Apéndice de procesamiento de datos
El presente apéndice sobre el tratamiento de datos ("DPA") se incorpora a los términos y condiciones del Acuerdo entre Digidly y la parte identificada como cliente del Servicio (o "usted") en el Acuerdo ("Cliente“).
Todos los términos en mayúsculas no definidos en este APD tendrán el significado establecido en el Acuerdo. Para evitar dudas, todas las referencias al "Acuerdo" incluirán el presente APD (incluidos los CCE, tal y como se definen en el mismo).
1. Definiciones
“Afiliado" significa una entidad que, directa o indirectamente, controla, es controlada o está bajo el control común de una entidad.
“Acuerdo" significa que Digidly's Condiciones generales de servicioo cualquier otro acuerdo escrito o electrónico que rija la prestación del Servicio al Cliente, ya que dichos términos o acuerdos pueden ser actualizados de vez en cuando.
“Controlar" significa una participación en la propiedad, con derecho a voto o similar, que represente el cincuenta por ciento (50%) o más del total de las participaciones en circulación en ese momento de la entidad en cuestión. El término "Controlado"se interpretará en consecuencia.
“Datos del cliente"se refiere a todos los datos personales que Digidly procesa en nombre del Cliente como procesador en el curso de la prestación del Servicio, como se describe más particularmente en esta DPA.
“Leyes de protección de datos"se refiere a todas las leyes de protección de datos y privacidad aplicables al tratamiento de datos personales en virtud del Acuerdo, incluida, cuando proceda, la Ley de Protección de Datos de la UE.
“Ley de protección de datos de la UE": i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) ("GDPR"); (ii) la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas; y (iii) las implementaciones nacionales aplicables de (i) y (ii) (o, en lo que respecta al Reino Unido, cualquier legislación nacional aplicable que sustituya o convierta en derecho interno el GDPR o cualquier otra ley relativa a los datos y la intimidad como consecuencia de la salida del Reino Unido de la Unión Europea); en cada caso, tal y como pueda ser modificada, sustituida o reemplazada.
“EEEA efectos de la presente DPA, se entenderá por "Unión Europea", "Espacio Económico Europeo" y/o sus Estados miembros, Suiza y/o el Reino Unido.
“Escudo de privacidad" significa el programa de autocertificación EU-U.S. Privacy Shield y Swiss-U.S. Privacy Shield Framework operado por el Departamento de Comercio de los Estados Unidos y aprobado por la Comisión Europea en virtud de la Decisión C(2016)4176 de 12 de julio de 2016 y por el Consejo Federal Suizo el 11 de enero de 2017 respectivamente.
“Principios del Escudo de Privacidad" significa los Principios del Escudo de Privacidad (complementados por los Principios Suplementarios) que figuran en el Anexo II de la Decisión C(2016)4176 de la Comisión Europea, de 12 de julio de 2016 (que puede ser modificada, sustituida o reemplazada).
“SCCs"se refiere a las cláusulas contractuales estándar para procesadores aprobadas por la Comisión Europea o la Autoridad Federal de Protección de Datos de Suiza (según corresponda).
“Incidente de seguridad"se refiere a cualquier violación no autorizada o ilegal de la seguridad que conduzca a la destrucción, pérdida o alteración accidental o ilegal de los Datos del Cliente, o a la divulgación no autorizada de los mismos o al acceso a ellos, en los sistemas gestionados o controlados de otro modo por Digidly.
“Datos sensibles" significa (a) número de seguridad social, número de pasaporte, número de permiso de conducir o identificador similar (o cualquier parte del mismo); (b) número de tarjeta de crédito o débito (que no sea el truncado (los cuatro últimos dígitos) de una tarjeta de crédito o débito); (c) información laboral, financiera, genética, biométrica o sanitaria; (d) la afiliación racial, étnica, política o religiosa, la pertenencia a un sindicato o la información sobre la vida sexual o la orientación sexual; (e) las contraseñas de las cuentas; o (f) cualquier otra información que entre dentro de la definición de "categorías especiales de datos" según el GDPR o cualquier otra ley de protección de datos aplicable.
