Este DPA se celebra entre el Responsable y el Encargado, y se incorpora y rige por los términos del Acuerdo.
Cualquier término en mayúscula que no esté definido en este DPA tendrá el significado que se le otorga en el Acuerdo.
| “Afiliada” | significa cualquier entidad que controla directa o indirectamente, es controlada por, o está bajo el control común de una parte. “Control”, a efectos de esta definición, significa la propiedad o el control directo o indirecto de más del 50% de los derechos de voto de una parte; |
| “Acuerdo” | significa el acuerdo entre el Responsable y el Encargado para la prestación de los Servicios; |
| “CCPA” | significa la Ley de Privacidad del Consumidor de California de 2018, junto con sus regulaciones y sus enmiendas posteriores; |
| “Responsable” | significa el Cliente; |
| “Ley de Protección de Datos” | significa todas las leyes y regulaciones, incluidas las leyes y regulaciones de la Unión Europea, el Espacio Económico Europeo, sus estados miembros y el Reino Unido, cualquier enmienda, sustitución o renovación de las mismas, aplicables al tratamiento de Datos Personales, incluyendo cuando corresponda la Regulación de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Reglamento de Salida de la UE) 2020, el RGPD de la UE, el RGPD del Reino Unido, la Ley de Protección de Datos del Reino Unido de 2018, la FADP, la CCPA y cualquier ley nacional aplicable de implementación, regulaciones y legislación secundaria relacionadas con el tratamiento de Datos Personales y la privacidad de las comunicaciones electrónicas, según se modifiquen, sustituyan o actualicen ocasionalmente, incluyendo la Directiva de Privacidad y Comunicaciones Electrónicas (2002/58/CE) y el Reglamento de Privacidad y Comunicaciones Electrónicas (Directiva CE) 2003 (SI 2003/2426); |
| “Interesado” | tendrá el mismo significado que en la Ley de Protección de Datos o significa “Consumidor” según se define ese término en la CCPA; |
| “DPA” | significa este acuerdo de tratamiento de datos, junto con los Anexos A, B y C; |
| “EEE” | significa el Espacio Económico Europeo; |
| “RGPD de la UE” | significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos); |
| “FADP” | significa la nueva Ley Federal Suiza de Protección de Datos del 1 de septiembre de 2023, y sus enmiendas posteriores; |
| “Datos Personales” | tendrá el mismo significado que en la Ley de Protección de Datos; |
| “Encargado” | significa la Empresa, incluyendo según corresponda cualquier “Proveedor de Servicios” según se define en la CCPA; |
| “Transferencia Restringida” | significa: (i) cuando aplique el RGPD de la UE, una transferencia de Datos Personales a través de los Servicios desde el EEE, ya sea directa o indirectamente, a cualquier país o destinatario fuera del EEE que no esté sujeto a una decisión de adecuación por parte de la Comisión Europea; y (ii) cuando aplique el RGPD del Reino Unido, una transferencia de Datos Personales a través de los Servicios desde el Reino Unido, ya sea directa o indirectamente, a cualquier país o destinatario fuera del Reino Unido no basado en las regulaciones de adecuación de acuerdo con la sección 17A de la Ley de Protección de Datos del Reino Unido de 2018; y (iii) una transferencia de Datos Personales a través de los Servicios desde Suiza, ya sea directa o indirectamente, a cualquier país o destinatario fuera del EEE y/o Suiza que no esté sujeto a una decisión de adecuación por parte de la Comisión Europea; |
| “Servicios” | significa todos los servicios, aplicaciones de software y soluciones proporcionados al Responsable por el Encargado bajo y según lo descrito en el Acuerdo; |
| “SCCs” | significa: (i) cuando aplique el RGPD de la UE, las cláusulas contractuales tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea de 4 de junio de 2021 sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países publicadas en https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN, (“SCCs de la UE”); y (ii) cuando aplique el RGPD del Reino Unido, las cláusulas tipo de protección de datos adoptadas conforme al Artículo 46(2)(c) del RGPD del Reino Unido como se indica en el Anexo C de este DPA, (“SCCs del Reino Unido”); y (iii) cuando los Datos Personales se transfieran desde Suiza a fuera de Suiza o del EEE, las SCCs de la UE modificadas conforme a la guía de la Autoridad Suiza de Protección de Datos; (“SCCs Suizas”); |
| “Subencargado” | significa cualquier tercero (incluidas las Afiliadas del Encargado) contratado directa o indirectamente por el Encargado para tratar Datos Personales bajo este DPA en la prestación de los Servicios al Responsable; |
| “Autoridad de Control” | significa un organismo regulador gubernamental o designado por el gobierno que tenga autoridad legal vinculante sobre una parte; |
| “RGPD del Reino Unido” | significa el RGPD de la UE en cuanto forma parte del derecho de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de Retirada de la Unión Europea de 2018. |
2.1. El Encargado ha aceptado prestar los Servicios al Responsable de acuerdo con los términos del Acuerdo. Al prestar los Servicios, el Encargado tratará los Datos del Cliente en nombre del Responsable. Los Datos del Cliente pueden incluir Datos Personales. El Encargado tratará y protegerá estos Datos Personales conforme a los términos de este DPA.
