Este DPA se celebra entre el Responsable del tratamiento y el Encargado del tratamiento y se incorpora a los términos del Acuerdo, por los que se rige.
Cualquier término en mayúscula que no esté definido en este DPA tendrá el significado que se le atribuye en el Acuerdo.
| «Afiliada» | significa cualquier entidad que, directa o indirectamente, controle a una de las partes, sea controlada por esta o esté bajo control común con ella. A efectos de esta definición, «Control» significa la propiedad o el control directo o indirecto de más del 50% de los derechos de voto de una parte; |
| «Acuerdo» | significa el acuerdo entre el Responsable del tratamiento y el Encargado del tratamiento para la prestación de los Servicios; |
| «CCPA» | significa la California Consumer Privacy Act de 2018, junto con su normativa y según se modifique en cada momento; |
| «Responsable del tratamiento» | significa el Cliente; |
| «Normativa de Protección de Datos» | significa todas las leyes y reglamentos, incluidas las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo, sus Estados miembros y el Reino Unido, así como cualesquiera modificaciones, sustituciones o renovaciones de los mismos, aplicables al tratamiento de Datos Personales, incluida, cuando proceda, la normativa Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, el RGPD de la UE, el RGPD del Reino Unido, la UK Data Protection Act 2018, la FADP, la CCPA y cualquier normativa nacional de transposición aplicable, así como reglamentos y normativa secundaria relativos al tratamiento de los Datos Personales y a la privacidad de las comunicaciones electrónicas, según se modifiquen, sustituyan o actualicen en cada momento, incluida la Privacy and Electronic Communications Directive (2002/58/EC) y la Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426); |
| «Interesado» | tendrá el mismo significado que en la Normativa de Protección de Datos o significa un «Consumidor» según se define dicho término en la CCPA; |
| «DPA» | significa este acuerdo de tratamiento de datos junto con los Anexos A, B y C; |
| «EEE» | significa el Espacio Económico Europeo; |
| «RGPD de la UE» | significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos); |
| «FADP» | significa la nueva Ley Federal Suiza de Protección de Datos de 1 de septiembre de 2023, y según se modifique en cada momento; |
| «Datos Personales» | tendrá el mismo significado que en la Normativa de Protección de Datos; |
| «Encargado del tratamiento» | significa la Empresa, incluyendo, cuando proceda, cualquier «Proveedor de Servicios» según se define dicho término en la CCPA; |
| «Transferencia restringida» | significa: (i) cuando sea aplicable el RGPD de la UE, una transferencia de Datos Personales a través de los Servicios desde el EEE, ya sea directamente o mediante transferencia ulterior, a cualquier país o destinatario fuera del EEE que no esté sujeto a una decisión de adecuación de la Comisión Europea; y (ii) cuando sea aplicable el RGPD del Reino Unido, una transferencia de Datos Personales a través de los Servicios desde el Reino Unido, ya sea directamente o mediante transferencia ulterior, a cualquier país o destinatario fuera del Reino Unido que no se base en normativa de adecuación conforme al artículo 17A de la UK Data Protection Act 2018; y (iii) una transferencia de Datos Personales a través de los Servicios desde Suiza, ya sea directamente o mediante transferencia ulterior, a cualquier país o destinatario fuera del EEE y/o Suiza que no esté sujeto a una decisión de adecuación de la Comisión Europea; |
| «Servicios» | significa todos los servicios y aplicaciones y soluciones de software proporcionados al Responsable del tratamiento por el Encargado del tratamiento en virtud del Acuerdo y según se describen en el mismo; |
| «SCC» | significa: (i) cuando sea aplicable el RGPD de la UE, las cláusulas contractuales tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países, publicada en https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN («SCC de la UE»); y (ii) cuando sea aplicable el RGPD del Reino Unido, las cláusulas tipo de protección de datos adoptadas conforme al artículo 46(2)(c) del RGPD del Reino Unido, tal como se recogen en el Anexo C de este DPA («SCC del Reino Unido»); y (iii) cuando los Datos Personales se transfieran desde Suiza a fuera de Suiza o del EEE, las SCC de la UE modificadas de conformidad con las directrices de la autoridad suiza de protección de datos («SCC suizas»); |
| «Subencargado» | significa cualquier tercero (incluidas las Afiliadas del Encargado del tratamiento) contratado directa o indirectamente por el Encargado del tratamiento para tratar Datos Personales en virtud de este DPA en la prestación de los Servicios al Responsable del tratamiento; |
| «Autoridad de control» | significa un organismo regulador gubernamental o habilitado por el gobierno con autoridad legal vinculante sobre una parte; |
| «RGPD del Reino Unido» | significa el RGPD de la UE en la medida en que forma parte del Derecho de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud del artículo 3 de la European Union (Withdrawal) Act 2018. |
2.1. El Encargado del tratamiento ha aceptado prestar los Servicios al Responsable del tratamiento de conformidad con los términos del Acuerdo. Al prestar los Servicios, el Encargado del tratamiento tratará los Datos del Cliente en nombre del Responsable del tratamiento. Los Datos del Cliente pueden incluir Datos Personales. El Encargado del tratamiento tratará y protegerá dichos Datos Personales de conformidad con los términos del presente DPA.
3.1. Al prestar los Servicios al Responsable del tratamiento conforme a los términos del Acuerdo, el Encargado del tratamiento tratará Datos Personales únicamente en la medida necesaria para prestar los Servicios de conformidad con los términos del Acuerdo, este DPA y las instrucciones del Responsable del tratamiento documentadas en el Acuerdo y en este DPA, según se actualicen en cada momento.
