AfiliadosCentro de AyudaNoticiasSoporte
DreamHost
Volver a Generalidades de Legal

Estas traducciones se han proporcionado como una conveniencia, pero las versiones en inglés de todos los Términos de Servicio controlarán todos los asuntos legales.

Adenda de Tratamiento de Datos del Cliente

Última actualización:

17 de septiembre de 2024

Esta Adenda de tratamiento de datos («DPA»), de 27 de diciembre de 2022 (la «Fecha efectiva»), forma parte del contrato general y la relación jurídica regulada por las Condiciones del servicios (y los restantes Contratos que regulan nuestros Servicios) con sus eventuales modificaciones y suplementos (el «Contrato») entre usted («Cliente») y DreamHost («Empresa»). Todos los términos en mayúsculas no definidos en este DPA tendrán los significados establecidos en el Contrato.

Definiciones

  • «Afiliado» significará una entidad que directa o indirectamente Controla, es Controlada por, o se encuentra bajo el Control común de una entidad.
  • «Contrato» tendrá el significado establecido en la sección introductoria.
  • «Control» significará la titularidad, derecho de voto o similar que represente un porcentaje igual o superior al cincuenta por ciento (50%) del total de títulos que representen el capital social de la entidad en cuestión. El término «Controlado» se interpretará del mismo modo.
  • «Responsable del tratamiento» significará una entidad que determine los fines y medios del Tratamiento de Datos Personales.
  • «Datos del Cliente» se refiere a cualesquiera Datos Personales que la Empresa someta a tratamiento por cuenta del Cliente en el curso de la prestación de los Servicios.
  • «Normativa aplicable de protección de datos» significará la normativa de privacidad y protección de datos vigente y aplicable al Tratamiento de datos personales en virtud del Contrato, incluyendo, entre otra y según sea el caso, el GDPR, la normativa de protección de datos del Reino Unido y la CCPA.
  • «EEA» significará, a los efectos de este DPA, el Espacio Económico Europeo y Suiza.
  • «GDPR» significará el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al Tratamiento de Datos Personales y a la libre circulación de dichos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y toda implementación aplicable que de la misma hayan realizado los estados miembros.
  • «Cláusulas modelo» significará el módulo de Cláusulas contractuales estándar para Responsables y Encargados del tratamiento, aprobado por la Comisión Europea del modo establecido en el Suplemento D, complementado por la Adenda de transferencia internacional de datos de la Oficina de la Autoridad de Protección de Datos del Reino Unido.
  • «CCPA» significará la Ley de Privacidad del Consumidor de California de 2018 [Artículos 1798.100 a 1798.199 del Código Civil de California], con sus eventuales modificaciones (incluyendo la Ley de Derecho a la Privacidad de California de 2020), y sus reglamentos de implementación.
  • «Datos personales» significará cualesquiera datos relativos a una persona física identificada o identificable; una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un dato identificador como un nombre, número de identificación, datos de ubicación, identificador en línea o uno o más factores específicos del estado físico, fisiológico, identidad genética, psíquica, económica, cultural o social de dicha persona natural.
  • «Violación de la seguridad de los datos personales» significará una violación de la seguridad que provoque la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada, o acceso a los Datos Personales transmitidos, almacenados, o de cualquier otra forma sometidos a Tratamiento.
  • «Tratamiento» significará cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción. «Tratamiento», «Tratamientos» y «Sometido a tratamiento» se interpretarán del mismo modo.
  • «Encargado de tratamiento» significará una entidad que realice Tratamiento de Datos Personales por cuenta de un Responsable del tratamiento.
  • «Servicios» means any product or service provided by Company to Customer pursuant to the Agreement.significará cualquier producto o servicio que la Empresa preste al Cliente con arreglo al Contrato.
  • «Subencargado» significará un tercero contratado por la Empresa para asistirla en el cumplimiento de sus obligaciones relativas a la prestación de los Servicios con arreglo al Contrato o este DPA.
  • «Normativa de protección de datos del Reino Unido» significará: (i) el Reglamento General de Protección de Datos del Reino Unido; y (ii) la Ley de Protección de Datos de 2018.

1. Alcance de este DPA

Este DPA será de aplicación únicamente en los casos en que la Empresas someta a tratamiento Datos del Cliente que están sujetos a la Normativa aplicable de protección de datos por cuenta del Cliente en el curso de la prestación de Servicios al Cliente con arreglo al Contrato.

2. Funciones y alcance del Tratamiento

Rol de las Partes. A los efectos de la Empresa y el Cliente, el Cliente será el Responsable de tratamiento de los Datos del Cliente, y la Empresa someterá a tratamiento los Datos del Cliente únicamente como Encargado de tratamiento actuando por cuenta del Cliente. En la medida en que la CCPA sea de aplicación al Tratamiento de Datos del Cliente con arreglo al Contrato, las partes acuerdan que el Cliente es un «negocio» y la Empresa un «proveedor de servicios», según se definen dichos términos en la CCPA.

