Ir al contenido principal

Apéndice sobre tratamiento de datos

Al ejecutar cualquier acuerdo (el "Acuerdo") por productos o servicios (colectivamente, el "Servicios") que proporcionará FORWARD THINKING SYSTEMS LLC ("FTS"), usted ("Cliente") acepta someterse a los términos del presente Apéndice sobre Tratamiento de Datos (este "DPA"). El presente APD refleja el acuerdo de las Partes con respecto al Tratamiento de Datos Personales de conformidad con el Acuerdo o en relación con el mismo y cualquier otro acuerdo entre el Cliente y FTS.

El Cliente suscribe el presente APD en su propio nombre y, en la medida en que lo exijan las Leyes aplicables (tal y como se definen en el presente documento), en nombre y representación de sus Afiliadas autorizadas (tal y como se definen en el presente documento), siempre y cuando FTS procese Datos personales para los que dichas Afiliadas autorizadas reúnan las condiciones de Responsable del tratamiento (tal y como se definen en el presente documento). Únicamente a efectos del presente APD, y salvo que se indique lo contrario, el término "Cliente" incluirá al Cliente y a las Filiales autorizadas.

Todos los términos en mayúsculas no definidos aquí tendrán el significado establecido en el Acuerdo. Los siguientes anexos adjuntos al presente APD se incorporan por referencia como si estuvieran íntegramente recogidos en el mismo: Detalles del procesamiento, adjunto como ANEXO A; CCE de la UE, adjunto como ANEXO B; y Lista de subprocesadores, adjunta como ANEXO C.

  1. DEFINICIONES

    "Legislación aplicable se refiere a todas las leyes y reglamentos, incluyendo, sin limitación, las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo y sus Estados miembros, el Reino Unido y los Estados Unidos, incluyendo, sin limitación (el "Legislación sobre protección de datos"): (i) el Reglamento General de Protección de Datos de la UE (UE 2016/679) (el "GDPR de la UE"), su incorporación a las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 (el "GDPR del Reino Unido"); (ii) la Ley Federal Suiza de Protección de Datos ("FADP"); (iii) las leyes federales y/o estatales de protección de datos o privacidad de los Estados Unidos, incluida, entre otras, la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 (junto con sus reglamentos de aplicación, la "CPRA"); y/o (iv) cualquier otra legislación nacional aplicable en el Espacio Económico Europeo o el Reino Unido que complemente el GDPR de la UE o el GDPR del Reino Unido (según corresponda), y/o las leyes de privacidad de datos, y/o protección de datos aplicables en los EE.UU, Canadá y México; en cada caso, según se modifiquen, sustituyan o reemplacen ocasionalmente.

    "Afiliado" significa cualquier entidad que directa o indirectamente controle, sea controlada por, o esté bajo control común con la entidad sujeta. "Control", a efectos de esta definición, significa propiedad directa o indirecta o control de más del 50% de las participaciones con derecho a voto de la entidad sujeta.

    "Afiliado autorizado" se refiere a cualquiera de las filiales del Cliente que (a) esté sujeta a la legislación aplicable de la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, y/o el Reino Unido, y (b) esté autorizada a utilizar los Servicios de conformidad con el Acuerdo entre el Cliente y FTS, pero que no haya firmado su propio acuerdo con FTS y no sea un "Cliente" tal y como se define en el Acuerdo.

    "Controlador" se refiere a la entidad que determina los fines y medios del Tratamiento de Datos Personales.

    "Datos de clientes" se refiere a cualquier Dato Personal sujeto a las Leyes de Protección de Datos contenido en los datos de un Cliente y que sea Procesado por FTS en nombre del Cliente de conformidad con el Acuerdo.

    "Sujeto de los datos" la persona identificada o identificable a la que se refieren los Datos Personales.

    "SCC de la UE" significa las Cláusulas Contractuales Tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión de la UE, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

    "Datos personales se refiere a cualquier información relativa a (i) una persona física identificada o identificable y, (ii) una persona jurídica identificada o identificable (cuando dicha información esté protegida de forma similar a los datos personales o la información de identificación personal en virtud de la Legislación Aplicable), cuando para cada (i) o (ii), dichos datos sean Datos del Cliente.

    "Procesando" toda operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a Datos Personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su limitación, supresión o destrucción.

    "Procesador" se refiere a la entidad que trata Datos Personales por cuenta del Responsable del Tratamiento.

    "Subprocesador" se refiere a cualquier persona o tercero designado por FTS para Tratar Datos Personales en nombre de FTS en relación con el Acuerdo.

    "Autoridad supervisora autoridad gubernamental o reguladora responsable de administrar, supervisar el cumplimiento y/o hacer cumplir las leyes de protección de datos.
  2. TRATAMIENTO DE DATOS PERSONALES
    1. Papel de las partes. Las partes reconocen y acuerdan que, con respecto al Tratamiento de Datos Personales, el Cliente es el Controlador y FTS es el Procesador. FTS podrá contratar a Subencargados del tratamiento, de vez en cuando, de conformidad con los requisitos establecidos en la Sección 5 a continuación.
    2. Tratamiento de datos personales. FTS tratará los Datos personales de conformidad con los requisitos de las Leyes aplicables, el Acuerdo, las instrucciones del Cliente y la presente DPA. Para evitar cualquier duda, las instrucciones del Cliente para el Tratamiento de Datos Personales deberán cumplir las Leyes Aplicables. El Cliente no denegará, retrasará ni condicionará de forma irrazonable su aceptación de cualquier cambio del presente APD solicitado por FTS con el fin de garantizar que los Servicios y FTS (y cada Subprocesador) puedan cumplir las Leyes aplicables. El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos personales y de los medios por los que el Cliente adquirió los Datos personales. FTS no será responsable de obtener el consentimiento, la autorización, la aprobación o el acuerdo que puedan requerir las Leyes aplicables, ni de proporcionar notificación con respecto a los Datos del cliente, con el fin de permitir a FTS recibir y procesar los Datos del cliente de conformidad con el Acuerdo. Cuando FTS considere que una instrucción del Cliente supondría el incumplimiento de una Ley aplicable, o si FTS considera que ya no puede cumplir sus obligaciones en virtud de la CPRA, FTS lo notificará al Cliente. FTS tendrá derecho a sospechar del cumplimiento de sus obligaciones en virtud de dicha instrucción hasta que el Cliente confirme o modifique la instrucción.
    3. Tratamiento de datos personales por parte de FTS. FTS únicamente tratará los Datos personales con el fin de proporcionar, respaldar y mejorar los Servicios de FTS (incluyendo la realización de análisis de uso, el suministro de información y otros informes), y en nombre del Cliente y de conformidad con sus instrucciones documentadas para los siguientes fines: (i) Tratamiento de conformidad con el Acuerdo; (ii) Tratamiento iniciado por los Usuarios autorizados en su uso de los Servicios; (iii) Tratamiento para cumplir con otras instrucciones razonables documentadas proporcionadas por el Cliente (por ejemplo, a través del correo electrónico) cuando dichas instrucciones sean coherentes con los términos del Acuerdo; y (iv) para cumplir la Legislación Aplicable pertinente a FTS.
    4. Detalles del tratamiento. El objeto del Tratamiento de Datos Personales por parte de FTS es la prestación de los Servicios de conformidad con el Acuerdo. La duración del Procesamiento, la naturaleza y la finalidad del Procesamiento, los tipos de Datos personales y las categorías de Sujetos de datos procesados en virtud del presente APD se especifican con más detalle en el ANEXO A del presente APD. Por la presente, FTS notifica al Cliente que el procesamiento realizado por la plataforma de software de FTS incluirá el almacenamiento de datos personales y análisis de uso del usuario. El Acuerdo se modifica para incluir este Tratamiento.
  3. DERECHOS DE LOS INTERESADOS

