Cláusulas Contractuales Estándar (SCC) (Controlador a Procesadores)
Las presentes Cláusulas Contractuales Estándar se adjuntan y forman parte del Apéndice sobre el Procesamiento de Datos de monday.com, que está disponible en https://www.monday.com/terms/dpa, o cualquier otro acuerdo entre el Cliente y monday.com que rija el procesamiento de Datos Personales contenidos en los Datos de Cliente (el “DPA”). Salvo disposición en sentido contrario en este adjunto, los términos en mayúscula que se usen en estas Cláusulas Contractuales Estándar tienen los significados definidos en el DPA.
SECCIÓN I
Cláusula 1
Objetivo y alcance
(a) El objetivo de las presentes cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos) para la transferencia de datos personales a otros países.
(b) Las Partes:
(i) las personas físicas o jurídicas, las autoridades públicas, las agencias u otras entidades (en adelante, las “entidades”) que transfieran datos personales, como se detalla en el Anexo I.A (en adelante, cada una, un “exportador de datos”), y
(ii) las entidades en otro país que reciban los datos personales del exportador de datos, de forma directa o indirecta a través de otra entidad que también sea Parte de las presentes Cláusulas, como se detalla en el Anexo I.A (en adelante, cada una, un “importador de datos”)
han acordado las presentes cláusulas contractuales estándar (en adelante, las “Cláusulas”).
(c) Las presentes Cláusulas se aplican en relación con la transferencia de datos personales como se especifica en el Anexo I.B.
(d) El Apéndice de las presentes Cláusulas que contiene los Anexos mencionados allí forma parte integral de dichas Cláusulas.
Cláusula 2
Efecto e invariabilidad de las Cláusulas
(a) Las presentes Cláusulas definen las medidas de protección adecuadas, incluidos los derechos disponibles para los titulares de datos y los recursos legales efectivos, de conformidad con el Artículo 46(1) y el Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de controladores a procesadores o de procesadores a procesadores, las cláusulas contractuales estándar de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar los Módulos adecuados o para agregar o actualizar la información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales estándar definidas en las presentes Cláusulas en un contrato más amplio o que agreguen otras cláusulas o medidas de protección adicionales, en tanto no contradigan, de forma directa o indirecta, las presentes Cláusulas ni perjudiquen las libertades o los derechos fundamentales de los titulares de datos.
(b) Las presentes Cláusulas no afectan las obligaciones a las que el exportador de datos está sujeto en virtud del Reglamento (UE) 2016/679.
Cláusula 3
Terceros beneficiarios
(a) Los titulares de datos pueden invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, en contra del exportador o importador de datos, con las siguientes excepciones:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8.1(b) y 8.9(a), (c), (d), (e);
(iii) Cláusula 9(a), (c), (d) y (e);
(iv) Cláusula 12(a), (d) y (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c) (d) y (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18(a) y (b).
(b) El párrafo (a) es sin perjuicio de los derechos de los titulares de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 4
Interpretación
(a) Cuando en las presentes Cláusulas se usen términos que se definen en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en el Reglamento.
(b) Las presentes Cláusulas deben leerse e interpretarse a la luz de las disposiciones del Reglamento (UE) 2016/679.
(c) Las presentes Cláusulas no deben interpretarse de forma tal que contradiga los derechos y las obligaciones dispuestas en el Reglamento (UE) 2016/679.
Cláusula 5
Jerarquía
En caso de contradicción entre las presentes Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, que ya existan al momento de aceptar estas Cláusulas o que se celebren con posterioridad, prevalecerán las presentes Cláusulas.
Cláusula 6
Descripción de las transferencias
Los detalles de las transferencias y, específicamente, las categorías de los datos personales que se transfieren y los objetivos para los cuales se transfieren, se detallan en el Anexo I.B.
Cláusula 7 (opcional)
Sin usar.
SECCIÓN II. OBLIGACIONES DE LAS PARTES
Cláusula 8
Medidas de protección de los datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos sea capaz, mediante la implementación de medidas técnicas y organizativas adecuadas, de cumplir con sus obligaciones en virtud de las presentes Cláusulas.
8.1 Instrucciones
(a) El importador de datos procesará los datos personales solo según las instrucciones documentadas del exportador de datos. El exportador de datos podrá dar estas instrucciones mientras dure el contrato.
(b) El importador de datos informará de inmediato al exportador de datos si es incapaz de seguir dichas instrucciones.
8.2 Limitación del objetivo
El importador de datos procesará los datos personales solo con los objetivos específicos de la transferencia, según lo establecido en el Anexo I.B, a menos que reciba instrucciones adicionales del exportador de datos.
8.3 Transparencia
Previa solicitud, el exportador de datos hará una copia de las presentes Cláusulas, incluido el Apéndice completado por las Partes, disponibles para el titular de datos sin cargo. En la medida que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos puede suprimir parte del texto del Apéndice de estas Cláusulas antes de compartir una copia, pero brindará un resumen explicativo cuando el titular de datos de otra forma no pueda entender el contenido o ejercer sus derechos. Previa solicitud, las Partes darán cuenta al titular de datos los motivos de las supresiones, en la medida que sea posible, sin revelar la información suprimida. La presente Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8.4 Precisión
Si el importador de datos toma conocimiento de que los datos personales que ha recibido son inexactos o están desactualizados, lo informará al exportador de datos sin demoras indebidas. En este caso, el importador de datos cooperará con el exportador de datos para rectificar o eliminar los datos.
