Adenda de Privacidad de Datos («DPA»)

En el transcurso de proporcionarle el Software y los Servicios de conformidad con el Acuerdo, Sovos y sus Afiliados pueden Tratar Datos Personales en su nombre, y las partes acuerdan cumplir con las siguientes disposiciones con respecto a cualquier Dato Personal, actuando cada una de manera razonable y de buena fe. Este DPA forma parte del Acuerdo entre usted y Sovos y refleja el acuerdo de las partes con respecto al Tratamiento de Datos Personales. Al aceptar este DPA, usted celebra este DPA en su nombre y, en la medida en que lo exijan las Leyes y Regulaciones de Protección de Datos aplicables, por y en nombre de sus Afiliados Autorizados, si y en la medida en que Sovos trate Datos Personales donde dichos Afiliados Autorizados califican como Controlador. Solo para los fines de este DPA, y salvo que se indique lo contrario, el término “Cliente” lo incluirá a usted y a los Afiliados Autorizados. Todos los términos en mayúsculas no definidos en el presente tendrán el significado establecido en el Acuerdo.

1. DEFINICIONES DE TÉRMINOS DE TRATAMIENTO DE DATOS

“Afiliado Autorizado” se refiere a cualquier Afiliado del Cliente que tenga permiso para utilizar los Servicios de conformidad con el Acuerdo entre el Cliente y Sovos, pero que no haya firmado su propio Anexo con Sovos y no sea un “Cliente” tal como se define en el Acuerdo.

«Información de Contacto Comercial (BCI)» se refiere a la información de contacto comercial del Cliente que el Cliente ha proporcionado con el fin de comunicarse con ellos, como facturación, servicios de soporte, marketing, etc.; esta información puede incluir: nombre de contacto del cliente, cargo, dirección de correo electrónico de contacto comercial, números de teléfono y dirección de la oficina registrada. Si bien esta información puede estar disponible públicamente, parte de ella también pueden ser Datos Personales. El Cliente acepta que los Datos de Contacto Comercial pueden transferirse a otros Afiliados de Sovos (incluidas transferencias al extranjero) con fines de administración y ejecución del contrato.

“CCPA” significa la Ley de Privacidad del Consumidor de California de 2018 (AB-375), modificada por la CPRA, incluidas todas las regulaciones relacionadas.

“Controlador” significa la entidad que determina los propósitos y medios del Tratamiento de Datos Personales.

“Datos del Cliente” hace referencia a todos los Datos Personales Tratados por Sovos en nombre del Cliente con el fin de prestar los Servicios.

«Leyes y Regulaciones de Protección de Datos» se refiere a las leyes y regulaciones de privacidad de datos aplicables y relevantes en el territorio donde se encuentran las oficinas de Sovos y Sovos proporciona los Servicios y productos: EU GDPR y la Ley de Protección de Datos del Reino Unido de 2018 y cualquier otra legislación vigente de tiempo en tiempo y cualquier ley que reemplace o modifique cualquiera de estos (incluido el GDPR) junto con todas las leyes aplicables relacionadas con el tratamiento o la protección de datos personales y la privacidad, incluidas, cuando corresponda, la guía y los códigos de práctica o conducta emitidos o aprobados por El Grupo de Trabajo del artículo 29 o el Consejo Europeo de Protección de Datos (según corresponda), el Comisionado de Información del Reino Unido y/o las autoridades de supervisión pertinentes de tiempo en tiempo. La Lei Geral de Protecao de Dados (LGPD) de Brasil. Estados Unidos y sus estados, incluida la Ley de Privacidad del Consumidor de California (CCPA). Turquía (KKVK).

«Titular de Datos» significa la persona identificada o identificable con la que se relacionan los Datos Personales, incluido, según corresponda, cualquier «consumidor» o «hogar» tal como lo define la CCPA.

“GDPR” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

«Datos Personales» se refiere a cualquier información relacionada con (i) una persona física identificada o identificable y, (ii) una entidad legal identificada o identificable (cuando dicha información esté protegida de manera similar a los Datos Personales o la información de identificación personal según las Leyes y Regulaciones de Protección de Datos aplicables), donde para cada (i) o (ii), dichos datos son Datos del Cliente.

“Tratamiento” significa cualquier operación o conjunto de operaciones que se realiza sobre Datos Personales, ya sea por medios automáticos o no, tales como recolección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción.

“Procesador” se refiere a la entidad que Trata Datos Personales en nombre del Controlador, incluido, según corresponda, cualquier “prestador de servicios” tal como lo define la CCPA.

“Programa de Seguridad” hace referencia al Programa de Seguridad vigente en ese momento aplicable a los Servicios adquiridos por el Cliente, actualizado de tiempo en tiempo, y que se encuentra en https://sovos.com/customer-legal-data-sheets/.

“Sovos” hace referencia a la entidad de Sovos que es parte de este DPA, , o el Afiliado de Sovos en el territorio donde se prestan los Servicios.

“Grupo Sovos” significa Sovos y sus Afiliadas involucradas en el Tratamiento.

“Cláusulas Contractuales Tipo” hace referencia al acuerdo celebrado por y entre el Cliente y Sovos Compliance, LLC, y adjunto al presente como Anexo 2 de conformidad con la decisión de la Comisión Europea sobre Cláusulas Contractuales Tipo para la transferencia de datos personales a procesadores establecidos en terceros países que no garantizan un nivel adecuado de protección de datos.

“Subprocesador” hace referencia a cualquier Procesador contratado por Sovos o un miembro del Grupo Sovos.

“Autoridad Supervisora” significa una autoridad pública independiente establecida por un Estado Miembro de la UE de conformidad con el GDPR, u otra autoridad reguladora del territorio pertinente para la privacidad de datos.

