Anexo sobre protección de datos

El Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos (RGPD) es una normativa de la Unión Europea (UE) sobre protección de datos y privacidad para todas las personas dentro de la UE. Entró en vigor el 25 de mayo de 2018 y se aplica a todas las organizaciones que recopilan, almacenan y/o procesan datos personales de la UE.

En Konveio LLC, valoramos la privacidad y la transparencia, y queremos que nuestros clientes sepan que Konveio ha tomado todas las medidas necesarias para cumplir con estas regulaciones. Con ese fin, hemos creado este Anexo de procesamiento de datos («DPA»), que describe nuestras prácticas de procesamiento de datos.

¿Necesita una copia firmada? Contáctenos.

Anexo sobre protección de datos

El presente Anexo sobre protección de datos («Anexo») forma parte de los Términos y condiciones («Acuerdo principal»,«Acuerdo») entre: (i) Konveio LLC («Proveedor»), que actúa en su propio nombre y como agente de cada una de las filiales del Proveedor; y (ii) usted, el Cliente («Empresa»), que actúa en su propio nombre y como agente de cada una de las filiales de la Empresa.

Los términos utilizados en este Anexo tendrán los significados establecidos en el mismo. Los términos en mayúsculas que no se definan en el presente documento tendrán el significado que se les atribuye en el Acuerdo Principal. Salvo las modificaciones que se indican a continuación, los términos del Acuerdo Principal seguirán teniendo plena vigencia y efecto.

En consideración a las obligaciones mutuas establecidas en el presente documento, las partes acuerdan que los términos y condiciones que se establecen a continuación se añadirán como anexo al acuerdo principal. Salvo que el contexto requiera lo contrario, las referencias en este anexo al acuerdo principal se refieren al acuerdo principal modificado por este anexo, incluido este.

1. Definiciones

1.1 En este Anexo, los siguientes términos tendrán los significados que se indican a continuación y los términos afines se interpretarán en consecuencia:

1.1.1«Leyes aplicables» se refiere a (a) las leyes de los Estados Unidos o de la Unión Europea o de los Estados miembros con respecto a cualquier dato personal de la empresa en relación con el cual cualquier miembro del grupo empresarial esté sujeto a las leyes de protección de datos de la UE; y (b) cualquier otra ley aplicable con respecto a cualquier dato personal de la empresa en relación con el cual cualquier miembro del grupo empresarial esté sujeto a cualquier otra ley de protección de datos.

1.1.2«Filial de la empresa» significa una entidad que posee o controla, es propiedad o está controlada por, o está bajo el control o la propiedad común de la empresa, donde el control se define como la posesión, directa o indirecta, del poder de dirigir o provocar la dirección de la gestión y las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otro modo.

1.1.3«Miembro del grupo empresarial» se refiere a laEmpresa o cualquier filial de la Empresa.

1.1.4«Datos personales de la empresa» se refiere a cualquier dato personal tratado por un encargado del tratamiento contratado en nombre de un miembro del grupo empresarial de conformidad con el acuerdo principal o en relación con él.

1.1.5 «Procesador contratado» significa el proveedor o un subprocesador.

1.1.6«Leyes de protección de datos» se refiere a las leyes de protección de datos de la UE, las leyes de protección de datos de los Estados Unidos y, en la medida en que sea aplicable, las leyes de protección de datos o privacidad de cualquier otro país.

1.1.7 «EEE» significa el Espacio Económico Europeo;

1.1.8«Leyes de protección de datos de la UE» se refiere a la Directiva 95/46/CE de la UE, tal y como se ha transpuesto a la legislación nacional de cada Estado miembro y tal y como se ha modificado, sustituido o reemplazado periódicamente, incluyendo el RGPD y las leyes que implementan o complementan el RGPD.

1.1.9«RGPD» significa el Reglamento General de Protección de Datos de la UE 2016/679;

1.1.10 «Transferencia restringida» significa:

1.1.10.1 una transferencia de Datos personales de la empresa desde cualquier miembro del grupo empresarial a un encargado del tratamiento contratado; o

1.1.10.2 una transferencia posterior de Datos personales de la empresa de un Encargado del tratamiento contratado a otro Encargado del tratamiento contratado, o entre dos establecimientos de un Encargado del tratamiento contratado,

en cada caso, cuando dicha transferencia esté prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos) en ausencia de las Cláusulas Contractuales Estándar que se establecerán en virtud de la sección 6.4.3 o 12 a continuación;

1.1.11«Servicios» se refiere a los servicios y otras actividades que se prestarán o llevarán a cabo por o en nombre del Vendedor para los Miembros del Grupo de la Empresa de conformidad con el Acuerdo Principal.