8.5 Duración del procesamiento y la eliminación o devolución de los datos
El procesamiento por parte del importador de datos solo se hará durante el tiempo establecido en el Anexo I.B. Al finalizar la prestación de los servicios de procesamiento, el importador de datos deberá, a elección del exportador de datos, eliminar todos los datos personales procesados en nombre del exportador de datos y certificar al exportador de datos que ha concretado dicha medida o devolver al exportador de datos todos los datos personales procesados en su nombre y eliminar las copias existentes. Hasta la eliminación o devolución de los datos, el importador de datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que haya leyes locales aplicables al importador de datos que prohíban la devolución o la eliminación de los datos personales, el importador de datos declara que seguirá garantizando el cumplimiento de las presentes Cláusulas y que solo la procesará en la medida y por el tiempo que sea necesario según las leyes locales. Esto es sin perjuicio de la Cláusula 14, específicamente, el requisito para el importador de datos en virtud de la Cláusula 14(e) de notificar al exportador de datos durante la vigencia del contrato si tiene motivos para creer que está sujeto o ha pasado a estar sujeto a leyes o prácticas que no son coherentes con los requisitos de la Cláusula 14(a).
8.6 Procesamiento seguro
(a) El importador de datos, y, durante la transmisión, también el exportador de datos, implementará las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una vulneración de la seguridad que resulte en la destrucción, pérdida, alteración, acceso o divulgación no autorizados, ya sea de manera accidental o ilícita, de dichos datos (en adelante, una “violación de los datos personales”). Al evaluar el nivel adecuado de seguridad, las Partes deberán tomar debida cuenta de las últimas tecnologías, los costos de implementación, la naturaleza, el alcance, el contexto y los objetivos del procesamiento y los riesgos involucrados en el procesamiento para los titulares de datos. Específicamente, las Partes deberán considerar tener recursos de cifrado o seudonimización, incluso durante la transmisión, cuando el objetivo del procesamiento pueda cumplirse de esa forma. En el caso de la seudonimización, la información adicional para atribuir los datos personales a un titular de datos específico deberá, cuando sea posible, permanecer bajo el control exclusivo del exportador de datos o del controlador de datos. Para cumplir con las obligaciones en virtud de este párrafo, el importador de datos deberá implementar, por lo menos, las medidas técnicas y organizativas detalladas en el Anexo II. El importador de datos deberá ejecutar controles frecuentes para garantizar que dichas medidas sigan entregando un nivel adecuado de seguridad.
(b) El importador de datos brindará acceso a los datos a los miembros de su personal solo cuando sea estrictamente necesario para la implementación, gestión y supervisión del contrato. Garantizará que las personas autorizadas a procesar los datos personales se hayan comprometido con proteger la confidencialidad de estos o tengan una obligación de confidencialidad adecuada según la reglamentación.
(c) En caso de una vulneración de datos personales que afecte los datos personales procesados por el importador de datos en virtud de las presentes Cláusulas, el importador de datos deberá tomar las medidas adecuadas para resolver la vulneración, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará, sin demoras indebidas, al exportador de datos cuando haya tomado conocimiento de la vulneración. Dicha notificación incluirá los detalles de un punto de contacto donde pueda obtenerse más información, una descripción de la naturaleza de la vulneración (lo cual incluye, cuando sea posible, las categorías y la cantidad aproximada de titulares de datos y registros de datos personales involucrados), sus consecuencias posibles y las medidas adoptadas o sugeridas para abordar la vulneración, lo cual incluye, según corresponda, medidas para mitigar sus posibles efectos adversos. Cuando no sea posible brindar toda la información al mismo tiempo, la notificación inicial incluirá la información disponible en ese momento y posteriormente se brindará más información, en la medida que esté disponible, sin demora indebida.
(d) El importador de datos cooperará con el exportador de datos para permitir que el exportador de datos cumpla sus obligaciones en virtud del Reglamento (UE) 2016/679, específicamente para notificar a la autoridad competente de control y a los titulares de datos afectados, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el importador de datos.
8.7 Datos sensibles
Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o afiliación a uniones sindicales, datos genéticos o datos biométricos con el objetivo de identificar a una persona física de manera específica, datos relacionados con la salud o la vida sexual o la orientación sexual de una persona o datos relacionados con delitos y sentencias penales (en adelante, “datos sensibles”), el importador de datos aplicará las restricciones específicas o las medidas de protección adicionales descritas en el Anexo I.B.
8.8 Transferencias posteriores
El importador de datos solo divulgará los datos personales a un tercero cuando haya instrucciones documentadas del exportador de datos. Además, los datos solo podrán divulgarse a un tercero ubicado fuera de la Unión Europea (en el mismo país del importador de datos o en otro país, en adelante, una “transferencia posterior”) si el tercero está obligado por las presentes Cláusulas o las acepta, en virtud del Módulo correspondiente, o si:
(i) la transferencia posterior es a un país que esté beneficiado por una decisión de adecuación de conformidad con el Artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia posterior;
(ii) el tercero garantiza de otra forma medidas de protección adecuadas de conformidad con los Artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;
(iii) la transferencia posterior es necesaria para establecer reclamos legales, interponerlos o plantear la defensa en el contexto de procesos administrativos, reglamentarios o judiciales específicos; o
(iv) la transferencia posterior es necesaria para proteger los intereses vitales del titular de datos o de otra persona física.
Toda transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás medidas de protección en virtud de las presentes Cláusulas, específicamente en relación con la limitación del objetivo.
8.9 Documentación y cumplimiento
(a) El importador de datos deberá responder de manera oportuna y adecuada a las consultas del exportador de datos que estén relacionadas con el procesamiento en virtud de las presentes Cláusulas.
(b) Las Partes deberán poder demostrar el cumplimiento de las presentes Cláusulas. Específicamente, el importador de datos mantendrá documentación adecuada sobre las actividades de procesamiento ejecutas en nombre del exportador de datos.
