13.2. A los efectos del presente Acuerdo, se aplicarán las siguientes definiciones:
«Legislación sobre protección de datos» significa, en la medida en que sea aplicable (a) el RGPD del Reino Unido (tal y como se define en el artículo 3(10) (complementado por el artículo 205(4)) de la Ley de Protección de Datos de 2018) y cualquier otra ley del Reino Unido o de una parte del Reino Unido relacionada con la protección de datos personales; (b) el Reglamento General de Protección de Datos ((UE) 2016/679) («RGPD de la UE») y cualquier otra ley de la Unión Europea o de cualquier Estado miembro de la Unión Europea a la que esté sujeta cualquiera de las partes, que se refiera a la protección de datos personales; y (c) todas las demás leyes y requisitos reglamentarios vigentes en cada momento que se apliquen a una parte en relación con el uso de datos personales (incluida, entre otras, la privacidad de las comunicaciones electrónicas).
«Responsable del tratamiento» tendrá el significado establecido en el RGPD.
«SCC de la UE» se refiere a las cláusulas contractuales tipo de la Comisión Europea para las transferencias de datos entre países de la UE y países no pertenecientes a la UE, tal y como se establecen en el anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, cuya copia completa figura en el Anexo 1, o las cláusulas alternativas que pueda aprobar la Comisión Europea en cada momento.
«RGPD» significa el RGPD de la UE y/o el RGPD del Reino Unido, según sea el caso.
«Datos personales» tendrá el significado asociado a «datos personales», «información personal» o términos comparables, tal y como se establece en la legislación aplicable en materia de protección de datos.
«Datos del producto» se refiere a cualquier dato personal proporcionado al cliente por Creditsafe a través del servicio o utilizado en los productos y servicios de Creditsafe de conformidad con los términos del presente acuerdo, incluidos, entre otros, los datos personales incluidos en los informes de crédito, los informes de cumplimiento y riesgo, las listas de prospección, la herramienta de supervisión y los anexos de datos de Creditsafe.
«SCC» se refiere a las SCC de la UE y/o las SCC del Reino Unido, según sea el caso.
«SCC del Reino Unido» se refiere al Acuerdo de Transferencia Internacional de Datos de la ICO para la transferencia de datos personales desde el Reino Unido a una entidad ubicada en un tercer país o cualquier otro acuerdo alternativo que pueda ser aprobado por el Reino Unido de vez en cuando («IDTA»); o el Anexo de Transferencia Internacional de Datos de la ICO al SCC de la UE, cuya copia completa se incluye en el Anexo 2, o cualquier otra cláusula alternativa que pueda ser aprobada por el Reino Unido de vez en cuando («Anexo del Reino Unido»).
13.3. En relación con los Datos del Producto, ambas partes actúan como Controladores independientes.
13.4. El uso de los Datos del Producto por parte del Cliente está sujeto a los términos y restricciones de la licencia establecidos en el presente Acuerdo. Creditsafe no será responsable ante el Cliente en relación con cualquier incumplimiento de la Legislación sobre Protección de Datos o cualquier multa, sanción o coste que se derive del mismo, en la medida en que sea causado por el uso no autorizado de los Datos del Producto por parte del Cliente o de un tercero relacionado.
13.5. El Cliente es responsable de establecer la base legal sobre la que procesa los Datos del Producto y de mantener el cumplimiento de la Legislación sobre Protección de Datos en relación con dichos Datos del Producto. La transferencia de Datos Personales solo se permite cuando el Cliente tiene un interés legítimo en su conocimiento como destinatario de los datos/información. Por esta razón, el Cliente se compromete a solicitar únicamente información que contenga Datos Personales cuando tenga dicho interés legítimo y a dar por terminado el proceso si no existe interés legítimo.
13.6. El Cliente reconoce que es su deber registrar el motivo de la existencia de un interés legítimo y que la forma de demostrarlo incumbe al Cliente como destinatario de los datos/la información en el caso de un sistema de acceso automatizado.