3.2. El Responsable del tratamiento y el Encargado del tratamiento adoptarán las medidas necesarias para garantizar que cualquier persona física que actúe bajo la autoridad del Responsable del tratamiento o del Encargado del tratamiento y que tenga acceso a los Datos Personales no los trate salvo siguiendo instrucciones del Responsable del tratamiento, salvo que cualquier Normativa de Protección de Datos exija lo contrario.
4.1. El Encargado del tratamiento podrá recopilar, tratar o utilizar Datos Personales únicamente dentro del alcance de este DPA.
4.2. El Encargado del tratamiento confirma que tratará los Datos Personales en nombre del Responsable del tratamiento de conformidad con las instrucciones documentadas del Responsable del tratamiento.
4.3. El Encargado del tratamiento informará sin demora al Responsable del tratamiento si, a juicio del Encargado del tratamiento, alguna de las instrucciones del Responsable del tratamiento relativas al tratamiento de Datos Personales infringe la Normativa de Protección de Datos.
4.4. El Encargado del tratamiento garantizará que todos los empleados, agentes, directivos y contratistas que participen en la gestión de Datos Personales: (i) conozcan el carácter confidencial de los Datos Personales y estén obligados contractualmente a mantenerlos confidenciales; (ii) hayan recibido la formación adecuada sobre sus responsabilidades como encargados del tratamiento; y (iii) estén vinculados por los términos del presente DPA.
4.5. El Encargado del tratamiento aplicará las medidas técnicas y organizativas apropiadas para proteger los Datos Personales, teniendo en cuenta el estado de la técnica, los costes de implantación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como el riesgo —de probabilidad y gravedad variables— para los derechos y libertades de las personas físicas.
4.6. El Encargado del tratamiento aplicará medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo, entre otras, según proceda: (i) la seudonimización y el cifrado de los Datos Personales; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales con prontitud en caso de incidente físico o técnico; (iv) un proceso de verificación, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Al evaluar el nivel de seguridad apropiado, se tendrán en cuenta, en particular, los riesgos derivados del tratamiento, especialmente los derivados de la destrucción, pérdida o alteración accidentales o ilícitas, o de la divulgación o el acceso no autorizados a Datos Personales transmitidos, conservados o tratados de otro modo.
4.7. Las medidas técnicas y organizativas detalladas en el Anexo B se cumplirán en todo momento como estándar mínimo de seguridad. El Responsable del tratamiento acepta y reconoce que dichas medidas técnicas y organizativas están sujetas a desarrollo y revisión, y que el Encargado del tratamiento puede utilizar medidas alternativas adecuadas a las detalladas en los anexos de este DPA, siempre que dichas medidas sean, como mínimo, equivalentes a las establecidas en el Anexo B y adecuadas conforme a las obligaciones del Encargado del tratamiento en las cláusulas 4.5 y 4.6 anteriores.
4.8. El Responsable del tratamiento reconoce y acepta que, en el curso de la prestación de los Servicios al Responsable del tratamiento, puede ser necesario que el Encargado del tratamiento acceda a los Datos Personales para responder a problemas técnicos o consultas del Responsable del tratamiento y para garantizar el correcto funcionamiento de los Servicios. Cualquier acceso de este tipo por parte del Encargado del tratamiento se limitará a dichos fines.
4.9. Teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga el Encargado del tratamiento, este asistirá al Responsable del tratamiento mediante la implantación de medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos de los Interesados y para el cumplimiento por parte del Responsable del tratamiento de sus obligaciones en materia de protección de datos respecto del tratamiento de Datos Personales.
4.10. El Encargado del tratamiento no podrá: (i) vender Datos Personales; (ii) conservar, utilizar o divulgar Datos Personales con fines comerciales distintos de la prestación de los Servicios conforme a los términos del Acuerdo; o (iii) conservar, utilizar o divulgar Datos Personales fuera de los términos del Acuerdo.
5.1. El Responsable del tratamiento declara y garantiza que: (i) cumplirá el presente DPA y sus obligaciones conforme a la Normativa de Protección de Datos; (ii) ha obtenido cualquier permiso y autorización necesarios para permitir que el Encargado del tratamiento, sus Afiliadas y Subencargados ejerzan sus derechos o cumplan sus obligaciones en virtud de este DPA; y (iii) todas las Afiliadas del Responsable del tratamiento que utilicen los Servicios cumplirán las obligaciones del Responsable del tratamiento establecidas en este DPA.
5.2. El Responsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para proteger los Datos Personales, teniendo en cuenta el estado de la técnica, los costes de implantación y la naturaleza, alcance, contexto y finalidades del tratamiento, así como el riesgo —de probabilidad y gravedad variables— para los derechos y libertades de las personas físicas. El Responsable del tratamiento aplicará medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo, entre otras, según proceda: (i) la seudonimización y el cifrado de los Datos Personales; (ii) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los Datos Personales con prontitud en caso de incidente físico o técnico; (iv) un proceso para la verificación, evaluación y valoración periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Al evaluar el nivel de seguridad apropiado, se tendrán en cuenta, en particular, los riesgos derivados del tratamiento, especialmente los derivados de la destrucción, pérdida o alteración accidentales o ilícitas, o de la divulgación o el acceso no autorizados a Datos Personales transmitidos, conservados o tratados de otro modo.