1.1.12«Cláusulas contractuales tipo» se refiere a las cláusulas contractuales establecidas en el Anexo 2, modificadas según se indica (entre corchetes y en cursiva) en dicho Anexo y en la sección 13.4.

1.1.13«Subencargado del tratamiento» significa cualquier persona (incluidos terceros y afiliados del proveedor, pero excluidos los empleados del proveedor o cualquiera de sus subcontratistas) designada por o en nombre del proveedor o cualquier afiliado del proveedor para tratar datos personales en nombre de cualquier miembro del grupo empresarial en relación con el contrato principal; y

1.1.14«Afiliado del proveedor» se refiere a una entidad que posee o controla, es propiedad o está controlada por el proveedor, o está bajo el control o la propiedad común del proveedor, donde el control se define como la posesión, directa o indirecta, del poder de dirigir o provocar la dirección de la gestión y las políticas de una entidad, ya sea a través de la propiedad de valores con derecho a voto, por contrato o de otro modo.

1.2 Los términos«Comisión»,«responsabledel tratamiento»,«interesado»,«Estado miembro»,«datos personales»,«violación de datos personales»,«tratamiento» y«autoridad de control» tendrán el mismo significado que en el RGPD, y sus términos afines se interpretarán en consecuencia.

1.3 La palabra«incluir» se interpretará en el sentido de «incluir sin limitación», y los términos afines se interpretarán en consecuencia.

2. Autoridad

El Proveedor garantiza y declara que, antes de que cualquier Afiliado del Proveedor procese Datos Personales de la Empresa en nombre de cualquier Miembro del Grupo de la Empresa, la incorporación del Proveedor a este Anexo como agente y en nombre de dicho Afiliado del Proveedor habrá sido debidamente y efectivamente autorizada (o ratificada posteriormente) por dicho Afiliado del Proveedor.

3. Tratamiento de los datos personales de la empresa

3.1 El Proveedor y cada una de las Filiales del Proveedor deberán:

3.1.1 cumplir con todas las leyes de protección de datos aplicables en el tratamiento de los datos personales de la empresa; y

3.1.2 No tratar los Datos Personales de la Empresa salvo que así lo indiquen las instrucciones documentadas del Miembro del Grupo Empresarial correspondiente, a menos que el Tratamiento sea exigido por las Leyes Aplicables a las que esté sujeto el Encargado del Tratamiento contratado, en cuyo caso el Proveedor o la Filial del Proveedor correspondiente, en la medida en que lo permitan las Leyes Aplicables, informará al Miembro del Grupo Empresarial correspondiente de dicho requisito legal antes de proceder al Tratamiento de dichos Datos Personales.

3.2 Cada miembro del grupo empresarial:

3.2.1 instruye al Proveedor y a cada Afiliado del Proveedor (y autoriza al Proveedor y a cada Afiliado del Proveedor a instruir a cada Subprocesador) a:

3.2.1.1 Procesar los datos personales de la empresa; y

3.2.1.2 en particular, transferir los Datos Personales de la Empresa a cualquier país o territorio,

en la medida en que sea razonablemente necesario para la prestación de los Servicios y de conformidad con el Contrato Principal; y

3.2.2 garantiza y declara que está y seguirá estando en todo momento debidamente y efectivamente autorizado para dar las instrucciones establecidas en la sección 3.2.1 en nombre de cada una de las filiales pertinentes de la empresa.

3.3 El Anexo 1 de este Apéndice establece cierta información relativa al Tratamiento de los Datos Personales de la Empresa por parte de los Encargados del Tratamiento Contratados, tal y como exige el artículo 28(3) del RGPD (y, posiblemente, requisitos equivalentes de otras Leyes de Protección de Datos). La Empresa podrá realizar modificaciones razonables al Anexo 1 mediante notificación por escrito al Proveedor cuando lo considere razonablemente necesario para cumplir con dichos requisitos. Nada de lo dispuesto en el Anexo 1 (incluidas las modificaciones introducidas de conformidad con la presente sección 3.3) confiere ningún derecho ni impone ninguna obligación a ninguna de las partes del presente Anexo.

4. Personal del proveedor y de las filiales del proveedor

El proveedor y cada uno de sus afiliados tomarán las medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a los Datos Personales de la Empresa, asegurándose en cada caso de que el acceso se limite estrictamente a aquellas personas que necesiten conocer/acceder a los Datos Personales de la Empresa pertinentes, en la medida en que sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir con las Leyes Aplicables en el contexto de las obligaciones de dicha persona con el Procesador Contratado, asegurándose de que todas esas personas estén sujetas a compromisos de confidencialidad u obligaciones profesionales o legales de confidencialidad.

