Procesamiento de Datos
Introducción a este Acuerdo
Procesar los datos personales de forma segura, justa y transparente es extremadamente importante para nosotros en TaxDome. Como parte de este esfuerzo, procesamos los datos personales de acuerdo con las leyes de protección de datos de la Unión Europea, incluido el Reglamento General de Protección de Datos de la Unión Europea («GDPR»), y la Ley de Protección de Datos del Reino Unido (UK) de 2018 en la medida en que sea aplicable. También procesamos datos personales de conformidad con las leyes de protección de datos no pertenecientes a la UE que rigen el manejo de diversos tipos de datos personales, incluida la Ley de Privacidad del Consumidor de California («CCPA»), la Ley de Portabilidad y Responsabilidad del Seguro Médico («HIPAA») y el cumplimiento de la industria de tarjetas de pago («PCI»).
Para proteger mejor los datos personales de los individuos, proporcionamos estos términos para regir el tratamiento de datos personales por parte de TaxDome y de usted (la “Enmienda de procesamiento de datos” o «DPA»). Esta APD forma parte de las Condiciones del servicio («CdS») y las modifica, y no requiere ninguna acción adicional por su parte.
Si no está de acuerdo con este APD, puede dejar de utilizar el servicio TaxDome y cancelar su cuenta.
Definiciones
Es importante que todas las partes comprendan qué datos y de quién son protegido bajo este DPA. Cada parte tiene obligaciones respectivas para proteger los datos personales; por lo tanto, las siguientes definiciones explican el alcance de este DPA y los compromisos mutuos para proteger los datos personales.
«TaxDome», «nosotros», «nosotros», o «nuestro» se refiere al proveedor del sitio web y los servicios de TaxDome, (denominados colectivamente como el «Servicio de TaxDome»)..
«Usted» o «Cliente» hace referencia a la empresa u organización que se registra para utilizar el Servicio TaxDome para gestionar las relaciones con sus consumidores o usuarios del servicio.
«Parte» hace referencia a TaxDome y/o al cliente según el contexto.
«Personal» hace referencia a aquellas personas que son empleadas por o contratadas para realizar un servicio en nombre de una de las partes. El personal puede tener derechos sobre sus datos personales (incluida la información de contacto comercial) si reside en la Unión Europea. Es importante ser claro sobre cómo se protegen los derechos del personal.
«Subprocesador» es a Terceros, contratistas independientes, vendedores y proveedores que brindan servicios y productos específicos relacionados a el sitio web de TaxDome y nuestros servicios, como alojamiento, procesamiento de tarjetas de crédito y detección de fraudes, y alojamiento de listas de correo («de terceros» o «contratista externo» tendrán significados similares).
«Incidente» significa: (a) una queja o una solicitud con respecto al ejercicio de los derechos de una persona en virtud del RGPD; (b) una investigación o incautación de los datos personales por parte de funcionarios gubernamentales, o una indicación específica de que tal investigación o incautación es inminente; o © cualquier violación de la seguridad y/o confidencialidad según lo establecido en este DPA que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a, el datos personales, o cualquier indicio de que se haya producido o esté incumplimiento de tal incumplimiento.
Los términos, «Sujeto de datos», «Datos personales», «Miembro Estado», «Controlador», «Procesador» y «Procesamiento» tendrán el mismo significado que en el RGPD, y sus términos afines se interpretarán en consecuencia.
‘Ley de Protección de Datos’ hace referencia a toda la legislación aplicable relacionada con protección de datos y privacidad, incluido, entre otros, el RGPD, junto con cualquier ley nacional de implementación en cualquier Estado miembro de la Unión Europea o, a en la medida aplicable, en cualquier otro país, como modificado, derogado, consolidado o reemplazado de tiempo a tiempo
«SCC» se refiere a las cláusulas contractuales estándar para procesadores como aprobadas por la Comisión Europea o Autoridad Federal de Protección de Datos de Suiza (según corresponda).
En aras de la legibilidad, no usamos la inicial mayúsculas de términos definidos en este DPA. Los términos definidos son términos definidos, independientemente de su formato.
1. Compromisos en materia de datos personales
1.1 Cada una de las partes acuerda que los datos personales se tratarán como información confidencial en virtud del presente APD. Además, cada una de las partes cumplirá en todo momento la legislación aplicable en materia de protección de datos en la jurisdicción pertinente con respecto a los datos personales de la otra parte.
1.2 Los datos personales seguirán siendo propiedad de la parte que los divulgue. TaxDome reconoce que el cliente es el controlador y mantiene el control sobre los datos personales del interesado.
1.3 TaxDome procesará los datos personales del cliente solo en la medida estrictamente necesaria para prestar los servicios de acuerdo con las Condiciones de servicio y cualquier otra instrucción escrita del cliente que se acuerde mutuamente por escrito. Los detalles del procesamiento de datos personales según lo dispuesto en el artículo 28 (3) del RGPD se establecen en el Anexo B. TaxDome acepta que:
1.3.1 implantará y mantendrá un programa de seguridad razonable y apropiado que incluya medidas de seguridad, técnicas y organizativas adecuadas para proteger contra el tratamiento no autorizado, ilícito o accidental, el uso, el borrado, la pérdida o la destrucción de los datos personales de los clientes, o los daños causados a los mismos;
1.3.2 no modificará, alterará, eliminará, publicará ni revelará datos personales de clientes a terceros, ni permitirá que terceros traten dichos datos personales en nombre de TaxDome, a menos que el tercero esté obligado a disposiciones similares de confidencialidad y tratamiento de datos;
1.3.3 TaxDome se asegurará de que el acceso a los datos personales esté limitado al personal que necesite dicho acceso para cumplir sus obligaciones en virtud de las condiciones de servicio, y de que el personal encargado del tratamiento de datos personales esté informado de la naturaleza confidencial de los datos personales, haya recibido la formación adecuada sobre sus responsabilidades y haya firmado acuerdos de confidencialidad por escrito. TaxDome se asegurará de que dichas obligaciones de confidencialidad perduren tras la finalización de la relación con el personal; y
1.3.4 sólo tratará los datos personales del cliente en la medida en que sea necesario para cumplir sus obligaciones en virtud de las CDS, siguiendo instrucciones escritas del cliente (sólo de mutuo acuerdo) y de conformidad con la legislación aplicable.