5.3. El Responsable del tratamiento reconoce y acepta que determinadas instrucciones del Responsable del tratamiento, incluidas las relativas a que el Encargado del tratamiento asista en auditorías, inspecciones, EIPD (DPIA) o preste cualquier asistencia en virtud de este DPA, pueden implicar tarifas adicionales. En tal caso, el Encargado del tratamiento notificará al Responsable del tratamiento con antelación sus tarifas por dicha asistencia y tendrá derecho a cobrar al Responsable del tratamiento los costes y gastos razonables incurridos al prestar dicha asistencia, salvo que se acuerde lo contrario por escrito.
6.1. El Responsable del tratamiento reconoce y acepta que el Encargado del tratamiento puede contratar Subencargados en relación con la prestación de los Servicios.
6.2. Todos los Subencargados que traten Datos Personales en la prestación de los Servicios al Responsable del tratamiento deberán cumplir las obligaciones del Encargado del tratamiento establecidas en este DPA.
6.3. El Responsable del tratamiento autoriza al Encargado del tratamiento a utilizar los Subencargados incluidos en la lista de Subencargados publicada en: https://multiply.cloud/en/legal-resources/ para tratar los Datos Personales. Durante la vigencia de este DPA, el Encargado del tratamiento notificará al Responsable del tratamiento con 30 días de antelación, por correo electrónico, cualquier cambio en la lista de Subencargados antes de autorizar a cualquier Subencargado nuevo o sustituto a tratar Datos Personales en relación con la prestación de los Servicios.
6.4. El Responsable del tratamiento podrá oponerse al uso de un Subencargado nuevo o sustituto notificándolo sin demora al Encargado del tratamiento por escrito dentro de los quince (15) días siguientes a la recepción de la notificación del Encargado del tratamiento. Si el Responsable del tratamiento se opone a un Subencargado nuevo o sustituto, podrá resolver el Acuerdo respecto de aquellos Servicios que el Encargado del tratamiento no pueda prestar sin utilizar dicho Subencargado nuevo o sustituto. El Encargado del tratamiento reembolsará al Responsable del tratamiento cualquier importe pagado por adelantado que cubra el resto del periodo de vigencia del Acuerdo a partir de la fecha efectiva de resolución respecto de dichos Servicios resueltos.
6.5. Todos los Subencargados que traten Datos Personales deberán cumplir las obligaciones del Encargado del tratamiento establecidas en este DPA. Antes de que el Subencargado correspondiente lleve a cabo cualquier actividad de tratamiento relativa a los Datos Personales, el Encargado del tratamiento: (i) designará a cada Subencargado mediante un contrato escrito que contenga obligaciones sustancialmente iguales a las del Encargado del tratamiento en este DPA y que sea exigible por el Encargado del tratamiento; y (ii) garantizará que cada Subencargado cumpla dichas obligaciones.
6.6. El Responsable del tratamiento acepta que el Encargado del tratamiento y sus Subencargados pueden realizar Transferencias restringidas de Datos Personales con la finalidad de prestar los Servicios al Responsable del tratamiento de conformidad con el Acuerdo. El Encargado del tratamiento confirma que dichos Subencargados: (i) se encuentran en un tercer país o territorio reconocido por la Comisión de la UE o una Autoridad de control, según proceda, como que ofrece un nivel de protección adecuado; o (ii) han suscrito las SCC aplicables con el Encargado del tratamiento; o (iii) cuentan con otras garantías adecuadas legalmente reconocidas.
7.1. Las partes acuerdan que, cuando se produzca una transferencia de Datos Personales entre el Responsable del tratamiento y el Encargado del tratamiento, o del Encargado del tratamiento a un Subencargado, que sea una Transferencia restringida, estará sujeta a las SCC aplicables.
7.2. Las partes acuerdan que las SCC de la UE se aplicarán a las Transferencias restringidas desde el EEE. Se considerará que las SCC de la UE han sido suscritas (e incorporadas a este DPA por referencia) y completadas de la siguiente manera:
7.3. Las partes acuerdan que las SCC de la UE, con las modificaciones de la cláusula 7.2 anterior, se ajustarán según se indica a continuación cuando la FADP sea aplicable a cualquier Transferencia restringida:
El Comisionado Federal Suizo de Protección de Datos e Información («FDPIC») será la única Autoridad de control para Transferencias restringidas sujetas exclusivamente a la FADP; Las Transferencias restringidas sujetas tanto a la FADP como al RGPD de la UE serán gestionadas por la Autoridad de control de la UE nombrada en el Anexo A de este DPA; El término «Estado miembro» no debe interpretarse de manera que excluya a los Interesados en Suiza de la posibilidad de ejercitar acciones para la defensa de sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la Cláusula 18(c) de las SCC de la UE; Cuando las Transferencias restringidas estén sujetas exclusivamente a la FADP, todas las referencias al RGPD en las SCC de la UE se entenderán como referencias a la FADP; Cuando las Transferencias restringidas estén sujetas tanto a la FADP como al RGPD de la UE, todas las referencias al RGPD en las SCC de la UE se entenderán como referencias a la FADP en la medida en que las Transferencias restringidas estén sujetas a la FADP; Las SCC suizas también protegen los Datos Personales de las personas jurídicas hasta la entrada en vigor de la FADP revisada. 7.4. Las partes acuerdan que las SCC del Reino Unido se aplicarán a las Transferencias restringidas desde el Reino Unido y se considerará que han sido suscritas (e incorporadas a este DPA por referencia), tal como se establece en el Anexo C de este DPA.
7.5. En caso de que alguna disposición de este DPA contradiga directa o indirectamente alguna SCC, prevalecerán las disposiciones de las SCC aplicables sobre los términos del DPA.