    En la medida en que esté legal y técnicamente permitido, FTS notificará inmediatamente al Cliente si recibe una solicitud de un Sujeto de datos para ejercer su derecho de acceso, rectificación, limitación del tratamiento, supresión, portabilidad de datos, oposición al tratamiento o su derecho a no ser objeto de una toma de decisiones individual automatizada ("Solicitud del Sujeto de datos"). En función de la naturaleza del Tratamiento, FTS no responderá directamente a las solicitudes del Sujeto de los datos. FTS realizará todos los esfuerzos comercialmente razonables para ayudar al Cliente mediante las medidas técnicas y organizativas adecuadas, en la medida en que sea posible, para el cumplimiento de la obligación del Cliente de responder a una Solicitud del Sujeto de los Datos en virtud de la Legislación Aplicable. Además, a petición del Cliente, FTS realizará los esfuerzos comercialmente razonables para ayudar al Cliente a responder a dicha solicitud del Sujeto de los datos, en la medida en que FTS esté legalmente autorizado a hacerlo y la respuesta a dicha solicitud del Sujeto de los datos sea obligatoria en virtud de las Leyes aplicables. En la medida en que la ley lo permita, el Cliente será responsable de cualquier coste derivado de la prestación por parte de FTS de la asistencia establecida en la presente Sección 3.
  4. PERSONAL
    1. Confidencialidad. FTS se asegurará de que su personal implicado en el Tratamiento de Datos Personales esté informado de la naturaleza confidencial de los Datos Personales, haya recibido la formación adecuada sobre sus responsabilidades y haya firmado acuerdos de confidencialidad por escrito.
    2. Fiabilidad. FTS tomará las medidas comercialmente razonables para garantizar la fiabilidad de todo el personal de FTS que participe en el Tratamiento de Datos Personales.
    3. Limitación de acceso. FTS garantizará que el acceso de FTS a los Datos Personales se limite al personal que preste los Servicios de conformidad con el Acuerdo.
    4. Responsable de protección de datos. FTS no designa a un Responsable de Protección de Datos. Si tiene alguna pregunta relacionada con el Tratamiento de Datos Personales, el Cliente puede ponerse en contacto con FTS en [email protected].
  5. SUBPROCESADORES
    1. Designación de subencargados del tratamiento. El Cliente reconoce y acepta que FTS podrá contratar a terceros Subprocesadores en relación con la prestación de los Servicios. FTS ha suscrito o suscribirá un acuerdo por escrito con cada Subprocesador que contenga obligaciones de protección de datos no menos protectoras que las del presente APD con respecto a la protección de los Datos del cliente en la medida aplicable a la naturaleza de los Servicios prestados por dicho Subprocesador.
    2. Lista de subprocesadores actuales y notificación de nuevos subprocesadores. Se adjunta como ANEXO C la lista actual de Subencargados del Tratamiento para los Servicios. FTS notificará la existencia de un nuevo Subencargado del tratamiento antes de autorizar a cualquier nuevo Subencargado del tratamiento de Datos personales en relación con la prestación de los Servicios aplicables. Dicha autorización no se denegará injustificadamente. La lista de Subencargados del Tratamiento se actualizará en la política de privacidad de FTS, visible en https://www.ftsgps.com/legal/website-privacy-policy/.
    3. Derecho de oposición para nuevos subencargados del tratamiento. El Cliente podrá objetar al uso por parte de FTS de un nuevo Subprocesador notificándolo inmediatamente a FTS por escrito en un plazo de diez (10) días laborables tras la recepción de la notificación de FTS de conformidad con el apartado 5.2. La objeción del Cliente se realizará por escrito e incluirá las razones específicas del Cliente para su objeción y las opciones para mitigarla, si las hubiera. En caso de que el Cliente se oponga a un nuevo Subprocesador, FTS hará todo lo razonablemente posible para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en la configuración o el uso de los Servicios por parte del Cliente para evitar el Procesamiento de Datos personales por parte del nuevo Subprocesador objetado, sin que ello suponga una carga excesiva para el Cliente. Si FTS no puede realizar dicho cambio en un periodo de tiempo razonable, que no superará los treinta (30) días, el Cliente podrá rescindir el Acuerdo aplicable con respecto únicamente a aquellos Servicios que FTS no pueda prestar sin utilizar el nuevo Subencargado objetado, notificándolo por escrito a FTS. FTS reembolsará al Cliente cualquier tarifa prepagada que cubra el resto de la vigencia de dicho Acuerdo tras la fecha efectiva de rescisión con respecto a dichos Servicios rescindidos, sin imponer al Cliente ninguna penalización por dicha rescisión. Si el Cliente no se opone dentro de dicho plazo, se podrá encargar al Subencargado correspondiente el Tratamiento de los Datos del Cliente. Cuando exista una razón importante para objetar a un Subencargado del tratamiento y se proporcione a FTS por escrito, a falta de una resolución amistosa si cada parte actúa razonablemente y de buena fe), los Clientes sujetos al GDPR de la UE y del Reino Unido podrán rescindir el Acuerdo en relación únicamente con las características o funciones afectadas de los Servicios.
    4. Responsabilidad civil. FTS será responsable de los actos y omisiones de sus Subprocesadores en la misma medida en que FTS sería responsable si realizara los servicios de cada Subprocesador directamente en virtud de los términos del presente APD, salvo que se establezca lo contrario en el Acuerdo.
  6. SEGURIDAD
    1. Controles para la protección de los datos de los clientes. FTS mantendrá las medidas técnicas, administrativas y organizativas apropiadas para la protección de la seguridad (incluida la protección contra el Tratamiento no autorizado o ilegal y contra la destrucción, pérdida o alteración accidental o ilegal, daño, revelación no autorizada o acceso a los Datos del cliente), confidencialidad e integridad de los Datos del cliente.
  7. GESTIÓN Y NOTIFICACIÓN DE INCIDENTES RELACIONADOS CON LOS DATOS DE LOS CLIENTES