5. Seguridad

5.1 Teniendo en cuenta el estado actual de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Proveedor y cada uno de los Afiliados del Proveedor, en relación con los Datos Personales de la Empresa, implementarán las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluidas, según proceda, las medidas a que se refiere el artículo 32, apartado 1, del RGPD.

5.2 Al evaluar el nivel adecuado de seguridad, el Proveedor y cada una de las Filiales del Proveedor tendrán en cuenta, en particular, los riesgos que plantea el Tratamiento, especialmente los derivados de una Violación de los Datos Personales.

6. Subprocesamiento

6.1 Cada miembro del grupo empresarial autoriza al proveedor y a cada afiliado del proveedor a designar (y permitir que cada subencargado del tratamiento designado de conformidad con la sección 6 designe) subencargados del tratamiento de conformidad con la sección 6 y cualquier restricción del contrato principal.

6.2 El Proveedor y cada una de las Filiales del Proveedor podrán seguir utilizando los Subencargados del tratamiento ya contratados por el Proveedor o cualquier Filial del Proveedor en la fecha de la presente Adenda, siempre que el Proveedor y cada una de las Filiales del Proveedor, en cada caso, cumplan lo antes posible las obligaciones establecidas en la sección 6.4.

6.3 El Proveedor se esforzará por notificar previamente por escrito a la Empresa el nombramiento de cualquier nuevo Subencargado del tratamiento, incluyendo todos los detalles del tratamiento que llevará a cabo el Subencargado del tratamiento. Si, en un plazo de 14 días a partir de la recepción de dicha notificación, la Empresa comunica por escrito al Proveedor cualquier objeción (por motivos razonables) al nombramiento propuesto:

6.3.1 El Proveedor colaborará de buena fe con la Empresa para introducir un cambio comercialmente razonable en la prestación de los Servicios que evite el uso de ese Subencargado del tratamiento propuesto; y

6.3.2 Cuando dicho cambio no pueda realizarse en un plazo de 31 días a partir de la recepción por parte del Proveedor de la notificación de la Empresa, sin perjuicio de lo dispuesto en el Acuerdo Principal, la Empresa podrá, mediante notificación por escrito al Proveedor, rescindir con efecto inmediato el Acuerdo Principal en la medida en que se refiera a los Servicios que requieran el uso del Subencargado del tratamiento propuesto.

6.4 Con respecto a cada subencargado del tratamiento, el proveedor o la filial pertinente del proveedor deberá:

6.4.1 antes de que el subencargado del tratamiento procese por primera vez los datos personales de la empresa (o, cuando proceda, de conformidad con la sección 6.2), llevar a cabo la debida diligencia adecuada para garantizar que el subencargado del tratamiento es capaz de proporcionar el nivel de protección de los datos personales de la empresa exigido por el contrato principal;

6.4.2 garantizar que el acuerdo entre, por un lado, (a) el Vendedor, o (b) la Filial del Vendedor pertinente, o (c) el Subencargado del tratamiento intermediario pertinente; y, por otro lado, el Subencargado del tratamiento, se rija por un contrato escrito que incluya condiciones que ofrezcan al menos el mismo nivel de protección de los Datos personales de la Empresa que las establecidas en la presente Adenda y que cumplan los requisitos del artículo 28, apartado 3, del RGPD;

6.4.3 Proporcionar a la Empresa, para su revisión, las copias de los acuerdos de los Procesadores Contratados con los Subprocesadores (que podrán ser editadas para eliminar información comercial confidencial no relevante para los requisitos de este Anexo) que la Empresa pueda solicitar ocasionalmente.

6.5 El Proveedor y cada una de las Filiales del Proveedor se asegurarán de que cada Subencargado del tratamiento cumpla con las obligaciones establecidas en las secciones 3.1, 4, 5, 7.1, 8.2, 9 y 11.1, en la medida en que sean aplicables al Tratamiento de Datos Personales de la Empresa llevado a cabo por dicho Subencargado del tratamiento, como si fuera parte de este Anexo en lugar del Proveedor.

7. Derechos del interesado

7.1 Teniendo en cuenta la naturaleza del Tratamiento, el Proveedor y cada Afiliado del Proveedor ayudarán a cada Miembro del Grupo de Empresas mediante la implementación de medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de las obligaciones de los Miembros del Grupo de Empresas, según lo entiende razonablemente la Empresa, de responder a las solicitudes de ejercicio de los derechos de los Interesados en virtud de las Leyes de Protección de Datos.