1.4 Tras la cancelación de su cuenta, TaxDome eliminará o, a petición del cliente, devolverá todos los datos personales de acuerdo con nuestra política estándar de copia de seguridad y retención según las CDS, normalmente, en un plazo no superior a 90 días, a menos que estemos obligados a conservar los datos personales debido a la legislación de la Unión, de los Estados miembros o de los Estados Unidos; en cuyo caso TaxDome se reserva el derecho a conservar los datos personales.
1.5 Las partes reconocen que los clientes pueden, en ocasiones, estar en posesión de datos personales relativos al personal de TaxDome en relación con el uso del Servicio TaxDome. TaxDome garantiza que ha proporcionado a dicho personal todas las notificaciones necesarias y ha obtenido todos los consentimientos, autorizaciones, aprobaciones y/o acuerdos necesarios según lo exija cualquier ley aplicable para permitir: (i) la divulgación de los datos personales del personal de TaxDome al cliente en relación con el uso del Servicio TaxDome por parte del cliente; y (ii) el procesamiento posterior de dichos datos personales de TaxDome por parte del cliente con el fin de utilizar el Servicio TaxDome.
2. Compromisos con respecto a los subprocesadores
2.1 Las partes reconocen que TaxDome puede involucrar subprocesadores de terceros en conexión con las obligaciones de los Términos de servicio. Para cualquier subprocesador con el que se relacione TaxDome, celebraremos un acuerdo por escrito que contiene obligaciones de protección de datos no menos protectores que los de esta enmienda y como necesarios para proteger los datos personales del cliente para el estándar requerido por el RGPD
2.2 TaxDome pondrá a disposición de clientes la lista actual de subprocesadores por publicar esa lista en línea en: https://www.taxdome.com/es-es/policies/sub-processors/.
2.3 Para evitar dudas, la autorización anterior para el compromiso de subprocesadores constituye el consentimiento previo por escrito del cliente’para el subprocesamiento por parte de TaxDome para propósitos de Cláusula 9 de las Cláusulas Contractuales Tipo.
3. Compromisos de los clientes y asistencia de TaxDome
3.1 El cliente garantiza que tiene todos los derechos necesarios para proporcionar a TaxDome los datos personales para su procesamiento en en relación con la prestación de los Servicios de TaxDome.
3.2 En la medida en que lo exija la legislación aplicable, el cliente es responsable de garantizar que se obtengan los consentimientos de los interesados que puedan ser necesarios para este procesamiento y de garantizar que se mantenga un registro de dichos consentimientos, incluido cualquier consentimiento para utilizar datos personales que se obtenga de terceros. En caso de que un interesado revoque dicho consentimiento, el cliente será responsable de comunicar el hecho de dicha revocación a TaxDome, y TaxDome seguirá siendo responsable de aplicar cualquier instrucción del cliente con respecto al tratamiento posterior de dichos datos personales, o bien, según corresponda, de conformidad con cualquiera de las obligaciones legales de TaxDome.
3.3 El cliente entiende, como controlador, que es responsable (entre el cliente y TaxDome) de:
3.3.1 determinar la legalidad de cualquier procesamiento, realizar cualquier evaluación de impacto de protección de datos requerida y rendir cuentas a reguladores e individuos, según pueda ser necesario;
3.3.2 hacer esfuerzos razonables para verificar el consentimiento de los padres cuando se recopilen datos de sujetos de datos menores de 16 años de edad;
3.3.3 proporcionar avisos de privacidad relevantes a sujetos de datos, ya que puede ser obligatorio en su jurisdicción, incluida la notificación de sus derechos y proporcione los mecanismos para que las personas ejercer esos derechos;
3.3.4 responder a solicitudes de personas sobre sus datos y el procesamiento de los mismos, incluidas las solicitudes a modificar, corregir o borrar datos personales y proporcionar copias de los datos reales procesada;
3.3.5 implementar sus propias medidas técnicas y organizativas apropiadas para garantizar y demostrar el procesamiento en de acuerdo con este DPA;
3.3.6 notificar cualquier incidente a particulares y a cualquier regulador o autoridad pertinente, según lo exija la legislación de su jurisdicción.
3.4 TaxDome ayudará al cliente implementando medidas técnicas y organizativas apropiadas, en la medida en que esto sea razonable y comercialmente posible, en cumplimiento de las obligaciones del cliente con responder a solicitudes de personas a ejercer los derechos bajo el RGPD.
3.5 TaxDome ayudará al cliente mediante la implementación de medidas técnicas y organizativas adecuadas, en la medida en que esto sea razonable y comercialmente posible, para garantizar el cumplimiento de los artículos 32 a 36 (inclusive) de la RGDP.
3.6 Cada año, TaxDome realizará una auditoría independiente de su código base y sus sistemas por parte de terceros independientes para demostrar el cumplimiento de sus obligaciones en virtud de este Acuerdo de colaboración en materia de datos. A petición del cliente, y con sujeción a las obligaciones de confidencialidad, TaxDome pondrá a disposición del cliente la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones de TaxDome en virtud del presente APD. Como mínimo, previa solicitud por escrito, TaxDome proporcionará al cliente un resumen ejecutivo de cualquier informe de auditoría de terceros relativo a la idoneidad de las medidas de seguridad técnica de TaxDome descritas en el Política de seguridad.