“Subprocesador"se refiere a cualquier procesador contratado por Digidly o sus Afiliados para ayudar a cumplir sus obligaciones con respecto a la prestación del Servicio de conformidad con el Contrato o este APD. Los subencargados del tratamiento pueden incluir a terceros o Afiliados de Digidly, pero excluyen a los empleados o consultores de Digidly.
Los términos "datos personales“, “controlador“, “procesador" y "procesamiento" tendrán el significado que se les da en el RGPD, y "proceso“, “procesa" y "procesado"se interpretará en consecuencia.
2. Funciones y responsabilidades
2.1 Funciones de las partes. Entre Digidly y el Cliente, el Cliente es el controlador de los Datos del Cliente, y Digidly tratará los Datos del Cliente únicamente como procesador que actúa en nombre del Cliente, tal y como se describe en Anexo A (Detalles del tratamiento de datos) de esta DPA.
2.2 Limitación de la finalidad. Digidly tratará los Datos del Cliente únicamente para los fines descritos en el presente APD y de conformidad con las instrucciones legales documentadas del Cliente, salvo que la legislación aplicable exija lo contrario. Las partes acuerdan que el Contrato establece las instrucciones completas y definitivas del Cliente a Digidly en relación con el tratamiento de los Datos del Cliente, y el tratamiento fuera del ámbito de estas instrucciones (si lo hubiera) requerirá un acuerdo previo por escrito entre las partes.
2.3 Datos prohibidos. El Cliente no proporcionará (ni hará que se proporcione) ningún Dato Sensible a Digidly para su tratamiento en virtud del Contrato, y Digidly no tendrá responsabilidad alguna por los Datos Sensibles, ya sea en relación con un Incidente de Seguridad o de otro modo. Para evitar cualquier duda, la presente DPA no se aplicará a los Datos Sensibles.
2.4 Cumplimiento del cliente. El Cliente declara y garantiza que (i) ha cumplido, y seguirá cumpliendo, con todas las Leyes de Protección de Datos aplicables con respecto al tratamiento de los Datos del Cliente y a cualquier instrucción de tratamiento que dé a Digidly; y (ii) ha proporcionado, y seguirá proporcionando, toda la notificación y ha obtenido, y seguirá obteniendo, todos los consentimientos y derechos necesarios en virtud de las Leyes de Protección de Datos para que Digidly procese los Datos del Cliente para los fines descritos en el Contrato. El Cliente será el único responsable de la exactitud, la calidad y la legalidad de los Datos del Cliente, así como de los medios por los que el Cliente ha adquirido los Datos del Cliente. Sin perjuicio de la generalidad de lo anterior, el Cliente acepta que será responsable del cumplimiento de todas las leyes (incluidas las Leyes de Protección de Datos) aplicables a cualquier correo electrónico u otro contenido creado, enviado o gestionado a través del Servicio, incluidas las relativas a la obtención de consentimientos (cuando sea necesario) para enviar correos electrónicos, el contenido de los mismos y sus prácticas de despliegue de correo electrónico.
2.5 Obligaciones de notificación de las instrucciones del cliente. Digidly notificará inmediatamente al Cliente por escrito, a menos que se lo prohíba la Ley de Protección de Datos, si tiene conocimiento o cree que cualquier instrucción de procesamiento de datos del Cliente viola la Ley de Protección de Datos.
3. Subproceso
3.1 Subprocesadores autorizados. El Cliente acepta que Digidly pueda contratar a subprocesadores para procesar los Datos del Cliente en su nombre.
3.2 Objeción a los subprocesadores. El Cliente podrá oponerse por escrito a la designación de un nuevo Subencargado por parte de Digidly en un plazo de cinco (5) días naturales a partir de la recepción de la notificación de conformidad con el apartado 3.1 anterior, siempre que dicha objeción se base en motivos razonables relacionados con la protección de datos. En tal caso, las partes debatirán de buena fe dichas preocupaciones con el fin de alcanzar una resolución comercialmente razonable. Si no se puede alcanzar dicha resolución, Digidly, a su entera discreción, no designará a dicho Subprocesador, o permitirá al Cliente suspender o terminar el Servicio afectado de acuerdo con las disposiciones de terminación del Contrato, sin responsabilidad para ninguna de las partes (pero sin perjuicio de los honorarios incurridos por el Cliente antes de la suspensión o terminación).
