ACUERDO PARA EL PROCESAMIENTO DE DATOS DEL REINO UNIDO

Versión PDF del Reino Unido: Acuerdo para el Procesamiento de Datos del Reino Unido

Acuerdo para el Procesamiento de Datos del Reino Unido

Esta Adenda de Procesamiento de Datos del Reino Unido, incluido cualquier Apéndice (colectivamente, la “Adenda“), forma parte del Acuerdo de Términos y Condiciones de Uso (el “Acuerdo de Servicios”), o cualquier otro acuerdo escrito o electrónico entre Hertza L.L.C., una compañía de responsabilidad limitada de Nevada, que opera como "ZeroBounce" y que tiene su domicilio comercial en 10 E. Yanonali Calle, Santa Bárbara, California 93101 (en adelante, el “Importador de Datos”)y la compañía cuya información se ha proporcionado como parte del proceso de registro (en lo sucesivo, el “Exportador de Datos.”).El Importador de Datos y el Exportador de Datos se denominan colectivamente en el presente documento las “Partes”.”.

Los términos utilizados en la presente Adenda tendrán los significados establecidos en esta Adenda. Los términos en mayúscula que no se definan de otra manera en el presente documento tendrán el significado que se les atribuye en el Acuerdo de Servicios. Salvo las modificaciones que figuran a continuación, los términos del Acuerdo de Servicios permanecerán en plena vigencia y efecto.

En consideración de las obligaciones mutuas establecidas en el presente documento, las Partes acuerdan que los términos y condiciones establecidos a continuación se agregarán como una Adenda al Acuerdo de Servicios. Excepto cuando el contexto requiera lo contrario, las referencias en esta Adenda al Acuerdo de Servicios son al Acuerdo de Servicios tal y como ha sido enmendado por esta Adenda e incluyéndola.

1. OBJETO DE ESTA ADENDA DE PROCESAMIENTO DE DATOS

1.1 Esta Adenda de Procesamiento de Datos se aplica exclusivamente al procesamiento de datos personales sujetos al RGPD del Reino Unido en el alcance del Acuerdo de los Términos y Condiciones de Uso de fecha par entre las Partes para la prestación de servicios por parte de ZeroBounce ("Servicios") (en lo sucesivo, denominado: el "Acuerdo de Servicios").

2. DEFINICIONES

2.1 "RGPD del Reino Unido" significará el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de las personas físicas con respecto al procesamiento de datos personales y la libre circulación de dichos datos (Reglamento General de Protección de Datos del Reino Unido), adaptado por la Ley de protección de datos de 2018.

2.2 "Ley de protección de datos aplicable" significa la ley de protección de datos del Reino Unido, que es el RGPD del Reino Unido y la Ley de protección de datos de 2018;

2.3 Términos como "Datos personales", "Categorías especiales de datos", "Procesar/Procesamiento", "Exportador de datos", "Importador de datos", "interesado", "subprocesador" y "medidas de seguridad técnicas y organizativas" tendrán el mismo significado que se les atribuye en el RGPD del Reino Unido.

2.4 "Cláusulas contractuales estándar", según las circunstancias únicas del Exportador de Datos, significará las cláusulas contractuales estándar del Reino Unido, adjuntas al presente como Anexo A.

3. DETALLES DE LA TRANSFERENCIA

3.1 En la medida en que el Importador de Datos procesará Datos Personales sujetos al RGPD del Reino Unido en nombre del Exportador de Datos en el curso de la ejecución del Acuerdo de Servicios con el Exportador de Datos, se aplicarán los términos de esta Adenda. El Exportador de Datos transferirá los Datos Personales para ser procesados por el Importador de Datos en servidores informáticos ubicados en la Unión Europea. Las categorías de Datos Personales que se procesarán incluyen: nombre; apellido; género; ciudad; estado; país; información de dirección de Protocolo de Internet (IP), y direcciones de correo electrónico. Los tipos de interesados cuya información será procesada son personas físicas. Los fines para los cuales se procesarán los datos personales incluyen: validación de listas de correo electrónico para la entregabilidad, así como la eliminación de denunciantes de correo electrónico conocidos, abusadores y trampas de spam de las listas de direcciones de correo electrónico.