Tratamiento de Datos del Cliente por parte del Cliente. El Cliente reconoce y acepta que (i) cumplirá con sus respectivas obligaciones en virtud de la Normativa de Protección de Datos aplicables en relación con su Tratamiento de Datos del Cliente y cualquier instrucción sobre Tratamiento que remita a la Empresa; y (ii) ha notificado y obtenido (u obtendrá) todos los consentimientos y derechos necesarios según las leyes de protección de datos aplicables para que la Empresa someta a tratamiento los Datos del Cliente con arreglo al Contrato y este DPA.

Tratamiento de Datos del Cliente por parte de la Empresa. La Empresa someterá a Tratamiento los Datos del Cliente únicamente para los fines descritos en este DPA y con apego a las instrucciones legítimas y documentadas del Cliente. Las partes acuerdan que este DPA y el Contrato establecen las instrucciones completas y finales del Cliente a la Empresa relativas al Tratamiento de Datos del Cliente, y que cualquier Tratamiento llevado a cabo fuera del ámbito de dichas instrucciones (en su caso) requerirá un Contrato previo por escrito entre el Cliente y la Empresa.

Detalles del Tratamiento. Los detalles del Tratamiento de datos con arreglo al Contrato se relacionan en el Suplemento A.

Excepciones. Sin perjuicio de cualquier disposición en contrario contenida en el Contrato (incluyendo este DPA), el Cliente reconoce que la Empresa podrá hacer uso y divulgar datos relacionados con la ejecución, soporte y/o uso de los Servicios para sus fines comerciales legítimos, como facturación, gestión de cuentas, soporte técnico, desarrollo y mejora de productos, ventas y marketing. En tanto dichos datos utilizados únicamente para los fines comerciales de la Empresa se consideren Datos personales con arreglo a la Normativa aplicable de protección de datos, la Empresa será el Responsable de tratamiento de dichos datos y, por tanto, garantiza que los someterá a tratamiento cumpliendo con la Política de privacidad de la Empresa y la Normativa de protección de datos.

3. Subtratamiento

Subencargados autorizados. El Cliente reconoce que la Empresa podrá contratar Subencargados para someter a tratamiento los Datos del Cliente y por cuenta de este último. Se puede acceder a los subencargados contratados actualmente por la Empresa y autorizados por el Cliente en la pestaña «Perfil y Privacidad» del Panel de control de DreamHost (la «Lista de Subencargados»).

Obligaciones del subencargado. La Empresa: (i) celebrará un contrato por escrito con el Subencargado, conteniendo condiciones de protección de datos que exijan al Subencargado proteger los Datos del Cliente al nivel requerido por la Normativa aplicable de protección de datos; y (ii) seguirá siendo responsable del cumplimiento de las obligaciones contenidas en este DPA y por cualquier acto u omisión del Subencargado que resulte en un incumplimiento por la Empresa de cualquiera de sus obligaciones bajo este DPA.

Cambio de Subencargados. La Empresa notificará al Cliente de cualquier cambio que se produzca en sus Subencargados actualizando la Lista de Subencargados con cinco (5) días de antelación previamente a utilizar un nuevo Subencargado para prestar los Servicios. La Lista de Subencargados deberá reflejar la fecha de «última actualización» en todo momento. El Cliente podrá recibir notificaciones por correo electrónico de los cambios que se realicen en la Lista de Subencargados. Si el Cliente no da su aprobación a un nuevo Subencargado tras haber sido notificado de su incorporación, y notifica por escrito a la Empresa de las razones por las que el Cliente no aprueba la incorporación del nuevo Subencargado dentro los cinco (5) días previos a que la Empresa haga uso del nuevo Subencargado para prestar los Servicios, el Cliente podrá resolver la prestación de los Servicios afectados mediante notificación por escrito a la Empresa.

4. Seguridad

Actualización de las Medidas de seguridad. El Cliente será responsable de verificar la información puesta a disposición por la Empresa relativa a la seguridad de los datos y de decidir, de forma independiente, si los Servicios cumplen con los requisitos y obligaciones legales del Cliente de acuerdo con la Normativa aplicable de protección de datos. Las medidas técnicas y organizativas mínimas de la Empresa diseñadas para proteger los Datos del Cliente se relacionan en el Suplemento B (las «Medidas de seguridad de la información»). El Cliente reconoce que las Medidas de seguridad de la información están subordinadas al progreso y desarrollo técnico y que la Empresa podrá actualizar o modificar las Medidas de seguridad de la información en cualquier momento, siempre que dichas actualizaciones y modificaciones no resulten en una degradación del nivel general de seguridad de los Servicios adquiridos por el Cliente.