2. TRATAMIENTO DE DATOS PERSONALES

2.1 Roles de las Partes. Las partes reconocen y aceptan que, con respecto al Tratamiento de Datos Personales, el Cliente es el Controlador, Sovos es el Procesador y que Sovos o los miembros del Grupo Sovos contratarán Subprocesadores de conformidad con los requisitos establecidos en la Sección 5 “Subprocesadores” a continuación.
 

2.2 Cumplimiento de la Ley. Cada parte cumplirá con las obligaciones que le correspondan en virtud de las Leyes y Regulaciones de Protección de Datos aplicables. Sovos reconoce que el Cliente actúa confiando en cumplimiento de Sovos con las Leyes y Regulaciones de Protección de Datos aplicables. El Cliente reconoce que Sovos actúa confiando en el cumplimiento por parte del Cliente de las Leyes y Regulaciones de Protección de Datos aplicables.
 

2.3 Tratamiento de Datos Personales del Cliente. El Cliente deberá, en su uso de los Servicios, Tratar Datos Personales de acuerdo con los requisitos de las Leyes y Regulaciones de Protección de Datos. Para evitar dudas, las instrucciones del Cliente para el Tratamiento de Datos Personales deberán cumplir con las Leyes y Regulaciones de Protección de Datos. El Cliente será el único responsable de la precisión, calidad y legalidad de los Datos Personales y los medios por los cuales el Cliente adquirió los Datos Personales, incluida la obtención de todos los consentimientos necesarios de los titulares de datos.
 

2.4 Tratamiento de Datos Personales por Sovos. Sovos tratará los Datos Personales como Información Confidencial y solo tratará Datos Personales en nombre y de acuerdo con las instrucciones documentadas del Cliente para los siguientes propósitos: (i) según sea necesario para proporcionar los Servicios, (ii) de acuerdo con las instrucciones específicas que Sovos ha recibido del Cliente, (iii) según sea necesario para cumplir con la ley (en cuyo caso, Sovos notificará previamente al Cliente sobre dicho requisito legal, a menos que la ley prohíba esta divulgación), y (iv) Sovos no venderá los Datos Personales según dicho término está definido por la CCPA (independientemente de si la CCPA es aplicable). Para evitar dudas, Sovos Tratará Datos Personales de acuerdo con los requisitos legales directamente aplicables a la prestación de los Servicios por parte de Sovos.
 

2.5 Detalles del Tratamiento. El objeto del Tratamiento de Datos Personales por parte de Sovos es la prestación de los Servicios de conformidad con el Acuerdo. La duración del Tratamiento, la naturaleza y el propósito del Tratamiento, los tipos de Datos Personales y las categorías de Titulares de Datos Tratados en virtud de este DPA se especifican con más detalle en el Anexo 1 (Detalles del Tratamiento) de este DPA.

3. SOLICITUDES DEL TITULAR DE LOS DATOS

Sovos deberá, en la medida legalmente permitida, notificar inmediatamente al Cliente si Sovos recibe una solicitud de un Titular de Datos para ejercer el derecho de acceso del Titular de Datos, derecho a rectificación, restricción de tratamiento, borrado («derecho a ser olvidado»), portabilidad de datos, oponerse al Tratamiento, o su derecho a no ser objeto de una toma de decisiones individual automatizada (“Solicitud del Titular de los Datos”). Teniendo en cuenta la naturaleza del Tratamiento, Sovos ayudará al Cliente con las medidas técnicas y organizativas apropiadas y proporcionará inmediatamente al Cliente toda la información relevante para el cumplimiento de la obligación del Cliente de responder a una Solicitud del Titular de Datos conforme a las Leyes y Regulaciones de Protección de Datos. Además, en la medida en que el Cliente, en su uso de los Servicios, no tenga la capacidad de abordar una Solicitud del Titular de Datos, Sovos, a solicitud del Cliente, ayudará al Cliente a responder a dicha Solicitud del Titular de Datos, en la medida en que Sovos esté legalmente autorizado a hacerlo y la respuesta a dicha Solicitud del Titular de Datos es requerida bajo las Leyes y Regulaciones de Protección de Datos. En la medida legalmente permitida, el Cliente será responsable de cualquier costo que surja de la prestación de dicha asistencia al Cliente por parte de Sovos, pero la información proporcionada al Titular de Datos se proporcionará sin cargo.

4. PERSONAL DE SOVOS

4.1 Confidencialidad. Sovos se asegurará de que su personal involucrado en el Tratamiento de Datos Personales esté informado de la naturaleza confidencial de los Datos Personales, haya recibido la capacitación adecuada sobre sus responsabilidades y esté sujeto a una obligación exigible de confidencialidad con respecto a los Datos Personales.
 
 

4.2 Limitación de Acceso. Sovos se asegurará de que el acceso de Sovos a los Datos Personales esté limitado al personal prestando Servicios de conformidad con el Acuerdo.
 

4.3 Encargado de Protección de Datos. Los miembros del Grupo Sovos han designado un encargado de protección de datos. Se puede contactar a la persona designada enprivacy@sovos.com.

5. SUBPROCESADORES

5.1 Designación de Subprocesadores. El Cliente reconoce y acepta que Sovos y los Afiliados de Sovos, respectivamente, pueden contratar terceros Subprocesadores en relación con la prestación de los Servicios. Sovos o un Afiliado de Sovos ha celebrado un acuerdo por escrito con cada Subprocesador que contiene obligaciones de protección de datos no menos protectoras que las de este Acuerdo con respecto a la protección de los Datos del Cliente en la medida aplicable a la naturaleza de los Servicios proporcionados por dicho Subprocesador.
 