4. Gestión de Incidente
4.1 Cuando cualquiera de las partes se entera de un incidente que afecta el procesamiento de datos personales, notificará de inmediato a la otra parte sobre el incidente y cooperará razonablemente para permitir que la otra parte lleve a cabo una investigación exhaustiva del incidente, para formular una respuesta correcta y tomar las medidas adicionales adecuadas en con respecto a el incidente.
4.2 Ambas partes deberán en tener siempre en procedimientos escritos que les permitan responde rápidamente a el otro sobre un incidente. Cuando el incidente es razonablemente probable que requiera una violación de datos notificación conforme a las leyes aplicables, la parte responsable del incidente notificará a la otra sin demora indebida de haber tenido conocimiento de tal un incidente .
4.3 Todas las notificaciones realizadas en virtud de esta sección se enviarán a help@taxdome.com (cuando se envíen a TaxDome) y a nuestro punto de contacto con usted (cuando se envíen al cliente), y contendrán lo siguiente (i) una descripción de la naturaleza de la incidencia, incluidas, cuando sea posible, las categorías y el número aproximado de personas afectadas y las categorías y el número aproximado de registros afectados; (ii) el nombre y los datos de contacto de el punto de contacto donde se puede obtener más información iii) una descripción de las posibles consecuencias del incidente; y iv) una descripción de las medidas adoptadas o que se propone adoptar para hacer frente al incidente, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos.
5. Responsabilidad e Indemnización
5.1 Responsabilidad de cada parte hacia la otra parte bajo o en la conexión con este DPA será limitada en de acuerdo con las disposiciones de los términos de servicio.
5.2 El cliente reconoce que TaxDome depende del cliente para recibir instrucciones sobre la medida en que TaxDome tiene derecho a procesar los datos personales del cliente en nombre del cliente en el desempeño de los Servicios. En consecuencia, TaxDome no será responsable en virtud de los TdS de ninguna reclamación presentada por un sujeto de datos derivada de cualquier acción u omisión de TaxDome, en la medida en que dicha acción u omisión sea consecuencia de las instrucciones del cliente o del incumplimiento por parte del cliente de sus obligaciones en virtud de la ley de protección de datos aplicable.
6. Incumplimiento y Terminación
6.1 Este DPA entrará en vigor el 1 de enero de 2022 y continuará hasta que es cambiado o terminado en de acuerdo con el TdS.
6.2 La terminación o caducidad de este DPA no liberará a las partes de las obligaciones de confidencialidad del presente.
7. International Data Transfers
7.1 Ubicaciones de centros de datos. El cliente reconoce que TaxDome puede transferir y procesar datos personales a y en los Estados Unidos y en cualquier otro lugar de el mundo donde TaxDome, sus afiliados o sus subprocesadores mantienen operaciones de procesamiento de datos. TaxDome deberá en garantizar en todo momento que dichas transferencias se realicen cumpliendo con los requisitos de Leyes de Protección de Datos.
7.2 Transferencias de datos europeos. En la medida en que TaxDome sea destinatario de datos personales protegidos por las leyes de protección de datos de la Unión Europea («Datos de la Unión Europea»), las partes acuerdan que TaxDome ponga a su disposición los mecanismos que se indican a continuación:
7.2.1 CCE: TaxDome acepta acatar y procesar los Datos de la Unión Europea de conformidad con los CCE, que se incorporan en su totalidad por referencia y forman parte integral de este APD. A los efectos de las CEC:
7.2.1.1 TaxDome acepta que es el «importador de datos» y el cliente es el «exportador de datos” en virtud de los CCE (a pesar de que el propio cliente pueda ser una entidad ubicada fuera de la Unión Europea);
7.2.1.2 El Anexo B incluye las CEC y los apéndices relacionados Las partes acuerdan además que las CEC se aplicarán a los datos personales que se transfieran a través del Servicio desde Europa a fuera de Europa, ya sea directamente o mediante transferencia ulterior, a cualquier país o destinatario: (a) que no esté reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de los datos personales (tal como se describe en la Ley de Protección de Datos de la Unión Europea)
7.2.2 Si y en la medida en que las Cláusulas contractuales estándar (cuando corresponda) entran en conflicto con cualquier disposición de este DPA, las Cláusulas contractuales estándar prevalecerán en en la medida de dicho conflicto.
Términos específicos de la jurisdicción
1. En la medida en que TaxDome procese datos personales procedentes de una de las jurisdicciones enumeradas en el anexo A y protegidos por las leyes de protección de datos de dicha jurisdicción, se aplicarán los términos especificados en el anexo A con respecto a la jurisdicción o jurisdicciones aplicables («Términos específicos de la jurisdicción»), además de los términos de este Acuerdo de colaboración en materia de datos. En caso de conflicto o ambigüedad entre las Condiciones específicas de la jurisdicción y cualquier otra condición de este Acuerdo, prevalecerán las Condiciones específicas de la jurisdicción, pero sólo en la medida en que las Condiciones específicas de la jurisdicción sean aplicables a TaxDome.
Anexo A — Términos específicos de la jurisdicción
Brasil
1. Tras la entrada en vigor de la Ley General de Protección de Datos de Brasil, Lei Geral de Proteção de Dados («LGPD»), se aplicará lo siguiente: cada parte es responsable de cumplir con sus respectivas obligaciones establecidas en la LGPD, y el Cliente solo emitirá instrucciones de Tratamiento, según lo establecido en la Sección 1 (Compromisos relativos a los datos personales) del APD, que permitan a TaxDome cumplir con sus obligaciones de LGPD. A efectos de la Sección 7 (Transferencias internacionales de datos), se utilizarán las Cláusulas Contractuales Tipo para las transferencias a Países No Adecuados según el RGPD.