4. EL EXPORTADOR DE DATOS Y EL IMPORTADOR DE DATOS

4.1 El Exportador de Datos determinará el alcance, los propósitos y la manera en que el Importador de Datos puede acceder o procesar los datos personales. El Importador de Datos procesará los Datos Personales solo como se establece en las instrucciones escritas del Exportador de Datos.

4.2 El Importador de Datos solamente procesará los Datos Personales siguiendo instrucciones documentadas del Exportador de datos de tal manera que y en la medida en que sea apropiado para la prestación de los Servicios, excepto cuando deba cumplir con una obligación legal a la que el Importador de Datos está sujeto. En tal caso, el Importador de Datos informará al Exportador de Datos de esa obligación legal antes del procesamiento, a menos que la ley prohíba explícitamente el suministro de dicha información al Exportador de Datos. El Importador de datos nunca procesará los Datos Personales de una manera incompatible con las instrucciones documentadas del Exportador de Datos. El importador de datos informará inmediatamente al Exportador de Datos si, en su opinión, una instrucción infringe el RGPD del Reino Unido.

4.3 Las Partes han celebrado un Acuerdo de Servicio con el fin de beneficiarse de la experiencia del Importador de Datos para proteger y procesar los Datos Personales para los fines establecidos en la Sección 3.1. El Importador de Datos podrá ejercer su propia discreción en la selección y uso de los medios que considere necesarios para perseguir esos fines, sujeto a los requisitos de esta Adenda.

4.4 El Exportador de Datos garantiza que tiene todos los derechos necesarios para proporcionar los Datos Personales al Importador de Datos para que el Procesamiento se realice en relación con los Servicios. En la medida que lo requiera el RGPD del Reino Unido, el Exportador de Datos es responsable de garantizar que se obtenga cualquier consentimiento del sujeto de datos necesario para este Procesamiento, y de garantizar que se mantenga un registro de dichos consentimientos. En caso de que el interesado revoque dicho consentimiento, el Exportador de Datos es responsable de comunicar dicha revocación al Importador de Datos, y el Importador de Datos es responsable de implementar cualquier instrucción del Exportador de Datos con respecto al procesamiento posterior de esos Datos Personales.

5. CONFIDENCIALIDAD

5.1 Sin perjuicio de cualquier acuerdo contractual existente entre las Partes, el Importador de Datos tratará todos los Datos Personales como estrictamente confidenciales e informará a todos sus empleados, agentes y/o subprocesadores aprobados involucrados en el procesamiento de Datos Personales de la naturaleza confidencial de los datos personales. El Importador de Datos se asegurará de que todas esas personas o partes hayan firmado un acuerdo de confidencialidad adecuado, estén vinculados de otro modo a un deber de confidencialidad o estén sujetos a una obligación legal de confidencialidad adecuada.

6. SEGURIDAD

6.1 Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de variabilidad y severidad de los derechos y libertades de las personas físicas, sin perjuicio de cualesquiera otras normas de seguridad acordadas por las Partes, el Exportador de Datos y el Importador de Datos implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad del procesamiento de Datos Personales apropiado al riesgo. Estas medidas incluirán, según proceda:

  1. medidas para garantizar que solo el personal autorizado pueda acceder a los Datos Personales para los fines establecidos en la Sección 3.1 de esta Adenda;
  2. al evaluar el nivel apropiado de seguridad, se tendrán en cuenta, en particular, todos los riesgos que presenta el procesamiento, por ejemplo, de destrucción, pérdida o alteración accidental o ilegal, almacenamiento, procesamiento, acceso o divulgación no autorizados o ilegales de Datos Personales;
  3. la seudonimización y el cifrado de Datos Personales;
  4. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de forma continua de los sistemas y servicios de procesamiento;
  5. la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales de manera oportuna en caso de incidente físico o técnico;
  6. un proceso para probar, evaluar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los Datos Personales;
  7. medidas para identificar vulnerabilidades con respecto al procesamiento de Datos Personales en los sistemas utilizados para proporcionar servicios al Exportador de Datos; o
  8. ZeroBounce toma las siguientes medidas de seguridad para proteger los Datos Personales contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizado:

    • Todos los Datos Personales recibidos a continuación se almacenarán y procesarán en la UE;

    • Además de lo anterior, ZeroBounce es un participante activo en los programas Escudo de Privacidad UE-EE. UU. Y Suiza-EE. UU.;