7.2 El proveedor deberá:

7.2.1 notificar inmediatamente a la Empresa si cualquier Procesador Contratado recibe una solicitud de un Interesado en virtud de cualquier Ley de Protección de Datos con respecto a los Datos Personales de la Empresa; y

7.2.2 garantizar que el Encargado del tratamiento contratado no responda a dicha solicitud, salvo que lo haga siguiendo las instrucciones documentadas de la Empresa o de la Filial pertinente de la Empresa, o según lo exijan las Leyes aplicables a las que esté sujeto el Encargado del tratamiento contratado, en cuyo caso el Proveedor, en la medida en que lo permitan las Leyes aplicables, informará a la Empresa de dicho requisito legal antes de que el Encargado del tratamiento contratado responda a la solicitud.

8. Violación de datos personales

8.1 El Proveedor notificará a la Empresa sin demora injustificada en cuanto él o cualquier Subencargado del tratamiento tenga conocimiento de una Violación de datos personales que afecte a los Datos personales de la Empresa, proporcionando a la Empresa información suficiente para que cada Miembro del grupo empresarial pueda cumplir con cualquier obligación de notificar o informar a los Interesados sobre la Violación de datos personales en virtud de las Leyes de protección de datos.

8.2 El proveedor cooperará con la empresa y con cada miembro del grupo empresarial y tomará las medidas comerciales razonables que le indique la empresa para ayudar en la investigación, mitigación y reparación de cada una de estas violaciones de datos personales.

9. Evaluación del impacto sobre la protección de datos y consulta previa

El proveedor y cada uno de sus afiliados prestarán asistencia razonable a cada miembro del grupo empresarial en cualquier evaluación del impacto de la protección de datos y en las consultas previas con las autoridades de control u otras autoridades competentes en materia de protección de datos que la empresa considere razonablemente necesarias para cualquier miembro del grupo empresarial en virtud de los artículos 35 o 36 del RGPD o de disposiciones equivalentes de cualquier otra ley de protección de datos, en cada caso únicamente en relación con el tratamiento de los datos personales de la empresa por parte de los encargados del tratamiento contratados, y teniendo en cuenta la naturaleza del tratamiento y la información de que disponen dichos encargados. los encargados del tratamiento contratados.

10. Eliminación de los datos personales de la empresa

10.1 Con sujeción a lo dispuesto en las secciones 10.2 y 10.3, el Proveedor y cada una de las Filiales del Proveedor deberán, sin demora y, en cualquier caso, en un plazo de 14 días a partir de la fecha de cese de cualquier Servicio que implique el Tratamiento de Datos Personales de la Empresa (la«Fecha de Cese»), eliminar y procurar la eliminación de todas las copias de dichos Datos Personales de la Empresa.

10.2 Con sujeción a lo dispuesto en la sección 10.3, la Empresa podrá, a su entera discreción, mediante notificación por escrito al Proveedor en un plazo de 30 días a partir de la Fecha de Cese, exigir al Proveedor y a cada una de las Filiales del Proveedor que (a) devuelvan una copia completa de todos los Datos Personales de la Empresa a la Empresa mediante una transferencia segura de archivos en el formato que la Empresa notifique razonablemente al Proveedor; y (b) eliminen y procuren la eliminación de todas las demás copias de los Datos Personales de la Empresa Tratados por cualquier Encargado del Tratamiento Contratado. El Proveedor y cada una de las Filiales del Proveedor deberán cumplir con dicha solicitud por escrito en un plazo de 30 días a partir de la Fecha de Cese.

10.3 Cada Procesador Contratado podrá conservar los Datos Personales de la Empresa en la medida en que lo exijan las Leyes Aplicables y solo en la medida y durante el período que exijan las Leyes Aplicables, siempre y cuando el Proveedor y cada Afiliado del Proveedor garanticen la confidencialidad de todos esos Datos Personales de la Empresa y se aseguren de que dichos Datos Personales de la Empresa solo se Procesen cuando sea necesario para los fines especificados en las Leyes Aplicables que exigen su almacenamiento y para ningún otro fin.

10.4 El Proveedor deberá proporcionar a la Empresa una certificación por escrito de que tanto él como cada una de sus Filiales han cumplido íntegramente con lo dispuesto en la sección 10 en un plazo de 30 días a partir de la Fecha de Cese.

11. Derechos de auditoría

11.1 Con sujeción a lo dispuesto en la sección 11.2, el Proveedor y cada una de las Filiales del Proveedor pondrán a disposición de cada Miembro del Grupo de la Empresa, previa solicitud, toda la información necesaria para demostrar el cumplimiento del presente Anexo, y permitirán y contribuirán a las auditorías, incluidas las inspecciones, realizadas por cualquier Miembro del Grupo de la Empresa o por un auditor designado por cualquier Miembro del Grupo de la Empresa en relación con el Tratamiento de los Datos Personales de la Empresa por parte de los Encargados del Tratamiento Contratados.