13.7. El Cliente acepta que solo accederá y utilizará los Servicios para los fines enumerados en el Anexo B del Anexo 1, incluyendo la verificación de crédito, la prospección, el marketing directo, las verificaciones de «conozca a su cliente», el cumplimiento normativo, la verificación y mejora de datos y otros fines legítimos de diligencia debida empresarial.
13.8. El Cliente declara y garantiza a Creditsafe que se compromete a mantener medidas técnicas y organizativas para proteger dichos datos contra la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos del Producto. El Cliente proporcionará a Creditsafe los detalles de las mismas cuando se le soliciten.
13.9. El Cliente notificará a Creditsafe sin demora cuando tenga conocimiento de una violación de la seguridad de los Datos del Producto sujetos a la Legislación sobre Protección de Datos u otra ley aplicable.
13.10. En la medida en que sean relevantes para los datos y/o servicios que se suministrarán en virtud del Acuerdo, cada una de las partes se compromete a cumplir y respetar la Legislación sobre Protección de Datos y, en particular, los requisitos adicionales establecidos en las CCT adjuntas al presente como Anexo 1 y Anexo 2. La aceptación y el acuerdo del Cliente con los términos del Contrato incluyen la aceptación y el acuerdo con las SCC del Anexo 1 y/o el Anexo 2 (según corresponda). En caso de conflicto o ambigüedad entre cualquiera de las disposiciones del presente Contrato y las SCC del Anexo 1 y/o el Anexo 2, prevalecerán las disposiciones de las SCC.
13.11. Cuando una de las partes se enfrente a una reclamación real o potencial derivada o relacionada con el incumplimiento de la Legislación sobre Protección de Datos o cualquier ley de protección de datos relativa a los Servicios o los Datos de Productos tratados en virtud del presente Contrato, la otra parte proporcionará sin demora todos los materiales y la información solicitados que sean relevantes para la defensa de dicha reclamación y las circunstancias subyacentes a la misma.
13.12. Cada una de las partes acepta que, en la medida en que la otra parte reciba o trate el nombre, el número de teléfono comercial, número de teléfono celular de la empresa, dirección comercial o dirección de correo electrónico comercial de los empleados de la otra parte en el curso normal del desarrollo y/o mantenimiento de una relación comercial entre Creditsafe y el Cliente, cada parte declara a la otra parte que está autorizada a permitir que la otra parte procese dichos Datos personales relativos a los empleados con el único fin de cumplir con sus respectivas responsabilidades en virtud del presente Acuerdo e instruye a la otra parte para que procese dichos Datos personales para tales fines.
13.13. En caso de que el Cliente reciba una solicitud gubernamental de Datos personales relativos a ciudadanos de la UE o del Reino Unido, el Cliente: (a) notificará a Creditsafe y/o a los interesados correspondientes sin demora injustificada; (b) solo cumplirá con dicha solicitud cuando se vea claramente obligado a hacerlo; y (c) impugnará dicha solicitud y permitirá y ayudará razonablemente a Creditsafe y a cualquier interesado afectado a impugnar la solicitud.
13.14 Las partes acuerdan que, si Creditsafe considera que las disposiciones de la presente cláusula 13 ya no cumplen con la legislación en materia de protección de datos, Creditsafe podrá adaptar, actualizar o modificar estos términos para garantizar el cumplimiento de la legislación en materia de protección de datos.
Anexo 1
SCC de la UE
SECCIÓN I
1 Objeto y ámbito de aplicación
(a) El objeto de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) para la transferencia de datos personales a un tercer país.
(b) Las Partes:
(i) la persona o personas físicas o jurídicas, autoridad o autoridades públicas, organismo u organismos u otras entidades (en lo sucesivo, «entidad o entidades») que transfieren los datos personales, tal y como se enumeran en el anexo I.A (en lo sucesivo, cada uno de ellos, «exportador de datos»), y
(ii) la(s) entidad(es) de un tercer país que recibe(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también es parte en las presentes cláusulas, tal y como se enumeran en el anexo I.A (en lo sucesivo, cada uno de ellos, «importador de datos»)
han acordado las presentes cláusulas contractuales tipo (en lo sucesivo, «cláusulas»).
