Acuerdo de procesamiento de datos (DPA)

INTRODUCCIÓN

Este Acuerdo de Procesamiento de Datos de Jarvi Tech (Jarvi) y sus Anexos (“DPA”) refleja el acuerdo entre las partes con respecto al Procesamiento de Datos Personales por nuestra parte en su nombre en relación con los Servicios de Suscripción de Jarvi según los Términos de Servicio entre usted y nosotros (también referido en este DPA como el “Acuerdo”).

Este DPA es complementario y forma parte integral del Acuerdo y entra en vigor tras su incorporación al Acuerdo, que puede especificarse en el Acuerdo, en un Pedido o en una enmienda ejecutada al Acuerdo. En caso de cualquier conflicto o inconsistencia con los términos del Acuerdo, este DPA prevalecerá sobre los términos del Acuerdo en la medida de dicho conflicto o inconsistencia.

Actualizamos estos términos de vez en cuando. Si tienes una suscripción activa de Jarvi Tech (Jarvi), te lo haremos saber cuando lo hagamos por correo electrónico o mediante una notificación en la aplicación.

El plazo de este DPA seguirá el plazo del Acuerdo. Los términos no definidos de otra manera en este DPA tendrán el significado establecido en el Acuerdo.

01. Alcance del contrato y distribución de responsabilidades

1.1 Las Partes acuerdan que, para el Procesamiento de Datos Personales, las Partes serán Controlador y Procesador.

1.2 El Procesador procesará Datos Personales solo en nombre del Controlador y en todo momento solo de acuerdo con este Acuerdo de Procesamiento de Datos.

1.3 Dentro del alcance del Acuerdo de Servicio, cada Parte será responsable de cumplir con sus respectivas obligaciones como Controlador y Procesador según las Leyes de Protección de Datos.

02. Instrucciones de procesamiento

2.1 El Procesador procesará los Datos Personales de acuerdo con las instrucciones del Controlador. Este Acuerdo de Procesamiento de Datos contiene las instrucciones iniciales del Controlador al Procesador. Las Partes acuerdan que el Controlador puede comunicar cualquier cambio en sus instrucciones iniciales al Procesador mediante notificación escrita al Procesador y que el Procesador deberá cumplir con dichas instrucciones. El Procesador mantendrá un registro seguro, completo, preciso y actualizado de todas estas instrucciones individuales.

2.2 Para evitar dudas, cualquier instrucción que conduzca a un procesamiento fuera del alcance de este Acuerdo de Procesamiento de Datos (por ejemplo, porque se introduce un nuevo propósito de Procesamiento) requerirá un acuerdo previo entre las Partes y, cuando sea aplicable, estará sujeto al procedimiento de cambio de contrato según el Acuerdo de Servicio.

2.3 Cuando el Controlador lo indique, el Procesador corregirá, eliminará o bloqueará los Datos Personales.

2.4 El Procesador informará sin demora al Controlador por escrito si, en opinión del Procesador, una instrucción infringe las Leyes de Protección de Datos y proporcionará una explicación por escrito de las razones de su opinión.

2.5 El Procesador no será responsable de ninguna Pérdida de DP que surja de o en relación con cualquier procesamiento realizado de acuerdo con las instrucciones del Controlador después de que el Controlador haya recibido cualquier información proporcionada por el Procesador en esta Sección 2.

03. Personal del procesador

El procesador restringirá a su personal el Procesamiento de Datos Personales sin autorización. El Procesador impondrá obligaciones contractuales apropiadas a su personal, incluyendo obligaciones relevantes con respecto a la confidencialidad, protección de datos y seguridad de datos.

04. Divulgación a terceros; Derechos de los sujetos de datos

4.1 El Encargado no revelará Datos Personales a ningún tercero (incluida cualquier agencia gubernamental, tribunal o autoridad policial) excepto según lo establecido en este Acuerdo de Procesamiento de Datos o con el consentimiento por escrito del Responsable o según sea necesario para cumplir con las leyes obligatorias aplicables. Si el Encargado está obligado a revelar Datos Personales a una agencia policial o a un tercero, el Encargado acepta notificar al Responsable con un aviso razonable de la solicitud de acceso antes de conceder dicho acceso, para permitir que el Responsable busque una orden de protección u otro remedio apropiado. Si dicha notificación está legalmente prohibida, el Encargado tomará medidas razonables para proteger los Datos Personales de una divulgación indebida como si se tratara de información confidencial propia del Encargado que se solicita e informará al Responsable lo antes posible si y cuando dicha prohibición legal deje de aplicarse.

4.2 En caso de que el Responsable reciba cualquier solicitud o comunicación de los Interesados que se relacione con el Procesamiento de Datos Personales (“Solicitud”), el Encargado proporcionará al Responsable plena cooperación, información y asistencia (“Asistencia”) en relación con dicha Solicitud cuando así lo indique el Responsable.

4.3 Cuando el Encargado reciba una Solicitud, el Encargado (i) no responderá directamente a dicha Solicitud, (ii) reenviará la solicitud al Responsable dentro de los 3 (tres) días hábiles de identificar la Solicitud como relacionada con el Responsable y (iii) proporcionará Asistencia de acuerdo con las instrucciones adicionales del Responsable.

05. Asistencia

5.1 El Encargado asiste al Responsable en el cumplimiento de las obligaciones de conformidad con los Artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del Procesamiento y la información disponible para el Encargado.

5.2 Cuando se requiera una Evaluación de Impacto de Protección de Datos (“EIPD”) según las Leyes de Protección de Datos aplicables para el Procesamiento de Datos Personales, el Encargado proporcionará, previa solicitud, al Responsable la cooperación y asistencia razonables necesarias para cumplir con la obligación del Cliente de llevar a cabo una EIPD relacionada con el uso de los Servicios por parte del Cliente, en la medida en que el Cliente no tenga acceso a la información relevante y dicha información esté disponible para Jarvi Tech (Jarvi).

5.3 El Responsable pagará al Encargado cargos razonables mutuamente acordados entre las partes por proporcionar la asistencia en la Sección 5, en la medida en que dicha asistencia no pueda ser razonablemente acomodada dentro de la provisión normal de los Servicios.

06. Derechos de información y auditoría

6.1 El Encargado del Tratamiento, de acuerdo con las Leyes de Protección de Datos, pondrá a disposición del Responsable del Tratamiento, previa solicitud y de manera oportuna, la información necesaria para demostrar el cumplimiento por parte del Encargado del Tratamiento de sus obligaciones según las Leyes de Protección de Datos.

6.2 Jarvi Tech (Jarvi) ha obtenido certificaciones y auditorías de terceros establecidas en nuestra página de seguridad. Previa solicitud por escrito del Responsable del Tratamiento y sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo de Servicio, Jarvi Tech (Jarvi) pondrá a disposición del Responsable del Tratamiento una copia de las certificaciones o auditorías de terceros más recientes de Jarvi Tech (Jarvi), según corresponda.