    • ZeroBounce ha restringido el acceso a cuatro miembros del personal con la capacidad de acceder directamente a archivos que contienen información personal en los servidores de ZeroBounce, cada uno de los cuales ha acordado mantener la confidencialidad de cualquier información personal;

    • Todas las cargas y descargas de datos enviadas entre ZeroBounce y sus clientes se efectúan a través de servidores de la tercera parte CloudFlare en la UE;

    • Además de lo anterior, CloudFlare es un participante activo en el programa Escudo de Privacidad UE-EE.UU.;

    • El equipo de soporte de ZeroBounce no tiene acceso a CloudFlare;

    • CloudFlare mantiene sus propias protecciones de seguridad para bloquear amenazas y limitar los bots y rastreadores abusivos. Consulte https://support.cloudflare.com/hc/en-us/articles/205177068-Step-1-How-does-Cloudflare-work-

    • Cualquier información cargada por un cliente de ZeroBounce a ZeroBounce.net se transmite a través de SSL por medio de CloudFlare, y todos los archivos se almacenan en un archivo cifrado utilizando un algoritmo estándar para la protección de los datos almacenados definido por IEEE P1619 en los servidores de ZeroBounce en la UE; y

    • Si el cliente elige recibir archivos por correo electrónico, dichos archivos se enviarán encriptados, con una contraseña a través de un correo electrónico separado.

6.2 El Importador de Datos deberá contar en todo momento con una política de seguridad por escrito adecuada con respecto al procesamiento de Datos Personales, destacando en cualquier caso las medidas especificadas en el Párrafo 6.1.

6.3 A solicitud del Exportador de Datos, el Importador de Datos demostrará las medidas que ha tomado y permitirá que el Exportador de Datos audite y pruebe dichas medidas. El Exportador de Datos tendrá derecho a notificar al Importador de Datos con al menos 14 días de anticipación para llevar a cabo o hacer que se realicen por un tercero que haya celebrado un acuerdo de confidencialidad con el Importador de Datos auditorías de las instalaciones y operaciones del Importador de Datos en la medida en que estas se relacionan con los Datos Personales. El Importador de Datos cooperará con dichas auditorías realizadas por o en nombre del Exportador de Datos y otorgará a los auditores del Exportador de Datos un acceso razonable a cualquier local y dispositivo involucrado con el Procesamiento de los Datos Personales. El Importador de Datos proporcionará al Exportador de Datos y/o los auditores del Exportador de Datos acceso a cualquier información relacionada con el Procesamiento de los Datos Personales que el Exportador de Datos pueda razonablemente requerir para determinar el cumplimiento del Importador de Datos con esta Adenda.

7. MEJORAS A LA SEGURIDAD

7.1 Las Partes reconocen que los requisitos de seguridad cambian constantemente y que la seguridad eficaz requiere una evaluación frecuente y mejoras periódicas de las medidas de seguridad obsoletas. Por lo tanto, el Importador de Datos evaluará las medidas implementadas de acuerdo con el Párrafo 6.1 de forma continua y reforzará, complementará y mejorará estas medidas para mantener el cumplimiento de los requisitos especificados en el Párrafo 6.1. Las Partes negociarán de buena fe el costo, si corresponde, de implementar los cambios materiales requeridos por los requisitos de seguridad actualizados específicos establecidos en el RGPD del Reino Unido o por las autoridades de protección de datos de la jurisdicción competente.

7.2 Cuando sea necesaria una enmienda al Acuerdo de Servicio para ejecutar una instrucción del Exportador de Datos al Importador de Datos o para mejorar las medidas de seguridad que puedan ser requeridas por cambios en la ley de protección de datos aplicable de vez en cuando, las Partes negociarán de buena fe una enmienda al Acuerdo de Servicios.

8. TRANSFERENCIAS DE DATOS

8.1 Para los Servicios, el Exportador de Datos transferirá los Datos Personales para ser procesados por el Importador de Datos en servidores informáticos ubicados en la UE. El Importador de Datos no divulgará los Datos Personales recibidos a un tercero ni los transferirá a un país que no pertenezca a la UE/Espacio Económico Europeo (EEE) sin la autorización del Exportador de datos. El Importador de Datos notificará inmediatamente al Exportador de Datos de cualquier transferencia (planificada) permanente o temporal de Datos Personales a un país fuera de la UE/EEE sin un nivel adecuado de protección y solo realizará dicha transferencia (planificada) después de obtener la autorización del Exportador de Datos, que puede ser rechazada a su propia discreción.