8.1. El Responsable del tratamiento podrá exigir la rectificación, supresión, bloqueo y/o puesta a disposición de los Datos Personales durante o tras la terminación del Acuerdo. El Responsable del tratamiento reconoce y acepta que el Encargado del tratamiento tramitará la solicitud en la medida en que sea lícito y la atenderá razonablemente de conformidad con sus procedimientos operativos estándar, en la medida de lo posible.
8.2. En el caso de que el Encargado del tratamiento reciba una solicitud de un Interesado en relación con Datos Personales, el Encargado del tratamiento remitirá al Interesado al Responsable del tratamiento, salvo que la ley lo prohíba. El Responsable del tratamiento reembolsará al Encargado del tratamiento todos los costes incurridos derivados de prestar una asistencia razonable para gestionar una solicitud de un Interesado. En el caso de que el Encargado del tratamiento esté legalmente obligado a responder al Interesado, el Responsable del tratamiento cooperará plenamente con el Encargado del tratamiento según proceda.
9.1. El Encargado del tratamiento pondrá a disposición del Responsable del tratamiento toda la información razonablemente necesaria para demostrar el cumplimiento de sus obligaciones de tratamiento y permitirá y contribuirá a auditorías e inspecciones.
9.2. Cualquier auditoría realizada en virtud de este DPA consistirá en el examen de los informes, certificados y/o extractos más recientes preparados por un auditor independiente sujeto a obligaciones de confidencialidad similares a las establecidas en el Acuerdo. Si, en la opinión razonable del Responsable del tratamiento, lo anterior no se considera suficiente, el Responsable del tratamiento podrá realizar una auditoría más amplia que será: (i) a cargo del Responsable del tratamiento; (ii) limitada en alcance a aspectos específicos del Responsable del tratamiento y acordados previamente; (iii) realizada durante el horario laboral habitual del Encargado del tratamiento y previa notificación razonable, que no será inferior a 4 semanas salvo que haya surgido un problema material identificable; y (iv) realizada de modo que no interfiera con la actividad diaria del Encargado del tratamiento.
9.3. Esta cláusula no modifica ni limita los derechos de auditoría del Responsable del tratamiento; su finalidad es aclarar los procedimientos aplicables a cualquier auditoría realizada en virtud de los mismos.
10.1. El Encargado del tratamiento notificará al Responsable del tratamiento sin dilación indebida tras tener conocimiento (y, en cualquier caso, dentro de las 72 horas siguientes a su detección) de cualquier violación de seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, accidental o ilícito, a cualesquiera Datos Personales («Violación de Datos Personales»).
10.2. En caso de Violación de Datos Personales, el Encargado del tratamiento adoptará todas las medidas comercialmente razonables para asegurar los Datos Personales, limitar los efectos de cualquier Violación de Datos Personales y asistir al Responsable del tratamiento en el cumplimiento de sus obligaciones conforme a la legislación aplicable.
11.1. El Encargado del tratamiento notificará sin demora al Responsable del tratamiento cualquier solicitud o reclamación relativa al tratamiento de Datos Personales que afecte negativamente al Responsable del tratamiento, salvo que dicha notificación no esté permitida por la legislación aplicable o por una orden judicial pertinente.
11.2. El Encargado del tratamiento podrá realizar copias y/o conservar Datos Personales para cumplir con cualquier requisito legal o regulatorio, incluidos, entre otros, los requisitos de conservación.
11.3. El Encargado del tratamiento asistirá razonablemente al Responsable del tratamiento en el cumplimiento de la obligación de realizar evaluaciones de impacto relativas a la protección de datos (EIPD/DPIA), teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Encargado del tratamiento.
11.4. El Responsable del tratamiento notificará al Encargado del tratamiento en un plazo razonable cualquier cambio en las leyes, códigos o reglamentos de protección de datos aplicables que pueda afectar a las obligaciones contractuales del Encargado del tratamiento. El Encargado del tratamiento responderá en un plazo razonable respecto de cualquier cambio que deba realizarse en los términos de este DPA o en las medidas técnicas y organizativas para mantener el cumplimiento. Si el Encargado del tratamiento no puede acomodar los cambios necesarios, el Responsable del tratamiento podrá resolver la(s) parte(s) de los Servicios que origine(n) el incumplimiento. En la medida en que otras partes de los Servicios prestados no se vean afectadas por dichos cambios, la prestación de dichos Servicios permanecerá sin cambios.
11.5. El Responsable del tratamiento y el Encargado del tratamiento y, cuando proceda, sus representantes, cooperarán, previa solicitud, con una Autoridad de control en el desempeño de sus respectivas obligaciones en virtud de este DPA y la Normativa de Protección de Datos.
12.1. Las limitaciones de responsabilidad establecidas en el Acuerdo se aplican a todas las reclamaciones formuladas por cualquier incumplimiento de los términos de este DPA.
12.2. Las partes acuerdan que el Encargado del tratamiento será responsable de cualquier incumplimiento de este DPA causado por los actos u omisiones o negligencia de sus Subencargados en la misma medida en que el Encargado del tratamiento sería responsable si prestara directamente los servicios de cada Subencargado conforme a los términos del DPA, sujeto a las limitaciones de responsabilidad establecidas en los términos del Acuerdo.
12.3. Las partes acuerdan que el Responsable del tratamiento será responsable de cualquier incumplimiento de este DPA causado por los actos u omisiones o negligencia de sus Afiliadas como si dichos actos, omisiones o negligencia hubieran sido cometidos por el propio Responsable del tratamiento.
12.4. El Responsable del tratamiento no tendrá derecho a reclamar más de una vez por la misma pérdida.
13.1. El Encargado del tratamiento solo tratará Datos Personales durante la vigencia del DPA. La vigencia del presente DPA comenzará en la Fecha de entrada en vigor del Acuerdo y este DPA terminará automáticamente junto con la terminación o expiración del Acuerdo.