    FTS notificará al Cliente sin demora indebida tras tener conocimiento de la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente, incluidos los Datos Personales, transmitidos, almacenados o procesados de otro modo por FTS o sus Subprocesadores (a "Incidente con datos de clientes"). FTS realizará los esfuerzos razonables para identificar la causa de dicha Incidencia de datos del cliente y tomará las medidas que FTS considere necesarias y razonables para remediar la causa de dicha Incidencia de datos del cliente en la medida en que el remedio esté dentro del control razonable de FTS. Las presentes obligaciones no se aplicarán a incidentes causados por el Cliente o los Usuarios autorizados del Cliente.
  8. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

    Como Controlador, el Cliente garantiza que: (i) la legislación que le es aplicable no impide a FTS cumplir las instrucciones recibidas del Responsable o Responsables del tratamiento y llevar a cabo las obligaciones de FTS en virtud del presente APD y del Acuerdo; y (ii) ha cumplido y sigue cumpliendo la Legislación Aplicable, en particular que ha obtenido los consentimientos necesarios o ha realizado las notificaciones necesarias, y que, por lo demás, tiene un motivo legítimo para revelar los datos a FTS y permitir el Tratamiento de los Datos Personales por parte de FTS según lo establecido en el presente APD y según lo previsto en cualquier acuerdo de servicios vigente entre las Partes.

    El Cliente también garantiza que mantiene registros precisos y actualizados de la base jurídica para el tratamiento, incluidos los flujos de consentimiento pertinentes. Si el Cliente se basa en el "interés legítimo" en virtud del artículo 6, apartado 1, letra f), del RGPD, garantiza que ha sopesado sus intereses frente a los derechos fundamentales del interesado y mantiene registros de este proceso.

    El Cliente acepta que, de forma conjunta y solidaria con cualquier otro Controlador de datos, indemnizará y mantendrá indemne a FTS, previa solicitud, frente a todas las reclamaciones, responsabilidades, costes, gastos, pérdidas o daños (incluidos, entre otros, pérdidas consecuenciales, lucro cesante y pérdida de reputación, así como todos los intereses, sanciones y costes y gastos legales y de otros profesionales) en los que incurra FTS y cualquier otro FTS que se deriven directa o indirectamente del incumplimiento de esta Cláusula.
  9. DEVOLUCIÓN Y SUPRESIÓN DE DATOS DE CLIENTES

    FTS devolverá los Datos del cliente al Cliente y, en la medida en que lo permitan las Leyes aplicables, eliminará los Datos del cliente de acuerdo con las políticas y procedimientos de FTS en un plazo razonable tras la finalización del Acuerdo.
  10. AFILIADOS AUTORIZADOS
    1. Relación contractual. Las Partes reconocen y acuerdan que, mediante la ejecución del presente APD, el Cliente celebra el presente APD en su propio nombre y, en su caso, en nombre y representación de sus Afiliados Autorizados, estableciendo así un APD independiente entre FTS y cada uno de dichos Afiliados Autorizados sujeto a las disposiciones del presente APD. Cada Filial Autorizada acuerda estar vinculada por las obligaciones derivadas del presente APD y, en la medida aplicable, del Acuerdo. Para evitar cualquier duda, un Afiliado Autorizado no es y no se convierte en parte del Acuerdo y sólo es parte del APD. Todo acceso y uso de los Servicios por parte de los Afiliados Autorizados debe cumplir con los términos y condiciones del APD y del Acuerdo, y cualquier violación de los términos y condiciones del APD y del Acuerdo por parte de un Afiliado Autorizado se considerará una violación por parte del Cliente.
    2. Aviso. El Cliente que sea la parte contratante del Acuerdo seguirá siendo responsable de coordinar todas las comunicaciones con FTS en virtud del presente APD y tendrá derecho a realizar y recibir cualquier comunicación en relación con el presente APD en nombre de sus Filiales autorizadas.
    3. Derechos de los afiliados autorizados. Salvo cuando la Legislación Aplicable exija que el Afiliado Autorizado ejerza un derecho o interponga cualquier recurso en virtud del presente APD contra FTS directamente por sí mismo, las Partes acuerdan que (i) únicamente el Cliente que sea la parte contratante del Acuerdo ejercerá dicho derecho o interpondrá dicho recurso en nombre del Afiliado Autorizado, y (ii) el Cliente que sea la parte contratante del Acuerdo ejercerá dichos derechos en virtud del presente APD no por separado para cada Afiliado Autorizado individualmente, sino de forma combinada para todos sus Afiliados Autorizados juntos.
  11. LIMITACIONES DE RESPONSABILIDAD

    La responsabilidad de cada una de las partes y de todas sus Afiliadas, tomadas conjuntamente en su conjunto, derivada de o relacionada con el presente DPA, y todos los DPA entre Afiliadas autorizadas y FTS, ya sea por contrato, agravio o bajo cualquier otra teoría de responsabilidad, está sujeta a la sección "Limitación de responsabilidad" del Acuerdo, y cualquier otra referencia en el Acuerdo que limite la responsabilidad de FTS en virtud del Acuerdo, y cualquier referencia en el Acuerdo de dicha sección a la responsabilidad de una parte significa la responsabilidad agregada de dicha parte y de todos sus Afiliados en virtud del Acuerdo y de todos los APD juntos.