California
1. Las definiciones de: «controlador» incluye «Negocios»; «procesador» incluye «Proveedor de servicios»; «sujeto de datos» incluye «Consumidor»; «datos personales» incluye «Información personal»; en cada caso, como se define en CCPA.
2. «Proceso,» «Procesado» o «Procesamiento» significa cualquier operación o conjunto de operaciones que se realizan en Información personal, o en conjuntos de Información personal, ya sea por medios automatizados.
3. Las obligaciones de TaxDome en relación con las solicitudes de los interesados, descritas en las secciones 3(d) y 3(e) (derechos y cooperación de los interesados) del presente APD, se aplican a los derechos del Consumidor en virtud de la CCPA.axDome’s obligations regarding data subject requests, as described in Section 3(d) and 3(e) (data subject rights and cooperation) of this DPA, apply to Consumer’s rights under the CCPA.
4. Sin perjuicio de cualquier disposición en contrario, la Información personal del Cliente es la Información personal que TaxDome procesa en nombre del Cliente en virtud del Acuerdo. TaxDome puede Procesar la Información personal del Cliente con el único propósito de cumplir con sus obligaciones en virtud del Acuerdo y no utilizará la Información personal del Cliente para ningún otro propósito sin el consentimiento expreso por escrito del Cliente. En particular, TaxDome no deberá: (i) vender, según se se definido en la CCPA, Información personal del cliente o compartir Información personal del cliente con terceros sin el permiso del Cliente; (ii) retener, el Cliente o divulgar la Información personal del Cliente para cualquier propósito que no sea el especificado en este Acuerdo, incluida la retención, el uso o divulgar la Información personal del Cliente para un propósito comercial que no sea para prestar sus servicios al Cliente; y (iii) retener, usar o divulgar Información personal del Cliente fuera de TaxDome’la relación comercial con el Cliente. Las partes reconocen que cualquier divulgación de Información personal del Cliente de conformidad con el Acuerdo no confiere ningún valor en virtud del Acuerdo.
5. TaxDome deberá cumplir con todos los requisitos aplicables de la CCPA en el desempeño de sus obligaciones en virtud del Acuerdo, incluida la implementación y el mantenimiento de medidas de seguridad razonables apropiadas para la naturaleza de la Información personal, en para proteger la información personal del cliente del acceso no autorizado, destrucción, uso, modificación o divulgación. TaxDome se compromete a reparar cualquier daño que cualquier persona pueda sufrir debido al Tratamiento realizado en violación de sus obligaciones legales, reglamentarias y contractuales, excepto si TaxDome prueba que no es responsable de tales daños.
6. TaxDome puede desidentificar o agregar datos personales como parte de prestar el Servicio especificado en este DPA y el Acuerdo.
7. Cuando los subprocesadores procesan los datos personales de nuestros clientes, TaxDome toma medidas para asegurarse de que dichos subprocesadores sean Proveedores bajo la CCPA con quienes TaxDome ha celebrado un contrato por escrito que incluye términos sustancialmente similares a este DPA o están exentos de la definición de CCPA de «venta». TaxDome lleva a cabo la debida diligencia adecuada en sus subprocesadores.
Canadá
1. TaxDome toma medidas para garantizar que los subprocesadores de TaxDome, como descrito en la Sección 2 de del DPA, son terceros bajo PIPEDA, con quienes TaxDome ha celebrado un contrato por escrito que incluye términos sustancialmente similares a este DPA. TaxDome lleva a cabo la debida diligencia adecuada en sus subprocesadores.
2. TaxDome implementará y mantendrá medidas de seguridad razonables adecuadas a la naturaleza de la Información Personal como se establece en la Sección 1 de la DPA.
Serbia
1. Ley de Protección de Datos Personales (Zakon o zaštiti podataka o ličnosti; Boletín Oficial de la República de Serbia, no 87/2018).
Reino Unido
1. El Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la Unión Europea) de 2019, en su versión modificada, sustituida o reemplazada, una vez que entre en vigor, y la Ley de Protección de Datos del Reino Unido de 2018.he Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019, as amended, superseded or replaced, once entering into force, and the UK Data Protection Act 2018.
Anexo B — Cláusulas contractuales tipo (Procesadores)
Sección 1
Claúsula 1
Propósito y alcance
1. La finalidad de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (Unión Europea) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) para la transferencia de datos personales a un tercer país.
2. Las partes:
a. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) o otro(s) organismo(s) (en adelante ‘entidad/es’) que transfieren los datos personales, como enumerados en Anexo I.A (en adelante, cada ‘exportador de datos’), y
b. la(s) entidad(es) en un tercer país que recibe los datos personales del exportador de datos, directamente o indirectamente a través de otra entidad que también es Parte de estas Cláusulas, como enumeradas en Anexo I.A (en adelante cada ‘importador de datos’)
3. Han aceptado estas cláusulas contractuales estándar (en adelante: ‘Cláusulas’).
4. Las presentes Cláusulas se aplican a la transferencia de datos personales especificados en el Anexo I.B.
5. El Apéndice de estas Cláusulas que contienen los Anexos a los que se hace referencia forman un parte integral de estas Cláusulas.
Claúsula 2
Efecto e invariabilidad de las Cláusulas
1. Las presentes Cláusulas establecen garantías adecuadas, incluidos derechos exigibles de los interesados y recursos jurídicos efectivos, de conformidad con el artículo 46, apartados 1 y 2, © del Reglamento (Unión Europea) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados y/o encargados a encargados, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (Unión Europea) 2016/679, siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información en el apéndice. Ello no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
2. Estas Cláusulas se entienden sin perjuicio de las obligaciones con que el exportador de datos es sujeto por en virtud del Reglamento (Unión Europea) 2016/679.