11.2 Los derechos de información y auditoría de los miembros del grupo de la empresa solo se derivan de la sección 11.1 en la medida en que el acuerdo principal no les otorgue otros derechos de información y auditoría que cumplan los requisitos pertinentes de la ley de protección de datos (incluido, cuando proceda, el artículo 28, apartado 3, letra h), del RGPD).

12. Transferencias restringidas

12.1 Con sujeción a lo dispuesto en la sección 12.3, cada miembro del grupo de empresas (en calidad de «exportador de datos») y cada encargado del tratamiento contratado, según proceda (en calidad de «importador de datos») celebran por la presente las cláusulas contractuales tipo con respecto a cualquier transferencia restringida de dicho miembro del grupo de empresas a dicho encargado del tratamiento contratado.

12.2 Las Cláusulas Contractuales Tipo entrarán en vigor, con arreglo a lo dispuesto en la sección 12.1, en la fecha más tardía de las siguientes:

12.2.1 el exportador de datos se convierta en parte de ellos;

12.2.2 el importador de datos se convierta en parte de ellos; y

12.2.3 inicio de la Transferencia Restringida correspondiente.

12.3 La sección 12.1 no se aplicará a una transferencia restringida, salvo que su efecto, junto con otras medidas de cumplimiento razonablemente viables (que, para evitar dudas, no incluyen la obtención del consentimiento de los interesados), sea permitir que la transferencia restringida pertinente se lleve a cabo sin infringir la legislación aplicable en materia de protección de datos.

13. Condiciones generales

LEY APLICABLE Y JURISDICCIÓN

13.1 Sin perjuicio de lo dispuesto en las cláusulas 7 (Mediación y jurisdicción) y 9 (Legislación aplicable) de las cláusulas contractuales tipo:

13.1.1 Las partes del presente Anexo se someten a la jurisdicción estipulada en el Acuerdo Principal con respecto a cualquier controversia o reclamación que surja en relación con el presente Anexo, incluidas las controversias relativas a su existencia, validez o rescisión o las consecuencias de su nulidad.

13.1.2 El presente Anexo y todas las obligaciones no contractuales o de otro tipo que se deriven del mismo o estén relacionadas con él se regirán por las leyes del país o territorio estipulado a tal efecto en el Contrato Principal.

ORDEN DE PRECEDENCIA

13.2 Nada de lo dispuesto en este Anexo reduce las obligaciones del Proveedor o de cualquier Afiliado del Proveedor en virtud del Acuerdo Principal en relación con la protección de Datos Personales ni permite al Proveedor o a cualquier Afiliado del Proveedor Tratar (o permitir el Tratamiento de) Datos Personales de una manera que esté prohibida por el Acuerdo Principal. En caso de conflicto o inconsistencia entre este Anexo y las Cláusulas Contractuales Tipo, prevalecerán las Cláusulas Contractuales Tipo.

13.3 Con sujeción a lo dispuesto en la sección 13.2, en lo que respecta al objeto del presente Anexo, en caso de inconsistencia entre las disposiciones del presente Anexo y cualquier otro acuerdo entre las partes, incluido el Acuerdo Principal y incluidos (salvo que se acuerde expresamente lo contrario por escrito, firmado en nombre de las partes) los acuerdos celebrados o que se pretenda celebrar después de la fecha del presente Anexo, prevalecerán las disposiciones del presente Anexo.

CAMBIOS EN LAS LEYES DE PROTECCIÓN DE DATOS, ETC.

13.4 La empresa podrá:

13.4.1 mediante notificación por escrito al Vendedor con al menos 30 (treinta) días naturales de antelación, realizar ocasionalmente cualquier modificación de las Cláusulas Contractuales Tipo (incluidas las Cláusulas Contractuales Tipo acordadas en virtud de la sección 12.1), en la medida en que se apliquen a las Transferencias Restringidas que estén sujetas a una Ley de Protección de Datos concreta, que sean necesarias, como resultado de cualquier cambio en dicha Ley de Protección de Datos o de cualquier decisión de una autoridad competente en virtud de la misma, para permitir que dichas Transferencias Restringidas se realicen (o continúen realizándose) sin infringir dicha Ley de Protección de Datos; y

13.4.2 proponer cualquier otra modificación a este Anexo que la Empresa considere razonablemente necesaria para cumplir con los requisitos de cualquier Ley de Protección de Datos.