14.1. A elección del Responsable del tratamiento, y previa recepción de una solicitud por escrito dentro de los 30 días siguientes al fin de la prestación de los Servicios, el Encargado del tratamiento suprimirá o devolverá los Datos Personales al Responsable del tratamiento. En cualquier caso, el Encargado del tratamiento suprimirá todas las copias de los Datos Personales en sus sistemas en un plazo de 1 año a partir de la fecha efectiva de terminación del Acuerdo o desactivación de la cuenta del Responsable del tratamiento, salvo que la legislación o normativa aplicable exija conservar los Datos Personales tras la terminación.
15.1. Este DPA establece el acuerdo íntegro de las partes en relación con su objeto.
15.2. Si alguna disposición de este DPA fuera inválida o deviniera inválida, el efecto jurídico de las demás disposiciones no se verá afectado. Se considerará acordada una disposición válida que se aproxime lo máximo posible a lo que las partes pretendían comercialmente y sustituirá a la disposición inválida. Lo mismo se aplicará a cualquier omisión.
15.3. Sin perjuicio de cualquier disposición en contrario de las SCC, este DPA se regirá por las leyes de Inglaterra y Gales. Los tribunales de Inglaterra tendrán jurisdicción exclusiva para la resolución de todas las disputas que surjan en virtud de este DPA.
15.4. Las partes acuerdan que este DPA se incorpora y se rige por los términos del Acuerdo.
Lista de partes, descripción del tratamiento y la transferencia de Datos Personales, autoridad de control competente
A. Lista de partes
| significa el Cliente. | |
| Dirección: | Según se establece para el Cliente en el Acuerdo. |
| Nombre de la persona de contacto, cargo y datos de contacto: | Según lo facilitado por el Cliente en su cuenta y utilizado a efectos de notificaciones y facturación. |
| Según lo facilitado por el Cliente en su cuenta y utilizado a efectos de notificaciones y facturación. | Uso de los Servicios. |
| Firma y fecha: | Al suscribir el Acuerdo, se considerará que el Exportador ha firmado las SCC incorporadas a este DPA, incluidos sus Anexos, en la Fecha de entrada en vigor del Acuerdo. |
| Rol: | Responsable del tratamiento. |
| Nombre del representante (si procede): | Cualquier representante en el Reino Unido o en la UE nombrado en la política de privacidad del Exportador. |
| significa Multiply Software Limited. | |
| Dirección: | 2 Leman Street, Londres, E1W 9US, Reino Unido |
| Nombre de la persona de contacto, cargo y datos de contacto: | Julien Demoor Chief Executive Officer
|
| Actividades relevantes para los datos transferidos en virtud de las SCC: | La prestación de soluciones de computación en la nube al Exportador, en virtud de las cuales el Importador trata Datos Personales siguiendo las instrucciones del Exportador, de conformidad con los términos del Acuerdo. |
| Firma y fecha: | Al suscribir el Acuerdo, se considerará que el Exportador ha firmado las SCC incorporadas a este DPA, incluidos sus Anexos, en la Fecha de entrada en vigor del Acuerdo. |
| Rol: | Encargado del tratamiento. |
| Categorías de Interesados: | Empleados, agentes, asesores, consultores y freelancers del Responsable del tratamiento (que sean personas físicas). Usuarios, Afiliadas y otros participantes autorizados por el Responsable del tratamiento a acceder o utilizar los Servicios de conformidad con los términos del Acuerdo. |
| Categorías de Datos Personales: | Categorías de Datos Personales: El Responsable del tratamiento puede enviar Datos Personales a los Servicios; el alcance de dichos datos lo determina y controla el Responsable del tratamiento. Los Datos Personales incluyen, entre otros:
|
| Datos sensibles: | No se tratarán ni transferirán datos sensibles y no deberán estar contenidos en el contenido de los correos electrónicos ni en sus archivos adjuntos. |
| La frecuencia del tratamiento y la transferencia (p. ej., si los datos se transfieren de forma puntual o continua): | De forma continua durante la vigencia del Acuerdo. |
| Naturaleza del tratamiento: | Las operaciones de tratamiento incluyen, entre otras:
|
| Finalidad(es) de la transferencia de datos y del tratamiento posterior: | Los Datos Personales se transfieren a subcontratistas que necesitan tratar parte de los Datos Personales para prestar sus servicios al Encargado del tratamiento como parte de los Servicios prestados por el Encargado del tratamiento al Responsable del tratamiento. |
| El periodo durante el cual se conservarán los Datos Personales o, si no es posible, los criterios utilizados para determinar dicho periodo: | Salvo acuerdo en contrario por escrito, durante la vigencia del Acuerdo, sujeto a la cláusula 14 del DPA. |
| Para transferencias a (Sub)encargados, especifique también el objeto, la naturaleza y la duración del tratamiento: | La lista de Subencargados publicada en: https://multiply.cloud/en/sub-processor-list/ establece los Datos Personales tratados por cada Subencargado y los servicios prestados por cada Subencargado. |
| Identifique la(s) autoridad(es) de control competente(s) (p. ej., de conformidad con la Cláusula 13 de las SCC) | Cuando sea aplicable el RGPD de la UE, la autoridad irlandesa de protección de datos – Data Protection Commission (DPC). Cuando sea aplicable el RGPD del Reino Unido, la UK Information Commissioner’s Office (ICO). Cuando sea aplicable la FADP, el Swiss Federal Data Protection and Information Commissioner (FDPIC). |
Anexo B
Medidas técnicas y organizativas de seguridad
(Incluidas medidas técnicas y organizativas para garantizar la seguridad de los datos)
A continuación se describe las medidas técnicas y organizativas implantadas por el Encargado del tratamiento (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, alcance, contexto y finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.