Claúsula 3
Terceros beneficiarios
1. Los interesados pueden invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador y/o importador de datos, con las siguientes excepciones:
a. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
b. Cláusula 8.1(b), 8.9(a), ©, (d) y (e);
c. Cláusula 9(a), ©, (d) y (e);
d. Cláusula 12(a), (d) y (f);
e. Claúsula 13;
f. Claúsula 15.1(c), (d) y (e);
g. Claúsula 16(e);
h. Claúsula 18(a) y (b).
2. El párrafo (a) es sin perjuicio de los derechos de datos sujetos bajo el Reglamento (Unión Europea) 2016/679.
Claúsula 4
Interpretación
1. Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (Unión Europea) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
2. Estas Cláusulas serán leídas e interpretadas en a la luz de las disposiciones del Reglamento (Unión Europea) 2016/679.
3. Estas Cláusulas no serán interpretadas de una manera que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (Unión Europea) 2016/679.
Claúsula 5
Jerarquía
En el evento de una contradicción entre estas Cláusulas y el disposiciones de acuerdos relacionados entre las Partes, existentes en en el momento en que se acuerdan estas Cláusulas o suscritos posteriormente, prevalecerán estas Cláusulas.
Claúsula 6
Descripción de la(s) transferencia(s)
En el evento de una contradicción entre estas Cláusulas y el disposiciones de acuerdos relacionados entre las Partes, existentes en en el momento en que se acuerdan estas Cláusulas o suscritos posteriormente, prevalecerán estas Cláusulas.
Claúsula 7 – Opcional
Cláusula de acoplamiento
1. Una entidad que es no una parte de estas Cláusulas podrán, con el acuerdo de las Partes, adherirse a estas Cláusulas en en cualquier momento, ya sea como un exportador de datos o como un importador de datos, por completando el Apéndice y firmando el Anexo I.A.
2. Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de estas Cláusulas y tiene los derechos y obligaciones de un exportador de datos o importador de datos en de acuerdo con su designación en Anexo I.A.
3. La entidad adherente no tendrá derechos ni obligaciones derivados de estas Cláusulas desde el periodo anterior a convertirse en Parte.
Sección 2 – Obligaciones de las Partes
Claúsula 8
Garantías de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, a través de la implementación de medidas técnicas y organizativas apropiadas, para cumplir con sus obligaciones en virtud de estos Cláusulas.
8.1 Instrucciones
1. El importador de datos procesará los datos personales solo según las instrucciones documentadas del exportador de datos. El exportador de datos puede dar dichas instrucciones durante la duración de del contrato.
2. El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.
8.2 Limitación de propósito
El importador de datos procesará los datos personales solo para los fines específicos de la transferencia, como establecido en Anexo I.B, a menos que en haya más instrucciones del exportador de datos.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia de las presentes cláusulas, incluido el apéndice completado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del apéndice de las presentes cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el interesado no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (Unión Europea) 2016/679.
8.4 Precisión
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora injustificada. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.
8.5 Duración del procesamiento y borrado o devolución de datos
El tratamiento por parte del importador de datos sólo tendrá lugar durante el tiempo especificado en el Anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos deberá, a elección del exportador de datos, suprimir todos los datos personales tratados en nombre de el exportador de datos y certificar al exportador de datos que lo ha hecho, o devolver al exportador de datos todos los datos personales tratados en su nombre y eliminar las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o la eliminación de los datos personales, el importador de datos garantiza que seguirá garantizando el cumplimiento de las presentes cláusulas y que sólo los tratará en la medida y durante el tiempo que lo exija la legislación local. Esto es sin perjuicio de la Cláusula 14, en particular el requisito de que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la duración de el contrato si tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de la cláusula 14(a).
8.6 Securidad de Procesamiento
1. El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a dichos datos (en lo sucesivo, “violación de los datos personales”). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos que entraña el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de esa manera. En el caso de la seudonimización, la información adicional para atribuir los datos personales a un interesado concreto permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En el cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que dichas medidas sigan proporcionando un nivel adecuado de seguridad.
2. El importador de datos concederá acceso a los datos personales a los miembros de su personal sólo en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Se asegurará de que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad.
3. En caso de violación de los datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora injustificada tras haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, medidas para atenuar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información de que se disponga en ese momento y, posteriormente, a medida que se vaya disponiendo de ella, se facilitará más información sin dilaciones indebidas.
4. El importador de datos cooperará y asistirá al exportador de datos para permitir que el exportador de datos cumpla con sus obligaciones en virtud del Reglamento (Unión Europea) 2016/679, en particular a notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta las naturaleza del procesamiento y la información disponible para el importador de datos.
8.7 Data confidencial
Cuando la transferencia se refiera a datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos o biométricos destinados a identificar de manera unívoca a una persona física, los datos relativos a la salud o a la vida sexual de una persona o a su orientación sexual (en lo sucesivo, “datos”); datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, “datos sensibles”), el importador de datos aplicará las restricciones específicas o las garantías adicionales descritas en el anexo I. B.
8.8 Transferencias posteriores
El importador de datos sólo revelará los datos personales a un tercero bajo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán ser revelados a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo “el importador de datos”); otro tercer país, en adelante ‘transferencia ulterior’) si el tercero es o acepta estar obligado por estas Cláusulas, , en el marco del Módulo correspondiente, o si:
1. la transferencia posterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (Unión Europea) 2016/679 que cubre la transferencia posterior;
2. el tercero garantiza las garantías adecuadas de conformidad con los artículos 46 o 47 Reglamento de (Unión Europea) 2016/679 con respecto a El tratamiento en pregunta;
3. la transferencia posterior es necesaria para el establecimiento, ejercicio o defensa de reclamos legales en el contexto de específicos administrativos, reglamentarios o procedimientos judiciales; o
4. la transferencia posterior es necesaria en para proteger lo vital intereses de el interesado o de otra persona física.