13.5 Si la Empresa envía una notificación en virtud de la sección 13.4.1:

13.5.1 El Proveedor y cada Afiliado del Proveedor cooperarán sin demora (y se asegurarán de que cualquier Subencargado del tratamiento afectado coopere sin demora) para garantizar que se introduzcan variaciones equivalentes en cualquier acuerdo establecido en virtud de la sección 6.4.3; y

13.5.2 La Empresa no rechazará ni retrasará injustificadamente el acuerdo sobre cualquier modificación consecuente de este Anexo propuesta por el Proveedor para proteger a los Procesadores Contratados contra riesgos adicionales asociados con las modificaciones realizadas en virtud de la sección 13.4.1 o 13.5.1.

13.6 Si la Empresa envía una notificación conforme a la sección 13.4.2, las partes discutirán sin demora las modificaciones propuestas y negociarán de buena fe con el fin de acordar y aplicar dichas modificaciones o modificaciones alternativas diseñadas para satisfacer los requisitos identificados en la notificación de la Empresa tan pronto como sea razonablemente posible.

13.7 Ni la Empresa ni el Proveedor requerirán el consentimiento o la aprobación de ninguna Filial de la Empresa o Filial del Proveedor para modificar este Anexo de conformidad con la sección 13.5 o de cualquier otra forma.

INDEMNIZACIÓN POR DESPIDO

13.8 Si alguna disposición de este Anexo fuera inválida o inaplicable, el resto del Anexo seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) modificada según sea necesario para garantizar su validez y aplicabilidad, preservando al mismo tiempo las intenciones de las partes en la medida de lo posible o, si esto no fuera posible, (ii) interpretada de manera que la parte inválida o inaplicable nunca hubiera estado incluida en el mismo.

Anexo 1: Cláusulas contractuales tipo

CLÁUSULAS CONTRACTUALES TIPO (ENCARGADOS DEL TRATAMIENTO)

A los efectos del artículo 26, apartado 2, de la Directiva 95/46/CE, para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.

ANTECEDENTES

El exportador de datos ha firmado un anexo sobre el tratamiento de datos («DPA») con el importador de datos. De conformidad con los términos del DPA, se contempla que los servicios prestados por el importador de datos implicarán la transferencia de datos personales al importador de datos. El importador de datos se encuentra en un país que no garantiza un nivel adecuado de protección de datos. Para garantizar el cumplimiento de la Directiva 95/46/CE y la legislación aplicable en materia de protección de datos, el responsable del tratamiento acepta la prestación de dichos Servicios, incluido el tratamiento de datos personales incidentales a los mismos, siempre que el importador de datos cumpla y respete los términos de las presentes Cláusulas.

CLÁUSULA 1

DEFINICIONES

A los efectos de las Cláusulas:

• ««datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
• «el exportador de datos»: el responsable del tratamiento que transfiere los datos personales;
• «el importador de datos»: el encargado del tratamiento que acepta recibir del exportador de datos datos personales destinados a ser tratados en su nombre tras la transferencia, de conformidad con sus instrucciones y con las condiciones de las cláusulas, y que no está sujeto al sistema de un tercer país que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
• «subencargado del tratamiento»: cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del tratamiento del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del tratamiento del importador de datos datos personales destinados exclusivamente a actividades de tratamiento que se llevarán a cabo en nombre del exportador de datos tras la transferencia, de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
• «la legislación aplicable en materia de protección de datos»: la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad en lo que respecta al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que está establecido el exportador de datos;
• «Medidas de seguridad técnicas y organizativas»: medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento.

CLÁUSULA 2

DETALLES DE LA TRANSFERENCIA

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando proceda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.

CLÁUSULA 3

CLÁUSULA DE TERCEROS BENEFICIARIOS

1. El interesado puede exigir al exportador de datos el cumplimiento de la presente cláusula, la cláusula 4, letras b) a i), la cláusula 5, letras a) a e) y g) a j), la cláusula 6, apartados 1 y 2, la cláusula 7, la cláusula 8, apartado 2, y las cláusulas 9 a 12, en calidad de tercero beneficiario.
2. El interesado puede exigir al importador de datos el cumplimiento de la presente cláusula, la cláusula 5, letras a) a e) y g), la cláusula 6, la cláusula 7, la cláusula 8, apartado 2, y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por imperativo legal, como resultado de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá exigir su cumplimiento a dicha entidad.
3. El interesado puede exigir al subencargado del tratamiento el cumplimiento de la presente cláusula, de la cláusula 5, letras a) a e) y g), de la cláusula 6, de la cláusula 7, de la cláusula 8, apartado 2, y cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir legalmente o se hayan declarado insolventes, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, como resultado de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá exigir su cumplimiento a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.
4. Las partes no se oponen a que un interesado sea representado por una asociación u otro organismo si así lo desea expresamente y si lo permite la legislación nacional.

