notificárselo sin demora indebida, así como a facilitarle la información que pueda requerir razonablemente, incluso para permitirle cumplir con sus obligaciones de notificación en virtud de la Legislación Aplicable en materia de Protección de Datos. Usted reconoce que la notificación o respuesta a una violación de seguridad no supone el reconocimiento por nuestra parte de culpa o responsabilidad alguna.

Usted es el único responsable del uso de nuestros Servicios, y es responsable de asegurarse de que sus usuarios finales están debidamente informados sobre el tratamiento de sus datos por parte de nuestro Servicio.

Terminación del contrato

Tras la terminación o expiración de su Acuerdo con nosotros, eliminaremos y/o le entregaremos sus Datos de Cliente de conformidad con nuestra Política de Privacidad y los Términos de Servicio.

Representante en la Unión Europea

Para cumplir con las disposiciones del RGPD, hemos designado a un representante en materia de protección de datos de conformidad con el artículo 27. Nuestro representante en la UE actúa como punto de contacto para las autoridades de protección de datos y los interesados en asuntos relacionados con la protección de datos personales. Usted puede comunicarse con nuestro representante en la UE a través de los detalles de contacto proporcionados a continuación:

Representante en la UE: Qustodio Technologies, S.L.U. 
Dirección: Roger de Flor 193, bajos, 08013, Barcelona, España
Correo de contacto: dpo@qustodio.com

Anexo 1 – Cláusulas Contractuales Modelo

A continuación constan las Cláusulas Contractuales Modelo aprobadas por la Comisión Europea para transferencias internacionales de datos.

Responsable a encargado


SECCIÓN I 

Cláusula 1.- Finalidad y ámbito de aplicación 

  1. La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.

  2. Las partes:
    1. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «exportador de datos»), y
    2. la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»),
    han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).
  3. El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo 3 Tabla 3.
  4. El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del pliego.
Cláusula 2.- Efecto e invariabilidad de las cláusulas

  1. El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados. 

  2. El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3.- Terceros beneficiarios
  1. Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.
    1.  Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Cláusula 8.1(b), 8.9(a), (c), (d) y (e); 
    3. Cláusula 9(a), (c), (d) y (e); 
    4. Cláusula 12(a), (d) y (f);
    5. Cláusula 13;
    6. Cláusula 15.1(c), (d) y (e);
    7. Cláusula 16(e);
    8. Cláusula 18(a) y (b).
  2. Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.
Cláusula 4.- Interpretación
  1. Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento. 
  2. El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679. 
  3. El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.
Cláusula 5.- Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6.- Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el Anexo 3 tabla 3.

Cláusula 7.- Opcional

Omitida.


SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8.- Garantía en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.

8.1 Instrucciones 

  1. El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato. 
  2. El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones. 

8.2 Limitación de la finalidad 

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el Anexo 3 Tabla 3, salvo cuando siga instrucciones adicionales del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el anexo II y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.

8.4 Exactitud 

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos 

El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el Anexo 3 tabla 3. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6 Seguridad del tratamiento

  1. El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado. 
  2. El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. 
  3. En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida. 
  4. El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el Anexo 3 Tabla 3.

8.8 Transferencias ulteriores 

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si: 

  1. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior; 
  2. el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión; 
  3. si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o 
  4. si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física. 

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9 Documentación y conformidad

  1. El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas. 
  2. Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos. 
  3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos. 
  4. El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable. 
  5. Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías. 
Cláusula 9.- Uso de subencargados 

El importador de datos cuenta con la autorización general del exportador de datos para la contratación de uno o varios subencargados del tratamiento a partir de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con al menos 10 días de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados del tratamiento.

El importador de datos facilitará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.