Personal. La Empresa garantizará que las personas autorizadas por la Empresa para someter a tratamiento Datos del Cliente (incluyendo su personal, agentes y Subencargados autorizados) queden vinculadas de forma adecuada por obligaciones de confidencialidad (en virtud de contrato o ley). Asimismo, la Empresa tomará medidas para garantizar que las personas autorizadas por la Empresa para acceder a los Datos del Cliente no sometan a tratamiento dichos datos si no es cumpliendo con las instrucciones del Cliente, excepto si dichas personas tienen obligación de someter a tratamiento dichos datos con arreglo a la Normativa aplicable de Protección de Datos.

Responsabilidades del Cliente Sin perjuicio de lo anterior, el Cliente reconoce que, salvo lo dispuesto en este DPA, el Cliente será responsable de hacer un uso seguro de los Servicios.

Respuesta a la Violación de la seguridad de los datos personales. Cuando tome conocimiento de una Filtración de datos personales, la Empresa notificará al Cliente sin dilaciones indebidas, aportando la información oportuna sobre la Violación de la seguridad de los datos personales según tome conocimiento de ella, o a requerimiento razonable del Cliente. La Empresa tomará de inmediato las medidas razonables para mitigar y, a ser posible, remediar los efectos de cualquier Violación de la seguridad de los datos personales.

5. Informes de auditoría

El Cliente reconoce que la Empresa se somete a auditorías periódicas a fin de verificar el cumplimiento de este DPA y los estándares de seguridad de la Empresa. Previa solicitud razonable por escrito enviada por correo a la dirección de la Empresa de la forma descrita en la Política de Privacidad, la Empresa deberá entregar al Cliente un informe de auditoría resumido («Informe»), que estará sujeto a las condiciones de confidencialidad de los Contratos de confidencialidad remitidos por la Empresa al Cliente para su otorgamiento en relación con el Informe. Asimismo, la Empresa responderá por escrito a cualquier pregunta de auditoría comercialmente razonable que le formule el Cliente, este último no podrá ejercer este derecho más de una vez cada doce (12) meses.

6. Transferencias Internacionales

Ubicación de los Centros de datos. La Empresa podrá transferir y someter a tratamiento Datos del Cliente en cualquier parte del mundo donde la Empresa, sus Afiliados o Subencargados lleven a cabo operaciones de Tratamiento. La Empresa proporcionará en todo momento un nivel adecuado de protección para los Datos del Cliente sometidos a tratamiento, con arreglo a los requisitos de la Normativa aplicable de protección de datos.

Cláusulas modelo. Si, en virtud del Contrato, la Empresa somete a tratamiento Datos del cliente protegidos por el GDPR o la Normativa de protección de datos del Reino Unido y/o que tengan su origen en el EEE, el Reino Unido, en países no designados por la Comisión Europea, Autoridad de Protección de Datos del Gobierno Federal Suizo o la Autoridad de Protección de Datos del Reino Unido (según corresponda) como proveedores con un nivel adecuado de protección de los Datos Personales, las partes acuerdan que se considerará que, al cumplir con las Cláusulas Modelo, la Empresa proporciona una protección adecuada (según se defina por la Normativa aplicable de Protección de Datos) de los Datos del Cliente. La Empresa reconoce que es un «importador de datos» y el Cliente es el «exportador de datos» en virtud de las Cláusulas modelo (sin perjuicio de que el Cliente sea una entidad ubicada fuera del EEE). El Anexo III de las Cláusulas modelo se aplicará únicamente en relación con la transferencia de Datos del cliente protegidos por la Normativa de protección de datos del Reino Unido con arreglo al Contrato y/o con origen en el Reino Unido.

7. Devolución o eliminación de datos

Producida la resolución o vencimiento del Contrato, la Empresa deberá, a elección del Cliente y previa solicitud autenticada, devolver o, en la máxima medida técnicamente viable, eliminar todos los Datos del Cliente que estén en su posesión o bajo su control. Sin perjuicio de lo anterior, la Empresa podrá conservar Datos del Cliente, o archivarlos en sus sistemas de copia de seguridad, cuando la ley aplicable o sus obligaciones contractuales o reglamentarias lo exijan, o cuando la Empresa tenga intereses comerciales legítimos que requieran la conservación de todo o parte de los Datos del Cliente. La Empresa aislará y protegerá de forma segura los Datos del Cliente de cualquier Tratamiento posterior, excepto en la medida en que lo exija la normativa aplicable, o sus obligaciones contractuales o reglamentarias.