(c) Las presentes Cláusulas se aplican a la transferencia de datos personales tal y como se especifica en el anexo I.B.
(d) El apéndice de las presentes Cláusulas, que contiene los anexos a los que se hace referencia en ellas, forma parte integrante de las mismas.
2 Efecto e invariabilidad de las Cláusulas
(a) Las presentes Cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en lo que respecta a las transferencias de datos de los responsables del tratamiento a los encargados del tratamiento y/o de los encargados del tratamiento a los encargados del tratamiento, las cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información en el apéndice. Esto no impide a las partes incluir las cláusulas contractuales tipo establecidas en las presentes cláusulas en un contrato más amplio y/o añadir otras cláusulas o salvaguardias adicionales, siempre que no contradigan, directa o indirectamente, las presentes cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
(b) Las presentes cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
3 Terceros beneficiarios
(a) Los interesados podrán invocar y hacer valer las presentes cláusulas, en calidad de terceros beneficiarios, frente al exportador de datos y/o al importador de datos, con las siguientes excepciones:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8 - Cláusula 8.5 (e) y Cláusula 8.9(b);
(iii) Cláusula 9 - No aplicable;
(iv) Cláusula 12 - Cláusula 12(a) y (d);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) y (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18: Cláusula 18(a) y (b).
(b) El párrafo (a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.
4 Interpretación
(a) Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
(b) Las presentes cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
(c) Las presentes cláusulas no se interpretarán de manera que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.
5. Jerarquía
En caso de contradicción entre las presentes cláusulas y las disposiciones de los acuerdos relacionados entre las partes, existentes en el momento en que se acuerden o celebren las presentes cláusulas, prevalecerán estas últimas.
6. Descripción de la transferencia o transferencias
Los detalles de la transferencia o transferencias, y en particular las categorías de datos personales que se transfieren y la finalidad o finalidades para las que se transfieren, se especifican en el anexo I.B.
7 Cláusula de acoplamiento
NO UTILIZADA
SECCIÓN II – OBLIGACIONES DE LAS PARTES
8 Garantías de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir sus obligaciones en virtud de las presentes cláusulas.
8.1 Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal y como se establece en el anexo I.B. Solo podrá tratar los datos personales para otros fines:
(i) cuando haya obtenido el consentimiento previo del interesado;
(ii) cuando sea necesario para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
(iii) cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física.
8.2 Transparencia
(a) A fin de que los interesados puedan ejercer efectivamente sus derechos de conformidad con la cláusula 10, el importador de datos les informará, ya sea directamente o a través del exportador de datos:
(i) de su identidad y datos de contacto;
(ii) de las categorías de datos personales tratados;
(iii) del derecho a obtener una copia de las presentes cláusulas;
(iv) cuando tenga la intención de transferir los datos personales a terceros, del destinatario o de las categorías de destinatarios (según proceda, con el fin de proporcionar información significativa), la finalidad de dicha transferencia y el motivo de la misma, de conformidad con la cláusula 8.7.
(b) El párrafo (a) no se aplicará cuando el interesado ya disponga de la información, incluso cuando dicha información ya haya sido facilitada por el exportador de datos, o cuando facilitar la información resulte imposible o suponga un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos, en la medida de lo posible, pondrá la información a disposición del público.
(c) Previa solicitud, las Partes pondrán a disposición del interesado, de forma gratuita, una copia de las presentes cláusulas, incluido el apéndice completado por ellas. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, las Partes podrán suprimir parte del texto del apéndice antes de compartir una copia, pero proporcionarán un resumen significativo cuando el interesado no pueda comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes proporcionarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida.