(d) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar su cumplimiento con las obligaciones establecidas en estas Cláusulas y, a solicitud del exportador de datos, permitirá y contribuirá con las auditorías de las actividades de procesamiento cubiertas por estas Cláusulas, a intervalos razonables o si hubiera indicios de incumplimiento. Al tomar una decisión sobre una auditoría o revisión, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que tenga el importador de datos.
(d) El exportador de datos podrá decidir hacer la auditoría por sí mismo o mediante un auditor independiente Las auditorías pueden incluir inspecciones en las instalaciones o sedes físicas del importador de datos y se harán, según corresponda, con una notificación razonable.
(e) Las Partes pondrán la información referida en los párrafos (b) y (c), incluidos los resultados de las auditorías, a disposición de la autoridad de control competente, a solicitud.
Cláusula 9
Uso de subprocesadores
(a) El importador de datos tiene la autorización general del exportador de datos para la contratación de subprocesadores de una lista acordada. Específicamente, el importador de datos informará al exportador de datos por escrito sobre todos los cambios previstos en dicha lista por la adición o el reemplazo de subprocesadores con al menos diez (10) días de antelación, para que el exportador de datos tenga tiempo suficiente de objetar a dichos cambios antes de la contratación de los subprocesadores. El importador de datos brindará al exportador de datos la información necesaria para permitir que el exportador de datos pueda ejercer su derecho de objeción.
(b) Cuando el importador de datos contrate un subprocesador para ejecutar actividades de procesamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato por escrito donde se dispongan, en esencia, las mismas obligaciones de protección de datos que aquellas que obligan al importador de datos en virtud de las presentes Cláusulas, incluso en términos de derechos de terceros beneficiarios para los titulares de datos. Las Partes acuerdan que, en cumplimiento de la presente Cláusula, el importador de datos ejecuta sus obligaciones en virtud de la Cláusula 8.8. El importador de datos garantizará que el subprocesador cumpla las obligaciones a las que el importador de datos está sujeto de conformidad con las presentes Cláusulas.
(c) El importador de datos entregará, a pedido del exportador de datos, una copia de dicho acuerdo con el subprocesador y todas las enmiendas posteriores al exportador de datos. En la medida que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá suprimir partes del texto del acuerdo antes de compartir una copia.
(d) El importador de datos mantendrá la responsabilidad plena ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos sobre todo incumplimiento del subprocesador de sus obligaciones en virtud de dicho contrato.
(e) El importador de datos acordará una cláusula sobre terceros beneficiarios con el subprocesador mediante la cual (en caso de que el importador de datos haya desaparecido en los hechos, dejado de existir de pleno derecho o se haya vuelto insolvente) el exportador de datos tenga derecho a rescindir el contrato con el subprocesador y a darle instrucciones al subprocesador en cuanto a la eliminación o devolución de los datos personales.
Cláusula 10
Derechos de los titulares de los datos
(a) El importador de datos notificará de forma oportuna al exportador de datos sobre toda solicitud que haya recibido de un titular de datos. No responderá por sí mismo a dicha solicitud a menos que haya recibido la autorización del exportador de datos para hacerlo.
(b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones de responder a las solicitudes de los titulares de datos para que puedan ejercer sus derechos en virtud del Reglamento (UE) 2016/679. En este sentido, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del procesamiento, mediante las cuales se brindará la asistencia, además del alcance de la asistencia requerida.
(c) Al cumplir sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos seguirá las instrucciones del exportador de datos.
Cláusula 11
Reparación
(a) El importador de datos informará a los titulares de datos en un formato transparente y de fácil acceso, mediante una notificación individual o en su sitio web, un punto de contacto autorizado para gestionar las quejas. Deberá gestionar todas las quejas que se reciban de los titulares de datos de forma oportuna.
(b) En caso de conflicto entre un titular de datos y una de las Partes en relación con el cumplimiento de las presentes Cláusulas, dicha Parte hará su mejor esfuerzo para resolver la situación de forma amistosa y oportuna. Las Partes se mantendrán informadas entre sí sobre dichos conflictos y, según corresponda, cooperarán para su resolución.
(c) Cuando el titular de datos invoque un derecho de tercero beneficiario en virtud de la Cláusula 3, el importador de datos aceptará la decisión del titular de datos de:
(i) presentar una queja ante una autoridad de control en el Estado Miembro de su residencia habitual o lugar de trabajo, o la autoridad de control competente en virtud de la Cláusula 13;
(ii) derivar la disputa en los juzgados competentes en el sentido de la Cláusula 18.
(d) Las Partes aceptan que el titular de datos puede estar representado por una asociación, organización o entidad sin fines de lucro en virtud de las condiciones establecidas en el Artículo 80(1) del Reglamento (UE) 2016/679.
(e) El importador de datos acatará una decisión que sea vinculante según las leyes aplicables de la UE o de un Estado Miembro.
(f) El importador de datos acepta que la decisión tomada por el titular de datos no afectará sus derechos sustantivos y procesales a interponer recursos de conformidad con las leyes aplicables.
Cláusula 12
Responsabilidad
(a) Cada Parte será responsable frente a la otra Parte o Partes de todos los daños y perjuicios que cause a la otra Parte o Partes por cualquier incumplimiento de las presentes Cláusulas.
(b) El importador de datos será responsable frente al titular de datos, y el titular de datos tendrá derecho a recibir indemnización, por todos los daños y perjuicios materiales o inmateriales que el importador de datos o sus subprocesadores le causen al titular de datos debido al incumplimiento de los derechos de terceros beneficiarios en virtud de las presentes Cláusulas.
(c) Sin perjuicio del párrafo (b), el exportador de datos será responsable frente al titular de datos, y el titular de datos tendrá derecho a recibir indemnización, por todos los daños y perjuicios materiales o inmateriales que el exportador o el importador de datos (o sus subprocesadores) le causen al titular de datos debido al incumplimiento de los derechos de terceros beneficiarios en virtud de las presentes Cláusulas. Esto es sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un procesador que actúe en nombre de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.