    Para evitar cualquier duda, la responsabilidad total de FTS por todas las reclamaciones del Cliente y de todas sus Afiliadas Autorizadas derivadas o relacionadas con el Acuerdo y cada APD se aplicará de forma conjunta a todas las reclamaciones tanto en virtud del Acuerdo como de todos los APD establecidos en virtud del presente APD, incluidas las del Cliente y todas sus Afiliadas Autorizadas, y, en particular, no se entenderá que se aplica de forma individual y solidaria al Cliente y/o a cualquier Afiliada Autorizada que sea parte contractual de cualquiera de dichos APD.
  12. TRANSFERENCIAS DE DATOS
    1. Traslados. FTS podrá transferir los Datos del cliente a cualquier país o territorio, según sea razonablemente necesario para el suministro de los Productos, de conformidad con el presente Anexo. En la medida en que el suministro de Productos en virtud del Acuerdo implique una transferencia de Datos del cliente que estén protegidos por las Leyes de protección de datos aplicables a la Unión Europea, el Reino Unido y/o Suiza, y dichos Datos del cliente se transfieran a un país que no esté reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente de Suiza, y transferencias desde el Reino Unido, la autoridad reguladora u organismo gubernamental competente del Reino Unido) como proveedor de un nivel adecuado de protección en virtud de las Leyes de protección de datos aplicables, FTS y el Cliente acuerdan respetar y procesar los Datos del cliente de conformidad con los mecanismos de transferencia especificados a continuación.
    2. Evaluación de impacto de la protección de datos y autoridad de control. A petición del Cliente, FTS proporcionará al Cliente la cooperación y asistencia razonables necesarias para cumplir la obligación del Cliente en virtud del GDPR de llevar a cabo una evaluación del impacto de la protección de datos relacionada con el uso de los Servicios por parte del Cliente, en la medida en que el Cliente no tenga acceso de otro modo a la información pertinente, y en la medida en que dicha información esté disponible para FTS. Cuando proceda y/o se exija legalmente, FTS prestará asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad de Supervisión en el desempeño de sus tareas relacionadas con el presente APD, en la medida en que lo exija el GDPR.
    3. Mecanismo de transferencia de datos. Toda transferencia de Datos Personales en virtud del presente APD desde la Unión Europea, el Espacio Económico Europeo y/o sus Estados miembros, y el Reino Unido a países que no garanticen un nivel adecuado de protección de datos en el sentido de las Leyes Aplicables de los territorios mencionados, se realizará, en la medida en que dichas transferencias estén sujetas a dichas Leyes Aplicables, de conformidad con los CCE de la UE establecidos en el ANEXO B del presente APD.
    4. Registros, información y auditorías. FTS deberá (i) mantener, de conformidad con el artículo 30 del GDPR de la UE, registros escritos de todas las categorías de actividades de procesamiento llevadas a cabo en nombre del Cliente; y (ii) en la medida en que se requiera en virtud del artículo 28 del GDPR, poner a disposición del Cliente o de la Autoridad de Supervisión la información que sea razonablemente necesaria para demostrar el cumplimiento por parte de FTS de las obligaciones de un Procesador en virtud del GDPR.

      En caso de dicha solicitud de información, auditoría y/o solicitud de inspección por parte del Cliente, el Cliente:
      1. notifique a FTS con una antelación razonable la solicitud de información, auditoría y/o inspección requerida por el Cliente;
      2. garantice que toda la información obtenida o generada por el Cliente o su(s) auditor(es) en relación con dichas solicitudes de información, inspecciones y auditorías se mantenga estrictamente confidencial (salvo para su divulgación a la Autoridad de Supervisión o según lo exija la Legislación Aplicable);
      3. garantice que la auditoría o inspección se lleve a cabo durante el horario laboral normal, con una interrupción mínima de la actividad de FTS, de la actividad de los subprocesadores y de la actividad de otros clientes de FTS;
      4. reembolsa a FTS los costes razonables que ésta asuma por ayudar a facilitar información y permitir y contribuir a inspecciones y auditorías; y
      5. no realice más de una auditoría o inspección de este tipo durante un periodo de doce (12) meses.