3.1. Al prestar los Servicios al Responsable conforme a los términos del Acuerdo, el Encargado tratará los Datos Personales solo en la medida necesaria para proporcionar los Servicios de acuerdo con los términos del Acuerdo, este DPA y las instrucciones del Responsable documentadas en el Acuerdo y este DPA, actualizadas ocasionalmente.
3.2. El Responsable y el Encargado tomarán medidas para asegurar que cualquier persona física que actúe bajo la autoridad del Responsable o del Encargado y que tenga acceso a los Datos Personales, no los trate, excepto siguiendo las instrucciones del Responsable salvo que sea necesario conforme a la Ley de Protección de Datos.
4.1. El Encargado solo podrá recopilar, tratar o usar Datos Personales dentro del alcance de este DPA.
4.2. El Encargado confirma que tratará Datos Personales en nombre del Responsable conforme a las instrucciones documentadas del Responsable.
4.3. El Encargado informará inmediatamente al Responsable si, a juicio del Encargado, alguna de las instrucciones relativas al tratamiento de Datos Personales dadas por el Responsable infringe la Ley de Protección de Datos.
4.4. El Encargado garantizará que todos los empleados, agentes, directivos y contratistas involucrados en el manejo de Datos Personales: (i) sean conscientes de la naturaleza confidencial de los Datos Personales y tengan la obligación contractual de mantenerlos confidenciales; (ii) hayan recibido la formación adecuada sobre sus responsabilidades como encargado; y (iii) estén obligados por los términos de este DPA.
4.5. El Encargado implementará medidas técnicas y organizativas apropiadas para proteger los Datos Personales, teniendo en cuenta el estado de la técnica, los costos de implementación, y la naturaleza, alcance, contexto y fines del tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.
4.6. El Encargado implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo, entre otras, cuando corresponda: (i) la seudonimización y el cifrado de los Datos Personales; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de un incidente físico o técnico; (iv) un proceso para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Al evaluar el nivel adecuado de seguridad, se tendrán en cuenta, en particular, los riesgos presentados por el tratamiento, especialmente por la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales transmitidos, almacenados o tratados de otra manera.
4.7. Las medidas técnicas y organizativas detalladas en el Anexo B deberán cumplirse en todo momento como estándar mínimo de seguridad. El Responsable acepta y acuerda que dichas medidas pueden evolucionar y ser revisadas, y que el Encargado puede usar medidas alternativas adecuadas a las detalladas en los anexos de este DPA, siempre que dichas medidas sean, al menos, equivalentes a las medidas técnicas y organizativas establecidas en el Anexo B y apropiadas de acuerdo con las obligaciones del Encargado en las cláusulas 4.5 y 4.6 anteriores.
4.8. El Responsable reconoce y acuerda que, durante la prestación de los Servicios, puede ser necesario que el Encargado acceda a los Datos Personales para responder a problemas técnicos o consultas del Responsable y para garantizar el correcto funcionamiento de los Servicios. Todo acceso realizado por el Encargado estará limitado a esos fines.
4.9. Teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Encargado, este asistirá al Responsable con medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Responsable de responder a las solicitudes de los derechos del Interesado y el cumplimiento de las obligaciones de protección de datos por parte del Responsable en relación con el tratamiento de Datos Personales.
4.10. El Encargado no podrá: (i) vender Datos Personales; (ii) retener, usar o divulgar Datos Personales para fines comerciales distintos a la prestación de los Servicios bajo los términos del Acuerdo; o (iii) retener, usar o divulgar Datos Personales fuera de los términos del Acuerdo.
5.1. El Responsable declara y garantiza que: (i) cumplirá con este DPA y sus obligaciones conforme a la Ley de Protección de Datos; (ii) ha obtenido todos los permisos y autorizaciones necesarios para permitir al Encargado, sus Afiliadas y Subencargados ejecutar sus derechos o cumplir sus obligaciones conforme a este DPA; y (iii) todas las Afiliadas del Responsable que utilicen los Servicios cumplirán con las obligaciones establecidas para el Responsable en este DPA.
5.2. El Responsable implementará medidas técnicas y organizativas apropiadas para proteger los Datos Personales, considerando el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas. El Responsable implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, incluyendo cuando corresponda: (i) la seudonimización y cifrado de los Datos Personales; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas en los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de forma oportuna tras un incidente físico o técnico; (iv) un proceso para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para la seguridad del tratamiento. En la evaluación del nivel adecuado de seguridad, se tendrán en cuenta, en particular, los riesgos presentados por el tratamiento, en especial por la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales transmitidos, almacenados o tratados de otra manera.
5.3. El Responsable reconoce y acepta que algunas instrucciones, incluyendo la asistencia del Encargado con auditorías, inspecciones, DPIA o cualquier ayuda bajo este DPA, pueden implicar tarifas adicionales. En tal caso, el Encargado notificará al Responsable sus tarifas para dicho apoyo con antelación y tendrá derecho a cobrar al Responsable por los costes y gastos razonables incurridos, salvo que se acuerde lo contrario por escrito.
6.1. El Responsable reconoce y acepta que el Encargado puede contratar Subencargados en relación con la prestación de los Servicios.
6.2. Todos los Subencargados que traten Datos Personales para la prestación de Servicios al Responsable cumplirán con las obligaciones del Encargado establecidas en este DPA.