(d) Las Partes aceptan que, si se determina que el exportador de datos es responsable en virtud del párrafo (c) por daños y perjuicios causados por el importador de datos (o sus subprocesadores), tendrá derecho a reclamar al importador de datos aquella parte de la indemnización que corresponda a la responsabilidad del importador de datos por los daños.
(e) Cuando más de una Parte sea responsable de los daños y perjuicios causados al titular de datos como resultado de un incumplimiento de las presentes Cláusulas, todas las Partes obligadas serán solidariamente responsables, y el titular de datos tendrá derecho a interponer una acción en un juzgado contra cualquiera de dichas Partes.
(f) Las Partes aceptan que, si se determina que una Parte es responsable en virtud del párrafo (e), tendrá derecho a reclamar a la otra Parte o Partes aquella parte de la indemnización que corresponda a su responsabilidad en relación con los daños.
(g) El importador de datos no podrá invocar la conducta de un subprocesador para evitar su propia responsabilidad.
Cláusula 13
Supervisión
(a) Cuando el exportador de datos esté radicado en un Estado Miembro de la UE: actuará como autoridad de control competente la autoridad de control con responsabilidad de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en relación con la transferencia de datos, como se indica en el Anexo I.C.
Cuando el exportador de datos no sea un Estado Miembro de la UE, pero esté dentro del alcance territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con el Artículo 3(2) y haya designado un representante de conformidad con el Artículo 27(1) del Reglamento (UE) 2016/679: actuará como autoridad de control competente la autoridad de control del Estado Miembro en el que esté radicado el representante en el sentido del artículo 27(1) del Reglamento (UE) 2016/679, como se indica en el Anexo I.C.
Cuando el exportador de datos no sea un Estado Miembro de la UE, pero esté dentro del alcance territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con el Artículo 3(2), aunque sin tener que designar un representante de conformidad con el Artículo 27(2) del Reglamento (UE) 2016/679: actuará como autoridad de control competente la autoridad de control de uno de los Estados Miembro en donde se encuentren los titulares de datos cuyos datos personales se transfieren en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios para dichos titulares de datos, o cuyo comportamiento se controle, como se indica en el Anexo I.C.
(b) El importador de datos acepta someterse a la jurisdicción de la autoridad competente de control y cooperar con ella en todos los procedimientos encaminados a garantizar el cumplimiento de las presentes Cláusulas. Específicamente, el importador de datos acepta responder a las consultas, someterse a las auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas de remediación e indemnización. Entregará a la autoridad de control una confirmación por escrito donde se indique que las acciones necesarias se han adoptado.
SECCIÓN III. LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14
Prácticas y leyes locales que afectan el cumplimiento de las Cláusulas
(a) Las Partes declaran que no tienen motivos para creer que las leyes y prácticas en otro país de destino aplicables al procesamiento de datos personales por parte del importador de datos, incluidos los requisitos de divulgar datos personales o las medidas que autoricen el acceso por parte de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Esto se basa en el entendimiento de que las leyes y las prácticas que respetan los aspectos básicos de los derechos y las libertades fundamentales y que no superan lo necesario y proporcional en una sociedad democrática para garantizar uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679 no están en conflicto con las presentes Cláusulas.
(b) Las Partes declaran que, al brindar la garantía en el párrafo (a), han tomado debida consideración específicamente de lo siguiente:
(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, la cantidad de actores involucrados y los canales de transmisión usados; las transferencias posteriores previstas; el tipo de receptor; el objetivo del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico donde ocurre la transferencia; la ubicación de almacenamiento de los datos transferidos;
(ii) las leyes y las prácticas del país de destino (incluidas aquellas que requieran la divulgación de datos a autoridades públicas o la autorización de acceso por parte de dichas autoridades) pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y las medidas de protección aplicables;
(iii) toda medida de protección contractual, técnica u organizativa relevante que se haya implementado para complementar las medidas de protección en virtud de las presentes Cláusulas, incluidas las medidas de protección aplicadas durante la transmisión y para el procesamiento de los datos personales en el país de destino.
(c) El importador de datos declara que, al llevar a cabo la evaluación en virtud del párrafo (b), ha hecho sus mejores esfuerzos para brindarle al exportador de datos la información pertinente y acepta que continuará cooperando con el exportador de datos para garantizar el cumplimiento de las presentes Cláusulas.
(d) Las Partes acuerdan documentar la evaluación en virtud del párrafo (b) y ponerla a disposición de la autoridad de control competente a solicitud.
(e) El importador de datos acepta notificar al exportador de datos de inmediato si, después de haber aceptado las presentes Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está sujeto o ha pasado a estar sujeto a leyes o prácticas que no sean acordes con los requisitos en virtud del párrafo (a), como luego de un cambio en las leyes del otro país o de una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en una práctica que no sea acorde con los requisitos del párrafo (a).
(f) Luego de una notificación de conformidad con el párrafo (e), o si el exportador de datos de otra forma tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones en virtud de las presentes Cláusulas, el exportador de datos identificará de manera oportuna medidas adecuadas (p. ej., medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad), las cuales el exportador de datos o el importador de datos deberán adoptar para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar las medidas de protección adecuadas para dicha transferencia, o según las instrucciones de la autoridad de control competente al respecto. En ese caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida que se relacione con el procesamiento de datos personales en virtud de las presentes Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo en relación con la Parte relevante, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicará la Cláusula 16(d) y (e).
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
15.1 Notificación
(a) El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al titular de datos (en caso de ser necesario, con la ayuda del exportador de datos) si:
(i) recibe una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de datos personales transferidos en virtud de las presentes Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, el fundamento jurídico de la solicitud y la respuesta proporcionada; o bien
(ii) tiene conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes Cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.