8. Cooperación

Los Servicios podrán otorgar al Cliente facultades de control que éste podrá usar para recuperar, corregir, eliminar o restringir los Datos del Cliente, lo cual puede ayudar al Cliente en relación con sus obligaciones en virtud de la Normativa aplicable de protección de datos, incluyendo las obligaciones de responder a requerimientos de interesados o autoridades de protección de datos. Si el Cliente no puede acceder de forma independiente a los Datos del Cliente relevantes dentro de los Servicios, la Empresa cooperará de forma razonable con el Cliente (y a expensas del mismo) para que éste responda a cualquier requerimiento de particulares o autoridades de protección de datos en relación con el Tratamiento de Datos Personales bajo el Contrato. Si dicha solicitud se formula directamente a la Empresa, ésta no responderá directamente a dicha comunicación sin la autorización previa del Cliente, excepto si está legalmente obligada a hacerlo. Si la Empresa está obligada a responder a dicha solicitud, deberá notificarlo de inmediato al Cliente y proporcionarle una copia de la solicitud, excepto si la ley se lo prohíbe.

La Empresa no divulgará los Datos del Cliente a ningún gobierno o tercero, excepto cuando sea necesario divulgar dicha información en virtud de una orden válida y vinculante de un organismo gubernamental. Si se ve obligada a divulgar los Datos del Cliente a una entidad gubernamental, la Empresa dará al Cliente un preaviso razonable del requerimiento para permitirle solicitar una medida cautelar u otro recurso apropiado, excepto si aquella lo tiene prohibido por ley.

En la medida que se encuentre obligada por la Normativa aplicable de protección de datos, la Empresa deberá proporcionar al Cliente (y a expensas del mismo) la información solicitada razonable relativa a los Servicios, de modo que el Cliente pueda llevar a cabo evaluaciones de impacto de protección de datos o consultas previas con las autoridades de protección de datos según la ley lo exija.

9. Cláusulas CCPA

Las partes quedarán vinculadas por el Suplemento C en la medida en que la CCPA sea de aplicación al Tratamiento de Datos del Cliente en virtud del Contrato.

10. General

Cualquier reclamación formulada al amparo o en relación con este DPA estará sujeta a las condiciones generales de la Empresa (incluyendo las Condiciones del servicio) en su versión actualizada alojada en la página web Legal, incluyendo, entre otras, las exclusiones y limitaciones que se establecen en el Contrato. Cualquier reclamación contra la Empresa o sus Afiliados al amparo de este DPA se deberá interponer únicamente contra la entidad que es parte del Contrato. En ningún caso las partes podrá limitar su responsabilidad respecto a los derechos de protección de datos de cualquier particular al amparo de este DPA u otro cuerpo normativo. El Cliente reconoce asimismo que cualquier sanción regulatoria en la que incurra la Empresa en relación con los Datos del Cliente que surja como resultado de, o en relación con, el incumplimiento del Cliente de sus obligaciones contenidas este DPA o de cualquier Normativa aplicable de protección de datos deberá tenerse en cuenta a fin de reducir la responsabilidad de la Empresa, como si se tratase de una responsabilidad para con el Cliente en virtud del Contrato.

Solamente las partes de este DPA, sus sucesores y cesionarios autorizados podrán pedir la ejecución forzosa de cualquiera de sus términos.

El presente DPA se regirá e interpretará con arreglo a la normativa vigente y las disposiciones sobre tribunal competente contenidas en el Contrato, excepto si la Normativa aplicable de protección de datos dispone lo contrario.

Las partes acuerdan que este DPA reemplazará cualquier DPA anterior existente (incluyendo las Cláusulas modelo (en su caso)) que las partes hayan celebrado previamente en relación con los Servicios.

Este DPA y las Cláusulas modelo perderán su vigencia de forma automática y simultáneamente a la resolución o vencimiento del Contrato. Sin embargo, las disposiciones relativas a la destrucción segura de los Datos personales y retención de los mismos en cumplimiento de requisitos legales, contractuales o reglamentarios sobrevivirán a la resolución o vencimiento del DPA durante el tiempo mínimo necesario para cumplir con las obligaciones respectivas en virtud de dichas disposiciones.

Con la excepción de las modificaciones realizadas por este DPA, el Contrato permanecerá en pleno vigor y sin modificación alguna. De producirse algún conflicto entre este DPA y el Contrato, prevalecerá en todo caso el DPA.

Los Suplementos de este DPA se incorporan al mismo por la presente referencia. Si existe algún conflicto entre este DPA y cualquiera de los Suplemento del mismo, prevalecerá en todo caso este DPA sobre aquellos. Sin perjuicio de lo anterior, de surgir algún conflicto entre este DPA y las Cláusulas modelo, éstas últimas prevalecerán en todo caso.

Las disposiciones de este DPA se podrán aplicar de forma separada. Si alguna frase, cláusula o disposición deviene inválida o inaplicable en todo o en parte, dicha invalidez o inaplicabilidad afectará únicamente a dicha frase, cláusula o disposición, y el resto de este DPA permanecerá plenamente vigente.