        Si una Autoridad supervisora requiere una auditoría de las instalaciones de Tratamiento de datos personales con el fin de determinar o supervisar el cumplimiento por parte de FTS de la Legislación aplicable, FTS cooperará con dicha auditoría.
    5. Transferencias desde el EEE. En lo que respecta a las transferencias de Datos de Clientes protegidos por el GDPR de la UE, se aplicará el Módulo Dos de las CEC de la UE adjuntas (incluidos los anexos adjuntos) de la siguiente manera (a menos que el Cliente sea un Encargado del Tratamiento, en cuyo caso se aplicará el Módulo Tres):
      1. No se aplicará la cláusula de acoplamiento opcional de la cláusula 7 de las CEC de la UE.
      2. A efectos de la cláusula 8.1(a) de los CEC de la UE, lo siguiente se considera una instrucción del Cliente para que FTS y sus Subprocesadores procesen Datos personales: (a) Procesamiento de conformidad con el Acuerdo; (b) Procesamiento iniciado por el Cliente en su uso de los Productos; y (c) Procesamiento para cumplir con otras instrucciones razonables proporcionadas por el Cliente de vez en cuando (por ejemplo, por correo electrónico) cuando dichas instrucciones sean coherentes con los términos del Acuerdo.
      3. El derecho de auditoría del Cliente en virtud de la cláusula 8.9 de las CEC de la UE podrá ejercerse como se especifica en la Sección 9 de este Addendum.
      4. De conformidad con la cláusula 9(a) de los CCE de la UE, las Filiales de FTS podrán ser contratadas como Subprocesadores, y FTS y sus Filiales, respectivamente, están generalmente autorizadas por el Cliente y podrán contratar a terceros Subprocesadores en relación con la entrega de los Productos. FTS pondrá a disposición del Cliente su lista actualizada de Subprocesadores, de conformidad con la Sección 5 del presente Anexo.
      5. De conformidad con la cláusula 9(a) de los CEC de la UE, FTS podrá contratar nuevos Subprocesadores, tal y como se describe en el apartado 5.2 del presente Anexo. Las partes acuerdan que las copias de los acuerdos de Subprocesador que FTS deba proporcionar al Cliente de conformidad con la cláusula 9(c) de los CCE de la UE podrán tener toda la información comercial, o cláusulas no relacionadas con los CCE de la UE o su equivalente, eliminadas por FTS de antemano; y, que dichas copias serán proporcionadas por FTS, de la forma que determine a su discreción, sólo a petición del Cliente. Dichos acuerdos facilitados al Cliente de conformidad con el presente Apartado 10.1.1 del presente Addendum se considerarán Información Confidencial de FTS.
      6. A efectos de las cláusulas 8.5 y 16(d) de los CCE de la UE, FTS cumplirá con sus obligaciones de devolver o destruir todos los Datos Personales, tal y como se especifica en la Sección 11 del presente Addendum.
      7. No se aplicará la cláusula de recurso opcional de la cláusula 11(a) de las CEC de la UE.
      8. En la cláusula 17, se aplicará la opción 1, y las CEC de la UE se regirán por la legislación de la República de Irlanda.
      9. En la cláusula 18(b), la elección del foro y la jurisdicción para cualquier litigio se resolverán ante los tribunales de la República de Irlanda.
      10. El anexo I se cumplimentará con la información que figura en el anexo I de la presente DPA.
      11. El anexo II se completará con la información que figura en el anexo II del presente APD.
      12. El anexo III se cumplimentará con la información que figura en el anexo III del presente APD.
    6. Traslados desde Suiza. En lo que respecta a las transferencias de Datos FTS protegidos por el FADP suizo, se aplicarán los CEC de la UE tal como se especifica en la sección 12.2 anterior, con la salvedad de que:
      1. la autoridad de control competente es el Comisario Federal Suizo de Protección de Datos e Información;
      2. las referencias al "Estado miembro" en los CEC de la UE se refieren a Suiza, y los interesados situados en Suiza pueden ejercer y hacer valer sus derechos en virtud de los CEC de la UE en Suiza; y
      3. las referencias al "Reglamento general de protección de datos", el "Reglamento 2016/679" y el "RGPD" en los CCE de la UE se refieren al RGPD suizo (modificado o sustituido).
    7. Traslados desde el Reino Unido. Con respecto a las transferencias de Datos FTS protegidos por el GDPR del Reino Unido, la Adenda del Reino Unido a las Cláusulas Contractuales Estándar de la UE ("Adenda del Reino Unido") emitida por la Oficina del Comisionado de Información ("ICO") en virtud de s.119A (1) de la Ley de Protección de Datos de 2018 se incorpora por la presente y se aplicará de la siguiente manera:
      1. los CEC de la UE, cumplimentados según lo establecido en la sección 10.1.1 anterior y según se adjunta al presente documento, también se aplicarán a las transferencias de dichos Datos del cliente;
      2. el Addendum del Reino Unido se considerará ejecutado entre FTS y el Cliente y los CCE de la UE se considerarán modificados según lo especificado por el Addendum del Reino Unido con respecto a la transferencia de dichos Datos del Cliente; y
      3. la autoridad de control competente para dichos Datos FTS protegidos por el GDPR del Reino Unido será la ICO.
    8. Si, en la ejecución del presente apéndice, FTS transfiere datos personales a un subencargado del tratamiento que trate datos personales fuera de la Unión Europea, Suiza o el Reino Unido, FTS se asegurará, antes de dicha transferencia, de que existe un mecanismo para lograr la adecuación con respecto a dicho tratamiento, como por ejemplo: (a) el requisito de que FTS ejecute o procure que el tercero ejecute Cláusulas Contractuales Estándar; o (b) cualquier otra salvaguarda específicamente aprobada para las transferencias de datos (tal y como se reconoce en las Leyes de Protección de Datos) y/o un dictamen de adecuación de la Comisión Europea.
    9. En la medida en que el mecanismo de transferencia en el que se basa cualquier transferencia extraterritorial de Datos Personales desde un Cliente de la Unión Europea, Suiza o el Reino Unido, según proceda, en virtud del presente documento, a una ubicación que ya no se considere que proporciona un nivel adecuado de protección en virtud de las Leyes de Protección de Datos aplicables, las Partes se reunirán sin demora, en un plazo de 60 días a partir del momento en que FTS tenga conocimiento de dicha inadecuación, para debatir y acordar un mecanismo de transferencia alternativo o medidas complementarias alternativas en consonancia con las orientaciones pertinentes proporcionadas con respecto a las Leyes de Protección de Datos tan pronto como sea razonablemente posible. FTS se esforzará razonablemente por supervisar la eficacia de sus medidas complementarias, y podrá realizar los cambios o ajustes apropiados que considere necesarios (actuando razonablemente y de buena fe).
    10. En la medida en que los Datos del cliente se refieran a residentes de California, FTS es un proveedor de servicios, según la definición de la CPRA, del Cliente.
    11. En la medida en que los Datos del cliente se refieran a residentes de California, FTS no conservará, utilizará, venderá, compartirá ni divulgará de ningún otro modo los Datos del cliente (incluidos los fines comerciales u otros fines ajenos a la relación comercial directa entre las partes) salvo en la medida en que lo permita la ley o sea necesario para proporcionar y respaldar los Productos, tal y como se establece en el Acuerdo. A efectos de esta sección, los términos "vender" y "compartir" tendrán el significado que se les da en la CPRA.
    12. En la medida en que los Datos del cliente se refieran a residentes de California, FTS cumplirá las restricciones aplicables en virtud de la CPRA sobre la combinación de dichos Datos del cliente que FTS reciba de, o en nombre de, el Cliente con los Datos personales que FTS reciba de, o en nombre de, otra persona o personas, o que FTS recopile de cualquier interacción entre ella y un Sujeto de datos.
    13. En la medida en que los Datos del cliente se refieran a residentes de California, FTS cumplirá la CPRA y, teniendo en cuenta el papel de FTS en el Tratamiento, proporcionará el nivel de protección de los Datos del cliente pertinentes exigido por la CPRA.
  13. LEGISLACIÓN APLICABLE
    1. Jurisdicción. Sin perjuicio de los CEC de la UE adjuntos como ANEXO B, las Partes del presente APD se someten a la elección de la jurisdicción estipulada en el Acuerdo con respecto a cualquier litigio o reclamación que surja en virtud del presente APD, incluidos los litigios relativos a su existencia, validez o terminación o las consecuencias de su nulidad.
    2. Cláusulas contractuales tipo. Nada de lo dispuesto en el presente Apéndice reduce las obligaciones de FTS en virtud del Acuerdo en relación con la protección de Datos personales ni permite a FTS o a cualquier Filial de FTS Procesar (o permitir el Procesamiento de) Datos personales de un modo prohibido por el Acuerdo. No es intención del Cliente ni de FTS contradecir o restringir ninguna de las disposiciones establecidas en los CEC de la UE y el Apéndice del Reino Unido y, en consecuencia, si y en la medida en que los CEC de la UE y/o el Apéndice del Reino Unido entren en conflicto con cualquier disposición del Acuerdo, los CEC de la UE y/o el Apéndice del Reino Unido prevalecerán en la medida de dicho conflicto. Si una nueva Ley de Protección de Datos entra en vigor y es aplicable a FTS, FTS y el Cliente tomarán todas las medidas razonables exigidas por dicha Ley de Protección de Datos para garantizar la capacidad de las partes de cumplir con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos aplicables.
    3. Conflictos con esta Adenda. Sin perjuicio de lo dispuesto en el apartado 13.2, en lo que respecta al objeto del presente Addendum, en caso de contradicciones entre las disposiciones del presente Addendum y cualesquiera otros acuerdos entre las partes, incluido el Contrato e incluidos (salvo acuerdo explícito en contrario por escrito, firmado en nombre de las partes) los acuerdos celebrados o que se pretendan celebrar con posterioridad a la fecha del presente Addendum, prevalecerán las disposiciones del presente Addendum.
  14. EFECTO JURÍDICO