(b) Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos o al titular de datos, el importador de datos se compromete a hacer todo lo posible para obtener una exoneración de la prohibición, con vistas a comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
(c) Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridades solicitantes, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.).
(d) El importador de datos se compromete a conservar la información a que se refieren los párrafos del a) al c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente a petición de esta.
(e) Los párrafos del (a) al (c) se entienden sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar sin demora al exportador de datos cuando no pueda cumplir estas Cláusulas.
15.2 Revisión de legalidad y minimización de datos
(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal en virtud de la legislación del país de destino, de las obligaciones aplicables en virtud del Derecho internacional y de los principios de cortesía internacional. En las mismas condiciones, el importador de datos deberá interponer un recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo del asunto. No revelará los datos personales solicitados hasta tanto se le solicite hacerlo en virtud de las normas de procedimiento aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).
(b) El importador de datos acepta documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente a solicitud.
(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.
SECCIÓN IV. DISPOSICIONES FINALES
Cláusula 16
Incumplimiento de las Cláusulas y rescisión
(a) El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes Cláusulas.
(b) En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Esto es sin perjuicio de la Cláusula 14(f).
(c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas, cuando:
(i) El exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y no se restablezca el cumplimiento de las presentes Cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;
(ii) el importador de datos incumple de forma sustancial o persistente las presentes Cláusulas; o
(iii) el importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes Cláusulas.
En estos casos, deberá informar dicho incumplimiento a la autoridad competente. Si el contrato involucra a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo en relación con la Parte relevante, a menos que las Partes hayan acordado otra cosa.
(d) Los datos personales que hayan sido transferidos antes de la rescisión del contrato con arreglo al párrafo c) se devolverán inmediatamente al exportador de datos, a elección de este, o se eliminarán en su totalidad. Lo mismo aplicará a las copias de los datos. El importador de datos deberá certificar la eliminación de los datos al exportador de los datos. Hasta la eliminación o devolución de los datos, el importador de datos seguirá garantizando el cumplimiento de las presentes Cláusulas. En caso de que haya leyes locales aplicables al importador de datos que prohíban la devolución o la eliminación de los datos personales transferidos, el importador de datos declara que seguirá garantizando el cumplimiento de las presentes Cláusulas y que solo procesará los datos en la medida y por el tiempo que sea necesario según las leyes locales.
(e) Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones que aplican al procesamiento en cuestión en virtud del Reglamento (UE) 2016/679.
Cláusula 17
Legislación aplicable
Las presentes Cláusulas se regirán por la legislación de uno de los Estados Miembro de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de la República de Irlanda.
Cláusula 18
Elección de foro y jurisdicción
(a) Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de un Estado Miembro de la UE.
(b) Las Partes acuerdan que serán los tribunales de la República de Irlanda.
(c) El titular de datos también podrá emprender acciones legales contra el exportador o importador de datos ante los tribunales del Estado Miembro en el que tenga su residencia habitual.
(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
ANEXO I
- LISTA DE PARTES
Exportador de datos:
Nombre: la entidad identificada como el «Cliente» en el DPA o el Acuerdo.
Dirección: la dirección del Cliente, como se especifica en el DPA o el Acuerdo.
Nombre y puesto de la persona de contacto y detalles de contacto: los detalles de contacto asociados con el Cliente, según se especifica en el DPA o el Acuerdo.
Actividades relevantes a los datos transferidos en virtud de estas Cláusulas: las actividades especificadas en la Sección 2.3 y en el Anexo 1 del DPA.
Firma y fecha: al suscribir el Acuerdo y el DPA, y al usar los Servicios para transferencias dentro del EEE, se considera que el exportador de datos ha firmado estas Cláusulas Contractuales Estándar y sus respectivos anexos.
Rol (controlador/procesador): controlador.
Importador(es) de datos:
Nombre: monday.com, como se identifica en el DPA.
Dirección: el domicilio de monday.com, según se indica en el Acuerdo.
Nombre, puesto de la persona de contacto y detalles de contacto: los detalles de contacto de monday.com según se especifica en el Acuerdo.
Actividades relevantes a los datos transferidos en virtud de estas Cláusulas:
Las actividades especificadas en la Sección 2.3 y en el Anexo 1 del DPA.
Firma y fecha: al suscribir el Acuerdo y el DPA, y al participar en Transferencias dentro del EEE como importador de datos en representación del exportador de datos, se considera que el importador de datos ha firmado estas Cláusulas Contractuales Estándar y sus respectivos anexos.
Rol (controlador/procesador): procesador.
- DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de titulares de datos cuyos datos personales se transfieren
Las categorías de titulares de datos se describen en el Anexo 1 (Detalles del procesamiento) del DPA.
Categorías de los datos personales transferidos
Las categorías de datos personales se describen en el Anexo 1 (Detalles del procesamiento) del DPA.
Datos sensibles transferidos (si corresponde) y restricciones o medidas de protección aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como la estricta limitación de la finalidad, las restricciones de acceso (incluido el acceso únicamente por parte del personal que haya completado una capacitación especializada), el mantenimiento de un registro de acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales.
Las Partes no tienen intención de transferir Datos Sensibles, salvo de conformidad con la Sección 2.5 del DPA.
La frecuencia de la transferencia (p. ej., si los datos se transfieren de forma puntual o continua).
Los Datos Personales se transfieren de forma continua de acuerdo con el uso de los Servicios por parte del Cliente y el envío de Datos Personales a dichos Servicios.
Naturaleza del procesamiento
La naturaleza del procesamiento se describe en el Anexo 1 (Detalles del procesamiento) del DPA.
Propósito(s) de la transferencia de datos y procesamiento posterior
El propósito del procesamiento se describe en el Anexo 1 (Detalles del procesamiento) del DPA.