Cuando proceda, este Anexo B servirá como Anexo II de las SCC.
| Medida | Descripción |
| Medidas de seudonimización y cifrado de Datos Personales | A efectos de control de transferencias, se utiliza tecnología de cifrado. La idoneidad de una tecnología de cifrado se mide en función del objetivo de protección. Los datos archivados del Responsable del tratamiento se cifran en reposo mediante cifrado AES de 256 bits. Los datos en tránsito están protegidos mediante Transport Layer Security («TLS»). |
| Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento | El acceso a los datos necesarios para la realización de una tarea concreta se garantiza dentro de los sistemas y aplicaciones mediante un concepto correspondiente de roles y autorizaciones. Conforme a los principios de «mínimo privilegio» y «necesidad de conocer», cada rol dispone únicamente de los derechos necesarios para el desempeño de la tarea por la persona correspondiente. Para mantener el control de acceso a los datos, se aplica tecnología de cifrado de última generación a los propios Datos Personales cuando se considere apropiado para proteger datos sensibles en función del riesgo. |
| Procesos para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas a fin de garantizar la seguridad del tratamiento | El Encargado del tratamiento realiza múltiples auditorías internas. El Encargado del tratamiento se esfuerza por automatizar las auditorías; por ello, la mayor parte de la supervisión de su infraestructura está automatizada, funciona 24/7 y se basa en diversos marcos (CIS, NEST, etc.). El Encargado del tratamiento obtiene una auditoría externa de seguridad y cumplimiento una vez por año natural. |
| Medidas para la identificación y autorización de usuarios | El acceso remoto a los sistemas de tratamiento de datos solo es posible a través del túnel VPN seguro del Encargado del tratamiento. Si los usuarios se autentican primero en el túnel VPN seguro, tras una autenticación satisfactoria se ejecuta la autorización proporcionando un nombre de usuario y contraseña únicos a un servicio de directorio centralizado. Todos los intentos de acceso, tanto satisfactorios como fallidos, se registran y se supervisan. |
| Medidas para la protección de los datos durante la transmisión | Los datos en tránsito están protegidos mediante Transport Layer Security («TLS»). |
| Medidas para la protección de los datos durante el almacenamiento | Los Datos Personales solo se conservan internamente y en servidores de centros de datos de terceros. Los datos archivados del Responsable del tratamiento se cifran en reposo mediante cifrado y los datos en tránsito están protegidos mediante Transport Layer Security («TLS»). |
| Medidas de gobierno y gestión interna de TI y seguridad de TI | Se instruye a los empleados para recopilar, tratar y utilizar Datos Personales únicamente dentro del marco y para las finalidades de sus funciones (p. ej., prestación del servicio). A nivel técnico, la capacidad multicliente incluye separación de funciones, así como una separación adecuada de los sistemas de pruebas y de producción. Los Datos Personales del Responsable del tratamiento se almacenan de forma que queden separados lógicamente de los datos de otros clientes. |
| Medidas para garantizar la minimización de datos | Cuando los Datos Personales ya no sean necesarios para las finalidades para las que fueron tratados, se suprimen sin demora. Debe tenerse en cuenta que, con cada supresión, los Datos Personales se bloquean inicialmente y después se eliminan de forma definitiva tras un cierto retraso. Esto se hace para evitar supresiones accidentales o posibles daños intencionados. |
| Medidas para garantizar la calidad de los datos | Todos los datos de los que dispone el Encargado del tratamiento son proporcionados por el Responsable del tratamiento. El Encargado del tratamiento no evalúa la calidad de los datos proporcionados por el Responsable del tratamiento. El Encargado del tratamiento ofrece herramientas de informes en nuestro producto para ayudar al Responsable del tratamiento a comprender y validar los datos almacenados. |
| Medidas para garantizar una conservación limitada de datos | El Encargado del tratamiento utiliza un esquema de clasificación de datos para toda la información que almacena, y nuestra política de conservación especifica cómo se conserva cada tipo de dato. Cuando se elimina un registro con Datos Personales, se expulsará de forma permanente de nuestras bases de datos activas. Los datos se conservan en nuestras copias de seguridad hasta que se sustituyen por copias de seguridad más recientes conforme a la política de conservación de datos. |
| Medidas para garantizar la responsabilidad proactiva | El Encargado del tratamiento revisa internamente sus políticas de seguridad de la información semestralmente para garantizar que siguen siendo relevantes y que se están cumpliendo. Todos los empleados que gestionan datos sensibles deben reconocer las políticas de seguridad de la información. Estos empleados reciben formación de reciclaje sobre las políticas de seguridad de la información una vez al año. Existe una política disciplinaria para los empleados que no cumplan las políticas de seguridad de la información. |
| Medidas que deberá adoptar el (Sub)encargado para poder prestar asistencia al Responsable del tratamiento (y, en transferencias de un Encargado del tratamiento a un Subencargado, al Exportador de datos). | La transferencia de Datos Personales a un tercero (p. ej., clientes, subcontratistas, proveedores de servicios) solo se realiza si existe un contrato correspondiente y únicamente para finalidades específicas. Si los Datos Personales se transfieren fuera del EEE, el Encargado del tratamiento garantiza que exista un nivel adecuado de protección de datos en el lugar u organización de destino, de conformidad con los requisitos de protección de datos de la Unión Europea, por ejemplo, mediante contratos basados en las SCC de la UE. |
Anexo C
Addendum de transferencia internacional de datos a las Cláusulas Contractuales Tipo de la Comisión de la UE
VERSIÓN B1.0, en vigor desde el 21 de marzo de 2022
Este Addendum ha sido emitido por el Information Commissioner para las Partes que realizan Transferencias restringidas. El Information Commissioner considera que proporciona Garantías adecuadas para las Transferencias restringidas cuando se suscribe como contrato legalmente vinculante.