8.2 En la medida en que el Exportador de Datos o el Importador de Datos se basen en un mecanismo estatutario específico para normalizar las transferencias internacionales de datos que posteriormente se modifique, revoquen o se considere inválido en un tribunal de jurisdicción competente, el Exportador de Datos y el Importador de Datos acuerdan cooperar de buena fe para rescindir rápidamente la transferencia o buscar un mecanismo alternativo adecuado que pueda respaldar legalmente la transferenciar.

9. OBLIGACIONES DE INFORMACIÓN Y GESTIÓN DE INCIDENTES

9.1 Cuando el Importador de Datos tenga conocimiento de un incidente que afecte el Procesamiento de los Datos Personales que es objeto del Acuerdo de Servicio, notificará de inmediato al Exportador de Datos sobre el incidente, cooperará en todo momento con el Exportador de Datos y deberá seguir las instrucciones del exportador de datos con respecto a dichos incidentes, con el fin de permitir que el exportador de datos lleve a cabo una investigación exhaustiva del incidente, formule una respuesta correcta y tome las medidas adicionales adecuadas con respecto al incidente.

9.2 El término "incidente" utilizado en el Párrafo 9.1 se entenderá que significa en todo caso:

  1. una queja o una solicitud con respecto al ejercicio de los derechos de un sujeto de datos en virtud del RGPD del Reino Unido;
  2. una investigación o incautación de los Datos Personales por parte de funcionarios gubernamentales, o una indicación específica de que dicha investigación o incautación es inminente;
  3. cualquier acceso no autorizado o accidental, procesamiento, eliminación, pérdida o cualquier forma de procesamiento ilegal de los Datos Personales;
  4. cualquier violación de la seguridad y/o confidencialidad según lo especificado en los párrafos 5 y 6 de esta Adenda que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado de los Datos personales, o cualquier indicación de dicha violación haber tenido lugar o estar a punto de tener lugar;
  5. cuando, en opinión del Importador de Datos, la implementación de una instrucción recibida del Exportador de Datos violaría las leyes aplicables a las que están sujetos el Exportador de Datos o el Importador de Datos.

9.3 El Importador de Datos deberá contar en todo momento con procedimientos escritos que le permitan responder con prontitud al Exportador de Datos sobre un incidente. Cuando es razonablemente probable que un incidente requiera una notificación de violación de datos por parte del Exportador de Datos según el RGPD del Reino Unido, el Importador de Datos implementará sus procedimientos escritos de tal manera que esté en condiciones de notificar al Exportador de Datos a más tardar 24 horas después de haber tenido conocimiento de tal incidente.

9.4 Cualquier notificación realizada al Exportador de Datos de conformidad con este Artículo se dirigirá al responsable de protección de datos u otro empleado del Exportador de Datos cuyos datos de contacto se proporcionen durante el proceso de registro, y deberá contener:

  1. una descripción de la naturaleza del incidente, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de Datos Personales afectados;
  2. el nombre y los datos de contacto del responsable de protección de datos del Importador de Datos u otro punto de contacto donde se pueda obtener más información;
  3. una descripción de las consecuencias probables del incidente; y
  4. una descripción de las medidas adoptadas o propuestas por el Importador de Datos para abordar el incidente, incluidas, cuando sea el caso, medidas para mitigar sus posibles efectos adversos

10. CONTRATACIÓN CON SUBPROCESADORES

10.1 El Exportador de Datos autoriza al Importador de Datos a contratar subprocesadores en las sedes del país para las actividades relacionadas con el Servicio especificadas en el Párrafo 3.1. El Importador de Datos informará al Exportador de Datos de cualquier adición o reemplazo de dichos subprocesadores, de este modo dándole al Exportador de Datos la oportunidad de oponerse a dichos cambios.

10.2 Sin perjuicio de cualquier autorización del Exportador de Datos en el sentido del párrafo anterior, el Importador de Datos seguirá siendo totalmente responsable ante el Exportador de Datos por el desempeño de cualquier subprocesador que no cumpla con sus obligaciones de protección de datos.

10.3 El consentimiento del Exportador de Datos de conformidad con el párrafo 10.1 no modificará el hecho de que se requiere el consentimiento para la contratación de subprocesadores en un país fuera del Espacio Económico Europeo sin un nivel adecuado de protección.