6.3 El Encargado del Tratamiento permitirá y contribuirá, con un aviso razonable, a las inspecciones del Tratamiento de Datos Personales por parte del Encargado del Tratamiento, así como de las MTOs (incluyendo sistemas de procesamiento de datos, políticas, procedimientos y registros), durante el horario laboral habitual y con una interrupción mínima de las operaciones comerciales del Encargado del Tratamiento. Dichas inspecciones serán realizadas por el Responsable del Tratamiento, sus afiliados o un tercero independiente en nombre del Responsable del Tratamiento (que no será un competidor del Encargado del Tratamiento) que esté sujeto a obligaciones razonables de confidencialidad.

6.4 El Responsable del Tratamiento pagará al Encargado del Tratamiento los costos razonables de permitir o contribuir a auditorías o inspecciones de acuerdo con la Sección 6.3 cuando el Responsable del Tratamiento desee realizar más de una auditoría o inspección cada 12 meses. El Encargado del Tratamiento remitirá inmediatamente al Responsable del Tratamiento cualquier solicitud recibida de las autoridades nacionales de protección de datos que se relacionen con el Tratamiento de Datos Personales por parte del Encargado del Tratamiento.

6.5 El Encargado del Tratamiento se compromete a cooperar con el Responsable del Tratamiento en sus tratos con las autoridades nacionales de protección de datos y con cualquier solicitud de auditoría recibida de las autoridades nacionales de protección de datos. El Responsable del Tratamiento tendrá derecho a divulgar este Acuerdo de Tratamiento de Datos o cualquier otro documento (incluidos los contratos con subcontratistas) que se relacionen con el cumplimiento de sus obligaciones en virtud de este Acuerdo de Tratamiento de Datos (se puede eliminar la información comercial).

07. Gestión y notificación de incidentes de datos

Con respecto a los incidentes de datos del Cliente, el Procesador deberá:

7.1 Notificar al Controlador sobre una Violación de Datos Personales que involucre al Procesador o a un subcontratista sin demora indebida (pero en ningún caso más tarde de 72 horas después de tener conocimiento del incidente).

7.2 Hacer esfuerzos razonables para identificar la causa de dicho incidente y tomar las medidas que el Procesador considere necesarias y razonables para remediar la causa del incidente en la medida en que esté dentro del control razonable de Jarvi Tech (Jarvi).

7.3 Proporcionar información razonable, cooperación y asistencia al Controlador en relación con cualquier acción que deba tomarse en respuesta a una Violación de Datos Personales según las Leyes de Protección de Datos, incluida la comunicación de la Violación de Datos Personales a los Sujetos de Datos y a las autoridades nacionales de protección de datos.

Las obligaciones contenidas en la Sección 7 no se aplicarán a los incidentes de datos causados por el Cliente o los usuarios del Cliente.

08. Transferencia internacional de datos

8.1 Jarvi Tech (Jarvi) puede transferir sus Datos Personales a países distintos al país en el que vive. En la medida en que los Datos Personales se transfieran al extranjero, Jarvi Tech (Jarvi) garantizará el cumplimiento de los requisitos de las leyes aplicables en la jurisdicción respectiva en línea con las obligaciones de Jarvi Tech (Jarvi).

8.2 Jarvi Tech (Jarvi) y sus entidades asociadas han firmado Cláusulas Contractuales Estándar (“CCE”) entre ellas, autorizadas por la Comisión Europea bajo el RGPD para la transferencia de datos personales desde Jarvi Tech (Jarvi) en el EEE, Reino Unido y Suiza para proporcionar el Servicio de acuerdo con los Términos de Servicio.

8.3 Dondequiera que se transfieran Datos Personales fuera de su país de origen, cada parte se asegurará de que dichas transferencias se realicen de conformidad con los requisitos de las Leyes de Protección de Datos.

8.4 Cuando el Cliente esté ubicado en el Espacio Económico Europeo (EEE), las partes reconocen que la transferencia de Datos Personales por parte del Cliente a Workforce Cloud Tech, Inc. (Jarvi) implicará la transferencia de datos fuera del EEE. Desde la perspectiva de la protección de datos de la UE y a efectos de la normativa aplicable, el Cliente será el Exportador de Datos y Jarvi Tech (Jarvi) será el Importador de Datos.

8.5 Cuando el Exportador de Datos no esté ubicado en los Estados Unidos (“EE.UU.”) o el EEE, las partes reconocen que la transferencia de Datos Personales por parte del Exportador de Datos a Jarvi Tech (Jarvi) implicará la transferencia posterior de Datos Personales desde el país en el que está ubicado el Exportador de Datos al EEE, los EE.UU. y otras jurisdicciones donde Jarvi Tech (Jarvi) y sus Subprocesadores estén registrados.

8.6 El Cliente reconoce que en relación con la prestación de los Servicios, Jarvi Tech (Jarvi) es un receptor de Datos de Clientes Europeos en los Estados Unidos. Las partes reconocen y acuerdan lo siguiente:

1. Cláusulas Contractuales Estándar: Las partes acuerdan cumplir y procesar los Datos Europeos de conformidad con las Cláusulas Contractuales Estándar (Decisión de Ejecución (UE) 2021/914 de la Comisión).
2. Subprocesadores de Jarvi Tech (Jarvi) en las jurisdicciones donde tienen operaciones.
3. Escudo de Privacidad: Aunque Jarvi Tech (Jarvi), Inc. no se basa en el Escudo de Privacidad UE-EE.UU. como base legal para las transferencias de Datos Personales a la luz de la sentencia del Tribunal de Justicia de la UE en el Caso C-311/18, mientras Jarvi Tech (Jarvi) esté autocertificado en el Escudo de Privacidad, Jarvi Tech (Jarvi) procesará los Datos de Clientes Europeos de conformidad con los Principios del Escudo de Privacidad e informará al Cliente si no puede cumplir con este requisito.

Si, por cualquier razón, Jarvi Tech (Jarvi) no puede cumplir con sus obligaciones bajo las Cláusulas Contractuales Estándar o incumple cualquier garantía bajo las Cláusulas Contractuales Estándar, y el Cliente tiene la intención de suspender la transferencia de Datos de Clientes Europeos a Jarvi Tech (Jarvi) o terminar las Cláusulas Contractuales Estándar, el Cliente acepta proporcionar a Jarvi Tech (Jarvi) un aviso razonable para permitir que Jarvi Tech (Jarvi) subsane dicho incumplimiento y cooperar razonablemente con Jarvi Tech (Jarvi) para identificar qué salvaguardias adicionales, si las hubiera, pueden implementarse para remediar dicho incumplimiento. Si Jarvi Tech (Jarvi) no ha subsanado o no puede subsanar el incumplimiento, el Cliente puede suspender o terminar la parte afectada del Servicio de acuerdo con los Términos de Servicio sin responsabilidad para ninguna de las partes (pero sin perjuicio de las tarifas que haya incurrido antes de dicha suspensión o terminación).