Suplemento A

Detalles del Tratamiento

  1. Asunto: El objeto del Tratamiento de datos bajo el presente DPA son los Datos del Cliente.
  2. Duración: Entre la Empresa y el Cliente, la duración del Tratamiento en virtud de este DPA se establece en la Sección 7 de este DPA.
  3. Finalidad y naturaleza: La finalidad y naturaleza del Tratamiento en virtud de este DPA es la prestación de Servicios al Cliente y cumplimiento de las obligaciones de la Empresa bajo el Contrato (incluyendo este DPA) u otras distintas que acuerden las partes.
  4. Categorías de Interesados: El Cliente podrá cargar Datos personales al hacer uso de los Servicios, pudiendo determinar y controlar hasta qué punto se realiza. Esto puede incluir, sin carácter limitativo:
    1. Clientes potenciales, clientes, socios comerciales, proveedores o terceros (que sean personas físicas);
    2. Los trabajadores, agentes, asesores, terceros y profesionales independientes que presten servicios al Cliente;
    3. Trabajadores o personas afiliadas a (1) anterior;
    4. Usuarios de los Servicios autorizados por el Cliente
  5. Tipos de Datos Personales: El Cliente podrá cargar Datos personales al hacer uso de los Servicios, pudiendo determinar y controlar hasta qué punto se realiza. Esto puede incluir, sin carácter limitativo, las siguientes categorías: nombre, dirección, número de teléfono, fecha de nacimiento, correo electrónico y otros Datos del Cliente.

Suplemento B

Medidas de seguridad de la información

Los siguientes elementos se consideran requisitos mínimos de seguridad que la Empresa debe establecer, y que están diseñados para proteger los Datos del Cliente:

  • Designar uno o más funcionarios encargados de coordinar y monitorear las normas y procedimientos de tecnologías de la información.
  • Políticas y procedimientos documentados que regulan el uso por trabajadores y proveedores de los sistemas de tecnologías de la información.
  • Proceso de identificación y respuesta a incidentes de seguridad reales o presuntos.
  • Internamente, los datos almacenados están protegidos por roles o permisos de grupo y se auditan periódicamente para asegurarse de que las personas tengan acceso únicamente a los datos que necesitan para realizar su trabajo y que las cuentas de los usuarios dados de baja quedan deshabilitadas.
  • El software de los servidores se actualiza puntualmente para aplicarles las últimas actualizaciones de seguridad.
  • eguridad de la capa de transporte (TLS) siempre que sea aplicable al tráfico web y de correo electrónico. El correo electrónico también se filtra y escanea varias veces cuando ingresa.
  • Se utilizan redes privadas virtuales (VPN) para cifrar el tráfico entre todas nuestras ubicaciones.
  • Los usuarios externos también utilizan la conectividad VPN cifrada para obtener acceso a los recursos internos, dicho acceso se otorga de forma individualizada a cada usuario.
  • Todas las contraseñas almacenadas están cifradas.
  • Los datos se sincronizan diariamente entre su ubicación principal y la de respaldo.
  • Los auditores externos realizan auditorías anuales de tecnologías de la información, y revisarán las políticas y los procedimientos.

Suplemento C

Cláusulas CCPA

Este Suplemento será de aplicación al DPA únicamente en la medida en que la CCPA sea aplicable al Tratamiento de Datos del Cliente con arreglo al Contrato. Cuando se utilicen en este Suplemento, las expresiones «Información personal», «Vender», «Compartir», «Objetivo empresarial» y «Objetivo comercial» tendrán los significados que se establecen en la CCPA.

En tanto los Datos del Cliente constituyen Datos personales con arreglo al Contrato:

  • La empresa no Venderá ni Divulgará ningún Dato del Cliente;.
  • La Empresa no conservará, hará uso ni divulgará los Datos del Cliente para finalidades distintas a los Fines comerciales especificados en el Contrato, a saber, ofrecer nombres de dominio, alojamiento y diseño web, servicios en la nube y servicios de correo electrónico, incluyendo cualesquiera Fines comerciales distintos de los especificados en el Contrato.
  • La Empresa no conservará, utilizará ni divulgará los Datos del Cliente fuera de la relación comercial directa entre el Cliente y la Empresa.
  • La Empresa no combinará Datos del Cliente que reciba de este último (o por cuenta de éste) con Datos del Cliente recibidos de terceros (o por cuenta de éstos), excepto para los Fines comerciales permitidos por la CCPA.
  • La Empresa cumplirá con las obligaciones impuestas por la CCPA y brindará el mismo nivel de protección a los Datos del Cliente que el exigido por la CCPA, incluyendo asistir al Cliente a atender los requerimientos de consumidores que se formulen al amparo de la CCPA.
  • El Cliente podrá tomar medidas razonables y apropiadas para garantizar que la Empresa utilice los Datos del Cliente de forma coherente con las obligaciones del Cliente bajo la CCPA.
  • Si la Empresa considera que ya no está en condiciones de cumplir con sus obligaciones en virtud de la CCPA, lo notificará al Cliente. Si la Empresa notifica al Cliente el uso no autorizado de los Datos del Cliente, incluso en virtud de la disposición anterior, la Empresa podrá tomar las medidas razonables y apropiadas para detener y remediar usos no autorizados.