3.3 Obligaciones del subprocesador. Digidly deberá: (i) celebrar un acuerdo por escrito con cada Subencargado que contenga obligaciones de protección de datos que proporcionen al menos el mismo nivel de protección de los Datos del Cliente que las contenidas en el presente APD, en la medida en que sea aplicable a la naturaleza de los servicios prestados por dicho Subencargado; y (ii) seguir siendo responsable del cumplimiento de las obligaciones del presente APD por parte de dicho Subencargado y de los actos u omisiones de éste que hagan que Digidly incumpla cualquiera de sus obligaciones en virtud del presente APD.
4. Seguridad
4.1 Medidas de seguridad. Digidly aplicará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas para proteger los Datos del Cliente de los Incidentes de Seguridad
4.2 Confidencialidad del tratamiento. Digidly se asegurará de que toda persona autorizada por Digidly para procesar los Datos del Cliente (incluido su personal, agentes y subcontratistas) esté sometida a una obligación adecuada de confidencialidad (ya sea una obligación contractual o legal).
4.3 Actualización de las medidas de seguridad. El Cliente es responsable de revisar la información puesta a disposición por Digidly en relación con la seguridad de los datos y de determinar de forma independiente si el Servicio cumple con los requisitos y las obligaciones legales del Cliente en virtud de las Leyes de Protección de Datos. El Cliente reconoce que las Medidas de Seguridad están sujetas al progreso y desarrollo técnico y que Digidly puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no supongan una degradación de la seguridad general del Servicio prestado al Cliente.
4.4 Respuesta a incidentes de seguridad. Al tener conocimiento de un incidente de seguridad, Digidly deberá (i) notificar al Cliente sin demora indebida y, cuando sea factible, en cualquier caso, a más tardar 48 horas después de tener conocimiento del Incidente de Seguridad; (ii) proporcionar oportunamente información relacionada con el Incidente de Seguridad a medida que se conozca o cuando el Cliente lo solicite razonablemente; y (iii) tomar rápidamente medidas razonables para contener e investigar cualquier Incidente de Seguridad. La notificación o la respuesta de Digidly a un incidente de seguridad en virtud del presente apartado 4.4 no se interpretará como un reconocimiento por parte de Digidly de cualquier culpa o responsabilidad con respecto al incidente de seguridad.
4.5 Responsabilidades del cliente. Sin perjuicio de lo anterior, el Cliente acepta que, salvo lo dispuesto en esta DPA, el Cliente es responsable de su uso seguro del Servicio, incluida la protección de las credenciales de autenticación de su cuenta, la protección de la seguridad de los Datos del Cliente cuando se encuentren en tránsito hacia y desde el Servicio, y la adopción de las medidas adecuadas para cifrar de forma segura o realizar una copia de seguridad de los Datos del Cliente cargados en el Servicio.
5. Informes y auditorías de seguridad
5.1 Derechos de auditoría. Digidly pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento del presente APD y permitirá y contribuirá a las auditorías, incluidas las inspecciones del Cliente para evaluar el cumplimiento del presente APD. El Cliente reconoce y acepta que ejercerá sus derechos de auditoría en virtud del presente APD (incluida la presente sección 5.1 y, en su caso, los CCE) dando instrucciones a Digidly para que cumpla las medidas de auditoría descritas en las secciones 5.2 y 5.3 siguientes.
5.2 Informes de seguridad. El Cliente reconoce que Digidly se somete a auditorías periódicas según las normas SSAE 16 y PCI por parte de auditores externos independientes y auditores internos, respectivamente. Previa solicitud por escrito, Digidly proporcionará (de forma confidencial) una copia resumida de su(s) informe(s) de auditoría más reciente(s) ("Informe") al Cliente, para que éste pueda verificar el cumplimiento por parte de Digidly de las normas de auditoría con las que ha sido evaluado y del presente APD.