10.4 El Importador de datos se asegurará de que el subprocesador esté sujeto a las mismas obligaciones de protección de datos que el Importador de datos en virtud de esta Adenda supervisará el cumplimiento de las mismas y, en particular, deberá imponer a sus subprocesadores la obligación de implementar las medidas técnicas y organizativas adecuadas de tal manera que el procesamiento cumpla con los requisitos del RGPD del Reino Unido.

10.5 El Exportador de Datos puede solicitar que el Importador de Datos audite a un subprocesador o proporcione una confirmación de que se ha realizado dicha auditoría (o, de ser posible, obtenga o ayude al cliente a obtener un informe de auditoría de un tercero sobre las operaciones del subprocesador) para garantizar el cumplimiento de sus obligaciones impuestas por el Importador de Datos de conformidad con esta Adenda.

11. DEVOLUCIÓN O DESTRUCCIÓN DE DATOS PERSONALES

11.1 Tras la terminación del Acuerdo de Servicios, a solicitud por escrito del Exportador de datos o tras el cumplimiento de todos los propósitos acordados en el contexto de los Servicios en los que no se requiere ningún procesamiento adicional, el Importador de Datos, a discreción del Exportador de Datos, eliminará, destruirá o devolverá todos los Datos Personales al Exportador de Datos y destruirá o devolverá las copias existentes.

11.2 El Importador de Datos notificará a todos los terceros implicados en su procesamiento de los Datos Personales de la terminación del Acuerdo de Servicios y se asegurará de que dichos terceros destruyan los Datos Personales o devuelvan los Datos Personales al Exportador de Datos, a discreción del Exportador de Datos.

12. ASISTENCIA AL EXPORTADOR DE DATOS

12.1 El Importador de Datos asistirá al Exportador de Datos mediante las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Exportador de Datos de responder a una solicitud para ejercer los derechos del interesado en virtud del RGPD del Reino Unido.

12.2 El Importador de Datos asistirá al Exportador de Datos en garantizar el cumplimiento de las obligaciones de conformidad con el Párrafo 6 (Seguridad) y las consultas previas con las autoridades de supervisión especificadas en el Artículo 36 del RGPD del Reino Unido, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Importador de Datos.

12.3 El Importador de Datos pondrá a disposición del Exportador de Datos toda la información necesaria para demostrar el cumplimiento de las obligaciones del Importador de Datos y para permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Exportador de Datos u otro auditor encargado por el Exportador de Datos.

13. RESPONSABILIDAD E INDEMNIZACIÓN

13.1 El Importador de Datos indemniza al Exportador de Datos y lo mantiene indemne de todas las reclamaciones, acciones, reclamaciones de terceros, pérdidas, daños y gastos incurridos por el Exportador de Datos y que surjan directa o indirectamente de o en conexión con un incumplimiento de esta Adenda y/o del RGPD del Reino Unido por parte del Importador de datos. El Exportador de Datos indemniza al Importador de Datos y lo mantiene indemne de todas las reclamaciones, acciones, reclamaciones de terceros, pérdidas, daños y gastos incurridos por el Importador de Datos y que surjan directa o indirectamente de o en conexión con un incumplimiento de esta Adenda y/o del RGPD del Reino Unido por parte del Exportador de Datos.

14. DURACIÓN Y TERMINACIÓN

14.1 Esta Adenda entrará en vigor en la fecha en que el Exportador de Datos firme el presente Apéndice, que puede ser a través de medios electrónicos.

14.2 La terminación o expiración del Acuerdo de Servicios no eximirá al Importador de Datos de sus obligaciones de confidencialidad de conformidad con el Párrafo 5.

14.3 El Importador de Datos procesará los Datos Personales hasta la fecha de terminación del Acuerdo de Servicios, a menos que el Exportador de Datos indique lo contrario, o hasta que dichos datos sean devueltos o destruidos por instrucción del Exportador de Datos.

15. VARIOS

15.1 En el caso de cualquier inconsistencia entre las disposiciones de esta Adenda y las disposiciones del Acuerdo de Servicios, prevalecerán las disposiciones de esta Adenda.