09. Referencia a las disposiciones de las cláusulas contractuales estándar

Para las medidas técnicas y organizativas (MTOs), se hace referencia al Anexo II de las Cláusulas Contractuales Estándar.

Para el subprocesamiento, se hace referencia al Anexo III de las Cláusulas Contractuales Estándar. En caso de objeción por parte del Responsable del tratamiento al nombramiento o reemplazo de cualquier subprocesador, el Encargado del tratamiento no nombrará ni reemplazará al subprocesador o, si esto no es posible, el Responsable del tratamiento podrá suspender o terminar el/los Servicio(s) (sin perjuicio de las tarifas incurridas por el Responsable del tratamiento antes de dicha suspensión o terminación).

10. Duración y terminación

10.1 Este Acuerdo de Procesamiento de Datos entra en vigor al momento de la firma. Continuará en pleno vigor y efecto mientras el Encargado del tratamiento esté procesando Datos Personales de acuerdo con el Anexo I del Anexo 1 y cesará automáticamente después de eso.

10.2 El Responsable del tratamiento puede terminar el Acuerdo de Procesamiento de Datos, así como el Acuerdo de Servicio por causa justificada, en cualquier momento con un aviso razonable o sin aviso, según lo elija el Responsable del tratamiento, si el Encargado del tratamiento incumple materialmente los términos de este Acuerdo de Procesamiento de Datos.

10.3 Cuando se requieran modificaciones para garantizar el cumplimiento de este Acuerdo de Procesamiento de Datos con las Leyes de Protección de Datos, las Partes acordarán dichas modificaciones a solicitud del Responsable del tratamiento y, para evitar dudas, sin costos adicionales para el Responsable del tratamiento. Cuando las partes no puedan acordar dichas modificaciones, cualquiera de las partes podrá terminar el Acuerdo de Servicio y este Acuerdo de Procesamiento de Datos con un aviso por escrito de 90 días a la otra parte.

11. Eliminación o devolución de datos personales

El controlador puede exportar todos los Datos del Cliente antes de la terminación de la Cuenta del Cliente. En cualquier caso, después de la terminación de la Cuenta del Cliente, (i) sujeto a (ii) y (iii) a continuación y al Acuerdo de Servicio, los Datos del Cliente se conservarán durante un período de catorce (14) días a partir de dicha terminación, dentro del cual el Controlador puede contactar al Procesador para exportar los Datos del Cliente; (ii) cuando el Controlador no utilice un buzón personalizado y use la función de correo electrónico, si está disponible dentro del/los Servicio(s), los correos electrónicos que forman parte de los Datos del Cliente se archivan automáticamente durante un período de tres (3) meses; y (iii) los registros se archivan durante un período de treinta (30) días en los sistemas de gestión de registros, después de lo cual los registros se retiran a un almacenamiento frío archivado restringido por un período de once (11) meses (cada uno un “Período de Retención de Datos”). Más allá de cada Período de Retención de Datos, el Procesador se reserva el derecho de eliminar todos los Datos del Cliente en el curso normal de las operaciones, excepto cuando sea necesario para cumplir con las obligaciones legales del Procesador, mantener registros financieros y de otro tipo precisos, resolver disputas y hacer cumplir sus acuerdos. Los Datos del Cliente no se pueden recuperar una vez que se eliminan.

12. Disposiciones varias

12.1 En caso de conflicto, las disposiciones de este Acuerdo de Procesamiento de Datos prevalecerán sobre las disposiciones de cualquier otro acuerdo con el Procesador.

12.2 La limitación de responsabilidad establecida en el Acuerdo de Servicio se aplica al incumplimiento del Acuerdo de Procesamiento de Datos.

12.3 Ninguna Parte recibirá remuneración alguna por cumplir sus obligaciones bajo este Acuerdo de Procesamiento de Datos, excepto como se establece explícitamente aquí o en otro acuerdo.

12.4 Cuando este Acuerdo de Procesamiento de Datos requiera una “notificación por escrito”, dicha notificación también puede comunicarse por correo electrónico a la otra Parte. Las notificaciones se enviarán a las personas de contacto establecidas en el Anexo I del Anexo 1.

12.5 Cualquier acuerdo complementario o enmienda a este Acuerdo de Procesamiento de Datos debe hacerse por escrito y ser firmado por ambas Partes.

12.6 Si alguna disposición individual de este Acuerdo de Procesamiento de Datos se vuelve nula, inválida o inviable, esto no afectará la validez de las condiciones restantes de este acuerdo.

13. Definiciones

“Leyes de Protección de Datos” se refiere a las leyes de protección de datos del país en el que está establecido el Controlador, incluyendo el RGPD, y cualquier ley de protección de datos aplicable al Controlador en relación con el Acuerdo de Servicio. Cuando el Controlador no esté establecido en un Estado miembro de la UE, se aplica además la Ley de Privacidad del Consumidor de California.

“Pérdidas de PD” significa todas las responsabilidades, incluyendo:

1. costos (incluyendo costos legales);
2. reclamaciones, demandas, acciones, acuerdos, cargos, procedimientos, gastos, pérdidas y daños (ya sean materiales o no materiales, e incluyendo por angustia emocional);
3. en la medida permitida por la ley aplicable:

(i) multas administrativas, sanciones, responsabilidades u otros remedios impuestos por una autoridad de protección de datos o cualquier otra Autoridad Reguladora relevante;

(ii) compensación a un Sujeto de Datos ordenada por una autoridad de protección de datos a ser pagada por el Procesador;

(iii) los costos de cumplimiento con las investigaciones de una autoridad de protección de datos o cualquier otra Autoridad Reguladora relevante.

“RGPD” se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al Procesamiento de datos personales y a la libre circulación de estos datos.

“Datos Personales” significa cualquier información relacionada con una persona física identificada o identificable según lo definido por el Reglamento General de Protección de Datos de la Unión Europea (“RGPD” EC-2016/679) que es Procesada por el Procesador como parte de la prestación de los servicios al Controlador como se describe en el Anexo 1.

“Acuerdo de Servicio” se refiere a los Términos de Servicio disponibles en https://www.jarvi.tech/es/legals/cgu/ o un acuerdo maestro de servicios ejecutado entre las Partes.