  1. Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios ( 8 ). Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.
  2. El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.
  3. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato. 
  4. El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales. 
Cláusula 10.- Derechos del interesado
  1. El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo.
  2. El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida. 
  3. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del exportador de datos. 
Cláusula 11.- Reparación
  1. El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.
  2. En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos. 
  3. El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de:
    1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 13; 
    2. ejercitar una acción judicial en el sentido de la cláusula 18.
  4. Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679. 
  5. El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate. 
  6. El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.
Cláusula 12.- Responsabilidad
  1. Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas. 
  2. El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. 
  3. No obstante lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según proceda. 
  4. Las partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra c), de los daños o perjuicios causados por el importador de datos (o su subencargado), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos. 
  5. Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente. 
  6. Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.
  7. El importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad. 
Cláusula 13.- Supervisión

Cuando el exportador de datos esté establecido en un Estado miembro de la UE:] La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente. 

El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.


SECCIÓN III – DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS 

Cláusula 14.- Derecho y prácticas del país que afectan al cumplimiento de las Cláusulas
  1. Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
  2. Las partes declaran que, al aportar la garantía a que se refiere el apartado a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:
    1. las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;
    2. el Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables; 
    3. las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino. 
  3. El importador de datos asegura que, al llevar a cabo la valoración a que se refiere el apartado b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas. 
  4. Las partes acuerdan documentar la evaluación a que se refiere el apartado b) y ponerla a disposición de la autoridad de control competente previa solicitud. 
  5. El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a). 
  6. De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación [módulo tres:, si procede, tras consultar al responsable]. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone [módulo tres: el responsable o] la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e)
Cláusula 15.- Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1   Notificación 

  1. El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si: 
    1. recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o 
    2. tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.
  2. Si la legislación prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos. 
  3. En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.). 
  4. El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud. 
  5. Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.

15.2   Control de la legalidad y minimización de datos 

  1. El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos. 
  2. El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud. 
  3. El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud. 


SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16.- Incumplimiento de las cláusulas y resolución del contrato

  1. El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo. 

  2. En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f). 
  3. El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando: 
    1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión; 
    2. el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o 
    3. el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.
    En este supuesto, informará a la autoridad de supervisión competente [módulo tres: y al responsable] de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.

  4. Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos. Los datos personales recopilados por el exportador de datos en la UE que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán destruirse en su totalidad inmediatamente, así como cualquier copia de estos. El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.

  5. Cualquiera de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17.- Derecho aplicable 

El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de los terceros beneficiarios. Las partes acuerdan que sea la Ley de España.

Cláusula 18.- Elección del foto y jurisdicción 
  1. Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.
  2. Las partes acuerdan que sean los órganos jurisdiccionales de España.
  3. Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual.
  4. Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.

ANEXO 2 – Adenda sobre Transferencias internacionales de Datos y Cláusulas Contractuales Tipo de la RGPD del Reino Unido 

Adhesión a la presente Adenda

  1. Cada una de las Partes acepta quedar vinculada por los términos y condiciones establecidos en la presente Adenda, a cambio de que la otra Parte también acepte quedar vinculada. 
  2. Aunque el Anexo 1, cuadro 1, y la cláusula 7 de las CCT aprobados de la UE exigen la firma de las Partes, a efectos de realizar transferencias restringidas, las Partes podrán celebrar la presente Adenda de cualquier forma que los haga jurídicamente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo establecido en la presente Adenda. La suscripción de la presente Adenda tendrá el mismo efecto que la firma de las CCT aprobadas de la UE y de cualquier parte de las CCT aprobados de la UE.

Interpretación de la presente Adenda

  1. Cuando en esta Adenda se utilicen términos definidos en las CCT aprobadas de la UE, dichos términos tendrán el mismo significado que en las CCT aprobadas de la UE. Además, los siguientes términos tienen el siguiente significado:

Adenda

La presente Adenda sobre Transferencia Internacional de Datos, que se compone de la presente Adenda que incorpora las CCT de la UE incluidas en el Anexo 1.

Adenda CCT UE

La(s) versión(es) de las CCT aprobadas de la UE incluidas en el Anex1. 

Anexo de Información

Como se indica en el cuadro 2 del Anexo 3.

Garantías adecuadas

El nivel de protección de los datos personales y de los derechos de los interesados, exigido por las leyes de protección de datos del Reino Unido cuando se realiza una transferencia restringida basada en Cláusulas Contractuales Tipo de protección de datos en virtud del artículo 46, apartado 2, letra d), del RGPD del Reino Unido.