ANEXO A: CLÁUSULAS CONTRACTUALES ESTÁNDAR

CLÁUSULA 1. DEFINICIONES

A los efectos de las presentes Cláusulas:

(a) "datos personales", "categorías especiales de datos", "procesar/procesamiento", "Exportador", "Importador", "interesado" y "Comisionado" tendrán el mismo significado que el establecido en el RGPD del Reino Unido

(b) "exportador de datos" significa el Exportador que transfiere los datos personales;

(c) "importador de datos" significa el importador que acepta recibir del exportador de datos los datos personales destinados a ser procesados en su nombre después de la transferencia de conformidad con sus instrucciones y los términos de las Cláusulas y que no está sujeto a un sistema de un tercer país cubierto por las regulaciones de adecuación del Reino Unido emitidas bajo la Sección 17A de la Ley de Protección de Datos de 2018 o los Párrafos 4 y 5 del Anexo 21 de la Ley de Protección de Datos de 2018;

(d) "subprocesador" significa cualquier Importador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepte recibir del importador de datos o de cualquier otro subprocesador del importador de datos los datos personales exclusivamente destinados a actividades de procesamiento que se llevarán a cabo en nombre del exportador de datos después de la transferencia de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;

(e) "ley de protección de datos aplicable" significa la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al tratamiento de datos personales aplicable a un Exportador de datos en el Reino Unido;

(f) ‘"medidas de seguridad técnicas y organizativas" significan las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizados, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento.

CLÁUSULA 2. DETALLES DE LA TRANSFERENCIA

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Apéndice 1, que forma parte integral de las Cláusulas

CLÁUSULA 3. CLÁUSULA DE TERCERO BENEFICIARIO

3(1) El interesado puede hacer cumplir contra el exportador de datos esta Cláusula, Cláusula 4(b) a (i), Cláusula 5(a) a (e), y (g) a (j), Cláusula 6(1) y (2), Cláusula 7, Cláusula 8(2) y Cláusulas 9 a 12 como tercero beneficiario.

3(2) El sujeto de datos puede hacer cumplir contra el importador de datos esta Cláusula, Cláusula 5(a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8(2), y Cláusulas 9 a 12, en los casos cuando el exportador de datos haya desaparecido de hecho o haya dejado de existir en la ley, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por aplicación de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado puede hacerlos cumplir contra dicha entidad.

El sujeto de datos puede hacer cumplir contra el subprocesador esta Cláusula, Cláusula 5(a) a (e) y (g), Cláusula 6, Cláusula 7, Cláusula 8(2), y Cláusulas 9 a 12, en los casos en que tanto el exportador de datos y el importador de datos han desaparecido de hecho o han dejado de existir en la ley o se han vuelto insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por aplicación de la ley como resultado de lo cual asume la derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos cumplir contra dicha entidad. Dicha responsabilidad como tercero del subprocesador se limitará a sus propias operaciones de procesamiento de conformidad con las Cláusulas.

Las partes no se oponen a que un sujeto de datos sea representado por una asociación u otro organismo si el interesado así lo desea expresamente y si lo permite la legislación nacional.

CLÁUSULA 4. OBLIGACIONES DEL EXPORTADOR DE DATOS

EL EXPORTADOR DE DATOS ACEPTA Y GARANTIZA:

4(a) que el procesamiento, incluida la transferencia en sí, de los datos personales se ha realizado y continuará realizándose de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, cuando corresponda, se ha notificado al Comisionado) y no infringe la ley de protección de datos aplicable;

4(b) que ha instruido y durante la duración de los servicios de procesamiento de datos personales instruirá al importador de datos para procesar los datos personales transferidos solo en nombre del exportador de datos y de conformidad con la ley de protección de datos aplicable y las Cláusulas;

4(c) que el importador de datos proporcionará garantías suficientes con respecto a las medidas técnicas y organizativas de seguridad especificadas en el Apéndice 2 del presente contrato;

4(d) que después de la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son apropiadas para proteger los datos personales contra la destrucción accidental o ilegal o la pérdida accidental, alteración, divulgación o acceso no autorizados, en particular cuando el procesamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de procesamiento, y que estas medidas garantizan un nivel de seguridad adecuado a los riesgos que presenta el procesamiento y la naturaleza de los datos a proteger teniendo en cuenta el estado de la técnica y el costo de su implementación;

4(e) que garantizará el cumplimiento de las medidas de seguridad;