“Cláusulas Contractuales Estándar/Cláusulas Contractuales Estándar de la UE” las cláusulas contractuales estándar establecidas en el Anexo 1 para la transferencia de Datos Personales de un Controlador de Datos en el Espacio Económico Europeo a Procesadores establecidos en terceros países en la forma establecida en el Anexo de la Decisión de Ejecución de la Comisión (UE) 2021/914 del 4 de junio de 2021, modificada incorporando la descripción de los Datos Personales a transferir y las medidas técnicas y organizativas a implementar según lo establecido en el Apéndice.

“Controlador”, “Sujeto de Datos”, “Violación de Datos Personales”, “Procesador” y “Procesar”/“Procesamiento” tendrán el significado que se les da en el RGPD.

SECCIÓN 1: SECCIÓN DE CLÁUSULAS CONTRACTUALES ESTÁNDAR

Cláusula 1 - Propósito y alcance

1. El propósito de estas cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) para la transferencia de datos personales a un tercer país.
2. Las Partes:

(i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en adelante, “entidad(es)”) que transfieren los datos personales, como se enumera en el Anexo I.A (en adelante, cada uno “exportador de datos”), y

(ii) la(s) entidad(es) en un tercer país que reciben los datos personales del exportador de datos, directa o indirectamente a través de otra entidad también Parte de estas Cláusulas, como se enumera en el Anexo I.A (en adelante, cada uno “importador de datos”) han acordado estas cláusulas contractuales estándar (en adelante: “Cláusulas”).

4. Estas Cláusulas se aplican con respecto a la transferencia de datos personales como se especifica en el Anexo I.B.
5. El Apéndice de estas Cláusulas que contiene los Anexos mencionados en el mismo forma parte integral de estas Cláusulas.

Cláusula 2 - Efecto e invariabilidad de las Cláusulas

1. Estas Cláusulas establecen salvaguardias apropiadas, incluidos derechos exigibles de los interesados y recursos legales efectivos, de conformidad con el Artículo 46(1) y el Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados y/o de encargados a encargados, cláusulas contractuales estándar de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el(los) Módulo(s) apropiado(s) o para agregar o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales estándar establecidas en estas Cláusulas en un contrato más amplio y/o agreguen otras cláusulas o salvaguardias adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
2. Estas Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3 - Beneficiarios terceros

1. Los interesados pueden invocar y hacer cumplir estas Cláusulas, como beneficiarios terceros, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8 - Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
(iii) Cláusula 9 – Cláusula 9(a), (c), (d) y (e);
(iv) Cláusula 12 – Cláusula 12(a), (d) y (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) y (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18 – Cláusula 18(a) y (b);

3. Este párrafo no afecta a los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Cláusula 4 - Interpretación

1. Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
2. Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
3. Estas Cláusulas no se interpretarán de manera que entre en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5 - Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de acuerdos relacionados entre las Partes, existentes en el momento en que se acuerdan estas Cláusulas o se celebran posteriormente, prevalecerán estas Cláusulas.

Cláusula 6 - Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y el(los) propósito(s) para los que se transfieren, se especifican en el Anexo I.B.

Cláusula 7 - Cláusula de acoplamiento

1. Una entidad que no sea Parte de estas Cláusulas puede, con el acuerdo de las Partes, adherirse a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.
2. Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador de datos o importador de datos de acuerdo con su designación en el Anexo I.A.
3. La entidad adherente no tendrá derechos ni obligaciones derivados de estas Cláusulas del período anterior a convertirse en Parte.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8 - Salvaguardias de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos es capaz, mediante la implementación de medidas técnicas y organizativas apropiadas, de cumplir con sus obligaciones bajo estas Cláusulas.

8.1 Instrucciones

1. El importador de datos procesará los datos personales solo según las instrucciones documentadas del exportador de datos. El exportador de datos puede dar tales instrucciones durante toda la duración del contrato.
2. El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.

8.2 Limitación de finalidad

El importador de datos procesará los datos personales solo para el(los) propósito(s) específico(s) de la transferencia, como se establece en el Anexo I. B, a menos que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

A petición, el exportador de datos pondrá a disposición del interesado una copia de estas Cláusulas, incluido el Apéndice completado por las Partes, de forma gratuita. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos puede redactar parte del texto del Apéndice de estas Cláusulas antes de compartir una copia, pero proporcionará un resumen significativo donde el interesado de otro modo no podría entender su contenido o ejercer sus derechos. A petición, las Partes proporcionarán al interesado las razones de las redacciones, en la medida de lo posible sin revelar la información redactada. Esta Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Exactitud

Si el importador de datos se da cuenta de que los datos personales que ha recibido son inexactos o están desactualizados, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo se llevará a cabo durante el período especificado en el Anexo I.B. Después de finalizar la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y borrará las copias existentes. Hasta que se borren o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o supresión de los datos personales, el importador de datos garantiza que seguirá asegurando el cumplimiento de estas Cláusulas y que solo los tratará en la medida y durante el tiempo que exija dicha ley local. Esto se entiende sin perjuicio de la Cláusula 14, en particular el requisito para el importador de datos según la Cláusula 14(e) de notificar al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está o ha quedado sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).

8.6 Seguridad del tratamiento

1. El importador de datos y, durante la transmisión, también el exportador de datos implementarán medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación o acceso no autorizados accidentales o ilícitos a esos datos (en adelante, “violación de datos personales”). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costos de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que entraña el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda lograrse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico deberá, siempre que sea posible, permanecer bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente párrafo, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
2. El importador de datos concederá acceso a los datos personales a los miembros de su personal únicamente en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria apropiada.
3. En caso de violación de datos personales relacionada con datos personales tratados por el importador de datos en virtud de las presentes Cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos notificará también al exportador de datos sin demora indebida tras tener conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus posibles consecuencias y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y la información adicional se proporcionará posteriormente sin demora indebida a medida que se disponga de ella.
4. El importador de datos cooperará con el exportador de datos y le asistirá para que éste pueda cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el importador de datos.

8.7 Datos sensibles

Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona, o datos relacionados con condenas e infracciones penales (en adelante, “datos sensibles”), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el Anexo I.B.

8.8 Transferencias ulteriores

El importador de datos solo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo podrán ser revelados a un tercero ubicado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en adelante “transferencia ulterior”) si el tercero está o acepta estar vinculado por estas Cláusulas, bajo el Módulo apropiado, o si:

1. la transferencia ulterior se realiza a un país que se beneficia de una decisión de adecuación de conformidad con el Artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
2. el tercero garantiza de otro modo las salvaguardias apropiadas de conformidad con los Artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
3. la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, regulatorios o judiciales específicos; o
4. la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Cualquier transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias en virtud de estas Cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y cumplimiento

1. El importador de datos deberá atender de manera rápida y adecuada las consultas del exportador de datos relacionadas con el tratamiento en virtud de estas cláusulas.
2. Las partes deberán poder demostrar el cumplimiento de estas cláusulas. En particular, el importador de datos mantendrá la documentación apropiada sobre las actividades de tratamiento realizadas en nombre del exportador de datos.
3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas cláusulas y, a petición del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por estas cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
4. El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargar a un auditor independiente. Las auditorías podrán incluir inspecciones en las instalaciones o instalaciones físicas del importador de datos y se llevarán a cabo, cuando proceda, con un preaviso razonable.
5. Las partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en los párrafos (b) y (c), incluidos los resultados de las auditorías.