6.3. El Responsable autoriza al Encargado a usar los Subencargados incluidos en la lista publicada en: https://multiply.cloud/en/legal-resources/ para tratar los Datos Personales. Durante la vigencia de este DPA, el Encargado notificará por correo electrónico al Responsable con al menos 30 días de antelación cualquier cambio en la lista de Subencargados antes de autorizar a cualquier nuevo Subencargado o sustituto para tratar Datos Personales en relación con la prestación de servicios.
6.4. El Responsable podrá oponerse al uso de un nuevo o sustituto Subencargado notificándolo por escrito y de manera pronta al Encargado dentro de los quince (15) días siguientes a la recepción de la notificación. Si el Responsable se opone al nuevo o sustituto Subencargado, podrá rescindir el Acuerdo respecto a aquellos Servicios que no puedan prestarse sin el nuevo o sustituto Subencargado. El Encargado reembolsará al Responsable cualquier tasa prepagada correspondiente al periodo restante del Acuerdo para dichos servicios rescindidos.
6.5. Todos los Subencargados que traten Datos Personales cumplirán con las obligaciones del Encargado establecidas en este DPA. Antes de que el Subencargado pertinente realice cualquier actividad de tratamiento respecto de los Datos Personales: (i) el Encargado suscribirá con cada Subencargado un contrato escrito que recoja, en esencia, obligaciones equivalentes a las del Encargado en este DPA, exigibles por el Encargado; y (ii) garantizará que cada Subencargado cumpla todas esas obligaciones.
6.6. El Responsable acepta que el Encargado y sus Subencargados pueden realizar Transferencias Restringidas de Datos Personales para la prestación de Servicios conforme al Acuerdo. El Encargado confirma que dichos Subencargados: (i) se encuentran en un tercer país o territorio reconocido por la Comisión Europea o una Autoridad de Control, según corresponda, como con un nivel adecuado de protección; o (ii) han formalizado las SCCs aplicables con el Encargado; o (iii) cuentan con otras garantías apropiadas legalmente reconocidas.
7.1. Las partes acuerdan que, cuando se produzca una transferencia de Datos Personales entre el Responsable y el Encargado o del Encargado a un Subencargado que sea una Transferencia Restringida, estará sujeta a las SCCs aplicables.
7.2. Las partes acuerdan que las SCCs de la UE aplicarán a Transferencias Restringidas desde el EEE. Las SCCs de la UE se considerarán celebradas (e incorporadas a este DPA por referencia) y completadas de la siguiente forma:
7.3. Las partes acuerdan que las SCCs de la UE, según lo modificado en la cláusula 7.2 anterior, se ajustarán como se indica a continuación cuando aplique la FADP a cualquier Transferencia Restringida:
La Comisión Federal Suiza de Protección de Datos e Información (“FDPIC”) será la única Autoridad de Control para Transferencias Restringidas sujetas exclusivamente a la FADP; Transferencias Restringidas sujetas tanto a la FADP como al RGPD de la UE serán gestionadas por la Autoridad de Control de la UE indicada en el Anexo A de este DPA; El término ’estado miembro’ no debe interpretarse de una forma que excluya a los Interesados en Suiza de la posibilidad de reclamar por sus derechos en su lugar de residencia habitual (Suiza) conforme a la Cláusula 18(c) de las SCCs de la UE; Cuando las Transferencias Restringidas estén exclusivamente sujetas a la FADP, todas las referencias al RGPD en las SCCs de la UE se entenderán hechas a la FADP; Cuando las Transferencias Restringidas estén sujetas a la FADP y al RGPD de la UE, todas las referencias al RGPD en las SCCs de la UE se entenderán hechas a la FADP en la medida en que las Transferencias Restringidas estén sujetas a la FADP; Las SCCs Suizas también protegen los Datos Personales de personas jurídicas hasta la entrada en vigor de la FADP revisada. 7.4. Las partes acuerdan que las SCCs del Reino Unido aplicarán a Transferencias Restringidas desde el Reino Unido y se considerarán celebradas (e incorporadas en este DPA por referencia), como se indica en el Anexo C de este DPA.
7.5. En caso de que cualquier disposición de este DPA contradiga directa o indirectamente con cualquier SCCs, prevalecerán las disposiciones de las SCCs aplicables sobre los términos del DPA.
8.1. El Responsable puede requerir la corrección, eliminación, bloqueo y/o acceso a los Datos Personales durante o tras la terminación del Acuerdo. El Responsable reconoce y acepta que el Encargado procesará la solicitud en la medida en que sea legal, y la cumplirá razonablemente según sus procedimientos operativos estándar en la medida de lo posible.
8.2. En caso de que el Encargado reciba una solicitud de un Interesado en relación con Datos Personales, remitirá al Interesado al Responsable, salvo que la ley prohíba lo contrario. El Responsable reembolsará al Encargado todos los costes en que incurra por prestar asistencia razonable en la gestión de la solicitud de un Interesado. Si el Encargado está legalmente obligado a responder al Interesado, el Responsable colaborará plenamente con el Encargado según corresponda.
9.1. El Encargado pondrá a disposición del Responsable toda la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones en el tratamiento y permitirá y cooperará en auditorías e inspecciones.