4(f) que, si la transferencia involucra categorías especiales de datos, el interesado tos ha sido informado o será informado antes o tan pronto como sea posible después de la transferencia de que sus datos podrían transmitirse a un tercer país no cubierto por las regulaciones de adecuación emitidas bajo la Sección 17A de la Ley de Protección de Datos de 2018 o los Párrafos 4 y 5 del Anexo 21 de la Ley de Protección de Datos de 2018;

4(g) que enviará cualquier notificación recibida del importador de datos o cualquier subprocesador de conformidad con la Cláusula 5(b) y la Cláusula 8(3) al Comisionado si el exportador de datos decide continuar la transferencia o levantar la suspensión;

4(h) que pondrá a disposición de los interesados que lo soliciten una copia de las Cláusulas, con excepción del Anexo 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que deba ser hecho de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

4(i) que, en caso de subprocesamiento, la actividad de procesamiento se lleva a cabo de acuerdo con la Cláusula 11 por un subprocesador que proporciona al menos el mismo nivel de protección para los datos personales y los derechos del interesado que el importador de datos en virtud de las Cláusulas;

4(j) que garantizará el cumplimiento de la Cláusula 4 incisos (a) a (i).

CLÁUSULA 5. OBLIGACIONES DEL IMPORTADOR DE DATOS

EL IMPORTADOR DE DATOS ACUERDA Y GARANTIZA:

5(a) que procesará los datos personales solo en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar de inmediato al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

5(b) que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones de conformidad con el contrato y que, en caso de modificación de esta legislación que pueda causar un efecto adverso sustancial en las garantías y obligaciones previstas por las Cláusulas, notificará de inmediato dicha modificación al exportador de datos tan pronto como tenga conocimiento de ella, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

5(c) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de procesar los datos personales transferidos;

5(d) que notificará de inmediato al exportador de datos sobre:

(i) cualquier solicitud legalmente vinculante para la divulgación de datos personales por parte de una autoridad policial a menos que esté prohibido, como una prohibición bajo la ley penal para preservar la confidencialidad de una investigación policial;

(ii) cualquier acceso accidental o no autorizado; y

(iii) cualquier solicitud recibida directamente de los interesados sin responder a esa solicitud, a menos que haya sido autorizado para hacerlo;

5(e) que atenderá de manera rápida y adecuada todas las consultas del exportador de datos relacionadas con su procesamiento de los datos personales sujetos a la transferencia y que acatará el consejo del Comisionado con respecto al procesamiento de los datos transferidos;

5(f) que, a solicitud del exportador de datos, someterá sus instalaciones de procesamiento de datos para la auditoría de las actividades de procesamiento cubiertas por las Cláusulas, la cual será realizada por el exportador de datos o un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas sujetas a un deber de confidencialidad, seleccionado por el exportador de datos, como corresponda, de acuerdo con el Comisionado;

5(g) que pondrá a disposición del interesado, a petición de éste, una copia de las Cláusulas, o cualquier contrato existente de subprocesamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con excepción del Apéndice 2 que se sustituirá por una descripción resumida de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;

5(h) que, en caso de subprocesamiento, haya informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;

5(i) que los servicios de procesamiento por parte del subprocesador se llevarán a cabo de conformidad con la Cláusula 11;

5(j) que enviará de inmediato una copia de cualquier acuerdo de subprocesamiento que celebre en virtud de las Cláusulas al exportador de datos.

CLÁUSULA 6. RESPONSABILIDAD

6(1) Las partes acuerdan que cualquier interesado que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por el daño sufrido.

6(2) Si un interesado no puede presentar una reclamación de compensación de conformidad con el párrafo 1 contra el exportador de datos como resultado de un incumplimiento por parte del importador de datos o su subprocesador de cualquiera de sus obligaciones especificadas en la Cláusula 3 o en la Cláusula 11, debido a que el exportador de datos ha desaparecido de hecho o ha dejado de existir en la ley o se ha vuelto insolvente, el importador de datos acuerda que el interesado puede presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora ha asumido todas las obligaciones legales del exportador de datos por contrato o por aplicación de la ley, en cuyo caso el sujeto de datos puede hacer cumplir sus derechos contra dicha entidad. El importador de datos no puede basarse en un incumplimiento por parte de un subprocesador de las obligaciones de este para evitar sus propias responsabilidades.