5.2 Lista de Subprocesadores Actuales y Notificación de Nuevos Subprocesadores. Sovos pondrá a disposición del Cliente la lista actual de Subprocesadores para los Servicios identificados en el Anexo 2 de las Cláusulas Contractuales Tipo adjuntas al presente. Dichas listas de Subprocesadores incluirán las identidades de esos Subprocesadores y su país de ubicación. Sovos actualizará dicha lista con los detalles de cualquier cambio en los Subprocesadores al menos 10 días antes de dicho cambio y comunicará dicho cambio por correo electrónico al Cliente y el Cliente tiene derecho a objetar (actuando razonablemente) el cambio en el Subprocesador. dentro de los 14 días siguientes a la notificación de dicho cambio.
 

5.3 Responsabilidad. Sovos será responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que Sovos sería responsable si prestara los servicios de cada Subprocesador directamente según los términos de este DPA, excepto que se establezca lo contrario en el Acuerdo.

6. SEGURIDAD

Sovos mantendrá las medidas técnicas y organizativas apropiadas para la protección de la seguridad (incluida la protección contra el Tratamiento no autorizado o ilegal y contra la destrucción, pérdida, alteración o daño accidental o ilegal, la divulgación no autorizada o el acceso a los Datos del Cliente), la confidencialidad y la integridad de los Datos del Cliente, tal como se establece en el Programa de Seguridad de Sovos vigente en ese momento.

7. EVALUACIÓN Y AUDITORÍA DEL IMPACTO DE LA PROTECCIÓN DE DATOS

A pedido del Cliente, Sovos brindará al Cliente la cooperación y la asistencia necesarias para cumplir con la obligación del Cliente, en virtud de las Leyes de Protección de Datos relevantes, de llevar a cabo una evaluación del impacto de la protección de datos relacionada con el uso de los Servicios por parte del Cliente, en la medida en que el Cliente no tenga ya acceso a la información relevante, y en la medida en que dicha información esté disponible para Sovos. Sovos brindará asistencia razonable al Cliente en relación con cualquier aprobación de la Comisión de Información u otra Autoridad Supervisora para cualquier Tratamiento de Datos del Cliente, en la medida requerida por la ley. Sujeto a la existencia de Acuerdos de Confidencialidad, el Cliente (a su propio costo) tiene derecho a auditar a Sovos por su cumplimiento en virtud de este Acuerdo (no más de una vez al año), previa notificación a Sovos con 20 días de anticipación con alcance por escrito y causando una interrupción mínima del negocio. Para evitar dudas, el alcance de dicha auditoría se limitará estrictamente a los Datos Personales del Cliente tratados ​​en virtud de este Acuerdo.

8. TRANSFERENCIAS EUROPEAS DE DATOS

8.1. (Cuando corresponda para contratos europeos y del Reino Unido) Cualquier transferencia de Datos Personales en virtud de este DPA desde la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y el Reino Unido a países que no garantizan un nivel adecuado de protección de datos en el sentido de las Leyes y Regulaciones de Protección de Datos de los territorios anteriores, en la medida en que dichas transferencias estén sujetas a dichas Leyes y Regulaciones de Protección de Datos, se regirán por las Cláusulas Contractuales Tipo establecidas en el Anexo 2 de este DPA que se aplican a los Servicios, sujeto a los términos adicionales en esta Sección 8.
 

8.2 Clientes amparados por las Cláusulas Contractuales Tipo. Las Cláusulas Contractuales Tipo y los términos adicionales especificados en esta Sección 8 se aplican a (i) la entidad legal que haya ejecutado las Cláusulas Contractuales Tipo como Exportador de Datos y sus Afiliados Autorizados y (ii) todos los Afiliados del Cliente establecidos dentro del Área Económica Europea, Suiza y el Reino Unido, que han aceptado Órdenes por los Servicios. A los efectos de las Cláusulas Contractuales Tipo y de esta Sección 8, las entidades antes mencionadas se considerarán “Exportadores de Datos”.
 

8.3 Instrucciones. Este DPA y el Acuerdo son las instrucciones documentadas completas y finales del Cliente a Sovos en el momento de la firma del Acuerdo para el Tratamiento de Datos Personales. Cualquier instrucción adicional o alternativa debe acordarse por separado. A los efectos de las Cláusulas Contractuales Tipo, lo siguiente se considera una instrucción del Cliente para tratar Datos Personales: (a) Tratamiento de conformidad con el Acuerdo y la(s) Órden(es) aplicables; (b) Tratamiento iniciado por los usuarios del Cliente en su uso de los Servicios y (c) Tratamiento para cumplir con otras instrucciones documentadas razonables proporcionadas por el Cliente (por ejemplo, por correo electrónico) cuando dichas instrucciones sean consistentes con los términos del Acuerdo.

8.4 Subprocesadores. De conformidad con las Cláusulas Contractuales Tipo, el Cliente reconoce y acepta expresamente que (a) los Afiliados de Sovos pueden emplearse como Subprocesadores; y (b) Sovos y los Afiliados de Sovos, respectivamente, pueden contratar Subprocesadores externos en relación con la prestación de los Servicios. Sovos pondrá a disposición del Cliente la lista actual de Subprocesadores de acuerdo con la Sección 5.2 de este DPA. De conformidad con las Cláusulas Contractuales Tipo, el Cliente reconoce y acepta expresamente que Sovos puede contratar nuevos Subprocesadores como se describe en las Secciones 5.2 y 5.3 del DPA.

8.5 Certificación de Eliminación. Las partes acuerdan que la certificación de eliminación de Datos Personales que se describe en las Cláusulas Contractuales Tipo será proporcionada por Sovos al Cliente previa solicitud por escrito del Cliente.