9.2. Cualquier auditoría realizada bajo este DPA consistirá en el examen de los informes, certificados y/o extractos más recientes preparados por un auditor independiente sujeto a cláusulas de confidencialidad similares a las del Acuerdo. Si el Responsable considera que esto no es suficiente, podrá realizar una auditoría más extensa que será: (i) a cargo del Responsable; (ii) limitada en alcance a asuntos específicos del Responsable y acordada por adelantado; (iii) realizada durante el horario laboral habitual del Encargado y con un aviso razonable no inferior a 4 semanas salvo que haya surgido un problema material identificable; y (iv) llevada a cabo de manera que no interfiera con la operativa diaria del Encargado.
9.3. Esta cláusula no modifica ni limita los derechos de auditoría del Responsable, sino que pretende clarificar los procedimientos respecto a cualquier auditoría efectuada en virtud de lo anterior.
10.1. El Encargado notificará al Responsable sin demora indebida tras tener conocimiento de (y en cualquier caso en un plazo máximo de 72 horas desde el descubrimiento) cualquier violación de seguridad que cause la destrucción, pérdida, alteración, divulgación o acceso no autorizados, accidentales o ilegales de Datos Personales (“Incidencia de Datos Personales”).
10.2. En caso de Incidencia de Datos Personales, el Encargado adoptará todas las medidas comercialmente razonables para asegurar los Datos Personales, limitar los efectos de dicha Incidencia, y asistir al Responsable en el cumplimiento de sus obligaciones legales.
11.1. El Encargado notificará al Responsable sin demora de cualquier solicitud o queja relativa al tratamiento de Datos Personales que impacte negativamente al Responsable, salvo que la notificación esté prohibida por ley o por orden judicial.
11.2. El Encargado podrá hacer copias y/o retener Datos Personales conforme a cualquier obligación legal o normativa, incluyendo requisitos de retención.
11.3. El Encargado ayudará razonablemente al Responsable a cumplir la obligación de realizar evaluaciones de impacto de protección de datos (DPIAs), teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Encargado.
11.4. El Responsable notificará al Encargado en un plazo razonable cualquier cambio legal en materia de protección de datos que pueda afectar las obligaciones contractuales del Encargado. El Encargado responderá en un plazo razonable respecto a los cambios necesarios en los términos de este DPA o en las medidas técnicas y organizativas para mantener el cumplimiento. Si el Encargado no puede implementar los cambios necesarios, el Responsable podrá rescindir aquella parte de los Servicios que origine el incumplimiento. Si otros Servicios no se ven afectados, estos seguirán siendo prestados de forma habitual.
11.5. El Responsable y el Encargado y, cuando corresponda, sus representantes, cooperarán, a solicitud, con una Autoridad de Control en el desempeño de sus respectivas obligaciones bajo este DPA y la Ley de Protección de Datos.
12.1. Las limitaciones de responsabilidad establecidas en el Acuerdo aplican a todas las reclamaciones por cualquier incumplimiento de los términos de este DPA.
12.2. Las partes acuerdan que el Encargado será responsable de cualquier incumplimiento de este DPA provocado por actos, omisiones o negligencias de sus Subencargados en la misma medida que lo sería si prestara directamente los servicios objeto del Subencargado, sujeto a las limitaciones de responsabilidad del Acuerdo.
12.3. Las partes acuerdan que el Responsable será responsable de cualquier incumplimiento de este DPA causado por actos, omisiones o negligencias de sus Afiliadas como si dichos actos, omisiones o negligencias hubiesen sido cometidos por el propio Responsable.
12.4. El Responsable no tendrá derecho a recuperar más de una vez por la misma pérdida.
13.1. El Encargado solo tratará Datos Personales durante la vigencia de este DPA. El período de vigencia iniciará en la Fecha de Entrada en Vigor del Acuerdo y terminará automáticamente junto con la rescisión o expiración del Acuerdo.
14.1. El Encargado, a elección del Responsable y previa solicitud por escrito recibida dentro de los 30 días de la finalización de la prestación de Servicios, eliminará o devolverá los Datos Personales al Responsable. El Encargado eliminará todas las copias de los Datos Personales que obren en sus sistemas en el plazo de 1 año desde la fecha de terminación del Acuerdo o desactivación de la cuenta del Responsable, salvo que la legislación o regulación aplicable requiera su conservación tras la terminación.
15.1. Este DPA establece la totalidad del acuerdo entre las partes respecto al objeto del mismo.
15.2. Si alguna disposición de este DPA es o deviene inválida, la validez de las restantes disposiciones no se verá afectada. Se considerará acordada una disposición válida que se aproxime lo máximo posible a la intención comercial de las partes y sustituya la disposición inválida. Lo mismo aplicará a cualquier omisión.
15.3. Con sujeción a cualquier disposición contraria de las SCCs, este DPA se regirá por la legislación de Inglaterra y Gales. Los tribunales de Inglaterra tendrán jurisdicción exclusiva para resolver cualquier disputa derivada de este DPA.
