Apéndice de procesamiento de datos
Anexo de procesamiento de datos
Este Anexo forma parte integral del Contrato y es celebrado por:
- (i) El Cliente ("Exportador de Datos")
- (ii) IQUALIF ("Importador de Datos")
Cada uno siendo una "Parte" y comúnmente "Partes".
Preambulo
EN CUANTO el Importador de Datos proporciona servicios profesionales de software, computadoras y servicios relacionados (como navegadores con funciones avanzadas de búsqueda);
EN CUANTO, en virtud del Contrato, el Importador de Datos ha acordado proporcionar al Exportador de Datos los servicios especificados en el Contrato (los "Servicios");
EN CUANTO, al proporcionar los Servicios, el Importador de Datos recibe o se beneficia del acceso a la información del Exportador de Datos o de otras personas que tengan una relación (potencial) con el Exportador de Datos, dicha información puede calificarse como datos personales en el sentido del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas respecto al tratamiento de datos personales y la libre circulación de estos ("RGPD") y otras leyes de protección de datos aplicables.
EN CUANTO, este Anexo contiene los términos y condiciones aplicables a la recopilación, procesamiento y uso de dichos datos personales por parte del Importador de Datos en su calidad de agente autorizado de procesamiento de datos del Exportador de Datos, para garantizar que las Partes cumplan con la legislación de protección de datos aplicable.
POR LO TANTO, y para permitir que las Partes continúen su relación de manera legal, las Partes han concluido este Anexo de la siguiente manera:
Parte 1
1. Estructura del documento y definiciones
1.1 Estructura
Este Anexo comprende diferentes partes de la siguiente manera:
| Parte 1: |
contiene disposiciones generales, por ejemplo, sobre las definiciones utilizadas en este Anexo, cumplimiento con leyes locales, tiempos y terminaciones
|
| Parte 2: |
contiene el cuerpo del documento de Cláusulas Contractuales Estándar sin modificaciones
|
| Anexo 1.1 de la Parte 2: |
contiene los detalles de las operaciones de procesamiento proporcionadas por el Importador de Datos al Exportador de Datos como agente autorizado de procesamiento de datos (incluyendo el procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos personales y las categorías de sujetos de datos) bajo este Anexo
|
| Anexo 2 de la Parte 2: |
contiene una descripción de las medidas técnicas y organizativas de seguridad del Importador de Datos, que se aplican en relación con todas las actividades de procesamiento descritas en el Anexo 1.1 de la Parte 2
|
| Parte 3: |
contiene las firmas de las Partes para estar vinculadas por este Anexo y identifica a cada Importador de Datos
|
1.2 Terminología y definiciones
Para los fines de este Anexo, la terminología y las definiciones utilizadas por el RGPD son aplicables (en el cuerpo del documento de Cláusulas Contractuales Estándar en la Parte 2, donde los términos definidos no están en mayúsculas).
| "Estado miembro" |
significa un país que pertenece a la Unión Europea o al Espacio Económico Europeo
|
| "Categorías especiales de datos (personales)" |
se refiere a datos personales que revelan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, membresía a sindicatos, y datos genéticos, datos biométricos, si se procesan con el propósito de identificar de manera única a una persona, datos sobre salud, datos sobre la vida sexual u orientación sexual de una persona
|
| "Cláusulas Contractuales Estándar" |
significa las Cláusulas Contractuales Estándar para la transferencia de datos personales de agentes de procesamiento establecidos en terceros países, bajo la Decisión de la Comisión 2010/87/UE del 5 de febrero de 2010, que fue enmendada por la Decisión de Ejecución de la Comisión (UE) 2016/2297 del 16 de diciembre de 2016
|
| "Procesador de datos" |
significa cualquier agente de procesamiento, ubicado dentro o fuera de la UE/EEE, que acepta recibir del Importador de Datos u otro procesador del Importador de Datos, datos personales para el propósito exclusivo de realizar actividades de procesamiento según las instrucciones del Exportador de Datos, las condiciones de este Anexo y el Contrato con el Importador de Datos
|
2. Obligaciones del Exportador de Datos
2.1 El Exportador de Datos tiene la obligación de garantizar el cumplimiento de todas las obligaciones aplicables bajo el RGPD y cualquier otra ley de protección de datos que aplique al Exportador de Datos y de demostrar dicho cumplimiento según lo requerido por el Artículo 5 (2) del RGPD. El Exportador de Datos garantiza que el Importador de Datos ha obtenido el consentimiento previo de los sujetos de datos de acuerdo con el Artículo 6 (a) del RGPD y ha cumplido con su obligación de informar a los sujetos de datos de acuerdo con los Artículos 13 y 14 del RGPD.