8.6 Conflicto. En caso de conflicto o inconsistencia entre este DPA y las Cláusulas Contractuales Tipo del Anexo 2, prevalecerán las Cláusulas Contractuales Tipo.

9. INCIDENTES DE SEGURIDAD

Sovos mantiene los procedimientos de seguridad especificados en el Programa de Seguridad y notificará al Cliente de inmediato y sin demoras indebidas después de tomar conocimiento de la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a los Datos Personales del Cliente, incluidos los Datos Personales, transmitidos, almacenados, o de cualquier otra forma Tratados por Sovos o sus Subprocesadores del cual Sovos tenga conocimiento (un «Incidente de Seguridad»). Sovos hará todos los esfuerzos razonables para tomar las medidas que Sovos considere necesarias y razonables para remediar la causa de dicho Incidente de Seguridad en la medida en que la remediación esté dentro del control razonable de Sovos. Las obligaciones aquí establecidas no se aplicarán a los incidentes causados por fallas de seguridad del propio Cliente o de los usuarios del Cliente.

10. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS DEL CLIENTE

Tras la terminación o el vencimiento del Acuerdo y a pedido del cliente (a cargo del Cliente para formatos diferentes), Sovos deberá devolver todos los Datos del Cliente o eliminar de manera segura los Datos del Cliente, excepto en la medida en que cualquier ley o regulación aplicable requiera que Sovos conserve un copia de los Datos del Cliente por un período fijo. Sovos se deshará de forma segura de cualquier Dato del Cliente que Sovos ya no requiera almacenar bajo la ley o regulación aplicable o que ya no se requiera para el Tratamiento permitido bajo las Leyes y Regulaciones de Protección de Datos aplicables.

11. AFILIADOS AUTORIZADOS

11.1 Relación Contractual. Las partes reconocen y aceptan que, al ejecutar el Acuerdo, el Cliente celebra el DPA en su nombre y, según corresponda, en nombre y representación de sus Afiliados Autorizados, estableciendo así un DPA separado entre Sovos y cada uno de dichos Afiliados Autorizados sujeto a las disposiciones del Acuerdo y esta Sección. Cada Afiliado Autorizado acepta estar sujeto a las obligaciones en virtud de este DPA y, en la medida aplicable, el Acuerdo. Para evitar dudas, un Afiliado Autorizado no es ni se convierte en parte del Acuerdo. Todo acceso y uso de los Servicios por parte de Afiliados Autorizados debe cumplir con los términos y condiciones del Acuerdo y cualquier violación de los términos y condiciones del Acuerdo por parte de un Afiliado Autorizado se considerará una violación por parte del Cliente.
 

11.2 Comunicación. El Cliente que es la parte contratante en el Acuerdo seguirá siendo responsable de coordinar todas las comunicaciones con Sovos en virtud de este DPA y tendrá derecho a realizar y recibir cualquier comunicación en relación con este DPA en nombre de sus Afiliados Autorizados.
 

11.3 Derechos de los Afiliados Autorizados. Cuando un Afiliado Autorizado se convierte en parte del DPA con Sovos, en la medida en que lo exijan las Leyes y Regulaciones de Protección de Datos aplicables, tendrá derecho a ejercer los derechos y buscar recursos en virtud de este DPA, teniendo en cuenta que, excepto donde las Leyes y Regulaciones de Protección de Datos aplicables requieren que el Afiliado Autorizado ejerza un derecho o busque cualquier remediación bajo este DPA contra Sovos directamente por sí mismo, las partes acuerdan que (i) únicamente el Cliente que es la parte contratante del Acuerdo ejercerá dicho derecho o buscará dicho remediación en nombre del Afiliado Autorizado, y (ii) el Cliente que es la parte contratante del Acuerdo ejercerá tales derechos en virtud de este DPA no por separado para cada Afiliado Autorizado individualmente, sino de manera combinada para todos sus Afiliados Autorizados juntos.

12. LIMITACIÓN DE RESPONSABILIDAD

12.1 La responsabilidad de cada una de las partes y de todos sus Afiliados, en su conjunto, que surja de o esté relacionada con este DPA, y todos los DPA entre los Afiliados Autorizados y Sovos, ya sea por contrato, agravio o bajo cualquier otra teoría de responsabilidad, está sujeta a la sección «Limitación de Responsabilidad» del Acuerdo, y cualquier referencia en dicha sección a la responsabilidad de una parte significa la responsabilidad agregada de esa parte y todos sus Afiliados en virtud del Acuerdo y todos los DPA juntos.
 

12.2 Para evitar dudas, la responsabilidad total de Sovos y sus Afiliados por todas las reclamaciones del Cliente y todos sus Afiliados Autorizados que surjan de o estén relacionadas con el Acuerdo y cada DPA se aplicarán en conjunto para todas las reclamaciones en virtud del Acuerdo y todos los DPA establecidos en virtud de este Acuerdo, incluidos los del Cliente y todos los Afiliados Autorizados y, en particular, no se entenderá que se aplican de forma individual y separada al Cliente y/o a cualquier Afiliado Autorizado que sea una parte contractual de dicho DPA.

13. CAMBIOS

Sovos puede, de vez en cuando y a su exclusivo criterio, realizar cambios en este DPA o en los términos y condiciones establecidos en este documento, sin embargo, en ningún caso Sovos realizará cambios que impacten negativamente o degraden las obligaciones de Sovos de conformidad con este DPA sin notificar al Cliente. El Cliente tiene derecho a objetar cualquier cambio dentro de los 30 días posteriores a la recepción del aviso (actuando de manera razonable) o se considerará que ha aceptado dicho cambio. Cuando Sovos realice cambios en el presente que no afecten negativamente ni degraden las obligaciones de Sovos de conformidad con este DPA, Sovos proporcionará un aviso cuando corresponda según las circunstancias, por ejemplo, mostrando un aviso dentro de los productos o servicios de Sovos aplicables o enviando un correo electrónico al Cliente.