Parte 1: Tablas
Tabla 1: Partes
| Fecha de inicio | La fecha establecida en el Anexo I de las SCC de la UE aprobadas. | - |
| Las Partes | Exportador (que envía la Transferencia restringida) | Importador (que recibe la Transferencia restringida) |
| Datos de las partes | Nombre legal completo:. Dirección principal: Número de registro oficial (si existe) (número de sociedad u otro identificador similar): | Nombre legal completo: Dirección principal: Número de registro oficial (si existe) (número de sociedad u otro identificador similar): |
| Contacto principal | Nombre completo (opcional): Cargo: Datos de contacto, incluido el correo electrónico: | Nombre completo (opcional): Cargo: Datos de contacto, incluido el correo electrónico: |
| Firma (si es necesaria a efectos del artículo 2) | - | - |
Tabla 2: SCC seleccionadas, módulos y cláusulas seleccionadas
| Addendum SCC de la UE | las SCC de la UE aprobadas, incluida la Información del Apéndice y con únicamente los siguientes módulos, cláusulas o disposiciones opcionales de las SCC de la UE aprobadas aplicables a efectos de este Addendum: | ||||
| Módulo | Módulo aplicable | Cláusula 11 (Opción) | Cláusula 9a Autorización general | Cláusula 9a (Plazo) | ¿Los datos personales recibidos del Importador se combinan con datos personales recopilados por el Exportador? |
| 1 | false | no utilizado | - | - | - |
| 2 | true | no utilizado | true | 30 días | - |
| 3 | true | no utilizado | true | 30 días | - |
| 4 | sí/no | no utilizado | - | - | sí/no |
Tabla 3: Información del Apéndice
«Información del Apéndice» significa la información que debe proporcionarse para los módulos seleccionados, tal como se establece en el Apéndice de las SCC de la UE aprobadas (distinta de las Partes), y que para este Addendum se recoge en:
| Anexo 1A: Lista de partes: Según se establece en el Anexo I de las SCC de la UE aprobadas |
| Anexo 1B: Descripción de la transferencia: Según se establece en el Anexo I de las SCC de la UE aprobadas |
| Anexo II: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos: Según se establece en el Anexo II de las SCC de la UE aprobadas |
Tabla 4: Finalización de este Addendum cuando cambie el Addendum aprobado
| Finalización de este Addendum cuando cambie el Addendum aprobado | Qué Partes pueden finalizar este Addendum según se establece en el artículo 19: Importador Exportador |
Parte 2: Cláusulas obligatorias
Suscripción de este Addendum
Interpretación de este Addendum
| Addendum | Este Addendum de Transferencia Internacional de Datos, compuesto por este Addendum que incorpora las SCC de la UE del Addendum. |
| SCC de la UE del Addendum | La(s) versión(es) de las SCC de la UE aprobadas a las que se adjunta este Addendum, tal como se establece en la Tabla 2, incluida la Información del Apéndice. |
| Información del Apéndice | Según se establece en la Tabla 3. |
| Garantías adecuadas | El estándar de protección de los datos personales y de los derechos de los interesados exigido por la normativa de protección de datos del Reino Unido cuando se realiza una Transferencia restringida basándose en cláusulas tipo de protección de datos conforme al artículo 46(2)(d) del RGPD del Reino Unido. |
| Addendum aprobado | La plantilla de Addendum emitida por la ICO y presentada ante el Parlamento de conformidad con el artículo s119A de la Data Protection Act 2018 el 2 de febrero de 2022, según se revise conforme al artículo 18. |
| SCC de la UE aprobadas | Las Cláusulas Contractuales Tipo establecidas en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021. |
| ICO | El Information Commissioner. |
| Transferencia restringida | Una transferencia cubierta por el Capítulo V del RGPD del Reino Unido. |
| Reino Unido | El Reino Unido de Gran Bretaña e Irlanda del Norte. |
| Normativa de protección de datos del Reino Unido | Todas las leyes relativas a la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluido el RGPD del Reino Unido y la Data Protection Act 2018. |
| RGPD del Reino Unido | Según se define en el artículo 3 de la Data Protection Act 2018. |
4. Este Addendum debe interpretarse siempre de manera coherente con la normativa de protección de datos del Reino Unido y de modo que cumpla la obligación de las Partes de proporcionar las Garantías adecuadas.
Si las disposiciones incluidas en las SCC de la UE del Addendum modifican las SCC aprobadas de un modo que no esté permitido por las SCC de la UE aprobadas o el Addendum aprobado, dichas modificaciones no se incorporarán a este Addendum y su lugar lo ocupará la disposición equivalente de las SCC de la UE aprobadas.
Si existe cualquier inconsistencia o conflicto entre la normativa de protección de datos del Reino Unido y este Addendum, prevalecerá la normativa de protección de datos del Reino Unido.
Si el significado de este Addendum no está claro o admite más de una interpretación, se aplicará la interpretación que más se ajuste a la normativa de protección de datos del Reino Unido.