Cláusula 9 - Uso de subencargados

1. El importador de datos cuenta con la autorización general del exportador de datos para contratar subencargados de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con al menos 15 días de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados. El importador de datos proporcionará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.
2. Cuando el importador de datos contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que prevea, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas cláusulas, incluido en términos de derechos de terceros beneficiarios para los interesados. Las partes acuerdan que, al cumplir con esta cláusula, el importador de datos cumple sus obligaciones en virtud de la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones a las que está sujeto el importador de datos en virtud de estas cláusulas.
3. El importador de datos proporcionará, a petición del exportador de datos, una copia de dicho acuerdo de subencargado y de cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado de sus obligaciones en virtud de dicho contrato.
5. El importador de datos acordará una cláusula de tercero beneficiario con el subencargado por la cual, en caso de que el importador de datos haya desaparecido de facto, haya dejado de existir jurídicamente o se haya declarado insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y a ordenar al subencargado que borre o devuelva los datos personales.

Cláusula 10 - Derechos del interesado

1. El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a esa solicitud por sí mismo, a menos que haya sido autorizado para hacerlo por el exportador de datos.
2. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y el grado de la asistencia requerida.
3. En el cumplimiento de sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del exportador de datos.

Cláusula 11 - Recurso

1. El importador de datos informará a los interesados, de manera transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para atender reclamaciones. Tratará con prontitud cualquier reclamación que reciba de un interesado.
2. En caso de disputa entre un interesado y una de las Partes en relación con el cumplimiento de estas Cláusulas, esa Parte hará todo lo posible para resolver el problema de manera amistosa y oportuna. Las Partes se mantendrán informadas sobre tales disputas y, cuando sea apropiado, cooperarán para resolverlas.
3. Cuando el interesado invoque un derecho de tercero beneficiario de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del interesado de:

(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o la autoridad de control competente de conformidad con la Cláusula 13;

(ii) remitir la disputa a los tribunales competentes en el sentido de la Cláusula 18.

5. Las Partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
6. El importador de datos acatará una decisión que sea vinculante según el derecho de la UE o del Estado miembro aplicable.
7. El importador de datos acepta que la elección hecha por el interesado no perjudicará sus derechos sustantivos y procesales de buscar recursos de conformidad con las leyes aplicables.

Cláusula 12 - Responsabilidad

1. Cada Parte será responsable ante la(s) otra(s) Parte(s) por cualquier daño que cause a la(s) otra(s) Parte(s) por cualquier incumplimiento de estas Cláusulas.
2. El importador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el importador de datos o su subencargado cause al interesado por incumplimiento de los derechos de terceros beneficiarios en virtud de estas Cláusulas.
3. No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subencargado) cause al interesado por incumplimiento de los derechos de terceros beneficiarios en virtud de estas Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según corresponda.
4. Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo (c) por los daños causados por el importador de datos (o su subencargado), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por el daño.
5. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a emprender acciones judiciales contra cualquiera de estas Partes.
6. Las Partes acuerdan que si una Parte es considerada responsable en virtud del párrafo (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su responsabilidad por el daño.
7. El importador de datos no podrá invocar la conducta de un subencargado para eludir su propia responsabilidad.

Cláusula 13 - Supervisión

1. La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, como se indica en el Anexo I.C, actuará como autoridad de control competente.

   Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante de conformidad con el artículo 27, apartado 1, del Reglamento (UE) 2016/679: La autoridad de control del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, como se indica en el Anexo I.C, actuará como autoridad de control competente.

   Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin tener que designar un representante de conformidad con el artículo 27, apartado 2, del Reglamento (UE) 2016/679: La autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieren en virtud de las presentes cláusulas en relación con la oferta de bienes o servicios, o cuyo comportamiento sea objeto de seguimiento, como se indica en el Anexo I.C, actuará como autoridad de control competente.

2. El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes cláusulas. En particular, el importador de datos se compromete a responder a las consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctoras y compensatorias. Proporcionará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III - LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO POR AUTORIDADES PÚBLICAS

Cláusula 14 - Leyes y prácticas locales que afectan el cumplimiento de las Cláusulas

1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas en el tercer país de destino aplicables al procesamiento de los datos personales por parte del importador de datos, incluidos los requisitos para divulgar datos personales o medidas que autoricen el acceso por parte de las autoridades públicas, impidan que el importador de datos cumpla con sus obligaciones bajo estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo necesario y proporcional en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.
2. Las Partes declaran que al proporcionar la garantía en el párrafo (a), han tenido en cuenta en particular los siguientes elementos:

(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de actores involucrados y los canales de transmisión utilizados; las transferencias posteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que ocurre la transferencia; la ubicación de almacenamiento de los datos transferidos;

(ii) las leyes y prácticas del tercer país de destino – incluidas aquellas que requieren la divulgación de datos a las autoridades públicas o autorizan el acceso por parte de dichas autoridades – relevantes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;

(iii) cualquier salvaguardia contractual, técnica u organizativa relevante implementada para complementar las salvaguardias bajo estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y el procesamiento de los datos personales en el país de destino.

4. El importador de datos garantiza que, al llevar a cabo la evaluación bajo el párrafo (b), ha hecho sus mejores esfuerzos para proporcionar al exportador de datos información relevante y acepta que continuará cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.
5. Las Partes acuerdan documentar la evaluación bajo el párrafo (b) y ponerla a disposición de la autoridad supervisora competente a petición.
6. El importador de datos acepta notificar al exportador de datos sin demora si, después de haber acordado estas Cláusulas y durante la duración del contrato, tiene razones para creer que está o se ha vuelto sujeto a leyes o prácticas que no están en línea con los requisitos bajo el párrafo (a), incluso después de un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no esté en línea con los requisitos en el párrafo (a).
7. Tras una notificación conforme al párrafo (e), o si el exportador de datos tiene otras razones para creer que el importador de datos ya no puede cumplir con sus obligaciones bajo estas Cláusulas, el exportador de datos identificará sin demora las medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y confidencialidad) que deben ser adoptadas por el exportador de datos y/o el importador de datos para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar salvaguardias apropiadas para dicha transferencia, o si así lo instruye la autoridad supervisora competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de datos personales bajo estas Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos puede ejercer este derecho de rescisión solo con respecto a la Parte relevante, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicarán las Cláusulas 16(d) y (e).