15.4. Las partes acuerdan que este DPA se incorpora y rige por los términos del Acuerdo.
Lista de Partes, Descripción del Tratamiento y Transferencia de Datos Personales, Autoridad de Control Competente
A. Lista de Partes
| significa el Cliente. | |
| Dirección: | Según lo indicado para el Cliente en el Acuerdo. |
| Nombre, cargo y detalles de contacto de la persona de contacto: | Según lo indicado por el Cliente en su cuenta y utilizado para notificaciones y facturación. |
| Según lo indicado por el Cliente en su cuenta y utilizado para notificaciones y facturación. | Uso de los Servicios. |
| Firma y fecha: | Al suscribir el Acuerdo, se considera que el Exportador ha firmado las SCCs incorporadas a este DPA incluyendo sus Anexos, en la Fecha de Entrada en Vigor del Acuerdo. |
| Rol: | Responsable. |
| Nombre del Representante (si aplica): | Cualquier representante del Reino Unido o la UE indicado en la política de privacidad del Exportador. |
| significa Multiply Software Limited. | |
| Dirección: | 2 Leman Street, London, E1W 9US, United Kingdom |
| Nombre, cargo y detalles de contacto de la persona de contacto: | Julien Demoor Chief Executive Officer
|
| Actividades relevantes a los datos transferidos bajo las SCCs: | La prestación de soluciones de cloud computing al Exportador bajo las cuales el Importador trata Datos Personales siguiendo las instrucciones del Exportador de acuerdo con los términos del Acuerdo. |
| Firma y fecha: | Al suscribir el Acuerdo, se considera que el Exportador ha firmado las SCCs incorporadas a este DPA incluyendo sus Anexos, en la Fecha de Entrada en Vigor del Acuerdo. |
| Rol: | Encargado. |
| Categorías de Interesados: | Empleados, agentes, asesores, consultores, freelancers del Responsable (personas físicas). Usuarios, Afiliadas y otros participantes autorizados por el Responsable para acceder o utilizar los Servicios conforme a los términos del Acuerdo. |
| Categorías de Datos Personales: | Categorías de Datos Personales: El Responsable puede enviar Datos Personales a los Servicios, cuyo alcance es determinado y controlado por el Responsable. Los Datos Personales incluyen, pero no se limitan a:
|
| Datos Sensibles: | No se tratarán ni transferirán datos sensibles ni deberán aparecer en el contenido o adjuntos de correos electrónicos. |
| Frecuencia del tratamiento y transferencia (por ejemplo, si los datos se transfieren de manera ocasional o continua): | Base continua durante la vigencia del Acuerdo. |
| Naturaleza del tratamiento: | Las operaciones de tratamiento incluyen, pero no se limitan a:
|
| Finalidad(es) de la transferencia de datos y procesamiento posterior: | Los Datos Personales se transfieren a subcontratistas que necesitan tratar parte de los Datos Personales para prestar sus servicios al Encargado como parte de los Servicios proporcionados al Responsable. |
| Periodo durante el cual se conservarán los Datos Personales, o, si no es posible, los criterios usados para determinar ese periodo: | Salvo que se acuerde lo contrario por escrito, durante la vigencia del Acuerdo, conforme a la cláusula 14 del DPA. |
| Para transferencias a (Sub-) encargados, también indicar el asunto, naturaleza y duración del tratamiento: | La lista de Subencargados publicada en: https://multiply.cloud/en/sub-processor-list/ muestra los Datos Personales tratados por cada Subencargado y los servicios que presta cada uno. |
| Identificar la(s) autoridad(es) de control competente(s) (por ejemplo, de acuerdo con la Cláusula 13 de las SCCs) | Cuando aplica el RGPD de la UE, la Autoridad de Protección de Datos de Irlanda – Data Protection Commission (DPC). Cuando aplica el RGPD del Reino Unido, la Information Commissioner’s Office (ICO) del Reino Unido. Cuando aplica la FADP, el Comisionado Federal Suizo de Protección de Datos e Información (FDPIC). |
Anexo B
Medidas Técnicas y Organizativas de Seguridad
(Incluyendo Medidas Técnicas y Organizativas para Garantizar la Seguridad de los Datos)
A continuación se describe las medidas técnicas y organizativas implementadas por el Encargado (incluyendo las certificaciones relevantes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, alcance, contexto y propósito del tratamiento, y los riesgos para los derechos y libertades de las personas físicas.
Cuando aplique, este Anexo B servirá como Anexo II de las SCCs.