Cualquier referencia a legislación (o disposiciones específicas de legislación) significa dicha legislación (o disposición específica) según pueda cambiar con el tiempo. Esto incluye cuando dicha legislación (o disposición específica) haya sido consolidada, re-promulgada y/o sustituida tras la suscripción de este Addendum.
Jerarquía
Aunque la Cláusula 5 de las SCC de la UE aprobadas establece que las SCC de la UE aprobadas prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para las Transferencias restringidas, prevalecerá la jerarquía del artículo 10.
Cuando exista cualquier inconsistencia o conflicto entre el Addendum aprobado y las SCC de la UE del Addendum (según proceda), el Addendum aprobado prevalece sobre las SCC de la UE del Addendum, excepto cuando (y en la medida en que) los términos inconsistentes o en conflicto de las SCC de la UE del Addendum proporcionen una mayor protección a los interesados; en cuyo caso, dichos términos prevalecerán sobre el Addendum aprobado.
Cuando este Addendum incorpore SCC de la UE del Addendum que se hayan suscrito para proteger transferencias sujetas al Reglamento General de Protección de Datos (UE) 2016/679, las Partes reconocen que nada en este Addendum afecta a dichas SCC de la UE del Addendum.
Incorporación y cambios en las SCC de la UE
a. conjuntamente, operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que la normativa de protección de datos del Reino Unido sea aplicable al tratamiento del exportador de datos al realizar dicha transferencia, y proporcionen Garantías adecuadas para esas transferencias;
b. los artículos 9 a 11 prevalezcan sobre la Cláusula 5 (Jerarquía) de las SCC de la UE del Addendum; y
c. este Addendum (incluidas las SCC de la UE del Addendum incorporadas en él) (1) se rija por las leyes de Inglaterra y Gales y (2) cualquier disputa derivada del mismo se resuelva ante los tribunales de Inglaterra y Gales, en ambos casos salvo que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido seleccionados expresamente por las Partes.
Salvo que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos del artículo 12, se aplicarán las disposiciones del artículo 15.
No podrán realizarse modificaciones a las SCC de la UE aprobadas distintas de las necesarias para cumplir los requisitos del artículo 12.
Se realizan las siguientes modificaciones a las SCC de la UE del Addendum (a efectos del artículo 12):
a. Las referencias a las «Cláusulas» significan este Addendum, que incorpora las SCC de la UE del Addendum;
b. En la Cláusula 2, se eliminan las palabras:
«and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679»;
c. La Cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por:
«The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter’s processing when making that transfer.»;
d. La Cláusula 8.7(i) del Módulo 1 se sustituye por:
«it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer»;
e. La Cláusula 8.8(i) de los Módulos 2 y 3 se sustituye por:
«the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer;»
f. Las referencias a «Regulation (EU) 2016/679», «Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)» y «that Regulation» se sustituyen por «UK Data Protection Laws». Las referencias a artículos específicos de «Regulation (EU) 2016/679» se sustituyen por el artículo o sección equivalente de la normativa de protección de datos del Reino Unido;
g. Se eliminan las referencias al Reglamento (UE) 2018/1725;
h. Las referencias a la «European Union», «Union», «EU», «EU Member State», «Member State» y «EU or Member State» se sustituyen por «UK»;
i. La referencia a «Clause 12(c)(i)» en la Cláusula 10(b)(i) del Módulo 1 se sustituye por «Clause 11(c)(i)»;
j. No se utilizan la Cláusula 13(a) ni la Parte C del Anexo I;
k. «competent supervisory authority» y «supervisory authority» se sustituyen por «Information Commissioner»;
l. En la Cláusula 16(e), el apartado (i) se sustituye por:
«the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply;»;
m. La Cláusula 17 se sustituye por:
«These Clauses are governed by the laws of England and Wales.»;
n. La Cláusula 18 se sustituye por:
«Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts.»; y
o. Las notas a pie de página de las SCC de la UE aprobadas no forman parte del Addendum, salvo las notas a pie de página 8, 9, 10 y 11.
Modificaciones de este Addendum
Las Partes podrán acordar modificar las Cláusulas 17 y/o 18 de las SCC de la UE del Addendum para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.
Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Addendum aprobado, podrán hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las Garantías adecuadas.
Periódicamente, la ICO puede emitir un Addendum aprobado revisado que:
a. realice cambios razonables y proporcionados en el Addendum aprobado, incluida la corrección de errores en el Addendum aprobado; y/o
b. refleje cambios en la normativa de protección de datos del Reino Unido; El Addendum aprobado revisado especificará la fecha de inicio a partir de la cual los cambios del Addendum aprobado serán efectivos y si las Partes deben revisar este Addendum, incluida la Información del Apéndice. Este Addendum se modifica automáticamente según se establece en el Addendum aprobado revisado desde la fecha de inicio especificada.
a. sus costes directos de cumplimiento de sus obligaciones en virtud del Addendum; y/o
b. su riesgo en virtud del Addendum,
y en cualquiera de los casos ha tomado primero medidas razonables para reducir esos costes o riesgos de modo que no sean sustanciales y desproporcionados, entonces dicha Parte podrá poner fin a este Addendum al final de un periodo de preaviso razonable, mediante notificación escrita por dicho periodo a la otra Parte antes de la fecha de inicio del Addendum aprobado revisado.
¡Guau! Multiply ha
aumentado las victorias de Buy Box hasta el 80%, ha incrementado las ventas en un 32% y ha aumentado los beneficios donde no tenemos competencia. Prueba terminada; ahora, suscripción completa. ¡Muchas gracias!
Empiece en solo unos clics.
Desbloquee las herramientas que necesita