Anexo D

Cláusulas Contractuales Tipo

SECCIÓN 1

Cláusula 1

Finalidad y ámbito de aplicación

(a) La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)1, exige para la transferencia de datos personales a un tercer país.

(b) Las Partes:

  • (i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «exportador de datos»), y
  • (ii) la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»), han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).

(c) El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el Anexo I.B.

(d) El Apéndice del presente pliego de cláusulas, que contiene los Anexos que se citan en estas, forman parte del pliego.

Cláusula 2

Efecto e invariabilidad de las cláusulas

(a) El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el Módulo o módulos adecuados o para añadir o actualizar información del Apéndice. Esto no es óbice para que las Partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

(b) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

(a) Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes:

  • (i) Cláusulas 1, 2, 3, 6 y 7;
  • (ii) Cláusulas 8.1(b), 8.9(a), (c), (d) y (e);
  • (iii) Cláusulas 9(a), (c), (d) y (e);
  • (iv) Cláusulas 12(a), (d) y (f);
  • (v) Cláusula 13;
  • (vi) Cláusulas 15.1(c), (d) y (e);
  • (vii) Cláusulas 18(a) y (b).

(b) Lo dispuesto en la letra (a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.

Clause 4

Interpretation

(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.

(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.

(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.

Cláusula 4

Interpretación

(a) Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.

(b) El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.

(c) El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6

Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.

Cláusula 7

Cláusula de incorporación

No aplicable.

SECCIÓN II: OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.

8.1 Instrucciones

(a) El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato.

(b) El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones.

8.2 Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el Anexo I.B, salvo cuando siga instrucciones adicionales del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el Apéndice cumplimentado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el Anexo II y datos personales, el exportador de datos podrá expurgar el texto del Apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.

8.4 Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de datos

El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes.

Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6 Seguridad del tratamiento

(a) El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»).

A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

(b) El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

(c) En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

(d) importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B

8.8 Transferencias ulteriores

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea2 (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:

  1. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;
  2. el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;
  3. si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o
  4. si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9 Documentación y cumplimiento

(a) El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.

(b) Las Partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.

(e) Las Partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.

Cláusula 9

Recurso a subencargados

(a) AUTORIZACIÓN GENERAL POR ESCRITO. El importador de datos cuenta con una autorización general del exportador de datos para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos cinco (5) días de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeción.

(b) Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios3. Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

(c) El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.

(e) El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

Cláusula 10

Derechos del interesado

(a) El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo.

(b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las Partes establecerán en el Anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable de aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

(c) En el cumplimiento de las obligaciones que le atribuyen las letras (a) y (b), el importador de datos seguirá las instrucciones del exportador de datos.

Cláusula 11

Reparación

(a) El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.

(b) En caso de litigio entre un interesado y una de las Partes en relación con el cumplimiento del presente pliego de cláusulas, dicha Parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las Partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.

(c) El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la Cláusula 3, la decisión del interesado de:

  1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la Cláusula 13;
  2. ejercitar una acción judicial en el sentido de la Cláusula 18.

(d) Las Partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

(e) El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.

(f) El importador de datos acepta que la elección del interesado no menoscabará sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.

Cláusula 12

Responsabilidad

(a) Cada Parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.

(b) El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas.

(c) A pesar de lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación.

(d) Las Partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra (c), de los daños o perjuicios causados por el importador de datos (o su subencargado), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos.

(e) Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente..

(f) Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.

(g) El importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Cláusula 13

Supervisión

(a) [Cuando el exportador de datos esté establecido en un Estado miembro de la UE:] La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente.

[Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679, de conformidad con el artículo 3, apartado 2, y haya nombrado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679:] La autoridad de control del Estado miembro en que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, indicada en el anexo I.C, actuará como autoridad de control competente.

[Cuando exportador de datos no esté establecido en un Estado miembro de la UE, pero sí en un lugar que entre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de la Comisión, de conformidad con el artículo 3, apartado 2, y no haya nombrado a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679 de la Comisión:] La autoridad de control de uno de los Estado miembros en que estén situados los interesados cuyos datos personales se transfieran en virtud del presente pliego de cláusulas en el contexto de una oferta de bienes o servicios, o cuyo comportamiento esté siendo controlado, indicada en el anexo I.C, actuará como autoridad de control competente.

(b) El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III - DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Derecho y prácticas del país que afectan al cumplimiento de las cláusulas

(a) Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.

(b) Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:

  • (i) las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;
  • (ii) el Derecho y las prácticas del tercer país de destino -especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades- que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables4;
  • (iii) las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.

(c) El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra (b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.

(d) Las Partes acuerdan documentar la evaluación a que se refiere la letra (b) y ponerla a disposición de la autoridad de control competente previa solicitud.