| Medida | Descripción |
| Medidas de seudonimización y cifrado de Datos Personales | Para el control de transferencias, se utiliza una tecnología de cifrado. La idoneidad de la tecnología de cifrado se evalúa en función del propósito de protección. Los datos archivados del Responsable se cifran en reposo usando cifrado AES256 bits Los datos en tránsito están protegidos mediante Transport Layer Security (“TLS”). |
| Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento | El acceso a los datos necesarios para la realización de la tarea concreta está garantizado en los sistemas y aplicaciones mediante un concepto correspondiente de rol y autorización. De acuerdo con los principios de “mínimo privilegio” y “necesidad de conocer”, cada rol tiene solo los derechos necesarios para el cumplimiento de la tarea a realizar por la persona. Para mantener el control de acceso a los datos, se aplica tecnología de cifrado de última generación a los Datos Personales cuando se considera apropiado para proteger datos sensibles según el riesgo. |
| Procesos para la revisión, valoración y evaluación regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento | El Encargado realiza auditorías internas en múltiples ocasiones. El Encargado procura automatizar las auditorías, por lo que la mayoría de la monitorización de su infraestructura está automatizada y funciona 24/7 basada en varios frameworks (CIS, NEST, etc.). El Encargado obtiene una auditoría externa de seguridad y cumplimiento una vez al año calendario. |
| Medidas para la identificación y autorización de usuarios | El acceso remoto a los sistemas de tratamiento de datos solo es posible a través del túnel VPN seguro del Encargado. Si los usuarios se autentican primero en el túnel VPN seguro, tras la autenticación exitosa se lleva a cabo la autorización mediante nombre de usuario y contraseña únicos en un directorio centralizado. Todos los intentos de acceso, exitosos y fallidos, son registrados y monitorizados. |
| Medidas para la protección de los datos durante la transmisión | Los datos en tránsito están protegidos mediante Transport Layer Security (“TLS”). |
| Medidas para la protección de los datos durante el almacenamiento | Los Datos Personales solo se almacenan internamente y en servidores de centros de datos de terceros. Los datos archivados del Responsable se cifran en reposo usando cifrado y los datos en tránsito están protegidos mediante Transport Layer Security (“TLS”). |
| Medidas para la gobernanza y gestión interna de TI y seguridad TI | Los empleados son instruidos para recopilar, tratar y usar Datos Personales solo en el marco y para los fines de sus funciones (por ejemplo, prestación de servicios). A nivel técnico, la capacidad multi-tenancy incluye separación de funciones, así como separación entre entornos de pruebas y producción. Los Datos Personales del Responsable se almacenan de manera que se separan lógicamente de los datos de otros clientes. |
| Medidas para garantizar la minimización de datos | Si los Datos Personales ya no son necesarios para los fines para los que fueron tratados, se eliminan rápidamente. Se debe tener en cuenta que con cada eliminación, los Datos Personales solo se bloquean en un primer momento y luego se eliminan de manera definitiva con cierto retraso. Esto se hace para evitar eliminaciones accidentales o posibles daños intencionados. |
| Medidas para garantizar la calidad de los datos | Todos los datos que posee el Encargado son proporcionados por el Responsable. El Encargado no evalúa la calidad de los datos proporcionados por el Responsable. El Encargado ofrece herramientas de reporte dentro de nuestro producto para ayudar al Responsable a entender y validar los datos almacenados. |
| Medidas para garantizar la retención limitada de datos | El Encargado utiliza un esquema de clasificación para todos los datos que almacena y nuestra política de retención especifica cómo se retiene cada tipo de dato. Cuando se elimina un registro con Datos Personales, se elimina permanentemente de nuestras bases de datos activas. Los datos se retienen en nuestras copias de seguridad hasta que estas se sustituyen por copias posteriores conforme a la política de retención de datos. |
| Medidas para garantizar la trazabilidad | El Encargado revisa internamente sus políticas de seguridad de la información semestralmente para asegurarse de que siguen siendo relevantes y se cumplen. Todos los empleados que manejan datos sensibles deben reconocer las políticas de seguridad de la información. Estos empleados son reentrenados en políticas de seguridad de la información una vez al año. Se aplica una política disciplinaria para aquellos empleados que no cumplen estas políticas. |
| Medidas que debe tomar el (Sub-)encargado para poder prestar asistencia al Responsable (y para transferencias de un Encargado a un Subencargado, al Exportador de los Datos). | La transferencia de Datos Personales a un tercero (por ejemplo, clientes, subcontratistas, proveedores de servicios) solo se realiza si existe un contrato correspondiente, y únicamente para los fines específicos. Si los Datos Personales se transfieren fuera del EEE, el Encargado garantiza que existe un nivel adecuado de protección de datos en el destino conforme a la normativa europea, por ejemplo utilizando contratos basados en las SCCs de la UE. |
Anexo C
Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE
VERSIÓN B1.0, en vigor desde el 21 de marzo de 2022
Este Anexo ha sido emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas. El Comisionado considera que proporciona Salvaguardas Apropiadas para Transferencias Restringidas cuando se celebra como un contrato legalmente vinculante.