    El presente APD sólo será jurídicamente vinculante entre el Cliente y FTS tras la firma del Acuerdo por parte del Cliente.
  15. SEVERANCE

    Si alguna de las disposiciones del presente APD fuera inválida o inaplicable, el resto del APD seguirá siendo válido y vigente. La disposición inválida o inaplicable será (1) modificada en la medida necesaria para garantizar su validez y aplicabilidad, preservando al mismo tiempo las intenciones de las Partes en la medida de lo posible o, si ello no fuera posible, (2) redactada como si la parte inválida o inaplicable nunca hubiera estado contenida en la misma.
  16. CAMBIOS

    Si FTS emite una notificación en virtud del presente APD o del Acuerdo, las Partes discutirán sin demora las modificaciones propuestas y negociarán de buena fe con vistas a acordar y aplicar dichas modificaciones o modificaciones alternativas diseñadas para abordar los requisitos identificados en la notificación de FTS tan pronto como sea razonablemente práctico.
  17. PLAZO

    El presente APD permanecerá en vigor mientras FTS lleve a cabo operaciones de Procesamiento de Datos Personales en nombre del Cliente o hasta la finalización del Acuerdo (y todos los Datos Personales hayan sido devueltos o eliminados de conformidad con el APD).

Última modificación 31 de julio de 2024

ANEXO A - DETALLES DEL TRATAMIENTO

Naturaleza y finalidad del tratamiento

FTS procesará los Datos personales según sea necesario para prestar los Servicios de conformidad con el Acuerdo y según las instrucciones del Cliente en su uso de los Servicios. El tratamiento incluirá el almacenamiento de datos y el análisis del uso de los usuarios en la nueva plataforma.

Duración del tratamiento

Sujeto a los términos de la DPA, FTS tratará los Datos personales durante la vigencia del Acuerdo, a menos que se acuerde lo contrario por escrito.

Categorías de interesados

El Cliente podrá enviar Datos Personales a los Servicios, cuyo alcance será determinado y controlado por el Cliente a su entera discreción, y que podrán incluir, entre otros, Datos Personales relativos a las siguientes categorías de interesados:

  • Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que sean personas físicas)
  • Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y vendedores del Cliente.
  • Empleados, agentes, contratistas, asesores, trabajadores autónomos del Cliente (que sean personas físicas).
  • El usuario final del Cliente autorizado por éste a utilizar los Servicios

Tipo de datos personales

El Cliente puede enviar Datos Personales a los Servicios, cuyo alcance es determinado y controlado por el Cliente a su entera discreción, y que pueden incluir, entre otras, las siguientes categorías de Datos Personales:

  • Nombre y apellidos
  • Título
  • Posición
  • Empresario
  • Información de contacto
  • Información sobre la cuenta
  • Información sobre el dispositivo
  • Datos personales
  • Fecha de la vida profesional
  • Información sobre uso y preferencias
  • Datos de geolocalización
  • Datos de conexión
  • Información sobre el conductor y el vehículo

ANEXO B - SCCS DE LA UE

Objeto y ámbito de aplicación

  1. El objetivo de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos o "RGPD")(1) para la transferencia de datos personales a un tercer país.
  2. Las Partes:
    1. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en lo sucesivo, "entidad(es)") que transfiere(n) los datos personales, enumerados en el anexo I.A (en lo sucesivo, "exportador(es) de datos"), y
    2. la(s) entidad(es) de un tercer país que reciba(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte en las presentes Cláusulas, enumeradas en el Anexo I.A (en lo sucesivo, cada "importador de datos") haya(n) aceptado las presentes cláusulas contractuales tipo (en lo sucesivo, las "Cláusulas").
  3. Las presentes Cláusulas se aplican a la transferencia de datos personales tal como se especifica en el Anexo I.B.
  4. El Apéndice de las presentes Cláusulas, que contiene los Anexos en él mencionados, forma parte integrante de las mismas.

Artículo 2

Efecto e invariabilidad de las cláusulas

  1. Las presentes Cláusulas establecen garantías adecuadas, incluidos derechos exigibles de los interesados y recursos jurídicos efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados del tratamiento, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información en el apéndice. Ello no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
  2. ) Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Artículo 3

Terceros beneficiarios

  1. Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:
    1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
    3. Cláusula 9(a), (c), (d) y (e);
    4. Cláusula 12(a), (d) y (f);
    5. Cláusula 13; (vi) Cláusula 15.1(c), (d) y (e);
    6. Cláusula 16(e);
    7. Cláusula 18(a) y (b).
  2. El apartado a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Artículo 4

Interpretación

  1. Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
  2. Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.
  3. Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Artículo 5

Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.

Artículo 6

Descripción de la(s) transferencia(s)
Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

Cláusula 7 - Omisión intencionada

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Artículo 8

Protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes cláusulas.