Cualquier transferencia posterior es sujeta al cumplimiento por parte de el importador de datos con todas las demás salvaguardas bajo estas Cláusulas, en limitación de propósito particular.
8.9 Documentación y cumplimiento
1. El importador de datos deberá atender de manera rápida y adecuada las consultas del exportador de datos relacionadas con el procesamiento en virtud de estas Cláusulas.
2. Las Partes serán capaces de demostrar el cumplimiento de estas Cláusulas. En en particular, el importador de datos conservará la documentación adecuada sobre las actividades de procesamiento llevadas a cabo en en nombre de el exportador de datos.
3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas y, a petición del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento contempladas en las presentes cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
4. El exportador de datos podrá optar por realizar la auditoría él mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.
5. Las Partes harán la información referida a en párrafos (b) y ©, incluidos los resultados de cualquier auditoría, disponible para la autoridad supervisora competente en solicitud.
Claúsula 9
Uso de subprocesadores
1. AUTORIZACIÓN GENERAL POR ESCRITO El importador de datos tiene la autorización general’del exportador de datos para la contratación de subprocesador(es) de una lista acordada. El importador de datos deberá informar específicamente al exportador de datos en escrito de cualquier cambio previsto en esa lista mediante la adición o sustitución de subprocesadores en al menos diez (10) días con avance, lo que le da al exportador de datos tiempo suficiente para ser capaz de objetar a dichos cambios antes de la participación de los subprocesadores. El importador de datos proporcionará al exportador de datos la información necesaria para permitir que el exportador de datos ejerza su derecho a objeto.
2. Cuando el importador de datos contrate a un subencargado para llevar a cabo actividades específicas de tratamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas ACTIVE/110240378. 1 7 Cláusulas, incluso en términos de derechos de terceros beneficiarios para los sujetos de los datos. 1 Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos se asegurará de que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.
3. El importador de datos deberá proporcionar, en la solicitud del exportador de datos’, un copia de como un acuerdo de subprocesador y cualquier enmienda posterior a el exportador de datos. Para en la medida necesaria para proteger los secretos comerciales u otra información confidencial información, incluidos datos personales, el importador de datos puede redactar el texto de el acuerdo antes de compartir un copia.
4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho contrato.
5. El importador de datos acordará una cláusula de beneficiario de terceros con el subprocesador mediante la cual — en el caso de que el importador de datos haya desaparecido de hecho, dejó de existir en ley o se ha vuelto insolvente — el exportador de datos tendrá derecho a rescindir el contrato del subprocesador y a instruir al subprocesador para borrar o devolver los datos personales.
Claúsula 10
Derechos de los interesados
1. El importador de datos notificará de inmediato al exportador de datos de cualquier solicitud que haya recibido de un sujeto de datos. no responderá a esa solicitud a menos que tenga sido autorizado a hacer entonces por el exportador de datos.
2. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (Unión Europea) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.
3. En cumpliendo sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos deberá cumplir con las instrucciones del exportador de datos.
Claúsula 11
Desagravio
1. El importador de datos informará a los interesados en a formato transparente y de fácil acceso, a través de notificación individual o en su sitio web, de a punto de contacto autorizado para manejar quejas. tratará con prontitud cualquier queja que reciba de un sujeto de datos.
2. En caso de una disputa entre un titular de los datos y una de las Partes como respecto al cumplimiento de estas Cláusulas, que La Parte hará todo lo posible para resolver el problema de manera amistosa en a moda oportuna. Las Partes se mantendrán mutuamente informadas sobre dichas disputas y, cuando ACTIVE/110240378.1 8 corresponda, cooperarán para resolverlas.
a. presentar una reclamación ante la autoridad de control en el Estado miembro de su residencia habitual o su lugar de trabajo, o la autoridad de control competente en virtud de la cláusula 13;
b. remitir el litigio a los tribunales competentes en el sentido de la cláusula 18.
3. Cuando el interesado invoque un derecho de beneficiario de un tercero de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del sujeto de datos de:
4. Las Partes aceptan que el interesado pueda ser representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80.1 del Reglamento (Unión Europea) 2016/679.
5. El importador de datos deberá cumplir con una decisión que es vinculante en virtud de la legislación aplicable de la Unión Europea o de los Estados miembros.
6. El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a buscar recursos en de acuerdo con las leyes aplicables.
Claúsula 12
Responsabilidad
1. Cada Parte será responsable ante la/s otra/s Parte/s por cualquier daño causa a la otra Parte/s por cualquier incumplimiento de estas Cláusulas.
2. El importador de datos será responsable ante el sujeto de los datos, y el sujeto de los datos tendrá derecho a recibir compensación, por cualquier daño material o no material que el importador de datos o su subprocesador cause al sujeto de los datos al infringir los derechos de terceros beneficiarios en virtud de estas Cláusulas.
3. No obstante lo dispuesto en el apartado b), el exportador de datos será responsable ante el interesado, y éste tendrá derecho a recibir una indemnización, por cualquier daño material o no material que el exportador de datos o el importador de datos (o su subencargado) cause al interesado por la infracción de los derechos de terceros beneficiarios en virtud de las presentes Cláusulas. Ello se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (Unión Europea) 2016/679 o del Reglamento (Unión Europea) 2018/1725, según proceda.
4. Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo de los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.
5. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.
6. Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo de los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.
7. El importador de datos no puede invocar la conducta de a subprocesador a evita su propia responsabilidad.
Claúsula 13
Supervisión
1. Donde el exportador de datos es establecido en y EU Estado miembro: la autoridad de control responsable de garantizar el cumplimiento por el exportador de datos del Reglamento (Unión Europea) 2016/679 en cuanto a la transferencia de datos, tal y como se indica en el Anexo I.C, actuará como autoridad de control competente.