ANEXO I (A&B): DETALLES DEL TRATAMIENTO

NATURALEZA Y FINALIDAD DEL TRATAMIENTO

Sovos tratará los Datos Personales según sea necesario para prestar los Servicios de conformidad con el Acuerdo, como se especifica más detalladamente en la Documentación, y según las instrucciones adicionales del Cliente en el uso de los Servicios.

DURACIÓN DEL TRATAMIENTO

Sujeto a la Sección 10 del DPA, Sovos procesará los Datos Personales durante la vigencia del Acuerdo, a menos que se acuerde lo contrario por escrito.

CATEGORÍAS DE TITULARES DE DATOS

El Cliente puede enviar Datos Personales a los Servicios, cuyo alcance determina y controla el Cliente a su exclusivo criterio, y que puede incluir, entre otros, Datos Personales relacionados con las siguientes categorías de titulares de datos:

• Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que son personas físicas)
• Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y proveedores del Cliente
• Empleados, agentes, asesores, trabajadores autónomos del Cliente (que son personas físicas)
• Usuarios del Cliente autorizados por el Cliente para usar los Servicios

TIPO DE DATOS PERSONALES

El Cliente puede enviar Datos Personales a los Servicios, cuyo alcance es determinado y controlado por el Cliente a su exclusivo criterio, y que puede incluir, entre otros, las siguientes categorías de Datos Personales:

• Información de contacto (empresa, correo electrónico, teléfono, dirección física)
• Número de identificación fiscal y/o número de seguro social
• Fecha de nacimiento
• Salario u otros montos de compensación
• Datos de conexión (internet u otra información de actividad de la red electrónica)

ANEXO II: CLÁUSULAS CONTRACTUALES TIPO PARA TRANSFERENCIAS FUERA DE LA UE

Sección I

Cláusula 1 – Objeto y alcance

(a) El objeto de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales datos y sobre la libre circulación de estos datos (Reglamento General de Protección de Datos) para la transferencia de datos a un tercer país.

(b) Las Partes:

(i) la(s) persona(s) física(s) o jurídica(s), la(s) autoridad(es) pública(s), la(s) agencia(s) u otro(s) organismo(s) (en adelante, ‘entidad(es)’) que transfieren los datos personales, según se enumeran en el Anexo I.A (en adelante, cada ‘exportador de datos’), y

(ii) la(s) entidad(es) en un tercer país que recibe los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también es Parte de estas Cláusulas, como se enumeran en el Anexo I.A (en adelante, cada ‘importador de datos’) han aceptado estas cláusulas contractuales tipo (en adelante, las ‘Cláusulas’).

(c) Estas Cláusulas se aplican con respecto a la transferencia de datos personales como se especifica en el Anexo I.B.

(d) El Anexo a estas Cláusulas que contiene los Anexos a los que se hace referencia forma parte integral de estas Cláusulas.

Cláusula 2 – Efecto e invariabilidad de las Cláusulas

(a) Estas Cláusulas establecen las salvaguardas adecuadas, incluidos los derechos exigibles de los titulares de datos ​​y los recursos legales efectivos, de conformidad con el Artículo 46(1) y el Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de controladores a procesadores y/o procesadores a procesadores, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el Módulo o Módulos apropiados o para añadir o actualizar información en el Anexo. Ello no impide que las Partes incluyan las cláusulas contractuales tipo previstas en estas Cláusulas en un contrato más amplio y/o añadan otras cláusulas o salvaguardas adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas ni perjudiquen los derechos fundamentales. o libertades de los titulares de datos.

(b) Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3 – Terceros beneficiarios

(a) Los titulares de datos pueden invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8.1(b), 8.9(a), (c), (d) y (e);

(iii) Cláusula 9(a), (c), (d) y (e);

(iv) Cláusula 12(a), (d) y (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) y (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18(a) y (b).

(b) El párrafo (a) se entiende sin perjuicio de los derechos de los titulares de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 4 – Interpretación

(a) Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

(b) Estas Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.

(c) Estas Cláusulas no se interpretarán de manera que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5 – Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento en que se acuerden estas Cláusulas o se celebren posteriormente, estas Cláusulas prevalecerán.

Cláusula 6 – Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 7 – Incorporación (no utilizado)

Cláusula 8 – Salvaguardas de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos puede, mediante la implementación de medidas técnicas y organizativas apropiadas, cumplir con sus obligaciones en virtud de estas Cláusulas.

8.1 Instrucciones

(a) El importador de datos procesará los datos personales solo siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar tales instrucciones a lo largo de la duración del contrato.

(b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.
 

8.2 Limitación de finalidad

El importador de datos procesará los datos personales solo para los fines específicos de la transferencia, como se establece en el Anexo I.B, a menos que reciba instrucciones adicionales del exportador de datos.
 

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá a disposición del titular de datos una copia de estas Cláusulas, incluido el Anexo completado por las Partes, de forma gratuita. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos puede expurgar parte del texto del Anexo de estas Cláusulas antes de compartir una copia, pero deberá proporcionar un resumen donde el titular de datos no podría de otra forma comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes proporcionarán al titular de datos los motivos de las expurgaciones, en la medida de lo posible sin revelar la información expurgada. Esta Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
 

8.4 Precisión

Si el importador de datos se da cuenta de que los datos personales que ha recibido son inexactos o están desactualizados, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.
 