5.3 Diligencia debida en materia de seguridad. Además del Informe, Digidly responderá a todas las solicitudes razonables de información realizadas por el Cliente para confirmar el cumplimiento del presente APD por parte de Digidly, incluidas las respuestas a los cuestionarios de seguridad de la información, de diligencia debida y de auditoría, facilitando información adicional sobre su programa de seguridad de la información previa solicitud por escrito del Cliente a [email protected], siempre que el Cliente no ejerza este derecho más de una vez por año natural.
6. Transferencias internacionales
6.1 Ubicación de los centros de datos. Digidly podrá transferir y procesar los Datos del Cliente en Europa y en cualquier otro lugar del mundo donde Digidly, sus Afiliados o sus Subprocesadores mantengan operaciones de procesamiento de datos. Digidly se asegurará en todo momento de que dichas transferencias se realicen de conformidad con los requisitos de las leyes de protección de datos.
6.2 Transferencias de datos del EEE. En la medida en que Digidly es un destinatario de Datos del Cliente protegidos por las Leyes de Protección de Datos aplicables al EEE ("Datos del EEE"), las partes acuerdan que Digidly pone a disposición los mecanismos que se enumeran a continuación, para cualquier transferencia de Datos del EEE en o hacia un país que no proporcione un nivel adecuado de protección de los datos personales (como se describe en las Leyes de Protección de Datos aplicables):
- (a) Escudo de privacidad: Si Digidly se autocertifica en el Escudo de la Privacidad: (i) las partes reconocen y acuerdan que se considerará que Digidly proporciona una protección adecuada (en el sentido de las Leyes de Protección de Datos aplicables) para los Datos del EEE en virtud de haber autocertificado su conformidad con el Escudo de la Privacidad; (ii) Digidly se compromete a procesar los Datos del EEE de conformidad con los Principios del Escudo de la Privacidad; y (iii) si Digidly no puede cumplir con este requisito, Digidly deberá informar al Cliente.
- (b) SCCs: En la medida en que el mecanismo de transferencia identificado en el apartado 6.2(a) anterior no se aplique a la transferencia y/o sea invalidado, Digidly se compromete a respetar y tratar los Datos del EEE de conformidad con los CEC, que se incorporan íntegramente por referencia y forman parte integrante del presente APD. A los efectos de las CEC: (i) Digidly acepta que es el "importador de datos" y el Cliente es el "exportador de datos" en virtud de las CEC (sin perjuicio de que el Cliente pueda ser una entidad situada fuera del EEE); (ii) los Anexos A y B del presente APD sustituirán a los Apéndices 1 y 2 de las CEC, respectivamente; y (iii) el Anexo C constituirá el Apéndice 3 de las CEC.
7. Devolución o supresión de datos
7.1 Supresión al finalizar el contrato. Tras la rescisión o el vencimiento del Contrato, Digidly eliminará o devolverá al Cliente (a elección de éste) todos los Datos del Cliente (incluidas las copias) que estén en su poder o bajo su control, con la salvedad de que este requisito no se aplicará en la medida en que la legislación aplicable obligue a Digidly a conservar la totalidad o parte de los Datos del Cliente, o a los Datos del Cliente que haya archivado en sistemas de copia de seguridad, cuyos Datos del Cliente Digidly aislará de forma segura, protegerá de cualquier tratamiento posterior y eliminará finalmente de conformidad con las políticas de eliminación de Digidly, salvo en la medida en que lo exija la legislación aplicable.