Adenda Aprobada

El modelo de Adenda emitida por la ICO y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, ya que se revisa en virtud de la Sección 18.

CCT aprobadas por la UE

Las Cláusulas Contractuales Tipo establecidas en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.

ICO

La Oficina de Comisario de Información.

Transferencia restringida

Una transferencia cubierta por el capítulo V del RGPD del Reino Unido.

REINO UNIDO

Reino Unido de Gran Bretaña e Irlanda del Norte.

Legislación británica sobre Protección de Datos

Todas las leyes relativas a la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluidos el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.

RGDP DEL REINO UNIDO

Según se define en la sección 3 de la Ley de Protección de Datos de 2018.

  1. La presente Adenda debe interpretarse siempre de forma coherente con la legislación británica en materia de protección de datos y de modo que cumpla la obligación de las Partes de proporcionar las garantías adecuadas.
  2. Si las disposiciones de la Adenda de las CCT de la UE modifican las CCT aprobadas de alguna manera que no esté permitida por las CCT de la UE aprobadas o la Adenda aprobada, dichas CCT de la UE aprobadas no se modificarán.
    La(s) enmienda(s) no se incorporará(n) a la presente Adenda y se sustituirá(n) por la(s) disposición(es) equivalente(s) de las CCT aprobadas de la UE.
  3. En caso de incoherencia o conflicto entre las leyes de Protección de Datos del Reino Unido y en la presente Adenda, se aplicarán las leyes de protección de datos del Reino Unido.
  4. Si el significado de esta Adenda no está claro o hay más de un significado, se aplicará el que más se ajuste a las leyes de Protección de Datos del Reino Unido.
  5. Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa que la legislación (o disposición específica), ya que puede cambiar con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, promulgada de nuevo y/o sustituida después de la celebración de la presente Adenda.

Jerarquía

  1. Aunque la cláusula 5 de la CCT  de LA UE de la Adenda establece que las CCT de la UE de la Adenda prevalecen sobre todos los acuerdos relacionados entre las partes, éstas acuerdan que, para las Transferencias Restringidas, prevalecerá la jerarquía de la Sección 10.
  2. En caso de incoherencia o conflicto entre la presente Adenda y la Adenda de CCE de la UE, la presente Adenda prevalecerá sobre la Adenda CCE UE, excepto cuando (y en la medida en que) los términos incoherentes o conflictivos de las CCT de la UE de la Adenda proporcionen una mayor protección a los interesados, en cuyo caso dichos términos prevalecerán sobre la presente Adenda.
  3. En caso de que la presente Adenda incorpore CCT de la UE de la Adenda que se hayan suscrito para proteger las transferencias sujetas al Reglamento general de protección de datos (UE) 2016/679, las Partes reconocen que nada de lo dispuesto en la presente Adenda afecta a dichos CCT de la UE de la Adenda.