El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo.
El periodo durante el cual se conservarán los Datos Personales será la duración del Acuerdo, a menos que se acuerde otra cosa en el Acuerdo o el DPA.
Para las transferencias a (sub)procesadores, se debe especificar también el objeto, la naturaleza y la duración del procesamiento.
En relación con las transferencias a Subprocesadores, el objeto y la naturaleza del procesamiento se exponen en el enlace detallado en la sección 5.2.1 del DPA. La duración del procesamiento por parte de los Subprocesadores será la duración del Acuerdo, salvo que se acuerde otra cosa en el Acuerdo o en el DPA.
- AUTORIDAD DE CONTROL COMPETENTE
Se debe identificar a la(s) autoridad(es) de control competentes de conformidad con la Cláusula 13.
La autoridad de control competente del exportador de datos se determinará de conformidad con el RGPD.
ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Descripción de las medidas técnicas y organizativas aplicadas por el(los) importador(es) de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del procesamiento, así como los riesgos para los derechos y las libertades de las personas físicas.
Las medidas técnicas y organizativas (incluidas las certificaciones del importador de datos), así como el alcance de la asistencia necesaria para responder a las solicitudes de los titulares de datos, se describen en el DPA y en la Documentación de Seguridad.
En el caso de transferencias a (sub)procesadores, se deben describir también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)procesador para poder prestar asistencia al controlador y, en las transferencias de un procesador a un subprocesador, al exportador de datos.
Las medidas técnicas y organizativas que el importador de datos impondrá a los subprocesadores se describen en el DPA.
ANEXO III
TRANSFERENCIAS TRANSFRONTERIZAS EN EL REINO UNIDO
Cuadro 1: Las Partes: de conformidad con el Anexo I.A.
Cuadro 2: SCC seleccionadas, Módulos y Cláusulas Seleccionadas: de conformidad con el Anexo I.
Cuadro 3: Información Anexa: se refiere a la información que debe facilitarse para los módulos seleccionados según lo establecido en el Apéndice de las SCC de la UE (distintas de las Partes), y que para el presente anexo III se establece en el Anexo I.
Suscripción del Anexo III:
- Cada Parte acepta quedar vinculada por los términos y condiciones establecidos en el presente Anexo III, a cambio de que la otra Parte también acepte quedar vinculada por el presente Anexo III.
- Aunque el Anexo I.A y la Cláusula 7 de las SCC de la UE requieren la firma de las Partes, a efectos de realizar Transferencias al Reino Unido, las Partes pueden suscribir el presente Anexo III de cualquier forma que los haga jurídicamente vinculantes para las Partes y permita a los titulares de datos hacer valer sus derechos según lo establecido en el presente Anexo III. La suscripción del presente Anexo III tendrá el mismo efecto que la firma de las SCC de la UE y de cualquier parte de las SCC de la UE.
Interpretación del Anexo III:
- Cuando en el presente Anexo III se utilicen términos definidos en las SCC de la UE, dichos términos tendrán el mismo significado que en las SCC de la UE. Además, los siguientes términos tienen el significado que se indica a continuación:
SCC de la UE Complementarias |
La versión (o las versiones) de las SCC de la UE a las que se adjunta este Anexo III como se indica en el Cuadro 2, incluida la Información Anexa. |
Información Anexa |
Según se muestra en el Cuadro 3. |
Medidas de Protección Adecuadas |
El nivel de protección de los datos personales y de los derechos de los titulares de datos exigido por las Leyes de Protección de Datos del Reino Unido cuando las partes realizan una transferencia al Reino Unido basándose en cláusulas estándar de protección de datos de conformidad con el artículo 46(2)(d) del RGPD del Reino Unido. |
Cláusulas Contractuales Estándar |
Como se define en el DPA |
ICO |
El comisionado de información. |
Anexo III |
Este Anexo III que consta del Anexo III que incorpora las SCC de la UE Complementarias. |
Apéndice del Reino Unido |
Como se define en el DPA |
Leyes de Protección de Datos del Reino Unido |
Todas las leyes relativas a la protección de datos, el procesamiento de datos personales, la privacidad o las comunicaciones electrónicas vigentes oportunamente en el Reino Unido, incluidos el GDPR del Reino Unido y la Ley de Protección de Datos de 2018. |
RGPD del Reino Unido |
Como se define en la Sección 3 de la Ley de Protección de Datos de 2018. |
R. U. |
El Reino Unido de Gran Bretaña e Irlanda del Norte. |
Transferencia al Reino Unido |
Una transferencia cubierta por el Capítulo V del RGPD del Reino Unido. |
- Este Anexo III debe interpretarse siempre de forma coherente con las Leyes de Protección de Datos del Reino Unido y de modo que no incumpla la obligación de las Partes de proporcionar las Medidas de Protección Adecuadas.
- Si las disposiciones incluidas en las SCC de la UE Complementarias modifican las SCC de la UE de algún modo que no esté permitido por las SCC de la UE o por el presente Anexo III, el presente Anexo III no incorporará dicha(s) modificación(es), y en su lugar se aplicará la disposición equivalente de las SCC de la UE.
- En caso de incoherencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y el presente Anexo III, se aplicarán las Leyes de Protección de Datos del Reino Unido.
- Si el significado de este Anexo III no está claro o existe más de un significado posible, se aplicará el que más se ajuste a la legislación británica sobre protección de datos.
- Cualquier referencia a una legislación (o a disposiciones específicas de una legislación) se refiere a dicha legislación (o disposición específica) con las modificaciones que pueda tener con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, promulgada de nuevo o sustituida después de la suscripción del DPA.