CLÁUSULA 4

OBLIGACIONES DEL EXPORTADOR DE DATOS

El exportador de datos acepta y garantiza lo siguiente:

• que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades competentes del Estado miembro en el que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicho Estado;
• que ha dado instrucciones y, durante toda la duración de los servicios de tratamiento de datos personales, dará instrucciones al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la legislación aplicable en materia de protección de datos y las Cláusulas;
• que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato;
• que, tras evaluar los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilícitas de tratamiento, y que estas medidas garantizan un nivel de seguridad adecuado a los riesgos que presenta el tratamiento y a la naturaleza de los datos que deben protegerse, teniendo en cuenta el estado de la técnica y el coste de su aplicación;
• que garantizará el cumplimiento de las medidas de seguridad;
• que, si la transferencia implica categorías especiales de datos, el interesado haya sido informado o se le informe antes o, a más tardar, inmediatamente después de la transferencia, de que sus datos podrían ser transmitidos a un tercer país que no ofrezca un nivel de protección adecuado en el sentido de la Directiva 95/46/CE;
• remitir cualquier notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la cláusula 5, letra b), y la cláusula 8, apartado 3, a la autoridad de control de protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;
• poner a disposición de los interesados, previa solicitud, una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subcontratación que deba celebrarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial;
• que, en caso de subcontratación, la actividad de tratamiento se lleve a cabo de conformidad con la cláusula 11 por un subcontratista que ofrezca al menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las cláusulas; y
• que garantizará el cumplimiento de la cláusula 4(a) a (i).

CLÁUSULA 5

OBLIGACIONES DEL IMPORTADOR DE DATOS

El importador de datos acepta y garantiza lo siguiente:

• procesar los datos personales únicamente en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si por cualquier motivo no puede cumplir con lo establecido, se compromete a informar sin demora al exportador de datos de su imposibilidad de cumplir, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato;
• que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial sobre las garantías y obligaciones previstas en las Cláusulas, lo notificará sin demora al exportador de datos tan pronto como tenga conocimiento de ello, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato;
• que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;
• que notificará sin demora al exportador de datos sobre:
• cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, salvo que exista una prohibición, como la prohibición prevista en el derecho penal de preservar la confidencialidad de una investigación policial,
• cualquier acceso accidental o no autorizado, y
• cualquier solicitud recibida directamente de los interesados sin responder a dicha solicitud, salvo que se haya autorizado lo contrario;
• responder con prontitud y de manera adecuada a todas las consultas del exportador de datos relacionadas con el tratamiento de los datos personales objeto de la transferencia y cumplir con las recomendaciones de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;
• a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento cubiertas por las Cláusulas, que será realizada por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, sujetos al deber de confidencialidad, seleccionados por el exportador de datos, cuando proceda, de acuerdo con la autoridad de control;
• poner a disposición del interesado, previa solicitud, una copia de las Cláusulas o de cualquier contrato de subcontratación existente, salvo que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá suprimir dicha información comercial, con excepción del Apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;
• que, en caso de subcontratación, ha informado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito;
• que los servicios de procesamiento prestados por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;
• enviar sin demora una copia de cualquier acuerdo con un subencargado del tratamiento que celebre en virtud de las Cláusulas al exportador de datos.

CLÁUSULA 6

RESPONSABILIDAD

1. Las partes acuerdan que cualquier interesado que haya sufrido daños como consecuencia del incumplimiento de las obligaciones a las que se refieren la cláusula 3 o la cláusula 11 por parte de cualquiera de las partes o de un subencargado del tratamiento tendrá derecho a recibir una indemnización por parte del exportador de datos por los daños sufridos.
2. Si el interesado no puede presentar una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada del incumplimiento por parte del importador de datos o su subencargado del tratamiento de cualquiera de las obligaciones a que se refieren la cláusula 3 o la cláusula 11, debido a que el exportador de datos ha desaparecido de hecho o ha dejado de existir legalmente o se ha declarado insolvente, el importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por imperativo legal, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad.
   El importador de datos no podrá invocar el incumplimiento de las obligaciones de un subencargado del tratamiento para eludir sus propias responsabilidades.
3. Si el interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada del incumplimiento por parte del subencargado del tratamiento de cualquiera de sus obligaciones a que se refieren la cláusula 3 o la cláusula 11, debido a que tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir legalmente o se han declarado insolventes, el subencargado del tratamiento acepta que el interesado pueda presentar una reclamación contra el subencargado del tratamiento en relación con sus propias operaciones de tratamiento en virtud de las cláusulas, como si fuera el encargado del tratamiento o el destinatario de los datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del encargado del tratamiento o del destinatario de los datos por contrato o por imperativo legal, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.