8.5 Duración del tratamiento y borrado o devolución de datos

El tratamiento por parte del importador de datos solo tendrá lugar durante la duración especificada en el Anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales tratados ​​en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales procesados ​​en su nombre y eliminará las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará asegurando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o la eliminación de los datos personales, el importador de datos garantiza que seguirá asegurando el cumplimiento de estas Cláusulas y solo los tratará en la medida y durante el tiempo que sea necesario en virtud de dicha ley local. Esto es sin perjuicio de la Cláusula 14, en particular el requisito para el importador de datos bajo la Cláusula 14(e) de notificar al exportador de datos durante la duración del contrato si tiene motivos para creer que está o se ha vuelto sujeto a leyes o prácticas que no están en línea con los requisitos de la Cláusula 14(a).
 

8.6 Seguridad del tratamiento

(a) El importador de datos y, durante la transmisión, también el exportador de datos implementarán las medidas técnicas y organizativas apropiadas para asegurar la seguridad de los datos, incluida la protección contra una violación de la seguridad que conduzca a la destrucción, pérdida, alteración, divulgación o acceso no autorizad a los datos accidental o ilegal (en adelante, ‘violación de datos personales’). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y el(los) propósito(s) del tratamiento y los riesgos involucrados en el tratamiento para los titulares de datos. Las Partes considerarán, en particular, recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un titular de datos específico permanecerá, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Para cumplir con sus obligaciones bajo este párrafo, el importador de datos deberá implementar al menos las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo comprobaciones periódicas para asegurar que estas medidas siguen proporcionando un nivel de seguridad adecuado.
 

(b) El importador de datos otorgará acceso a los datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Se asegurará de que las personas autorizadas para tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.
 

(c) En el caso de una violación de datos personales relacionada con los datos personales tratados ​​por el importador de datos en virtud de estas Cláusulas, el importador de datos deberá tomar las medidas adecuadas para abordar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tenido conocimiento de la violación. Dicha notificación contendrá los detalles de un punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de titulares de datos ​​y registros de datos personales afectados), sus posibles consecuencias y la medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y la información adicional, a medida que esté disponible, se proporcionará posteriormente sin demora indebida.
 

(d) El importador de datos cooperará con el exportador de datos y lo asistirá para permitirle cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad supervisora competente y a los titulares de datos afectados, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el importador de datos.
 

8.7 Datos sensibles

Cuando la transferencia involucre datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera unívoca a una persona física, datos relativos a la salud o la vida sexual de una persona o orientación sexual, o datos relativos a condenas e infracciones penales (en adelante, ‘datos sensibles’), el importador de datos aplicará las restricciones específicas y/o salvaguardas adicionales descritas en el Anexo I.B.

8.8 Transferencias posteriores

El importador de datos solo divulgará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo se pueden divulgar a un tercero ubicado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo, «transferencia posterior») si el tercero está o acepta estar obligado por estas Cláusulas, en el Módulo correspondiente, o si:
 

la transferencia posterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia posterior;
 

el tercero asegure las salvaguardas adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;
 

la transferencia posterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
 

la transferencia posterior es necesaria para proteger los intereses vitales del titular de datos o de otra persona física. Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardas en virtud de estas Cláusulas, en particular, la limitación del propósito.
 

8.9 Documentación y cumplimiento

(a) El importador de datos deberá atender de manera rápida y adecuada las consultas del exportador de datos que se relacionen con el tratamiento en virtud de estas Cláusulas.

(b) Las Partes podrán demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento llevadas a cabo en nombre del exportador de datos.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a solicitud del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por estas Cláusulas, en intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos puede tener en cuenta las certificaciones pertinentes en poder del importador de datos.

(d) El exportador de datos puede optar por realizar la auditoría por sí mismo o encargar a un auditor independiente. Las auditorías pueden incluir inspecciones en los locales o instalaciones físicas del importador de datos y, cuando corresponda, se llevarán a cabo con un aviso razonable.

(e) Las Partes pondrán la información a que se refieren los párrafos (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad de control competente previa solicitud.

Cláusula 9 – Uso de subprocesadores

(a) AUTORIZACIÓN GENERAL POR ESCRITO. El importador de datos tiene la autorización general del exportador de datos para la contratación de subprocesadores de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en esa lista mediante la adición o sustitución de subprocesadores con al menos 10 días de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes del empleo de los subprocesadores. El importador de datos proporcionará al exportador de datos la información necesaria para que el exportador de datos pueda ejercer su derecho de oposición.
 

(b) Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en sustancia, las mismas obligaciones de protección de datos que aquellos que vinculan al importador de datos bajo estas Cláusulas, incluso en términos de derechos de terceros beneficiarios para los titulares de datos. Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos se asegurará de que el subprocesador cumpla con las obligaciones a las que está sujeto el importador de datos de conformidad con estas Cláusulas.
 

(c) El importador de datos proporcionará, a solicitud del exportador de datos, una copia de dicho acuerdo de subprocesador y cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos puede expurgar el texto del acuerdo antes de compartir una copia.
 

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador de sus obligaciones en virtud de ese contrato.
 

(e) El importador de datos acordará una cláusula de tercero beneficiario con el subprocesador por la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente, el exportador de datos tendrá derecho a rescindir el contrato de subprocesador e instruir al subprocesador para que borre o devuelva los datos personales.
 

Cláusula 10 – Derechos de los titulares de datos

(a) El importador de datos notificará de inmediato al exportador de datos cualquier solicitud que haya recibido de un titular de datos. No responderá a esa solicitud por sí mismo a menos que haya sido autorizado para hacerlo por el exportador de datos.
 

(b) El importador de datos ayudará al exportador de datos a cumplir con sus obligaciones de responder a las solicitudes de los titulares de datos para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.
 

(c) Al cumplir con sus obligaciones bajo los párrafos (a) y (b), el importador de datos deberá cumplir con las instrucciones del exportador de datos.
 