    1. Instrucciones
      1. El importador de datos tratará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la vigencia del contrato.
      2. El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.
    2. Limitación de la finalidad
      El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.
    3. Transparencia
      Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia de las presentes cláusulas, incluido el apéndice completado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del apéndice de las presentes cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el interesado no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
    4. Precisión
      Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora injustificada. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.
    5. Duración del tratamiento y supresión o devolución de los datos
      El tratamiento por parte del importador de datos sólo tendrá lugar durante el período especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados por cuenta del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados por cuenta suya y suprimirá las copias existentes. Hasta que se supriman o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo los tratará en la medida y durante el tiempo que exija dicha legislación local. Esto se entiende sin perjuicio de la Cláusula 14, en particular del requisito de que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).
    6. Seguridad del tratamiento
      1. El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra quebrantamientos de la seguridad que provoquen la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de dichos datos (en lo sucesivo, "violación de los datos personales"). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad o finalidades del tratamiento, así como los riesgos que entrañe el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado concreto permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que dichas medidas siguen proporcionando un nivel de seguridad adecuado.
      2. El importador de datos sólo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
      3. En caso de violación de datos personales relativos a datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora injustificada tras haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información de que se disponga en ese momento y, posteriormente, a medida que se vaya disponiendo de ella, se facilitará más información sin demora injustificada.
      4. El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir las obligaciones que le incumben en virtud del Reglamento (UE) 2016/679, en particular la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
    7. Datos sensibles
      Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, "datos sensibles"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.
    8. Traslados
      El importador de datos sólo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán comunicarse a un tercero situado fuera de la Unión Europea(2) (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo "transferencia ulterior") si el tercero está o acepta estar vinculado por las presentes Cláusulas , en virtud del Módulo correspondiente, o si:
      1. la transferencia ulterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
      2. el tercero garantiza de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
      3. la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
      4. la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.
        Toda transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en las presentes cláusulas, en particular la limitación de la finalidad.
    9. Documentación y conformidad
      1. El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento previsto en las presentes cláusulas.
      2. Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas por cuenta del exportador de datos.
      3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si existen indicios de incumplimiento. A la hora de decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
      4. El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.
      5. Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en las letras b) y c), incluidos los resultados de cualquier auditoría.

Artículo 9

Uso de subprocesadores

  1. El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargados del tratamiento de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con una antelación mínima de 10 días naturales, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados del tratamiento. El importador de datos facilitará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.
  2. Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de las presentes cláusulas, incluso en lo que respecta a los derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, mediante el cumplimiento de esta Cláusula, el importador de datos cumple sus obligaciones en virtud de la Cláusula 8.8. El importador de datos velará por que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.
  3. El importador de datos facilitará al exportador de datos, a petición de éste, una copia de dicho acuerdo de subencargado del tratamiento y de cualquier modificación posterior. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
  4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de las obligaciones derivadas de dicho contrato.
  5. El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de facto, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado que borre o devuelva los datos personales.

Artículo 10

Derechos del interesado

  1. El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá por sí mismo a dicha solicitud a menos que haya sido autorizado para ello por el exportador de datos.
  2. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos con arreglo al Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.
  3. En el cumplimiento de sus obligaciones en virtud de las letras a) y b), el importador de datos deberá atenerse a las instrucciones del exportador de datos.

Artículo 11

Reparación

  1. El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tratará sin demora cualquier reclamación que reciba de un interesado.
  2. En caso de litigio entre un interesado y una de las Partes en lo que respecta al cumplimiento de las presentes cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y en el momento oportuno. Las Partes se mantendrán mutuamente informadas sobre dichos litigios y, en su caso, cooperarán para resolverlos.
  3. Cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, el importador de datos aceptará la decisión del interesado de:
    1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o de su lugar de trabajo, o ante la autoridad de control competente en virtud de la cláusula 13;
    2. remitir el litigio a los tribunales competentes en el sentido de la cláusula 18.
  4. Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
  5. El importador de datos acatará una decisión que sea vinculante con arreglo a la legislación aplicable de la UE o de los Estados miembros.
  6. El importador de datos acepta que la elección realizada por el interesado no menoscabará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación aplicable.

Artículo 12

Responsabilidad

  1. Cada una de las Partes será responsable ante la/s otra/s de los daños y perjuicios que cause a la/s otra/s por el incumplimiento de las presentes Cláusulas.
  2. El importador de datos será responsable ante el interesado, y éste tendrá derecho a ser indemnizado, por cualquier daño material o moral que el importador de datos o su subencargado le cause por infringir los derechos de terceros beneficiarios previstos en las presentes cláusulas.
  3. No obstante lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado, y este tendrá derecho a recibir una indemnización, por cualquier daño material o moral que el exportador de datos o el importador de datos (o su subencargado del tratamiento) cause al interesado por vulnerar los derechos de terceros beneficiarios en virtud de las presentes cláusulas. Ello se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.
  4. Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del apartado (c) de los daños causados por el importador de datos (o su subencargado del tratamiento), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.
  5. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia del incumplimiento de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.
  6. Las Partes acuerdan que si una Parte es considerada responsable en virtud del apartado (e), tendrá derecho a reclamar a la otra Parte o Partes la parte de la indemnización que corresponda a su responsabilidad por el daño.
  7. El importador de datos no puede invocar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Artículo 13

Supervisión

  1. Cuando el exportador de datos esté establecido en un Estado miembro de la UE: Actuará como autoridad de control competente la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C. Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679: La autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de supervisión competente.
    Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin que, no obstante, deba designar a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679: Actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle, tal como se indica en el anexo I.C.
  2. El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes cláusulas. En particular, el importador de datos acepta responder a las investigaciones, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han adoptado las medidas necesarias.

SECCIÓN III - LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

Artículo 14

Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas

  1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluido cualquier requisito de revelar datos personales o medidas que autoricen el acceso de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con las presentes Cláusulas.
  2. Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
    1. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
    2. la legislación y las prácticas del tercer país de destino -incluidas las que exigen la comunicación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables(3);
    3. todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.
  3. El importador de datos garantiza que, al llevar a cabo la evaluación prevista en la letra b), ha hecho todo lo posible por facilitar al exportador de datos la información pertinente y acepta que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de las presentes Cláusulas.
  4. Las Partes acuerdan documentar la evaluación prevista en la letra b) y ponerla a disposición de la autoridad de control competente a petición de ésta.
  5. El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos de la letra a).
  6. Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda en virtud de la presente Cláusula, se aplicarán las letras d) y e) de la Cláusula 16.