8. Derechos del interesado y cooperación
8.1 Solicitudes de los interesados. El Servicio proporciona al Cliente una serie de controles que el Cliente puede utilizar para recuperar, corregir, eliminar o restringir los Datos del Cliente, que el Cliente puede utilizar para ayudarlo en relación con sus obligaciones en virtud del GDPR, incluidas sus obligaciones relacionadas con la respuesta a las solicitudes de los sujetos de datos o las autoridades de protección de datos aplicables. En la medida en que el Cliente no pueda acceder de forma independiente a los Datos del Cliente pertinentes dentro del Servicio, Digidly proporcionará (a expensas del Cliente) una cooperación razonable para ayudar al Cliente a responder a cualquier solicitud de particulares o autoridades de protección de datos aplicables en relación con el tratamiento de los Datos del Cliente en virtud del Acuerdo. En el caso de que dicha solicitud se dirija directamente a Digidly, ésta no responderá a dicha comunicación directamente, excepto cuando sea apropiado (por ejemplo, para indicar al interesado que se ponga en contacto con el Cliente) o sea legalmente necesario, sin la autorización previa del Cliente. Si Digidly se ve obligado a responder a una solicitud de este tipo, Digidly lo notificará sin demora al Cliente y le proporcionará una copia de la solicitud, a menos que Digidly tenga prohibido legalmente hacerlo. Para evitar dudas, nada de lo dispuesto en el Contrato (incluido el presente APD) restringirá o impedirá que Digidly responda a cualquier solicitud del interesado o de la autoridad de protección de datos en relación con los datos personales de los que Digidly es responsable.
8.2 Citaciones y órdenes judiciales. Si un organismo policial envía a Digidly una solicitud de Datos del Cliente (por ejemplo, a través de una citación u orden judicial), Digidly intentará redirigir al organismo policial para que solicite esos datos directamente al Cliente. Como parte de este esfuerzo, Digidly puede proporcionar la información básica de contacto del Cliente a la agencia de seguridad. Si se ve obligado a revelar los Datos del Cliente a un organismo policial, Digidly notificará al Cliente con una antelación razonable la demanda para que éste pueda solicitar una orden de protección u otra solución adecuada, a menos que Digidly tenga prohibido legalmente hacerlo.
8.3 Evaluación del impacto de la protección de datos. En la medida en que lo exija la legislación aplicable en materia de protección de datos, Digidly proporcionará (a cargo del Cliente) toda la información razonablemente solicitada en relación con el Servicio para que el Cliente pueda llevar a cabo evaluaciones de impacto en materia de protección de datos o consultas previas a las autoridades de protección de datos, tal y como exige la ley.
9. Limitación de la responsabilidad
9.1 La responsabilidad de cada una de las partes y de todas sus filiales, en conjunto, que surja de este APD o esté relacionada con él (incluidos los CCE) estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.
9.2 Cualquier reclamación contra Digidly o sus Afiliados en virtud de este APD o en relación con él (incluidos, en su caso, los CCE) se presentará exclusivamente contra la entidad que sea parte del Acuerdo.
9.3 En ningún caso ninguna de las partes limitará su responsabilidad con respecto a los derechos de protección de datos de cualquier persona en virtud de este APD o de otro modo.
10. Relación con el Acuerdo
10.1 El presente APD permanecerá en vigor mientras Digidly lleve a cabo operaciones de tratamiento de Datos del Cliente en nombre del Cliente o hasta la terminación del Contrato (y todos los Datos del Cliente hayan sido devueltos o eliminados de acuerdo con la Sección 7.1 anterior).
10.2 Las partes acuerdan que el presente APD sustituirá a cualquier acuerdo de procesamiento de datos existente o documento similar que las partes puedan haber celebrado previamente en relación con el Servicio.
10.3 En caso de conflicto o incoherencia entre el presente APD y las Condiciones Generales de Uso de Digidly, prevalecerán las disposiciones de los siguientes documentos (en orden de precedencia): (a) las CEC; luego (b) el presente APD; y luego (c) las Condiciones Generales de Uso de Digidly.