6(3) Si un interesado no puede presentar un reclamo contra el exportador de datos o el importador de datos especificado en los párrafos 1 y 2 como resultado de un incumplimiento por parte del subprocesador de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 debido a que tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir en la ley o se han vuelto insolventes, el subprocesador acepta que el interesado puede presentar una reclamación contra el subprocesador de datos con respecto a sus propias operaciones de procesamiento bajo las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos o importador de datos por contrato o por aplicación de la ley, en cuyo caso el sujeto de datos puede hacer cumplir sus derechos contra dicha entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.

CLÁUSULA 7. MEDIACIÓN Y JURISDICCIÓN

El importador de datos acepta que si el interesado invoca contra él los derechos de tercero beneficiario y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:

(a) de someter la disputa a mediación, por una persona independiente o, en su caso, por el Comisionado;

(b) de remitir la disputa a los tribunales del Reino Unido

Las partes acuerdan que la elección realizada por el sujeto de datos no perjudica sus derechos sustantivos o procesales de buscar recursos de conformidad con otras disposiciones del derecho nacional o internacional.

CLÁUSULA 8. COOPERACIÓN CON LAS AUTORIDADES SUPERVISORAS

El exportador de datos se compromete a entregar una copia de este contrato al Comisionado si así lo solicita o si dicho depósito es requerido por la ley de protección de datos aplicable.

8(2) Las partes acuerdan que el Comisionado tiene derecho a realizar una auditoría del importador de datos y de cualquier subprocesador, uque tiene el mismo alcance y está sujeto a las mismas condiciones que se aplicarían a una auditoría del exportador de datos de conformidad con la ley de protección de datos aplicable.

8(3) El importador de datos informará de inmediato al exportador de datos sobre la existencia de legislación aplicable a él o a cualquier subprocesador uqe impida la realización de una auditoría del importador de datos, o de cualquier subprocesador, de conformidad con el párrafo 2. En tal caso el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5(b).

CLÁUSULA 9. LEY APLICABLE

Las Cláusulas se regirán por la ley del país del Reino Unido en el que esté establecido el exportador de datos, a saber, Inglaterra y Gales.

CLÁUSULA 10. VARIACIÓN DEL CONTRATO

Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide que las partes (i) realicen los cambios permitidos por el Párrafo 7(3) y (4) del Anexo 21 de la Ley de Protección de Datos de 2018; o que (ii) agreguen cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.

CLÁUSULA 11. SUBPROCESAMIENTO

11(1) El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. En caso que el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas con el consentimiento del exportador de datos, sólo lo hará mediante un acuerdo escrito con el subprocesador que imponga al subprocesador las mismas obligaciones que se imponen al importador de datos de conformidad con las Cláusulas. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo totalmente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho acuerdo.

11(2) El contrato previo por escrito entre el importador de datos y el subprocesador también establecerá una cláusula de beneficiario tercero como se establece en la Cláusula 3 para aquellos casos en que el sujeto de datos no pueda presentar la reclamación de compensación mencionada en el párrafo 1 de la Cláusula 6 contra el exportador de datos o el importador de datos porque han desaparecido de hecho o han dejado de existir en la ley o se han vuelto insolventes y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador de datos o importador de datos por contrato o por aplicación de la ley. Dicha responsabilidad como tercero del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.

11(3) Las disposiciones relativas a los aspectos de protección de datos para el subprocesamiento del contrato mencionado en el párrafo 1 se regirán por las leyes del país del Reino Unido donde está establecido el exportador.

11(4) El exportador de datos mantendrá una lista de los acuerdos de subprocesamiento celebrados en virtud de las Cláusulas y notificados por el importador de datos de conformidad con la Cláusula 5(j), que se actualizará al menos una vez al año. La lista estará disponible para el Comisionado.

CLÁUSULA 12. OBLIGACIÓN TRAS LA TERMINACIÓN

12(1) Las partes acuerdan que al finalizar la prestación de los servicios de procesamiento de datos, el importador de datos y el subprocesador, a discreción del exportador de datos, devolverán todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos acuerda que garantizará la confidencialidad de los datos personales transferidos y ya no procesará activamente los datos personales transferidos.

12(2) El importador de datos y el subprocesador garantizan que, a solicitud del exportador de datos y/o del Comisionado, presentarán sus instalaciones de procesamiento de datos para una auditoría de las medidas mencionadas en el Párrafo 1.