Incorporación y modificaciones de las CCT de la UE

  1. Esta Adenda incorpora las CCT de la UE que se modifican en la medida necesaria para que:
    1. Se aplican conjuntamente a las transferencias de datos efectuadas por el exportador de datos al importador de datos, en la medida en que la legislación británica sobre Protección de Datos se aplique al tratamiento efectuado por el exportador de datos al realizar dicha transferencia, y ofrecen garantías adecuadas para esas transferencias de datos;
    2. Las Secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) de la CCT de la Adenda; y
    3. La presente Adenda (incluidas las CCT de la UE incorporados a la misma) (1) se rige por las leyes de Inglaterra y Gales y (2) cualquier litigio derivado del mismo se resolverá en los tribunales de Inglaterra y Gales, en cada caso, salvo que las Partes hayan elegido expresamente las leyes y/o tribunales de Escocia o Irlanda del Norte.
  2. A menos que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.
  3. No se podrán hacer enmiendas de las CCT de la UE de la Adenda que no sean para cumplir con los requisitos de la Sección 12.
  4. Se introducen las siguientes modificaciones en las CCT de la UE de la Adenda (a efectos de la Sección 12):
    1. Las referencias a las "Cláusulas" significan esta Adenda, incorporando las CCT de la UE de la Adenda;
    2. En la cláusula 2, suprímanse las palabras "y, con respecto a las transferencias de datos de responsables a encargados del tratamiento y/o encargados a encargados, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679";
    3. La cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por: "Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren) son los que se especifican en el Anexo 3, Tabla 3, cuando las leyes de Protección de Datos del Reino Unido se aplican al tratamiento del exportador de datos al realizar dicha transferencia.";
    4. La cláusula 8.8(i) se sustituye por: "la transferencia ulterior se efectúa a un país que se beneficia de la normativa de adecuación...". de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia ulterior;"
    5. Las referencias a "Reglamento (UE) 2016/679", "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)" y "dicho Reglamento" se sustituyen todas por "Leyes de protección de datos del Reino Unido". Referencias al artículo o artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o sección equivalente de las leyes de protección de datos del Reino Unido;
    6. Se eliminan las referencias al Reglamento (UE) 2018/1725;
    7. Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se sustituyen por "Reino Unido";
    8. Tanto la "autoridad de control competente" como la "autoridad de supervisión" se sustituyen por la "ICO";
    9. En la cláusula 16(e), la subsección (i) se reemplaza por: "el Secretario de Estado elabora reglamentos de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;";
    10. La cláusula 17 se sustituye por: "Estas Cláusulas se rigen por las leyes de Inglaterra y Gales";
    11. La cláusula 18 se sustituye por: "Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de Inglaterra y Gales. El interesado también podrá emprender acciones legales contra el exportador y/o importador de datos ante los tribunales de cualquier país de la Unión Europea el Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales"; y

Modificación de la presente Adenda

  1. Las Partes podrán acordar cambiar las Cláusulas 17 y/o 18 de las CCT de la UE de la Adenda para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.
  2. Si las Partes desean cambiar el formato de la información incluida en el Anexo 3, podrán hacerlo acordando el cambio por escrito, siempre que éste no reduzca las Salvaguardias Adecuadas.
  3. De vez en cuando, la ICO puede publicar una Adenda Aprobada revisada que:
    1. Introduce cambios razonables y proporcionados en la Adenda Aprobada, incluida la corrección de errores en la Adenda aprobada; y/o
    2. La Adenda Aprobada revisada especificará la fecha a partir de la cual entrarán en vigor los cambios de la Adenda Aprobada y si las Partes necesitan revisar esta Adenda, incluido el Apéndice de Información. Esta Adenda se modificará automáticamente según lo establecido en la Adenda Aprobada revisada a partir de la fecha de inicio especificada.
  4. Si la ICO emite una Adenda Aprobada revisada en virtud de la Sección 18, si alguna de las Partes seleccionadas en el Anexo 3 Tabla 4 "Finalización de la Adenda cuando cambie la Adenda Aprobada", como resultado directo de los cambios en la Adenda Aprobada tendrá un aumento sustancial, desproporcionado y demostrable de:
    1. sus costes directos de ejecución de sus obligaciones en virtud de la Adenda; y/o
    2. su riesgo en virtud de la Adenda,
    y, en cualquier caso, haya adoptado previamente medidas razonables para reducir dichos costes o riesgos de modo que no sean sustanciales y desproporcionado, entonces esa Parte podrá dar por terminado esta Adenda al final de un periodo de notificación razonable, notificando por escrito dicho periodo a la otra Parte antes de la fecha de inicio del Adenda Aprobada revisada.
  5. Las Partes no necesitan el consentimiento de terceros para introducir cambios en la presente Adenda, pero cualquier modificación deberá realizarse de conformidad con sus términos.