10.4 Salvo por los cambios introducidos por el presente APD, el Acuerdo permanece inalterado y en plena vigencia.
10.5 Sin perjuicio de cualquier disposición contraria en el Contrato (incluyendo este APD), Digidly tendrá derecho a recopilar, utilizar y divulgar datos relacionados con el uso, el apoyo y/o el funcionamiento del Servicio ("Datos del servicio") para sus fines comerciales legítimos, como la facturación, la gestión de cuentas, el soporte técnico y el desarrollo de productos. En la medida en que dichos Datos de Servicio se consideren datos personales en virtud de la Ley de Protección de Datos, Digidly será responsable y tratará dichos datos de acuerdo con nuestra Política de privacidad y las leyes de protección de datos. Para evitar dudas, esta DPA no se aplicará a los Datos de Servicio.
10.6 Nadie que no sea una de las partes de este APD, sus sucesores y cesionarios permitidos tendrá derecho a hacer cumplir cualquiera de sus términos.
10.7 El presente APD se regirá e interpretará de acuerdo con las disposiciones de derecho y jurisdicción vigentes en el Acuerdo, salvo que las leyes de protección de datos aplicables exijan otra cosa.
Anexo A - Detalles del tratamiento de datos
(a) Asunto: El objeto del tratamiento de datos en virtud de la presente DPA son los datos del cliente.
(b) Duración: Entre Digidly y el Cliente, la duración del tratamiento de datos en virtud del presente APD es hasta la expiración o la terminación del Acuerdo de acuerdo con sus términos.
(c) Propósito: Digidly sólo tratará los Datos del Cliente para los siguientes fines: (i) el tratamiento para prestar el Servicio de conformidad con el Contrato; (ii) el tratamiento iniciado por el Cliente en su uso del Servicio; y (ii) el tratamiento para cumplir con cualquier otra instrucción razonable proporcionada por el Cliente (por ejemplo, a través de correo electrónico o tickets de soporte) que sea coherente con los términos del Contrato (individual y colectivamente, los "Propósito“).
(d) Naturaleza del tratamiento: Digidly proporciona un servicio de correo electrónico, una plataforma de automatización y marketing y otros servicios relacionados, como se describe más concretamente en el Acuerdo.
(e) Categorías de personas a las que se refieren los datos(i) Miembros; y (ii) Contactos, cada uno según se define en el Política de privacidad.
(f) Tipos de datos de clientes: El Cliente puede cargar, enviar o proporcionar de otro modo ciertos datos personales al Servicio, cuyo alcance suele ser determinado y controlado por el Cliente a su entera discreción, y puede incluir los siguientes tipos de datos personales:
- Miembros: Datos de identificación y contacto (nombre, dirección, cargo, datos de contacto, nombre de usuario); información financiera (datos de la tarjeta de crédito, datos de la cuenta, información de pago); datos de empleo (empleador, cargo, ubicación geográfica, área de responsabilidad);
- Contactos: Datos de identificación y contacto (nombre, dirección, cargo, datos de contacto, incluida la dirección de correo electrónico), intereses o preferencias personales (incluido el historial de compras, las preferencias de marketing y la información de perfil de medios sociales disponible públicamente); información informática (direcciones IP, datos de uso, datos de las cookies, datos de navegación en línea, datos de localización, datos del navegador); información financiera (datos de la tarjeta de crédito, detalles de la cuenta, información de pago).
(g) Datos sensibles: Digidly no quiere, ni trata intencionadamente, ningún Dato Sensible en relación con la prestación del Servicio.
(h) Operaciones de procesamiento: Los datos del cliente se tratarán de conformidad con el Acuerdo (incluida la presente DPA) y podrán ser objeto de las siguientes actividades de tratamiento:
- Almacenamiento y otros procesamientos necesarios para proporcionar, mantener y mejorar el Servicio prestado al Cliente en virtud del Acuerdo; y/o
- Divulgación de información de conformidad con el Acuerdo y/o según lo exija la legislación aplicable.
Anexo B
Todos los términos definidos que se utilizan en este Anexo B tendrán el significado que se les da en las CEC, a menos que se definan de otra manera en este Anexo.
Apéndice 3 de las cláusulas contractuales tipo
Este Anexo forma parte de las Cláusulas y debe ser completado por las partes.