Cláusula 15 - Obligaciones del importador de datos en caso de acceso por autoridades públicas

15.1 Notificación

1. El importador de datos se compromete a notificar al exportador de datos y, cuando sea posible, al interesado sin demora (si es necesario con la ayuda del exportador de datos) si:

(i) recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de las leyes del país de destino para la divulgación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base legal de la solicitud y la respuesta proporcionada; o

(ii) tiene conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con estas Cláusulas de acuerdo con las leyes del país de destino; dicha notificación incluirá toda la información disponible para el importador.

3. Si al importador de datos se le prohíbe notificar al exportador de datos y/o al interesado según las leyes del país de destino, el importador de datos se compromete a hacer sus mejores esfuerzos para obtener una exención de la prohibición, con el fin de comunicar tanta información como sea posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
4. Cuando sea permisible según las leyes del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante la duración del contrato, tanta información relevante como sea posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad(es) solicitante(s), si las solicitudes han sido impugnadas y el resultado de tales impugnaciones, etc.).
5. El importador de datos se compromete a conservar la información de conformidad con los párrafos anteriores durante la duración del contrato y a ponerla a disposición de la autoridad de control competente que la solicite.
6. Los párrafos anteriores se entienden sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar sin demora al exportador de datos cuando no pueda cumplir con estas Cláusulas.

15.2 Revisión de legalidad y minimización de datos

1. El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de las facultades otorgadas a la autoridad pública solicitante, y a impugnar la solicitud si, después de una evaluación cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal según las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, perseguir las posibilidades de apelación. Al impugnar una solicitud, el importador de datos buscará medidas provisionales con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente haya decidido sobre el fondo. No divulgará los datos personales solicitados hasta que se le exija hacerlo según las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).
2. El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación a la solicitud de divulgación y, en la medida en que lo permitan las leyes del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente cuando se le solicite.
3. El importador de datos se compromete a proporcionar la cantidad mínima de información permisible al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Cláusula 16 - Incumplimiento de las Cláusulas y terminación

1. El importador de datos informará sin demora al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.
2. En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplir con ellas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice nuevamente el cumplimiento o se termine el contrato. Esto se entiende sin perjuicio de la Cláusula 14(f).
3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de estas Cláusulas, cuando:

(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Cláusulas no se restablezca en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;

(ii) el importador de datos incumpla de manera sustancial o persistente estas Cláusulas; o

(iii) el importador de datos no cumpla con una decisión vinculante de un tribunal competente o autoridad de control con respecto a sus obligaciones en virtud de estas Cláusulas.

En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato involucre a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la Parte relevante, a menos que las Partes hayan acordado lo contrario.

5. Los datos personales que se hayan transferido antes de la rescisión del contrato de conformidad con el párrafo (c) serán, a elección del exportador de datos, devueltos inmediatamente al exportador de datos o eliminados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo requerido por esa ley local.
6. Cualquiera de las Partes podrá revocar su acuerdo de estar vinculada por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco legal del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17 - Ley aplicable

Estas cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita derechos de terceros beneficiarios. Las partes acuerdan que esta será la ley de la República de Francia.

Cláusula 18 - Elección de foro y jurisdicción

1. Cualquier disputa que surja de estas cláusulas será resuelta por los tribunales de un Estado miembro de la UE.
2. Las partes acuerdan que estos serán los tribunales de Rennes, Francia.
3. Un interesado también puede iniciar procedimientos legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
4. Las partes acuerdan someterse a la jurisdicción de dichos tribunales.

ANEXO I - Importación / Exportación de datos

A. LISTA DE PARTES

Exportador de datos:

Nombre: El Cliente, como se define en los Términos de Servicio de Jarvi Tech (Jarvi) o en el Acuerdo de Servicio Principal (en nombre de sí mismo y de las Filiales Autorizadas)

Dirección: La dirección del Cliente, como se establece en el Acuerdo de Servicio Principal o en el Formulario de Pedido de Servicio

Nombre, cargo y datos de contacto de la persona de contacto: Los datos de contacto del Cliente, como se establecen en el Acuerdo de Servicio Principal o en el Formulario de Pedido de Servicio y/o como se establecen en la Cuenta de Jarvi Tech (Jarvi) del Cliente

Actividades relevantes para los datos transferidos bajo estas Cláusulas: Procesamiento de Datos Personales en relación con el uso por parte del Cliente de los Servicios de Jarvi Tech (Jarvi) bajo los Términos de Servicio de Jarvi Tech (Jarvi) o el Acuerdo de Servicio Principal.

Rol (controlador/procesador): Controlador

Importador de datos:

Nombre: Jarvi Tech (Jarvi) Inc.

Dirección: 10 rue du réage, 35510 Cesson-Sévigné,

quentin@jarvi.tech

Actividades relevantes para los datos transferidos bajo estas Cláusulas: Procesamiento en nombre del controlador (prestación de servicios)

Firma y fecha:

Rol (controlador/procesador): procesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Puedes enviar Datos Personales en el curso del uso de los Servicios, cuyo alcance es determinado y controlado por ti a tu entera discreción, y que puede incluir, pero no se limita a, Datos Personales relacionados con las siguientes categorías de Sujetos de Datos:

• Clientes finales del exportador de datos
• Empleados del Grupo del exportador de datos
• Comerciantes del exportador de datos

Categorías de datos personales transferidos

• Datos de contacto - nombre, fecha de nacimiento, dirección, correo electrónico, número de teléfono, etc.
• Datos de contacto - DNI, número de seguridad social o similar
• Datos de pago - número de tarjeta de crédito y débito, datos de facturación, número de cuenta bancaria, etc.
• Datos de compra - historial de compras y pagos, etc.
• Datos del dispositivo - dirección de Protocolo de Internet (IP) y datos de geolocalización, etc.
• Datos de registro - contiene datos de contacto y datos del dispositivo

Datos sensibles transferidos (si aplica) y restricciones o salvaguardas aplicadas que toman en cuenta completamente la naturaleza de los datos y los riesgos involucrados, tales como, por ejemplo, limitación estricta de propósito, restricciones de acceso (incluyendo acceso solo para personal que ha seguido formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Continua (duración del acuerdo de servicio (contrato principal))

Propósito(s) de la transferencia de datos y procesamiento adicional

Procesaremos los Datos Personales según sea necesario para proporcionar los Servicios de acuerdo con los Términos de Servicio o el Acuerdo de Servicio Principal, como se especifica en el Formulario de Pedido de Servicio, y según sus instrucciones adicionales en el uso de los Servicios.

Los datos se conservarán durante el plazo del Acuerdo y durante 14 días después.