Cláusula 11 – Reparación

(a) El importador de datos informará a los titulares de datos ​​en un formato transparente y de fácil acceso, a través de un aviso individual o en su sitio web, de un punto de contacto autorizado para manejar quejas. Atenderá con prontitud las quejas que reciba de un titular de datos.
 

(b) En caso de una disputa entre un titular de datos y una de las Partes con respecto al cumplimiento de estas Cláusulas, esa Parte hará todo lo posible para resolver el problema de manera amistosa y de manera oportuna. Las Partes se mantendrán informadas sobre tales controversias y, en su caso, cooperarán para resolverlas.
 

(c) Cuando el titular de datos invoque el derecho de un tercero beneficiario de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del titular de datos de:
 

(i) presentar una queja ante la autoridad supervisora del Estado Miembro de su residencia habitual o lugar de trabajo, o la autoridad supervisora competente de conformidad con la Cláusula 13;
 

(ii) someter la disputa a los tribunales competentes en el sentido de la Cláusula 18.
 

(d) Las Partes aceptan que el titular de datos pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
 

(e) El importador de datos deberá acatar una decisión que sea vinculante según la legislación aplicable de la UE o del Estado Miembro.
 

(f) El importador de datos acepta que la elección hecha por el titular de datos no afectará sus derechos sustantivos y procesales para buscar soluciones de conformidad con las leyes aplicables.

Cláusula 12 – Responsabilidad

(a) Cada Parte será responsable ante la otra Parte por cualquier daño que cause a la otra Parte por cualquier incumplimiento de estas Cláusulas.
 

(b) El importador de datos será responsable ante el titular de datos, y el titular de datos tendrá derecho a recibir una compensación, por cualquier daño material o inmaterial que el importador de datos o su subprocesador cause al titular de datos al violar el derecho de tercero beneficiario en virtud de estas Cláusulas.
 

(c) No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el titular de datos, y el titular de datos tendrá derecho a recibir compensación, por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subprocesador) cause al titular de datos al violar los derechos de tercero beneficiario bajo estas Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un procesador que actúe en nombre de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.
 

(d) Las Partes acuerdan que si el exportador de datos es responsable en virtud del párrafo (c) por daños causados ​​por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos esa parte de la compensación correspondiente a la responsabilidad del importador de datos por el daño.
 

(e) Cuando más de una Parte sea responsable de cualquier daño causado al titular de datos como resultado del incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el titular de datos tendrá derecho a iniciar una acción judicial contra cualquiera de estas Partes.
 

(f) Las Partes acuerdan que si una Parte es responsable en virtud del párrafo (e), tendrá derecho a reclamar a la otra Parte la parte de la compensación correspondiente a su responsabilidad por el daño.
 

(g) El importador de datos no puede invocar la conducta de un subprocesador para evitar su propia responsabilidad.

Cláusula 13 – Supervisión

[Cuando el exportador de datos esté establecido en un Estado Miembro de la UE:] La autoridad supervisora responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el Anexo I.C, actuará como autoridad supervisora competente.
 

[Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero está dentro del ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado un representante de conformidad con el artículo 27, apartado 1 ) del Reglamento (UE) 2016/679:] La autoridad supervisora del Estado Miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad supervisora competente.
 

[Cuando el exportador de datos no esté establecido en un Estado Miembro de la UE, pero entre en el ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin tener que designar un representante de conformidad con el artículo 27 (2) del Reglamento (UE) 2016/679:] La autoridad supervisora de uno de los Estados Miembros en los que los titulares de datos ​​cuyos datos personales se transfieren en virtud de estas Cláusulas en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento sea ​​monitoreado, se ubiquen, según se indica en el Anexo I.C, actuará como autoridad supervisora competente.
 

El importador de datos se compromete a someterse a la jurisdicción y cooperar con la autoridad supervisora competente en cualquier procedimiento encaminado a asegurar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos se compromete a responder consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad supervisora una confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III – LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO POR AUTORIDADES PÚBLICAS

Cláusula 14 – Leyes y prácticas locales que afectan el cumplimiento de las Cláusulas

(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas en el tercer país de destino aplicables al tratamiento de datos personales por parte del importador de datos, incluidos los requisitos para divulgar datos personales o medidas que autoricen el acceso de autoridades públicas, impiden que el importador de datos cumpla con sus obligaciones en virtud de estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respeten la esencia de los derechos y libertades fundamentales y no excedan de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE ) 2016/679, no están en contradicción con estas Cláusulas.
 

(b) Las Partes declaran que al proporcionar la garantía en el párrafo (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
 

(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de actores involucrados y los canales de transmisión utilizados; transferencias posteriores previstas; el tipo de destinatario; el propósito del tratamiento; las categorías y formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

(ii) las leyes y prácticas del tercer país de destino, incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades, pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardas aplicables;

(iii) cualquier salvaguarda contractual, técnica u organizativa relevante establecida para complementar las salvaguardas en virtud de estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.
 

(c) El importador de datos garantiza que, al llevar a cabo la evaluación conforme al párrafo (b), ha hecho todo lo posible para proporcionar al exportador de datos información relevante y acepta que continuará cooperando con el exportador de datos para asegurar el cumplimiento de estas Cláusulas.
 

(d) Las Partes acuerdan documentar la evaluación en virtud del párrafo (b) y ponerla a disposición de la autoridad supervisora competente cuando así lo solicite.
 

(e) El importador de datos acuerda notificar al exportador de datos con prontitud si, después de haber aceptado estas Cláusulas y durante la vigencia del contrato, tiene razones para creer que está o ha quedado sujeto a leyes o prácticas que no están en línea con el requisitos del párrafo (a), incluso después de un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indica una aplicación de dichas leyes en la práctica que no está en línea con los requisitos del párrafo (a).
 