(e) El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a).

(f) De realizarse la notificación a que se refiere la letra (e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos Partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente Cláusula, será de aplicación la cláusula 16, letras (d) y (e).

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1 Notificación

(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:

  • (i) recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o
  • (ii) tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.

(b) Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos.

(c) En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.).

(d) El importador de datos se compromete a conservar la información a que se refieren las letras (a) a (c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.

(e) Las letras (a) a (c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la Cláusula 14, letra (e), y en la Cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.

15.2 Control de la legalidad y minimización de datos

(a) El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos.

(b) El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.

(c) El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV: DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las cláusulas y resolución del contrato

(a) El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.

(b) En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra (f).

(c) El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:

  • (i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra (b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
  • (ii) el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o
  • (iii) el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.

En este supuesto, informará a la autoridad de supervisión competente de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.

(d) Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra (c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos. El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.

(e) Ninguna de las Partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: (i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o (ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Derecho aplicable

El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de terceros beneficiarios. Las Partes acuerdan que sea el Derecho de la República de Irlanda.

Cláusula 18

Elección del foro y jurisdicción

(a) Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.

(b) Las Partes acuerdan que sean los órganos jurisdiccionales de la República de Irlanda.

(c) Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual.

(d) Las Partes acuerdan someterse a la jurisdicción de dicho Estado miembro.

Notas al pie

1 Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe por cuenta de una institución u organismo de la Unión como responsable del tratamiento, se considera que la utilización del presente pliego de cláusulas al recurrir a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) 45/2001 y la Decisión 1247/2002/CE (DO L 295 de 21 de noviembre de 2018, p. 39), en la medida en que estén armonizados el presente pliego de cláusulas y las obligaciones en materia de protección de datos que imponga el contrato u otro acto jurídico celebrado entre el responsable y el encargado con arreglo al artículo 29, apartado 3, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915.

2 El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al Anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no podrá considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.

3 Este requisito podrá satisfacerse si el subencargado se adhiere al presente pliego de cláusulas, con elección del Módulo correspondiente, con arreglo a la Cláusula 7.

4 Por lo que se refiere al efecto de dicho Derecho y prácticas en el cumplimiento del presente pliego de cláusulas, a la hora de realizar una valoración integral de esta cuestión pueden tenerse en cuenta distintos aspectos. Uno de estos aspectos puede ser que haya experiencia práctica pertinente y documentada en casos anteriores de solicitudes de comunicación por parte de las autoridades públicas, o la ausencia de tales solicitudes, en un período suficientemente representativo. Con esto se quiere decir, en particular, los registros internos u otra documentación elaborados de forma continua con la diligencia debida y certificados en los niveles más altos de la dirección siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir el presente pliego de cláusulas, deberá estar respaldada por otros elementos pertinentes y objetivos; corresponde a las Partes valorar minuciosamente si la suma de estos factores es suficientemente determinante, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica está corroborada, y no se ve desmentida, por información que sea fiable y de dominio público o accesible de cualquier otro modo acerca de la existencia o ausencia de solicitudes en el mismo sector o acerca de la aplicación de la normativa de que se trate en la práctica, como jurisprudencia e informes de organismos de supervisión independientes.

APÉNDICE

ANEXO I

A. LISTA DE PARTES

Exportador(es) de datos: [Identidad y datos de contacto del exportador o exportadores de datos y, en su caso, del delegado de protección de datos de este o estos y/o del representante en la Unión Europea]

Nombre: [Nombre del Cliente que consta en el archivo de la cuenta DreamHost]

Dirección: [Dirección del Cliente que consta en el archivo de la cuenta DreamHost]

Nombre, cargo y datos de contacto de la persona de contacto: [El Cliente arriba mencionado]

Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: Según se describe en este Apéndice, el DPA y el Contrato.

Firma y fecha: [Según se haya registrado digitalmente al crear la cuenta y según lo estipulado en las Condiciones de servicio]

Función (responsable/encargado): Responsable

Importador(es) de datos: [Identidad y datos de contacto del importador o importadores de datos, incluida cualquier persona de contacto responsable de la protección de los datos]

Nombre: DreamHost

Dirección: PMB #327, 417 Associated Rd., Brea, CA 92821-5802

Nombre, cargo y datos de contacto de la persona de contacto:

A la atención del Oficial de protección de datos

Correo electrónico: privacypolicy@dreamhost.com

Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: Según se describe en este Apéndice, el DPA y el Contrato.

Firma y fecha: [Según se haya registrado digitalmente al crear la cuenta y según lo estipulado en las Condiciones de servicio]

Función (responsable/encargado): Encargado

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren

Como se establece en el Suplemento A de este DPA.

Categorías de datos personales transferidos

Como se establece en el Suplemento A de este DPA.

Datos sensibles transferidos (si procede) y restricciones o garantías aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya hecho un curso especializado), un registro del acceso a los datos, restricciones a transferencias ulteriores o medidas de seguridad adicionales.