Anexo 3 - Tablas de datos


Cuadro 1: Partes
Fecha de inicio Como se describe en el Acuerdo con el cliente
Las Partes Exportador (que envía la transferencia restringida) Importador (que recibe la transferencia restringida)
Datos de las partes Como se describe en el Acuerdo con el cliente Qoria Ltd
Contacto  Como se describe en el Acuerdo con el cliente privacy@qoria.com
Firma (si es necesaria a efectos de la Sección 2) La firma de cada una de las partes del Acuerdo con el Cliente se considera firma del apéndice.
Cuadro 2: Información del apéndice

"Información del Apéndice" se refiere a la información que debe facilitarse para los módulos seleccionados según lo establecido en el Apéndice de las CCT aprobadas de la UE (distintas de las Partes), y que para la presente Adenda se establece en:

Lista de Partes: Como se indica más arriba
Descripción del traslado: Como se describe a continuación
Medidas técnicas y organizativas para garantizar la seguridad de los datos: Como se indica en el anexo 4
Lista de subencargados: Como se describe en https://qoria.com/privacy/sub-processor

Cuadro 3: Descripción de la transferencia
Categorías de interesados cuyos datos personales se transfieren Como se describe en el Acuerdo con el Cliente
Categorías de datos personales transferidos Como se describe en el Acuerdo con el Cliente
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, tales como por ejemplo, limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales. Como se indica en el anexo 4
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Base continua

Naturaleza del tratamiento

Tal y como se define en la política de privacidad de Qoria, disponible en www.qoria.com/privacy

Finalidad o finalidades de la transferencia y el tratamiento posterior de los datos

Tal y como se define en la política de privacidad de Qoria, disponible en www.qoria.com/privacy

El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo.

Tal y como se define en la política de privacidad de Qoria, disponible en www.qoria.com/privacy

Para las transferencias a subencargados, especifique también el objeto, la naturaleza y la duración del tratamiento.

Tal y como se define en la política de privacidad de Qoria y en la lista de subencargados disponible en www.qoria.com/privacy
 

Anexo 4 - Medidas técnicas y organizativas para garantizar la seguridad de los datos

Qoria (incluyendo Linewize, Smoothwall, Qustodio y Educator Impact) se toma muy en serio la privacidad y la seguridad de los datos de los clientes. Elegimos utilizar exclusivamente centros de datos Tier 1 proporcionados por Microsoft, Amazon y Google. Estos centros de datos nos facilitan el despliegue de seguridad y resistencia del más alto nivel.

Sus datos se encriptan en tránsito y en reposo cuando se almacenan en el centro de datos utilizando tecnologías de encriptación seguras estándar del sector.

Internamente, Qoria ha implantado el Marco de Ciberseguridad del NIST y exige a cualquier empresa con la que tratamos el mismo nivel de exigencia.

Garantías y prácticas de gestión de datos personales

Técnico

  • Cifrado de datos (en tránsito y en reposo)
  • Detección y respuesta de puntos finales.
  • Copias de seguridad.
  • Gestión de identidades y accesos.

Operativo

  • Centro de operaciones de seguridad.
  • Gestión de vulnerabilidades.
  • Gestión de incidentes.

Administrativo

  • Proceso de diseño seguro
  • Comprobación de los antecedentes de los empleados
  • Política de privacidad interna y externa
  • Formación de los empleados en materia de seguridad
  • Gestión del riesgo de los proveedores
  • Políticas de seguridad (por ejemplo, gestión de vulnerabilidades, clasificación de datos, gestión de riesgos de terceros, políticas de seguridad de usuarios y dispositivos, procedimiento DPIA).
  • Gestión de cuentas, mínimos privilegios y limitación del acceso a los datos de los clientes;
  • Tenemos una política de seguridad de cuentas de usuario que exige el uso de controles de seguridad como MFA, gestores de contraseñas y requisitos de complejidad de las contraseñas.
  • Tenemos una política de cuentas privilegiadas que exige que los administradores y los administradores de la nube creen cuentas de usuario y de servicio que cumplan las normas de seguridad, incluido el mínimo privilegio.
  • Tenemos una política de clasificación de datos que controla cómo se tratan, reproducen y eliminan.

Download To download this document as pdf please click here

 

Download To download this document in Spanish as a pdf please click here