Parte 1: Tablas
Tabla 1: Partes
| Fecha de inicio | La fecha indicada en el Anexo I de las SCCs Aprobadas. | - |
| Las Partes | Exportador (quien envía la Transferencia Restringida) | Importador (quien recibe la Transferencia Restringida) |
| Detalles de las partes | Nombre legal completo:. Dirección principal: Número de registro oficial (si corresponde) (número de compañía u otro identificador similar): | Nombre legal completo: Dirección principal: Número de registro oficial (si corresponde) (número de compañía u otro identificador similar): |
| Contacto principal | Nombre completo (opcional): Cargo: Detalles de contacto incluyendo email: | Nombre completo (opcional): Cargo: Detalles de contacto incluyendo email: |
| Firma (si se requiere para los fines de la Sección 2) | - | - |
Tabla 2: SCCs, Módulos y Cláusulas seleccionados
| Anexo SCCs UE | las SCCs de la UE Aprobadas, incluyendo la Información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales traídas a efecto a los fines de este Anexo: | ||||
| Módulo | Módulo en operación | Cláusula 11 (Opción) | Cláusula 9a Autorización General | Cláusula 9a (Plazo) | ¿Los datos personales recibidos del Importador se combinan con los recopilados por el Exportador? |
| 1 | false | no utilizado | - | - | - |
| 2 | true | no utilizado | true | 30 días | - |
| 3 | true | no utilizado | true | 30 días | - |
| 4 | sí/no | no utilizado | - | - | sí/no |
Tabla 3: Información de Anexo
“Información de Anexo” significa la información que debe proporcionarse para los módulos seleccionados como se indica en el Apéndice de las SCCs UE Aprobadas (salvo las Partes), y para este Anexo se indica en:
| Anexo 1A: Lista de Partes: Según lo establecido en el Anexo I de las SCCs UE Aprobadas |
| Anexo 1B: Descripción de la Transferencia: Según lo establecido en el Anexo I de las SCCs UE Aprobadas |
| Anexo II: Medidas técnicas y organizativas incluidas para garantizar la seguridad de los datos: Según lo establecido en el Anexo II de las SCCs UE Aprobadas |
Tabla 4: Finalización de este Anexo cuando cambie el Anexo Aprobado
| Finalización de este Anexo cuando cambie el Anexo Aprobado | Qué Partes pueden finalizar este Anexo según lo establecido en la Sección 19: Importador Exportador |
Parte 2: Cláusulas obligatorias
Celebración de este Anexo
Interpretación de este Anexo
| Anexo | Este Anexo de Transferencia Internacional de Datos, que se compone de este Anexo e incorpora el Anexo SCCs UE. |
| Anexo SCCs UE | Las versiones de las SCCs UE Aprobadas a las que se adjunta este Anexo, conforme a la Tabla 2, incluyendo la Información de Anexo. |
| Información de Anexo | Según lo establecido en la Tabla 3. |
| Salvaguardas Apropiadas | El estándar de protección sobre los datos personales y los derechos de los interesados exigido por la legislación de Protección de Datos del Reino Unido cuando se realiza una Transferencia Restringida basándose en cláusulas contractuales tipo según el artículo 46(2)(d) del RGPD UK. |
| Anexo Aprobado | El Anexo tipo publicado por el ICO y presentado ante el Parlamento de acuerdo con el apartado s119A de la Data Protection Act 2018 el 2 de febrero de 2022, según se revise bajo la Sección 18. |
| SCCs UE Aprobadas | Las Cláusulas Contractuales Tipo establecidas en el Anexo de la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021. |
| ICO | El Comisionado de Información. |
| Transferencia Restringida | Una transferencia cubierta por el Capítulo V del RGPD del Reino Unido. |
| UK | El Reino Unido de Gran Bretaña e Irlanda del Norte. |
| Ley de Protección de Datos UK | Todas las leyes relativas a la protección de datos, el tratamiento de datos personales, privacidad y/o comunicaciones electrónicas en vigor en el Reino Unido, incluidas el RGPD UK y la Ley de Protección de Datos 2018. |
| RGPD UK | Según lo definido en la sección 3 de la Data Protection Act 2018. |
4. Este Anexo debe interpretarse siempre de manera coherente con la legislación de Protección de Datos del Reino Unido y para que cumpla la obligación de las Partes de proporcionar las Salvaguardas Apropiadas.
Si las disposiciones incluidas en el Anexo SCCs UE modifican las SCCs Aprobadas de forma no permitida conforme a las SCCs UE Aprobadas o el Anexo Aprobado, dichas modificaciones no se incorporarán a este Anexo, y se aplicará la disposición equivalente de las SCCs UE Aprobadas.
Si existe inconsistencia o conflicto entre la legislación de Protección de Datos UK y este Anexo, prevalece la legislación UK.
Si el significado de este Anexo no es claro o tiene más de un significado, prevalecerá aquel que más se ajuste a la legislación de Protección de Datos UK.
8. Cualquier referencia a legislación (o disposiciones específicas de ella) significa que esa legislación (o disposición específica) puede cambiar con el tiempo, incluyendo cuando haya sido consolidada, refundida y/o reemplazada después de que este Anexo haya sido firmado.
Jerarquía
Aunque la Cláusula 5 de las SCCs UE Aprobadas indica que estas prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para Transferencias Restringidas, prevalecerá la jerarquía de la Sección 10.
Cuando haya conflicto entre el Anexo Aprobado y el Anexo SCCs UE (según corresponda), el Anexo Aprobado prevalece sobre el Anexo SCCs UE, salvo cuando los términos conflictivos del Anexo SCCs UE proporcionen mayor protección para los interesados, en cuyo caso dichos términos prevalecerán sobre el Anexo Aprobado.
Cuando este Anexo incorpora Anexos SCCs UE firmados para proteger transferencias sujetas al RGPD (UE) 2016/679, las Partes reconocen que nada en este Anexo afecta esos Anexos SCCs UE.