2.2 El Exportador de Datos debe proporcionar al Importador de Datos los archivos respectivos de las actividades de procesamiento en conformidad con el Artículo 30 (1) del RGPD relacionadas con los Servicios bajo este Anexo, en la medida necesaria para que el Importador de Datos cumpla con la obligación bajo el Artículo 30 (2) del RGPD.
2.3 El Exportador de Datos debe nombrar un oficial de protección de datos o representante en la medida requerida por la ley de protección de datos aplicable. El Exportador de Datos está obligado a proporcionar los datos de contacto del agente o representante de protección de datos, si los hubiera, al Importador de Datos.
2.4. El Exportador de Datos confirma, antes de completar el procesamiento, mediante la aceptación de este Anexo, que las medidas técnicas y organizativas de seguridad del Importador de Datos, como se establecen en el Anexo 2 de la Parte 2, son apropiadas y suficientes para proteger los derechos del sujeto de datos y confirma que el Importador de Datos proporciona salvaguardas suficientes en este sentido.
3. Cumplimiento con la ley local
Para cumplir con los requisitos de implementación de los agentes de procesamiento según el Artículo 28 del RGPD, son aplicables las siguientes enmiendas:
3.1 Instrucciones
- (i) El Exportador de Datos instruye al Importador de Datos a procesar datos personales solo en nombre del Exportador de Datos. Las instrucciones del Exportador de Datos se proporcionan en este Anexo y en el Contrato. El Exportador de Datos tiene la obligación de garantizar que todas las instrucciones dadas al Importador de Datos cumplan con las leyes de protección de datos aplicables. El Importador de Datos debe procesar los datos personales solo de acuerdo con las instrucciones proporcionadas por el Exportador de Datos, salvo que la ley de la Unión Europea o del Estado Miembro (en cuyo caso, se aplica la Cláusula 3.2 (iv) (c) de la Parte 1).
- (ii) Todas las demás instrucciones que vayan más allá de las instrucciones en este Anexo o en el Contrato deben incluirse en el objeto de este Anexo y en el Contrato. Si la implementación de esta instrucción adicional implica costos para el Importador de Datos, este deberá informar al Exportador de Datos de dichos costos y proporcionar una explicación antes de implementar la instrucción. Solo después de que el Exportador de Datos confirme la aceptación de estos costos para la implementación de la instrucción, el Importador de Datos deberá ejecutar dicha instrucción adicional. El Exportador de Datos debe dar instrucciones adicionales por escrito, a menos que la urgencia u otras circunstancias específicas requieran otra forma (por ejemplo, oral, electrónica). Las instrucciones en una forma distinta a la escrita deben ser confirmadas por escrito y sin demora por el Exportador de Datos.
- 1. Salvo que el Exportador de Datos no pueda realizar la rectificación, eliminación o restricción de datos personales por sí mismo, las instrucciones también pueden relacionarse con la rectificación, eliminación y/o restricción de datos personales según lo establecido en la Cláusula 3.3 de la Parte 1.
- 2. El Importador de Datos debe informar inmediatamente al Exportador de Datos si, en su opinión, una Instrucción viola el RGPD u otras disposiciones de protección de datos aplicables de la Unión Europea o de un Estado Miembro ("Instrucción en Disputa"). Si el Importador de Datos cree que una Instrucción infringe el RGPD u otras disposiciones de protección de datos aplicables de la Unión Europea o de un Estado Miembro, no está obligado a seguir la Instrucción en Disputa. Si el Exportador de Datos confirma la Instrucción en Disputa tras recibir información del Importador de Datos y reconoce su responsabilidad por la Instrucción en Disputa, el Importador de Datos deberá ejecutar la Instrucción en Disputa, salvo que esta se relacione con (i) la implementación de medidas técnicas y organizativas, (ii) los derechos de los Sujetos de Datos o (iii) la participación de procesadores de datos. En los casos (i) a (iii), el Importador de Datos puede contactar a una autoridad supervisora competente para que evalúe legalmente la Instrucción en Disputa. Si la autoridad supervisora declara que la Instrucción en Disputa es legal, el Importador de Datos deberá ejecutar la Instrucción en Disputa. La Cláusula 3.1 (ii) de la Parte 1 seguirá siendo aplicable.
3.2 Obligaciones del Importador de Datos
- (i) El Importador de Datos debe garantizar que las personas autorizadas por él para procesar datos personales en nombre del Exportador de Datos, en particular empleados del Importador y empleados de cualquier Subcontratista, hayan asumido la obligación de mantener la confidencialidad o estén sujetas a un deber legal de confidencialidad apropiado, y que dichas personas que tengan acceso a los datos personales los procesen de acuerdo con las instrucciones del Exportador de Datos.