Para la automatización de flujos de trabajo, utilizamos Workato para ejecutar los flujos de trabajo. El período de retención de datos en Workato se puede personalizar según sus preferencias. Por defecto es de 90 días, que también es el período máximo durante el cual se pueden retener los datos en Workato. Los usuarios también tienen la flexibilidad de optar por no almacenar datos para recetas específicas si es necesario; sin embargo, esto no se recomienda ya que estos registros ayudan a solucionar errores en las recetas.

Para transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento

C. AUTORIDAD DE CONTROL COMPETENTE

A los efectos de las Cláusulas Contractuales Tipo, la autoridad de control que actuará como autoridad de control competente es (i) cuando el Cliente esté establecido en un Estado miembro de la UE, la autoridad de control responsable de garantizar el cumplimiento del RGPD por parte del Cliente; (ii) cuando el Cliente no esté establecido en un Estado miembro de la UE pero caiga dentro del ámbito de aplicación extraterritorial del RGPD y haya designado un representante, la autoridad de control del Estado miembro de la UE en el que esté establecido el representante del Cliente; o (iii) cuando el Cliente no esté establecido en un Estado miembro de la UE pero caiga dentro del ámbito de aplicación extraterritorial del RGPD sin tener que designar un representante, la autoridad de control del Estado miembro de la UE en el que se encuentren predominantemente los Interesados. En relación con los Datos Personales sujetos al RGPD del Reino Unido o a la LPD suiza, la autoridad de control competente es el Comisionado de Información del Reino Unido o el Comisionado Federal de Protección de Datos e Información de Suiza (según corresponda).

ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUYENDO MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

El Encargado del Tratamiento mantiene y aplica varias políticas, normas y procesos diseñados para proteger los datos personales y otros datos a los que tienen acceso los empleados del Encargado del Tratamiento, y actualiza dichas políticas, normas y procesos de vez en cuando de acuerdo con los estándares de la industria. A continuación se presenta una descripción de algunas de las medidas técnicas y organizativas implementadas por el Encargado del Tratamiento a la fecha de la firma:

1. Procedimientos generales de seguridad

1.1 El Encargado del Tratamiento será responsable de establecer y mantener un programa de seguridad de la información diseñado para: (i) proteger la seguridad y confidencialidad de los Datos Personales; (ii) proteger contra amenazas o peligros anticipados a la seguridad o integridad de los Datos Personales; (iii) proteger contra el acceso o uso no autorizado de los Datos Personales; (iv) asegurar la eliminación adecuada de los Datos Personales, como se define más adelante; y, (v) asegurar que todos los empleados y subcontratistas del Encargado del Tratamiento, si los hubiera, cumplan con todo lo anterior. El Encargado del Tratamiento designará a un individuo responsable del programa de seguridad de la información. Dicho individuo responderá a las consultas del Responsable del Tratamiento sobre seguridad informática y será responsable de notificar a los contactos designados por el Responsable del Tratamiento si ocurre una violación o un incidente, como se describe más adelante.

1.2 El Encargado del Tratamiento llevará a cabo una formación formal sobre privacidad y concienciación de seguridad para todos sus empleados tan pronto como sea razonablemente posible después del momento de la contratación y/o antes de ser asignados a trabajar con Datos Personales, y se recertificará anualmente a partir de entonces. El Encargado del Tratamiento conservará la documentación de la formación sobre concienciación de seguridad, confirmando que esta formación y el proceso de recertificación anual subsiguiente se han completado.

1.3 El Responsable del Tratamiento tendrá derecho a revisar una visión general del programa de seguridad de la información del Encargado del Tratamiento antes del inicio del Servicio y anualmente a partir de entonces, previa solicitud del Responsable del Tratamiento.

1.4 El Encargado del Tratamiento no transmitirá ningún Dato Personal sin cifrar a través de Internet o cualquier red no segura, y no almacenará ningún Dato Personal en ningún dispositivo informático móvil, como un ordenador portátil, unidad USB o dispositivo de datos portátil, excepto cuando exista una necesidad comercial y solo si el dispositivo informático móvil está protegido por software de cifrado estándar de la industria. El Encargado del Tratamiento cifrará los Datos Personales en tránsito hacia y desde los Servicios a través de redes públicas utilizando protocolos estándar de la industria.

1.5 En caso de cualquier robo aparente o real, uso no autorizado o divulgación de cualquier Dato Personal, el Encargado del Tratamiento iniciará inmediatamente todos los esfuerzos razonables para investigar y corregir las causas y remediar los resultados de los mismos, y sin demora indebida y dentro de las 72 horas siguientes a la confirmación de dicho evento, proporcionará al Responsable del Tratamiento notificación del mismo, y cualquier información adicional y asistencia que pueda ser razonablemente solicitada. A petición del Responsable del Tratamiento, se proporcionarán al Responsable del Tratamiento acciones de remediación y garantías razonables de resolución de los problemas descubiertos.

2. Seguridad de red y comunicaciones

2.1 Toda la conectividad del Procesador a los sistemas informáticos y/o redes del Controlador y todos los intentos de la misma serán únicamente a través de las puertas de enlace/cortafuegos de seguridad del Controlador y solo a través de los procedimientos de seguridad aprobados por el Controlador.

2.2 El Procesador no accederá ni permitirá que personas o entidades no autorizadas accedan a los sistemas informáticos y/o redes del Controlador sin la autorización expresa por escrito del Controlador, y cualquier acceso real o intentado será consistente con dicha autorización.

2.3 El Procesador tomará las medidas apropiadas para asegurar que los sistemas del Procesador que se conectan a los sistemas del Controlador y cualquier cosa proporcionada al Controlador a través de dichos sistemas no contenga ningún código informático, programas, mecanismos o dispositivos de programación diseñados para, o que permitirían, la interrupción, modificación, eliminación, daño, desactivación, inhabilitación, perjuicio o que de otra manera sean un impedimento, de cualquier forma, para el funcionamiento de los sistemas del Controlador.

2.4 El Procesador mantendrá medidas técnicas y organizativas para la protección de datos que incluyen: (i) cortafuegos y sistemas de detección de amenazas para identificar intentos de conexión maliciosos, bloquear spam, virus e intrusiones no autorizadas; (ii) tecnología de red física diseñada para resistir ataques de usuarios malintencionados o código malicioso; y (iii) datos encriptados en tránsito a través de redes públicas utilizando protocolos estándar de la industria.

3. Procedimientos de manejo de datos personales

3.1 Borrado de información y destrucción de medios de almacenamiento electrónico. Todos los medios de almacenamiento electrónico que contengan Datos Personales deben ser borrados o desmagnetizados para su destrucción física o eliminación, de una manera que cumpla con los estándares forenses de la industria, como las Directrices NIST SP800-88 para la Sanitización de Medios, antes de salir de las Áreas de Trabajo del Controlador, con la excepción de los Datos Personales encriptados que residen en medios portátiles con el propósito expreso de proporcionar servicio al Controlador. El Procesador mantendrá evidencia documentada comercialmente razonable del borrado y destrucción de datos para los recursos a nivel de infraestructura.