CLÁUSULA 7

MEDIACIÓN Y JURISDICCIÓN

1. El importador de datos acepta que, si el interesado invoca contra él derechos de tercero beneficiario y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:
2. remitir la controversia a mediación, por parte de una persona independiente o, cuando proceda, por parte de la autoridad supervisora;
3. remitir la controversia a los tribunales del Estado miembro en el que está establecido el exportador de datos.
4. Las partes acuerdan que la elección realizada por el interesado no perjudicará sus derechos sustantivos o procesales para solicitar recursos de conformidad con otras disposiciones del derecho nacional o internacional.

CLÁUSULA 8

COOPERACIÓN CON LAS AUTORIDADES DE SUPERVISIÓN

1. El exportador de datos se compromete a depositar una copia del presente contrato ante la autoridad supervisora si esta lo solicita o si dicho depósito es exigido por la legislación aplicable en materia de protección de datos.
2. Las partes acuerdan que la autoridad supervisora tiene derecho a realizar una auditoría del importador de datos y de cualquier subencargado del tratamiento, que tendrá el mismo alcance y estará sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación aplicable en materia de protección de datos.
3. El importador de datos informará sin demora al exportador de datos sobre la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos o de cualquier subencargado del tratamiento, de conformidad con el apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la cláusula 5, letra b).

CLÁUSULA 9

LEY APLICABLE

Las cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.

CLÁUSULA 10

VARIACIÓN DEL CONTRATO

Las partes se comprometen a no modificar ni alterar las cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan la cláusula.

CLÁUSULA 11

SUBPROCESAMIENTO

1. El importador de datos no subcontratará ninguna de las operaciones de tratamiento que realice en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo escrito con el subencargado del tratamiento que imponga a este las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Cuando el subencargado del tratamiento incumpla sus obligaciones en materia de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.
2. El contrato previo por escrito entre el importador de datos y el subencargado del tratamiento también deberá prever una cláusula de beneficiario tercero, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda presentar la reclamación de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos porque estos hayan desaparecido de hecho o hayan dejado de existir legalmente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para la subcontratación del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
4. El exportador de datos mantendrá una lista de los acuerdos de subcontratación celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5 (j), que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.

CLÁUSULA 12

OBLIGACIÓN TRAS LA TERMINACIÓN DE LOS SERVICIOS DE TRATAMIENTO DE DATOS PERSONALES

1. Las partes acuerdan que, al finalizar la prestación de los servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento, a elección del exportador de datos, devolverán todos los datos personales transferidos y sus copias al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que así lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En tal caso, el importador de datos garantiza que velará por la confidencialidad de los datos personales transferidos y que ya no tratará activamente los datos personales transferidos.
2. El importador de datos y el subencargado del tratamiento garantizan que, a petición del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas a que se refiere el apartado 1.

Apéndice 1 de las cláusulas contractuales tipo

Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información adicional necesaria que deba figurar en el presente apéndice.

EXPORTADOR DE DATOS

El exportador de datos es: _________________

IMPORTADOR DE DATOS

El importador de datos es: Konveio, LLC

INTERESADOS

Los datos personales transferidos se refieren a las siguientes categorías de interesados:
Usuarios, gerentes, administradores

CATEGORÍAS DE DATOS

Los datos personales transferidos pertenecen a las siguientes categorías:
Información identificativa pertinente para los fines relacionados con la creación de una cuenta de usuario, el envío y la gestión de comentarios, como el nombre, el correo electrónico, el número de teléfono (opcional), los datos de conexión y los datos personales.

CATEGORÍAS ESPECIALES DE DATOS (SI PROCEDE)

Los datos personales transferidos pertenecen a las siguientes categorías especiales de datos: n/a

OPERACIONES DE PROCESAMIENTO

Los datos personales transferidos serán objeto de las siguientes actividades básicas de tratamiento:
Prestación de servicios para la recopilación y gestión de comentarios y encuestas.

Apéndice 2 de las cláusulas contractuales tipo

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c):

Cortafuegos, certificados SSL, cortafuegos de aplicaciones web, gestión segura del ciclo de vida del desarrollo, prácticas de codificación segura, acceso 2FA, proveedor de servicios PCI de nivel 1, evaluaciones internas de vulnerabilidad, formación continua de los empleados, análisis de virus/malware, protección contra el phishing y mucho más.

‍