- (ii) El Importador de Datos debe implementar las medidas técnicas y organizativas de seguridad como se establece en el Anexo 2 de la Parte 2 antes de procesar los datos personales en nombre del Exportador de Datos. El Importador de Datos puede cambiar las medidas técnicas y organizativas de seguridad en cualquier momento si no proporcionan una protección menor que las establecidas en el Anexo 2 de la Parte 2.
- (iii) El Importador de Datos deberá poner a disposición del Exportador de Datos, a solicitud del mismo, información que demuestre el cumplimiento de las obligaciones del Importador de Datos bajo este Anexo. Las Partes acuerdan que esta obligación de información se cumple proporcionando al Exportador de Datos un informe de auditoría (que cubre la seguridad de los principios, la disponibilidad del sistema y la confidencialidad) ("Informe de Auditoría"). Si se requieren actividades de auditoría adicionales por ley, el Exportador de Datos puede solicitar que las inspecciones sean realizadas por el Exportador de Datos u otro auditor designado por este, sujeto a la firma por parte de dicho auditor de un acuerdo de confidencialidad con el Importador de Datos a satisfacción razonable del Importador de Datos ("Auditoría"). Esta Auditoría está sujeta a las siguientes condiciones: (i) la aceptación formal previa por escrito del Importador de Datos; y (ii) el Exportador de Datos asumirá todos los costos relacionados con la Auditoría en el sitio para el Exportador y el Importador de Datos. El Exportador de Datos debe crear un informe de auditoría que resuma los resultados y observaciones de la Auditoría en sitio ("Informe de Auditoría en Sitio"). Los Informes de Auditoría en Sitio y los Informes de Auditoría son información confidencial del Importador de Datos y no deben divulgarse a terceros, salvo que la ley de protección de datos aplicable o el consentimiento del Importador de Datos dispongan otra cosa.
- (iv) El Importador de Datos tiene la obligación de notificar sin demora indebida al Exportador de Datos:
- a. respecto a cualquier solicitud legal vinculante para la divulgación de datos personales por parte de una autoridad de aplicación de la ley, salvo que esté prohibido, como una prohibición bajo la ley penal para proteger la confidencialidad de una investigación policial
- b. respecto a cualquier reclamación y solicitud recibida directamente de un sujeto de datos (por ejemplo, respecto a acceso, rectificación, eliminación, restricción del procesamiento, portabilidad de datos, oposición al procesamiento de datos, decisión automatizada) sin responder a esa solicitud, salvo que el Importador de Datos esté autorizado a hacerlo
- c. si el Importador de Datos o procesador de datos está obligado, bajo la ley de la Unión Europea o del Estado Miembro al que esté sujeto, a procesar los datos personales más allá de las instrucciones del Exportador de Datos, antes de realizar dicho procesamiento más allá de las instrucciones, salvo que las leyes de la Unión Europea o del Estado Miembro prohíban dicho procesamiento por motivos de interés público vital, en cuyo caso la notificación al Exportador de Datos deberá especificar el requisito legal bajo esa ley de la Unión Europea o del Estado Miembro; o
- d. si el Importador de Datos detecta una infracción de datos personales, solo por sí mismo o su subcontratista, que afecte los datos personales del Exportador de Datos cubiertos por el presente contrato, en cuyo caso el Importador de Datos ayudará al Exportador de Datos en su obligación, respecto a la ley de protección de datos aplicable, de informar a los sujetos de datos y, si corresponde, a las autoridades supervisoras, proporcionando la información en su poder, de acuerdo con el Artículo 33 (3) del RGPD.
Y, a solicitud del Exportador de Datos, el Importador de Datos deberá asistir al Exportador de Datos en su obligación de realizar una evaluación de impacto de protección de datos que pueda ser requerida por el Artículo 35 del RGPD y una consulta previa que pueda ser requerida por el Artículo 36 del RGPD respecto a los servicios proporcionados por el Importador de Datos bajo este Anexo, proporcionando la información necesaria y la asistencia al Exportador de Datos. El Importador de Datos solo estará obligado a brindar dicha asistencia si el Exportador de Datos no puede cumplir con su obligación por otros medios. El Importador de Datos informará al Exportador de Datos sobre el costo de dicha asistencia. En cuanto el Exportador de Datos confirme que puede asumir dicho costo, el Importador de Datos proporcionará dicha ayuda.
Al finalizar la prestación de los servicios, el Exportador de Datos puede solicitar la devolución de los datos personales procesados por el Importador de Datos bajo este Anexo dentro de un mes después de los servicios. A menos que la legislación del Estado Miembro o de la Unión Europea requiera que el Importador de Datos almacene o conserve dichos datos personales, el Importador de Datos eliminará todos esos datos personales o no personales después del período de un mes, ya hayan sido devueltos al Exportador de Datos a su solicitud o no.