(f) Después de una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir con sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará de inmediato las medidas apropiadas (por ejemplo, medidas técnicas u organizativas para asegurar la seguridad y la confidencialidad) que debe adoptar el exportador de datos y/o el importador de datos para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden asegurar las salvaguardas adecuadas para dicha transferencia, o si así lo instruye la autoridad supervisora competente. En este caso, el exportador de datos tendrá derecho a terminar el contrato, en lo que se refiere al tratamiento de datos personales en virtud de las presentes Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos puede ejercer este derecho de terminación solo con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se termine de conformidad con esta Cláusula, se aplicará la Cláusula 16 (d) y (e).

Cláusula 15 – Obligaciones del importador de datos en caso de acceso por autoridades públicas

15.1 Notificación

(a) El importador de datos se compromete a notificar al exportador de datos y, cuando sea posible, al titular de datos de inmediato (si es necesario con la ayuda del exportador de datos) si:
 

(i) recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, según las leyes del país de destino para la divulgación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, el fundamento jurídico de la solicitud y la respuesta brindada; o

(ii) tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con estas Cláusulas de acuerdo con las leyes del país de destino; dicha notificación deberá incluir toda la información disponible para el importador.
 

(b) Si el importador de datos tiene prohibido notificar al exportador de datos y/o al titular de datos bajo las leyes del país de destino, el importador de datos acepta hacer sus mejores esfuerzos para obtener una exención de la prohibición, con miras a comunicar tanta información como sea posible, tan pronto como sea posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a solicitud del exportador de datos.
 

(c) Cuando lo permitan las leyes del país de destino, el importador de datos acepta proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, tanta información relevante como sea posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad o autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).
 

(d) El importador de datos se compromete a conservar la información de conformidad con los párrafos (a) a (c) durante la duración del contrato y ponerla a disposición de la autoridad supervisora competente cuando se le solicite.
 

(e) Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos con prontitud cuando no pueda cumplir con estas Cláusulas.

15.2 Revisión de la legalidad y minimización de datos

(a) El importador de datos acepta revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, después de una evaluación cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilícita según las leyes del país de destino, las obligaciones aplicables según el derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, ejercer las posibilidades de apelación. Al impugnar una solicitud, el importador de datos deberá solicitar medidas cautelares con miras a suspender los efectos de la solicitud hasta que la autoridad judicial competente se pronuncie sobre sus méritos. No divulgará los datos personales solicitados hasta que así lo requieran las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).
 

(b) El importador de datos acepta documentar su evaluación legal y cualquier objeción a la solicitud de divulgación y, en la medida permitida por las leyes del país de destino, poner la documentación a disposición del exportador de datos. También lo pondrá a disposición de la autoridad supervisora competente que lo solicite.
 

(c) El importador de datos acepta proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, con base en una interpretación razonable de la solicitud.

SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16 – Incumplimiento de las Cláusulas y terminación

(a) El importador de datos informará de inmediato al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.
 

(b) En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplir con estas Cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se asegure nuevamente el cumplimiento o se termine el contrato. Esto es sin perjuicio de la Cláusula 14(f).
 

(c) El exportador de datos tendrá derecho a terminar el contrato, en lo que se refiere al tratamiento de datos personales en virtud de estas Cláusulas, cuando:
 

(i) el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Cláusulas no se restablece dentro de un tiempo razonable y, en cualquier caso, dentro de un mes de suspensión;

(ii) el importador de datos incurre en un incumplimiento sustancial o persistente de estas Cláusulas; o

(iii) el importador de datos no cumple con una decisión vinculante de un tribunal o autoridad supervisora competente con respecto a sus obligaciones en virtud de estas Cláusulas.

En estos casos, informará a la autoridad supervisora competente de dicho incumplimiento. Cuando el contrato involucre a más de dos Partes, el exportador de datos puede ejercer este derecho de terminación solo con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario.
 

(d) Los datos personales que hayan sido transferidos antes de la terminación del contrato de conformidad con el párrafo (c) serán devueltos inmediatamente al exportador de datos o eliminados en su totalidad, a elección del exportador de datos. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos continuará asegurando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo tratará los datos en la medida y durante el tiempo que sea requerido bajo esa ley local.
 

(e) Cualquiera de las Partes podrá revocar su acuerdo de obligarse por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pasa a formar parte del marco legal del país al que se transfieren los datos personales. Todo ello sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17 – Ley aplicable

Estas Cláusulas se regirán por la ley de uno de los Estados Miembros de la UE, siempre que dicha ley permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la ley de Suecia.

Cláusula 18 – Elección de foro y jurisdicción

(a) Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de un Estado Miembro de la UE.
 

(b) Las Partes acuerdan que serán los tribunales de Suecia.
 

(c) Un titular de datos también puede emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado Miembro en el que tiene su residencia habitual.
 

(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

APÉNDICE I A LAS CLÁUSULAS CONTRACTUALES TIPO – SEGURIDAD

Este Anexo forma parte de las Cláusulas acordadas por las partes.

La descripción de las medidas de seguridad técnicas y organizativas implementadas por el Importador de Datos mantendrá salvaguardas administrativas, físicas y técnicas para proteger la seguridad, confidencialidad e integridad de los Datos Personales cargados en los Servicios, como se describe en el Programa de Seguridad de Sovos aplicable específicamente a los Servicios adquiridos por el Exportador de Datos y puestos a disposición por el Importador de Datos.

APÉNDICE II A LAS CLÁUSULAS CONTRACTUALES TIPO (AFILIADOS Y SUBPROCESADORES)