Artículo 15

Obligaciones del importador de datos en caso de acceso de las autoridades públicas

    1. Notificación
      1. El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (en caso necesario, con la ayuda del exportador de datos) si:
        1. reciba una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de los datos personales transferidos en virtud de las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o bien
        2. tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.
      2. Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar toda la información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
      3. Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.).
      4. El importador de datos se compromete a conservar la información con arreglo a las letras a) a c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente a petición de ésta.
      5. Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 14(e) y la Cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir estas Cláusulas.
    2. Revisión de la legalidad y minimización de datos
      1. El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, tras una evaluación cuidadosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo a la legislación del país de destino, las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que se le requiera para ello con arreglo a las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos con arreglo a la letra e) de la cláusula 14.
      2. El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente a petición de ésta.
      3. El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Artículo 16

Incumplimiento de las cláusulas y rescisión

  1. El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes cláusulas.
  2. En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Todo ello sin perjuicio de lo dispuesto en la letra f) de la cláusula 14.
  3. (El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas, cuando:
    1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se restablezca el cumplimiento de las presentes cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;
    2. el importador de datos incumple de forma sustancial o persistente las presentes cláusulas; o
    3. el importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes cláusulas.
      En estos casos, informará de dicho incumplimiento a la autoridad de control competente. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, salvo que las Partes hayan acordado otra cosa.
  4. Los datos personales que se hayan transferido antes de la rescisión del contrato con arreglo a la letra c) se devolverán inmediatamente al exportador de datos, a elección de éste, o se suprimirán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales transferidos, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes cláusulas y que sólo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.
  5. Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Artículo 17

Legislación aplicable
Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación de la República de Irlanda.

Artículo 18

Elección de foro y jurisdicción

  1. Cualquier litigio derivado de las presentes cláusulas será resuelto por los tribunales de un Estado miembro de la UE.
  2. Las Partes acuerdan que serán los tribunales de la República de Irlanda.
  3. El interesado también podrá emprender acciones legales contra el exportador o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
  4. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

ANEXO 1 A LAS CLÁUSULAS CONTRACTUALES TIPO

  1. LISTA DE PARTIDOS
    Exportador de datos
    El exportador de datos es: Cliente mencionado en el Acuerdo
    Función: Controlador
    Dirección: Según lo establecido en el Acuerdo
    Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Según se detalla en el apartado B siguiente

    Importador de datos
    El importador de datos es: FTS
    Función: Procesador
    Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Según se detalla en el apartado B siguiente
  2. DESCRIPCIÓN DE LA TRANSFERENCIA
    Interesados

    Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquese):
    El exportador de datos podrá enviar Datos Personales a los Servicios, cuyo alcance será determinado y controlado por el exportador de datos a su entera discreción, y que podrán incluir, entre otros, Datos Personales relativos a las siguientes categorías de interesados:
    • Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que sean personas físicas)
    • Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y proveedores del Cliente
    • Empleados, agentes, asesores, autónomos del Cliente (que sean personas físicas).
    • Usuarios autorizados por el Cliente para utilizar los Servicios

      Categorías de datos

      Los datos personales transferidos se refieren a las siguientes categorías de datos (especifique):
      El exportador de datos puede enviar Datos Personales a los Servicios, cuyo alcance es determinado y controlado por el exportador de datos a su entera discreción, y que pueden incluir, entre otras, las siguientes categorías de Datos Personales:
    • Nombre y apellidos
    • Título
    • Posición
    • Empresario
    • Información de contacto
    • Información sobre la cuenta
    • Información sobre el dispositivo
    • Datos personales
    • Fecha de la vida profesional
    • Información sobre uso y preferencias
    • Datos de geolocalización
    • Información sobre el conductor y el vehículo

      Categorías especiales de datos (si procede)

      Los datos personales transferidos se refieren a las siguientes categorías especiales de datos (especifique):

      El exportador de datos podrá enviar a los Servicios categorías especiales de datos, cuyo alcance será determinado y controlado por el exportador de datos a su entera discreción, y que son, en aras de la claridad, los Datos Personales con información que revele el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical y el tratamiento de datos relativos a la salud o a la vida sexual.

      Operaciones de tratamiento

      Los datos personales transferidos serán objeto de las siguientes actividades básicas de tratamiento (especifíquese): Datos de clientes
      El objetivo del Tratamiento de Datos Personales por parte del importador de datos es la prestación de los Servicios de conformidad con el Acuerdo.

      Naturaleza del tratamiento

      FTS procesará al Cliente a efectos de la prestación de los Servicios al Cliente de conformidad con el Acuerdo y según lo permitido por el mismo, así como para cualquier divulgación obligatoria por ley.

      Finalidad o finalidades de la transferencia y el tratamiento posterior de los datos

      FTS tratará los Datos personales del cliente con el fin de suministrar los Productos al Cliente de conformidad con el Acuerdo y según lo permitido por éste, así como para cualquier divulgación obligatoria por ley.
      El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo.

      La vigencia del Acuerdo más el período comprendido entre la expiración o rescisión del Acuerdo y la eliminación de todos los Datos del cliente por parte de FTS de conformidad con el Acuerdo. Los Datos personales del cliente específicos pueden tener políticas específicas de retención y eliminación de datos (por ejemplo, los datos de vídeo de las cámaras de salpicadero utilizadas por los clientes ubicados en el EEE, que se cargan en el Software alojado, tienen una política de retención de seis meses y un programa de eliminación como configuración predeterminada, que el Cliente acepta y que puede modificarse según los requisitos del Cliente).
  3. AUTORIDAD SUPERVISORA COMPETENTE

    Identifique a la autoridad o autoridades de control competentes de conformidad con la cláusula 13.

    Cuando el exportador de datos esté establecido en un Estado miembro de la UE: La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, actuará como autoridad de control competente.
    Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679: La autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, actuará como autoridad de supervisión competente.
    Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin que, no obstante, tenga que designar a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679: Actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle.

ANEXO 2 A LAS CLÁUSULAS CONTRACTUALES TIPO

Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o documento/legislación adjunta):

El importador de datos mantendrá salvaguardas administrativas, físicas y técnicas para la protección de la seguridad, confidencialidad e integridad de los Datos Personales cargados en los Servicios, tal y como se describe en el Acuerdo.

ANEXO C - Lista de subtransformadores

EL CONTROLADOR HA AUTORIZADO EL USO DE LOS SUBPROCESADORES QUE SE ENUMERAN A CONTINUACIÓN:

SUBPROCESADORFINALIDAD DEL SUBPROCESAMIENTOUBICACIÓN PRINCIPAL
Amazon Web Services, Inc.Servicios de alojamientoEstados Unidos; Irlanda
Infraestructura en la nube de OracleServicios de alojamiento; análisis de datos y servicios de tratamiento de datos de alojamientoEE.UU.
GoogleAlmacén de datos/mapeo (si procede)EE.UU.
Aquí MapasCartografíaEE.UU.
RayaProcesamiento de pagosEE.UU.
OktaAutenticación de inicio de sesiónEE.UU.
TwilioAlerta a los clientesEE.UU.