Como se establece en el Suplemento A de este DPA.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de una vez o de forma periódica).

De forma continua según sea necesario para prestar los Servicios.

Naturaleza del tratamiento.

Como se establece en el Suplemento A de este DPA.

Finalidad(es) de la transferencia y posterior tratamiento de los datos.

Como se establece en el Suplemento A de este DPA.

El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo.

Como se establece en la Sección 7 de este DPA.

En caso de transferencia a (sub)encargados, especifíquese también el objeto, la naturaleza y la duración del tratamiento.

Como se establece en el Contrato, a fin de prestar los Servicios, durante la vigencia del Contrato.

C. AUTORIDAD DE CONTROL COMPETENTE

Indíquese la autoridad o autoridades de control competentes de conformidad con la cláusula 13.

[Rellenar en función de las operaciones del exportador de datos]

ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, EN ESPECIAL MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas aplicadas por los importadores de datos (inclusive las certificaciones pertinentes) para garantizar un nivel adecuado de seguridad, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Como se establece en el Anexo B de este DPA.

En el caso de las transferencias a (sub)encargados, descríbanse también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)encargado para poder prestar ayudar al responsable y, en el caso de transferencias de un encargado a un subencargado, al exportador de datos.

Como se establece en el Anexo B de este DPA.

ANEXO III

ADENDA RELATIVA AL REINO UNIDO

La Autoridad de Protección de datos ha publicado la presente Adenda relativa a las Partes que realizan Transferencias Restringidas. La Autoridad de Protección de datos considera que ésta proporciona garantías adecuadas para las transferencias restringidas cuando se formaliza como contrato jurídicamente vinculante.

Parte 1: Tablas

Tabla 1: Las Partes

Fecha de inicio

en la Fecha efectiva

Las Partes

Exportador (que envía la transferencia restringida)

Importador (que recibe la transferencia restringida)

Datos de las PartesSegún se indica en el Anexo I supra.Según se indica en el Anexo I supra.
Key ContactSegún se indica en el Anexo I supra.Según se indica en el Anexo I supra.

Tabla 2: Cláusulas Contractuales Tipo, Módulos y Cláusulas Seleccionadas

Adenda: Cláusulas Contractuales Tipo de la UE

☒ La versión de las Cláusulas Contractuales Tipo aprobadas por la UE (infra) a la que se adjunta esta Adenda, incluyendo la Información de la Adenda:
Fecha: la Fecha efectiva.


Referencia (en su caso): no aplicable.


Otro identificador (en su caso): no aplicable.
o
☐ las Cláusulas Contractuales Tipo Aprobadas por la UE, incluyendo la Información del Apéndice y únicamente con los siguientes módulos, cláusulas o disposiciones opcionales de las Cláusulas Contractuales Tipo de la UE aprobadas y en vigor a efectos de la presente Adenda:


MóduloMódulo en funcionamientoCláusula 7 (Cláusula de incorporación)Cláusula 11 (Opción)Cláusula 9a (Autorización previa o Autorización general)Cláusula 9a (Período de tiempo)

¿Se combinan los datos personales recibidos del Importador con los datos personales recogidos por el Exportador?

1
2XNo seleccionado.No seleccionado.Autorización general.Cinco (5) días.
3
4

Tabla 3: Información del Apéndice

«Información del Apéndice» la información que deberá facilitarse para los módulos seleccionados según se establece en el apéndice de las Cláusulas Contractuales Tipo de la UE aprobadas (distintas de las Partes), y que a efectos de la presente Adenda figura en:

Anexo 1A: Lista de las Partes: Según se indica en el Anexo I supra.

Anexo 1B: Descripción de la Transferencia: Según se indica en el Anexo I supra.

Anexo II: Medidas técnicas y organizativas, incluyendo medidas técnicas y organizativas para garantizar la seguridad de los datos: Como se indica en el Anexo II supra.

Anexo III: Lista de Subencargados del tratamiento (únicamente Módulos 2 y 3): no aplicable.

Tabla 4: Cese de efectos de esta Adenda cuando se modifica la Adenda Aprobada

Cese de efectos de esta Adenda cuando se modifica la Adenda Aprobada

Qué Partes podrán dejar sin efecto la presente Adenda con arreglo al Apartado 19:
☐ Importador
☐ Exportador
☒ ninguna de las Partes

Parte 2: Cláusulas obligatorias

Cláusulas obligatorias

Parte 2: Cláusulas Obligatorias de la Adenda Aprobada, siendo la plantilla de Adenda B.1.0 emitida por la Autoridad de Protección de Datos y presentada ante el Parlamento con arreglo al artículo 119A de la Ley de Protección de Datos de 2018 de 2 de febrero de 2022, en la versión revisada en el apartado 18 de dichas Cláusulas Obligatorias.