3.2 El Procesador mantendrá tecnologías y procesos de autorización y autenticación para asegurar que solo las personas autorizadas accedan a los Datos Personales, incluyendo: (i) otorgar derechos de acceso basados en el principio de necesidad de conocimiento; (ii) revisar y mantener registros de los empleados que han sido autorizados o que pueden otorgar, alterar o cancelar el acceso autorizado a los sistemas; (iii) requerir cuentas de acceso personalizadas e individuales para usar contraseñas que cumplan con requisitos de complejidad, longitud y duración; (iv) almacenar contraseñas de una manera que las haga indescifrables si se usan incorrectamente o se recuperan de forma aislada; (v) encriptar, registrar y auditar todas las sesiones de acceso a sistemas que contienen Datos Personales; y (vi) instruir a los empleados sobre métodos seguros de administración cuando las computadoras puedan estar desatendidas, como el uso de protectores de pantalla protegidos por contraseña y límites de tiempo de sesión.

3.3 El Procesador mantendrá controles lógicos para segregar los Datos Personales de otros datos, incluidos los datos de otros clientes.

3.4 El Procesador mantendrá medidas para proporcionar un procesamiento separado de datos para diferentes propósitos, incluyendo: (i) aprovisionar al Controlador dentro de su propio dominio de seguridad a nivel de aplicación, lo que crea una separación lógica y aislamiento de principios de seguridad entre clientes; y (ii) aislar los entornos de prueba o desarrollo de los entornos en vivo o de producción.

4. Seguridad física

4.1 El procesador se asegurará de que se cumplan al menos los siguientes requisitos de seguridad física:

1. Todos los medios de respaldo y archivo que contengan datos personales deben estar contenidos en áreas de almacenamiento seguras y ambientalmente controladas, propiedad, operadas o contratadas por el procesador. Todos los medios de respaldo y archivo que contengan datos personales deben estar cifrados.
2. Se implementan medidas técnicas y organizativas para controlar el acceso a las instalaciones y locales del centro de datos, que incluyen: (i) recepción con personal o agentes de seguridad para restringir el acceso a personas autorizadas identificadas; (ii) control de visitantes a su llegada para verificar la identidad; (iii) todas las puertas de acceso, incluidas las jaulas de equipos, aseguradas con sistemas de cierre automático de puertas con sistemas de control de acceso que registran y conservan los historiales de acceso; (iv) monitoreo y grabación de todas las áreas utilizando cámaras digitales de circuito cerrado de televisión, sistemas de alarma de detección de movimiento y registros detallados de vigilancia y auditoría; (v) alarmas contra intrusos presentes en todas las puertas de emergencia externas con puertas de salida interna de una sola dirección; y (vi) segregación de áreas de envío y recepción con controles de equipos a su llegada.
3. El procesador mantendrá medidas para proteger contra la destrucción accidental o la pérdida de datos personales, incluyendo: (i) detección y supresión de incendios, incluyendo un sistema de supresión de incendios de preacción, de tubería seca, de doble enclavamiento y multizona, y un sistema de detección y alarma de humo muy temprana (VESDA); (ii) generadores de electricidad redundantes in situ con un suministro adecuado de combustible para generadores y contratos con múltiples proveedores de combustible; (iii) sistemas de calefacción, ventilación y aire acondicionado (HVAC) que proporcionan un flujo de aire, temperatura y humedad estables, con una redundancia mínima de N+1 para todos los equipos principales y una redundancia de N+2 para enfriadores y almacenamiento de energía térmica; y (iv) sistemas físicos utilizados para el almacenamiento y transporte de datos que utilizan diseños tolerantes a fallos con múltiples niveles de redundancia.

5. Pruebas de seguridad

5.1 Durante la prestación de los Servicios en virtud del Acuerdo, el Procesador contratará, a su propio costo y al menos una vez al año, a un proveedor externo (“Empresa de Pruebas”) para realizar pruebas de penetración y vulnerabilidad (“Pruebas de Seguridad”) con respecto a los sistemas del Procesador que contienen y/o almacenan Datos Personales.

5.2 El objetivo de estas Pruebas de Seguridad será identificar problemas de diseño y/o funcionalidad en las aplicaciones o infraestructura de los sistemas del Procesador que contienen y/o almacenan Datos Personales, que podrían exponer los activos del Controlador a riesgos de actividades maliciosas. Las Pruebas de Seguridad buscarán debilidades en aplicaciones, perímetros de red u otros elementos de infraestructura, así como debilidades en procesos o contramedidas técnicas relacionadas con los sistemas del Procesador que contienen y/o almacenan Datos Personales que podrían ser explotadas por una parte maliciosa.

5.3 Las Pruebas de Seguridad identificarán, como mínimo, las siguientes vulnerabilidades de seguridad: entrada no validada o no sanitizada; controles de acceso rotos o excesivos; autenticación y gestión de sesiones rotas; fallos de secuencias de comandos entre sitios (XSS); desbordamientos de búfer; fallos de inyección; manejo inadecuado de errores; almacenamiento inseguro; vulnerabilidades comunes de denegación de servicio; gestión de configuración insegura o inconsistente; uso inadecuado de SSL/TLS; uso adecuado de cifrado; y fiabilidad y pruebas de antivirus.

5.4 Dentro de un período razonable después de que se haya realizado la Prueba de Seguridad, el Procesador remediará los problemas identificados (si los hubiera) y posteriormente contratará, a su propio costo, a la Empresa de Pruebas para realizar una Prueba de Seguridad de revalidación para asegurar la resolución de los problemas de seguridad identificados. Los resultados de esto se pondrán a disposición del Controlador previa solicitud.

6. Auditoría de seguridad

6.1 El procesador y todas las entidades subcontratadas (según corresponda) realizarán al menos anualmente una auditoría SSAE 18 (o equivalente) que cubra todos los sistemas y/o instalaciones utilizados para proporcionar el Servicio al Controlador y proporcionarán al Controlador los resultados de la misma inmediatamente después de la solicitud por escrito del Controlador. Si, después de revisar los resultados de dicha auditoría, el Controlador determina razonablemente que existen problemas de seguridad relacionados con el Servicio, el Controlador notificará al Procesador por escrito, y el Procesador discutirá prontamente y, cuando sea comercialmente viable, abordará los problemas identificados. Cualquier problema restante será documentado, rastreado y abordado en el momento acordado por el Procesador y el Controlador.

7. Divulgación de la API de Google

El uso de la información recibida de las APIs de Google por parte de Jarvi se adherirá a la Política de Datos de Usuario de Servicios de API de Google, incluyendo los requisitos de Uso Limitado.

ANEXO III - LISTA DE SUBPROCESADORES