Incorporación y cambios a las SCCs UE
a. juntos operen para transferencias de datos realizadas por el exportador al importador cuando aplique la legislación de Protección de Datos UK al procesamiento del exportador y proporcionen las Salvaguardas Apropiadas;
b. Las secciones 9 a 11 prevalecen sobre la Cláusula 5 (Jerarquía) de las SCCs UE;
c. este Anexo (incluyendo el Anexo SCCs UE incorporado) se rige por la ley de Inglaterra y Gales y cualquier disputa se resuelve ante los tribunales de Inglaterra y Gales, salvo que las partes elijan expresamente las leyes y/o tribunales de Escocia o Irlanda del Norte.
Salvo que las Partes acuerden enmiendas alternativas conforme a la Sección 12, aplicarán las disposiciones de la Sección 15.
No se podrán introducir enmiendas a las SCCs UE Aprobadas salvo las necesarias para cumplir la Sección 12.
Se realizan las siguientes enmiendas al Anexo SCCs UE (a los efectos de la Sección 12):
a. Las referencias a “Cláusulas” significan este Anexo, que incorpora el Anexo SCCs UE;
b. En la Cláusula 2, se eliminan las palabras:
“y, respecto a transferencias de responsables a encargados y/o de encargados a encargados, cláusulas contractuales tipo conforme al artículo 28(7) del Reglamento (UE) 2016/679”;
c. La Cláusula 6 (Descripción de la transferencia) se sustituye por:
“Los detalles de las transferencias y en particular las categorías de datos personales transferidos y los fines para los que se transfieren son los especificados en el Anexo I.B cuando aplique la legislación de Protección de Datos UK al procesamiento del exportador.”;
d. La Cláusula 8.7(i) del Módulo 1 se sustituye por:
“la transferencia es a un país cubierto por regulaciones de adecuación conforme a la Sección 17A del RGPD UK que cubra la transferencia posterior”;
e. La Cláusula 8.8(i) de los Módulos 2 y 3 se sustituye por:
“la transferencia posterior es a un país cubierto por regulaciones de adecuación conforme a la Sección 17A del RGPD UK que cubra la transferencia posterior;”
f. Todas las referencias a “Reglamento (UE) 2016/679”, “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)” y “ese Reglamento” se sustituyen por “Ley de Protección de Datos UK”. Las referencias a artículos concretos del “Reglamento (UE) 2016/679” se sustituyen por el equivalente de la Ley de Protección de Datos UK;
g. Se eliminan las referencias al Reglamento (UE) 2018/1725;
h. Las referencias a “Unión Europea”, “Unión”, “UE”, “Estado Miembro de la UE”, “Estado Miembro” y “UE o Estado Miembro” se sustituyen por “UK”;
i. La referencia a “Cláusula 12(c)(i)” en la Cláusula 10(b)(i) del Módulo uno, se sustituye por “Cláusula 11(c)(i)”;
j. La Cláusula 13(a) y la Parte C del Anexo I no se utilizan;
k. El “organismo de control competente” y “autoridad de control” se sustituyen por el “Comisionado de Información”;
l. En la Cláusula 16(e), apartado (i) se sustituye por:
“el Ministro dicta regulaciones conforme a la Sección 17A de la Data Protection Act 2018 que cubran la transferencia de datos personales a los que se aplican estas cláusulas;”;
m. La Cláusula 17 se sustituye por:
“Estas Cláusulas se rigen por la legislación de Inglaterra y Gales.”;
n. La Cláusula 18 se sustituye por:
“Cualquier controversia derivada de estas Cláusulas se resolverá ante los tribunales de Inglaterra y Gales. El interesado también podrá iniciar acciones legales contra el exportador o importador ante los tribunales de cualquier país del Reino Unido. Las Partes aceptan someterse a la jurisdicción de dichos tribunales.”;
o. Las notas a pie de página de las SCCs UE Aprobadas no forman parte de este Anexo, salvo las notas 8, 9, 10 y 11.
Enmiendas a este Anexo
Las Partes podrán acordar modificar las Cláusulas 17 y/o 18 de las SCCs UE Anexas para referirse a la legislación y/o tribunales de Escocia o Irlanda del Norte.
Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Anexo Aprobado, podrán hacerlo de mutuo acuerdo por escrito, siempre que no se reduzcan las Salvaguardas Apropiadas.
Ocasionalmente, el ICO podrá emitir un Anexo Aprobado revisado que:
a. introduzca cambios razonables y proporcionados, incluyendo la corrección de errores; y/o
b. refleje cambios en la Ley de Protección de Datos UK; El Anexo revisado indicará la fecha de entrada en vigor y si las Partes deben revisar este Anexo incluyendo la Información de Anexo. Este Anexo se enmendará automáticamente según lo indicado en el Anexo revisado desde la fecha especificada.
a. sus costes directos en el cumplimiento del Anexo; y/o
b. su riesgo bajo el Anexo,
y en cualquiera de los casos primero ha tomado medidas razonables para reducir esos costes o riesgos para que no sean sustanciales o desproporcionados, entonces esa Parte podrá finalizar este Anexo al cabo de un plazo razonable, notificándolo por escrito a la otra Parte antes de la entrada en vigor del Anexo revisado.
¡Wow! Multiply ha
aumentado las victorias de Buy Box al 80%, incrementado las ventas un 32% y aumentado las ganancias donde no tenemos competencia. Prueba terminada, ahora completamente suscrito. ¡Muchas gracias!
¡Empieza en solo unos clics!
Desbloquea las herramientas que necesitas