Jerarquía:
- Aunque la Cláusula 5 de las SCC de la UE establece que las SCC de la UE prevalecen sobre todos los acuerdos relacionados entre las Partes, estas acuerdan que, para una Transferencia al Reino Unido, prevalecerá la jerarquía de la Sección 10 a continuación.
- En caso de incoherencia o conflicto entre el presente Anexo III y las SCC de la UE Complementarias (según corresponda), el presente Anexo III prevalecerá sobre las SCC de la UE Complementarias, excepto cuando los términos incoherentes o conflictivos de las SCC de la UE Complementarias proporcionen una mayor protección a los titulares de datos, en cuyo caso dichos términos prevalecerán sobre las disposiciones del presente Anexo III.
- Cuando el presente Anexo III incorpore SCC de la UE Complementarias que se hayan celebrado para proteger transferencias sujetas al Reglamento General de Protección de Datos (UE) 2016/679, las Partes reconocen que nada de lo dispuesto en el presente Anexo III afectará a dichas SCC Complementarias de la UE.
Incorporación y cambios en las SCC de la UE:
- Este Anexo III incorpora las SCC de la UE Complementarias que se modifican en la medida necesaria para que:
- se apliquen conjuntamente a las transferencias de datos efectuadas por el exportador de datos al importador de datos, en la medida en que la legislación británica sobre protección de datos se aplique al procesamiento efectuado por el exportador de datos al realizar esa transferencia de datos, y ofrezcan Medidas de Protección Adecuadas para esas transferencias de datos;
- Las secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) de las SCC de la UE; y
- Este Anexo III (incluidas las SCC de la UE Complementarias que en él se incorporan) está (1) regido por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja de él será resuelta por los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes o los tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.
- A menos que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos de la Sección 12 anterior, las disposiciones de la Sección 15 a continuación se aplicarán.
- No podrán introducirse modificaciones en las SCC de la UE que no sean para cumplir los requisitos de la sección 12 anterior.
- Se introducen las siguientes modificaciones en las SCC de la UE Complementarias (a efectos de la Sección 12 anterior):
- Las referencias a las «Cláusulas» se refieren a este Anexo III, que incorpora las SCC de la UE Complementarias;
- En la Cláusula 2, eliminar lo siguiente:
“y, por lo que respecta a las transferencias de datos de controladores a procesadores o de procesadores a procesadores, las cláusulas contractuales estándar con arreglo al artículo 28(7) del
Reglamento (EU) 2016/679”;
- Cláusula 6 (Descripción de la(s) transferencia(s)) se reemplaza por:
«Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren son los que se especifican en el Anexo I.B, cuando las Leyes de Protección de Datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar dicha transferencia.»;
- Se reemplaza la Cláusula 8.8 de la siguiente manera:
“la transferencia posterior es a un país que esté beneficiado por una decisión de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior;”
- Las referencias a “Reglamento (UE) 2016/679”, “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)” y “dicho Reglamento” se sustituyen todas por “Leyes de Protección de Datos del Reino Unido”. Las referencias a artículos específicos del “Reglamento (UE) 2016/679” se sustituyen por el artículo o la sección equivalente de las Leyes de Protección de Datos del Reino Unido;
- Se eliminan las referencias al Reglamento (UE) 2018/1725;
- Las referencias a la “Unión Europea”, “Unión”, “UE”, “Estado Miembro de la UE”, “Estado Miembro” o “UE o Estado Miembro” se reemplazan todas por “RU”;
- La Cláusula 13(a) y la Parte C del Anexo I no se usan;
- Las frases “autoridad de control competente” y la “autoridad de control” se reemplazan ambas por “Comisionado de Información”;
- En la Cláusula 16(e), el apartado (i) se reemplaza de la siguiente manera:
“el Secretario de Estado elabora reglamentos de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;”;
- La Cláusula 17 se reemplaza de la siguiente manera:
“Estas Cláusulas se rigen por las leyes de Inglaterra y Gales.”;
- La Cláusula 18 se reemplaza de la siguiente manera:
«Cualquier controversia derivada de las presentes Cláusulas será resuelta por los tribunales de Inglaterra y Gales. El titular de datos también puede emprender acciones legales contra el exportador de datos o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.»; y
- Las notas a pie de página de los SCC de la UE no forman parte del presente Anexo III, salvo las notas al pie de página 8, 9, 10 y 11.
Modificaciones al Anexo III:
- Las Partes podrán acordar modificar la Cláusula 17 o 18 del presente Anexo III para hacer referencia a las leyes o tribunales de Escocia o Irlanda del Norte.
- Si las Partes desean cambiar el formato de la información incluida en las Tablas 1, 2 o 3 del presente Anexo III, podrán hacerlo acordando el cambio por escrito, siempre que este no reduzca las Medidas de Protección Adecuadas.
- Oportunamente, el ICO puede publicar un Apéndice del Reino Unido revisado que:
- introduzca cambios razonables y proporcionados al Apéndice del Reino Unido, incluida la corrección de errores en el Apéndice del Reino Unido; o
- refleje cambios a las Leyes de Protección de Datos del Reino Unido;
En el Apéndice del Reino Unido se especificará la fecha a partir de la cual entrarán en vigor los cambios al Apéndice del Reino Unido y si las Partes necesitan revisar este Anexo III, incluida la Información Anexa. El presente Anexo III se modifica automáticamente según lo establecido en el Apéndice del Reino Unido revisado, a partir de la fecha de entrada en vigencia especificada.