Este Apéndice establece la interpretación de las partes de sus respectivas obligaciones en virtud de las Cláusulas específicas identificadas a continuación. Cuando una parte cumpla con las interpretaciones establecidas en este Apéndice, la otra parte considerará que ha cumplido con sus compromisos en virtud de las Cláusulas.
A los efectos de este Apéndice, "APD" significa el Apéndice de Procesamiento de Datos vigente entre el importador y el exportador de datos y al que se incorporan estas Cláusulas, y "Acuerdo" tendrá el significado que se le da en el APD.
Cláusula 5(a): Suspensión de las transferencias de datos y terminación
- Las partes reconocen que el importador de datos puede procesar los datos personales sólo en nombre del exportador de datos y en cumplimiento de sus instrucciones, según lo dispuesto por el exportador de datos y las cláusulas.
- Las partes reconocen que si el importador de datos no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o a rescindir las Cláusulas.
- Si el exportador de datos tiene la intención de suspender la transferencia de datos personales y/o rescindir las presentes Cláusulas, procurará notificarlo al importador de datos y concederle un plazo razonable para subsanar el incumplimiento ("Periodo de curación").
- Si, una vez transcurrido el plazo de subsanación, el importador de datos no ha subsanado o no puede subsanar el incumplimiento, el exportador de datos podrá suspender o poner fin inmediatamente a la transferencia de datos personales. El exportador de datos no estará obligado a realizar dicha notificación en caso de que considere que existe un riesgo importante de perjuicio para los interesados o sus datos personales.
Cláusula 5(f): Auditoría
- El exportador de datos reconoce y acepta que ejerce su derecho de auditoría en virtud de la cláusula 5(f) dando instrucciones al importador de datos para que cumpla con las medidas de auditoría descritas en la sección 5 (Informes y auditorías de seguridad) de la DPA.
Cláusula 5(j): Divulgación de los acuerdos de subprocesamiento
- Las partes reconocen la obligación del importador de datos de enviar sin demora al exportador de datos una copia de cualquier acuerdo de subprocesamiento posterior que celebre en virtud de las Cláusulas.
- Las partes reconocen además que, en virtud de las restricciones de confidencialidad de los subprocesadores, el importador de datos puede estar restringido a revelar los acuerdos de subprocesamiento posteriores al exportador de datos. No obstante, el importador de datos hará esfuerzos razonables para exigir a cualquier subprocesador que designe que le permita revelar el acuerdo de subprocesamiento al exportador de datos.
- Incluso cuando el importador de datos no pueda revelar un acuerdo de subprocesamiento al exportador de datos, las partes acuerdan que, a petición del exportador de datos, el importador de datos proporcionará (de forma confidencial) toda la información que pueda razonablemente en relación con dicho acuerdo de subprocesamiento al exportador de datos.
Cláusula 6: Responsabilidad
- Cualquier reclamación presentada en virtud de las Cláusulas estará sujeta a los términos y condiciones, incluyendo, pero sin limitarse a, las exclusiones y limitaciones establecidas en el Acuerdo. En ningún caso, ninguna de las partes limitará su responsabilidad con respecto a los derechos de los interesados en virtud de las presentes cláusulas.
Cláusula 11: Subprocesamiento posterior
- Las partes reconocen que, de conformidad con la FAQ II.1 del documento WP 176 del Grupo de Trabajo del Artículo 29, titulado "Preguntas frecuentes para abordar algunas cuestiones planteadas por la entrada en vigor de la Decisión 2010/87/UE de la Comisión de la UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países con arreglo a la Directiva 95/46/CE", el exportador de datos puede dar un consentimiento general para el subtratamiento posterior por parte del importador de datos.
- En consecuencia, el exportador de datos proporciona un consentimiento general al importador de datos, de conformidad con la cláusula 11 de estas cláusulas, para contratar subprocesadores posteriores. Dicho consentimiento está condicionado al cumplimiento por parte del importador de los datos de los requisitos establecidos en la Sección 3 (Subprocesamiento) de la DPA.