La autoridad de control de el Estado miembro en en el que el representante en el sentido de Artículo 27(1) de Reglamento (UE) 2016/679 , como indicado en Anexo I.C, actuará como autoridad de control competente. La autoridad supervisora de uno de los Estados miembros en que los interesados cuyos datos personales se transferidos en virtud de estas Cláusulas en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento es monitoreado, se ubican, como indicado en el Anexo I.C, actuará como autoridad de control competente.
2. El importador de datos acepta enviarse a la jurisdicción de y cooperar con la autoridad de control competente en cualquier procedimiento destinado a garantizar el cumplimiento de estas Cláusulas. En en particular, el importador de datos acepta responder a consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. deberá proporcionar a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.
Sección 3— Leyes y obligaciones locales en caso de acceso por autoridades públicas
Claúsula 14
Leyes y prácticas locales que afectan el cumplimiento de las Cláusulas
1. Las Partes garantizan que no tienen ninguna razón para creer que las leyes y prácticas en el tercer país de destino aplicable al procesamiento de datos personales por parte del importador de datos, incluidos los requisitos para divulgar datos personales o;medidas que autorizan el acceso por parte de las autoridades públicas, impiden que el importador de datos cumpla con sus obligaciones en virtud de estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respeten la esencia de los derechos y libertades fundamentales y no excedan lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en;El Artículo 23(1) del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.
2. Las Partes declaran que al proporcionar la garantía en párrafo (a), han tenido debidamente en cuenta en particular de los siguientes elementos:
a. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de actores involucrados y los canales de transmisión utilizados; transferencias ulteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;
b. las leyes y prácticas de el tercer país de destino— incluyendo aquellas que requieran la divulgación de datos a autoridades públicas o que autoricen acceso por parte de tales autoridades — relevantes en a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables;
c. las leyes y prácticas de el tercer país de destino— incluyendo aquellas que requieran la divulgación de datos a autoridades públicas o que autoricen acceso por parte de tales autoridades — relevantes en a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables;
3. El importador de datos garantiza que, al llevar a cabo la evaluación conforme al párrafo (b), ha hecho todo lo posible para proporciona al exportador de datos información relevante y acepta que continuará con cooperar con el exportador de datos en para garantizar el cumplimiento de estas Cláusulas.
4. Las Partes acuerdan documentar la evaluación conforme al párrafo (b) y ponerla a disposición de la autoridad supervisora competente a solicitud.
5. El importador de datos se compromete a notificar al exportador de datos con prontitud si, después de haber aceptado estas Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está sujeto a las leyes. o prácticas no en línea con los requisitos del párrafo (a), incluido después de un cambio en las leyes de el tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de tales leyes en la práctica que no está en línea con los requisitos del párrafo (a).
6. Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda en virtud de la presente Cláusula, se aplicará la Cláusula 16 (d) y (e).
Claúsula 15
Obligaciones del importador de datos en caso de acceso de las autoridades públicas
15.1 Notificación
1. El importador de datos acepta notificar al exportador de datos y, cuando sea posible, al interesado de inmediato (si es necesario con la ayuda de el exportador de datos) si :
a. recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, según las leyes de el país de destino de la divulgación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, el fundamento jurídico de la solicitud y la respuesta brindada; o
b. toma conocimiento de cualquier acceso directo por parte de autoridades públicas a datos personales transferidos en virtud de estas Cláusulas de conforme a las leyes del país de destino; dicha notificación deberá incluir toda la información disponible para el importador.
2. Si el importador de datos tiene prohibido notificar al exportador de datos y/o al interesado según las leyes del país de destino, el importador de datos acepta hacer todo lo posible para obtener una exención de la prohibición, con el objetivo de comunicar la mayor cantidad de información posible, tan pronto como sea posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrar a solicitud del exportador de datos.
3. Cuando lo permitan las leyes de el país de destino, el importador de datos acepta proporcione al exportador de datos, en intervalos regulares durante la duración de el contrato, con como tanta información relevante como posible en las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad solicitante /ies, si las solicitudes han sido impugnadas y el resultado de tales impugnaciones, etc.).
4. El importador de datos acepta conservar la información de conformidad con párrafos (a) a © durante la duración de el contrato y ponerlo a disposición de la autoridad supervisora competente en solicitud.
5. Los párrafos (a) a © se entienden sin perjuicio de la obligación de el importador de datos de conformidad con la cláusula 14(e) y la Cláusula 16 a informar al exportador de datos de inmediato cuando no pueda cumplir con estas Cláusulas.
15.2 Revisión de legalidad y minimización de datos
1. El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de las facultades otorgadas a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, concluye que existen motivos razonables para considerar que la solicitud es ilegal con arreglo a las leyes del país de destino y a los principios del Derecho internacional aplicables; concluye que existen motivos razonables para considerar que la solicitud es ilegal en virtud de la legislación del país de destino, de las obligaciones aplicables en virtud del Derecho internacional y de los principios de cortesía internacional. En las mismas condiciones, el importador de datos podrá interponer recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que sea requerido para ello en virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos con arreglo a la cláusula 14, letra e).
2. El importador de datos acepta documentar su evaluación legal y cualquier objeción a la solicitud de divulgación y, a en la medida permitida por las leyes de el país de destino, haga la documentación disponible para el exportador de datos. también lo pondrá a disposición de la autoridad de control competente en solicitud.
3. El importador de datos acepta proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, en base a una interpretación razonable de la solicitud.
Sección 4 — Disposiciones Finales
Claúsula 16
Incumplimiento de las Cláusulas y resolución
1. El importador de datos informará sin demora al exportador de datos si no puede cumplir estas Cláusulas, por cualquier motivo.