- Si el ICO emite un Apéndice del Reino Unido revisado en virtud de la Sección 18, si cualquiera de las Partes, como consecuencia de los cambios en el Apéndice del Reino Unido, tuviere un aumento sustancial, desproporcionado y comprobable de:
- Sus costos directos de cumplir sus obligaciones en virtud de este Anexo III; o
- Sus riesgos en virtud de este Anexo III,
y, en cualquier caso, ha seguido los pasos razonables para reducir dichos costos o riesgos para que no sean sustanciales y desproporcionados, entonces dicha Parte podrá poner fin al presente Anexo III al término de un plazo razonable de preaviso, en cuyo caso deberá notificar por escrito dicho plazo a la otra Parte antes de la fecha de entrada en vigencia del Apéndice del Reino Unido revisado.
- Las Partes no necesitan el consentimiento de terceros para introducir cambios en el presente Anexo III, pero cualquier modificación deberá realizarse de conformidad con sus términos.
ANEXO VI
TRANSFERENCIAS TRANSFRONTERIZAS EN SUIZA
Las Partes acuerdan que las SCC de la UE, con las modificaciones del Anexo I, se ajustarán como se indica a continuación cuando la Ley Federal de Protección de Datos del 19 de junio de 1992 (la “FADP”, con la revisión del 25 de septiembre de 2020, la “FADP Revisada”) se aplique a las Transferencias a Suiza:
- Las referencias a las SCC UE se refieren a las SCC de la UE con las modificaciones del Anexo IV;
- El Comisionado Federal de Protección de Datos e Información de Suiza (“FDPIC”) será la única Autoridad de Control para las Transferencias a Suiza que estén exclusivamente sujetas a la FADP;
- Los términos “Reglamento General de Protección de Datos” o “Reglamento (UE) 2016/679”, tal como se utilizan en las SCC de la UE, se interpretarán en el sentido de que incluyen el RGPD con respecto a las Transferencias a Suiza.
- Se eliminan las referencias al Reglamento (UE) 2018/1725.
- Las Transferencias a Suiza sujetas tanto a la FADP como al RGPD las abordará la Autoridad de Supervisión de la UE mencionada en el Anexo I;
- Las referencias a la “Unión”, “UE” y “Estado Miembro de la UE” no se interpretarán de manera tal que los Titulares de Datos en Suiza queden excluidos de la posibilidad de ejercer sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la Cláusula 18(c) de las SCC de la UE;
- Cuando las Transferencias a Suiza estén sujetas exclusivamente a la FADP, todas las referencias al RGPD en los SCC de la UE se entenderán como hechas a la FADP;
- Cuando las Transferencias a Suiza estén sujetas a la FADA y al RGPD de la UE, todas las referencias al RGPD en las SCC de la UE se entenderán como referencias a la FDPA, siempre y cuando las Transferencias a Suiza estén sujetas a la FADP;
- Las SCC de Suiza también protegen los Datos Personales de las personas jurídicas hasta la entrada en vigor del FADP Revisada.
ANEXO V
MEDIDAS DE PROTECCIÓN ADICIONALES
- En caso de una transferencia en la que se apliquen las Cláusulas Contractuales Estándar, las Partes acuerdan complementarlas con las siguientes medidas de protección y declaraciones, según corresponda:
(a) El importador de datos dispondrá y mantendrá, de conformidad con las buenas prácticas del sector, medidas para proteger los Datos Personales de la interceptación (incluso en tránsito del exportador de datos al importador de datos y entre diferentes sistemas y servicios). Esto incluye el establecimiento y mantenimiento de una protección de la red que impida a los atacantes interceptar los datos y el cifrado de los Datos Personales en tránsito y en reposo para impedir que los atacantes puedan leerlos.
(b) El importador de datos hará esfuerzos comercialmente razonables para resistir, sujeto a las leyes aplicables, cualquier solicitud de vigilancia masiva relacionada con los Datos Personales protegidos en virtud del RGPD, el RGPD del Reino Unido o la FADP, incluida la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de los Estados Unidos (“FISA”);
(c) Si el importador de datos tiene conocimiento de que alguna autoridad gubernamental (incluidos los agentes de orden público) desea obtener acceso a algunos o todos los Datos Personales o recibir una copia de ellos, ya sea de forma voluntaria u obligatoria, entonces, a menos que esté legalmente prohibido o bajo una obligación legal imperativa que exija lo contrario:
(i) El importador de datos informará a la autoridad gubernamental pertinente que el importador de datos es un procesador de los Datos Personales y que el exportador de datos no ha autorizado al importador de datos a revelar los Datos Personales a la autoridad gubernamental, e informará a la autoridad gubernamental pertinente que todas y cada una de las solicitudes o demandas de acceso a los Datos Personales deberán, por lo tanto, notificarse o presentarse al exportador de datos;
(ii) El importador de datos utilizará mecanismos legales comercialmente razonables para impugnar cualquier demanda de acceso a Datos Personales que estén bajo el control del importador de datos. No obstante lo anterior, (a) el exportador de datos reconoce que dicha impugnación puede no ser siempre razonable o posible a la luz de la naturaleza, el alcance, el contexto y la finalidad del acceso previsto de la autoridad gubernamental, y (b) si, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del acceso previsto de la autoridad gubernamental a los Datos Personales, el importador de datos tiene la creencia razonable y de buena fe de que el acceso urgente es necesario para prevenir un riesgo inminente de daño grave a cualquier persona o entidad, no se aplicará la presente subsección (e)(II). En tal caso, el importador de datos notificará al exportador de datos, lo antes posible, tras el acceso por parte de la autoridad gubernamental, y proporcionará al exportador de datos los detalles pertinentes de dicho acceso, a menos y en la medida en que esté legalmente prohibido hacerlo.
- Una vez cada 12 meses, el importador de datos informará al exportador de datos, a petición escrita de este, sobre los tipos de demandas legales vinculantes de Datos Personales que haya recibido y únicamente en la medida en que se hayan recibido dichas demandas, incluidas las órdenes y directivas de seguridad nacional, que incluirán cualquier proceso emitido en virtud de la sección 702 de la FISA.