2. En el caso de que el importador de datos sea en incumplimiento de estas Cláusulas o incapaz de cumplir con estas Cláusulas, el el exportador de datos suspenderá la transferencia de datos personales a el importador de datos hasta que el cumplimiento sea nuevamente asegurado o el contrato es rescindido. Esta es sin perjuicio de la Cláusula 14(f)
3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiere al procesamiento de datos personales en virtud de estas Cláusulas, donde:
a. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se restablezca el cumplimiento de las presentes cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;
b. el importador de datos incumple de forma sustancial o persistente las presentes cláusulas; o
c. el importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes cláusulas.
4. En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa
5. Los datos personales que hayan sido transferidos antes de la terminación del contrato de conformidad con el párrafo © a elección del exportador de datos serán inmediatamente devueltos al exportador de datos o eliminados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos deberá certificar la eliminación de los datos al exportador de datos. Hasta que los datos sean borrados o devueltos, el importador de datos deberá continuar asegurando el cumplimiento de estas Cláusulas. En caso de que existan leyes locales aplicables al importador de datos que prohíban la devolución o la eliminación de los datos personales transferidos, el importador de datos garantiza que continuará garantizando el cumplimiento de estas Cláusulas y solo procesará los datos para;en la medida y por el tiempo que sea requerido por la ley local.
6. Cualquiera de las Partes puede revocar su acuerdo de estar obligado por estos Cláusulas en las que (i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, de Reglamento (UE) 2016/679 que regula la transferencia de datos personales a que aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pasa a formar parte del marco jurídico de el país al al que se transfieren los datos personales . Esto es sin perjuicio de otras obligaciones que se aplican a el procesamiento en la pregunta del Reglamento (UE) 2016/679.
Claúsula 17
Ley que rige
Estas Cláusulas estarán regidas por la ley de una de los Estados miembros de la UE, siempre que dicha ley permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de Irlanda.
Claúsula 18
Elección de foro y jurisdicción
1. Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de un Estado miembro de la UE
2. Las Partes acuerdan que serán los tribunales de Irlanda.
3. Un sujeto de datos también puede iniciar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de el Estado miembro. en donde tenga su residencia habitual.
4. Las Partes acuerdan someterse a la jurisdicción de tales tribunales
Apéndice
Anexo I
A. Lista de partes
EXPORTADOR DE DATOS (CLIENTE) | IMPORTADOR DE DATOS (TAXDOME) | |
NOMBRE DE LA EMPRESA | TaxDome, LLC | |
DIRECCIÓN | 1178 Broadway, New York, NY 10001 | |
NOMBRE, CARGO Y DATOS DE LA PERSONA DE CONTACTO | Victor Radzinsky, CEO
dpo@taxdome.com |
|
FIRMA Y FECHA | ||
ROL: | Controlador | Procesor |
Actividades relevantes para los datos transferidos bajo estas cláusulas: Ver Anexo I.B
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de sujetos de datos cuyos datos personales se transferidos
Los datos personales se refieren a los usuarios finales de nuestros clientes.
Categorías de datos personales transferidos
La plataforma TaxDome atiende a una amplia base de clientes y usuarios finales que abarca todo el espectro de industrias. TaxDome no controla ni limita la materia que los usuarios finales de nuestros clientes envían a través del uso de nuestra herramienta. Teniendo en cuenta esto, la naturaleza del producto y el papel de TaxDome como procesador, no es posible hacer un inventario de una lista absoluta de categorías de datos ingeridos y procesados. TaxDome procesa datos que podrían incluir, entre otros: nombre, edad, sexo, género, situación familiar, dirección, nivel educativo, estilo de vida y hábitos, dirección IP y datos de localización, satisfacción del cliente, profesión, situación laboral, datos de uso y grabaciones de imágenes (foto digital o vídeo).
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias ulteriores o medidas de seguridad adicionales.
TaxDome trata datos que podrían incluir, entre otras, las siguientes categorías especiales de datos: datos sanitarios, datos genéticos, origen racial y étnico, orientación y/o hábitos sexuales, opinión política, afiliación o creencias religiosas, afiliación no política o no sindical, condenas e infracciones penales.
La frecuencia de la transferencia (por ejemplo, si los datos se se transfieren en una única o base continua).
Los datos personales se ingieren de forma continua.
Naturaleza de el procesamiento
Los datos personales se introducen mediante el uso diario de la plataforma. Los datos pueden ser introducidos manualmente por los clientes de TaxDome o de forma automatizada a través de los registros de la plataforma. Los datos se almacenan en la base de datos de producción de TaxDome.
Propósito(s) de la transferencia de datos y el procesamiento posterior
Los datos personales se procesan con el propósito de brindar el servicio TaxDome y respaldar el sitio web de TaxDome y los servicios de la plataforma.
El período durante el cual los datos personales serán retenidos o, si , será no es posible, los criterios utilizados para determinan ese período
El tema y la duración de el procesamiento de los datos personales se establecen en las Condiciones del servicio .
Para las transferencias a (sub) procesadores, especifique también el tema, la naturaleza y la duración de el procesamiento
TaxDome utiliza los subprocesadores que se encuentran en línea en https://www.taxdome.com/es-es/policies/sub-processors/ al prestar servicios a sus clientes. La lista especifica el tema y la naturaleza de las actividades de procesamiento realizadas por TaxDome’s subprocesadores y mecanismo de transferencia de datos aplicable.
C. AUTORIDAD DE SUPERVISIÓN COMPETENTE
Identifique la/s autoridad/es de control competente en de conformidad con la Cláusula 13
Ubicación del representante del Exportador de datos/Exportador de datos’en la UE /Ubicación de la mayor base de clientes de Data Exporter’
Anexo II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
Las medidas técnicas y organizativas adoptadas por TaxDome para proteger los datos personales transferidos fuera del EEE a un país no adecuado están publicadas y disponibles en: https://www.taxdome.com/es-es/policies/security/.
Última actualización November 10, 2023