(d) Los apartados (a) a (c) se entienden sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8.3 Exactitud y minimización de datos
(a) Cada Parte velará por que los datos personales sean exactos y, en su caso, se mantengan actualizados. El importador de datos tomará todas las medidas razonables para garantizar que los datos personales que sean inexactos, habida cuenta de los fines del tratamiento, se supriman o rectifiquen sin demora.
(b) Si una de las partes tiene conocimiento de que los datos personales que ha transferido o recibido son inexactos o han quedado obsoletos, informará a la otra parte sin demora injustificada.
(c) El importador de datos velará por que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.
8.4 Limitación del almacenamiento
El importador de datos conservará los datos personales durante un plazo no superior al necesario para los fines para los que se tratan. Adoptará las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, incluida la supresión o la anonimización[1] de los datos y de todas las copias de seguridad al final del período de conservación.
8.5 Seguridad del tratamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluida la protección contra violaciones de la seguridad que puedan dar lugar a la destrucción, pérdida, alteración, divulgación o acceso no autorizados, ya sean accidentales o ilícitos (en lo sucesivo, «violación de datos personales»). Al evaluar el nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que este entraña para el interesado. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el fin del tratamiento pueda cumplirse de esa manera.
b) Las Partes han acordado las medidas técnicas y organizativas establecidas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas siguen proporcionando un nivel adecuado de seguridad.
c) El importador de datos se asegurará de que las personas autorizadas para tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
(d) En caso de violación de la seguridad de los datos personales tratados por el importador de datos en virtud de las presentes cláusulas, el importador de datos tomará las medidas adecuadas para hacer frente a la violación de la seguridad de los datos personales, incluidas medidas para mitigar sus posibles efectos adversos.
(e) En caso de una violación de datos personales que pueda suponer un riesgo para los derechos y libertades de las personas físicas, el importador de datos notificará sin demora indebida tanto al exportador de datos como a la autoridad de supervisión competente, de conformidad con la cláusula 13. Dicha notificación incluirá: i) una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), ii) sus posibles consecuencias, iii) las medidas adoptadas o propuestas para hacer frente a la violación, y iv) los datos de contacto de la persona a la que se puede solicitar más información. En la medida en que no sea posible para el importador de datos proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin demoras injustificadas.
(f) En caso de una violación de datos personales que pueda suponer un alto riesgo para los derechos y libertades de las personas físicas, el importador de datos también notificará sin demora indebida a los interesados afectados la violación de datos personales y su naturaleza, si es necesario en cooperación con el exportador de datos, junto con la información a que se refiere el apartado e), puntos ii) a iv), a menos que el importador de datos haya aplicado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas, o que la notificación suponga un esfuerzo desproporcionado. En este último caso, el importador de datos emitirá en su lugar un comunicado público o adoptará una medida similar para informar al público de la violación de datos personales.
g) El importador de datos documentará todos los hechos relevantes relacionados con la violación de datos personales, incluidos sus efectos y las medidas correctivas adoptadas, y mantendrá un registro de los mismos.
8.6 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera única a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas penales o delitos (en lo sucesivo, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o garantías adicionales adaptadas a la naturaleza específica de los datos y a los riesgos que entrañan. Esto puede incluir la restricción del personal autorizado a acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a la divulgación posterior.
8.7 Transferencias posteriores
El importador de datos no divulgará los datos personales a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro país tercero, en adelante «transferencia posterior») a menos que el tercero esté o acepte estar sujeto a las presentes cláusulas, en virtud del módulo adecuado. De lo contrario, el importador de datos solo podrá realizar una transferencia posterior si:
(i) se realiza a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia posterior;
(ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
(iii) el tercero celebre un instrumento vinculante con el importador de datos que garantice el mismo nivel de protección de datos que el previsto en las presentes cláusulas, y el importador de datos facilite una copia de estas garantías al exportador de datos;
(iv) sea necesario para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos;
(v) sea necesario para proteger los intereses vitales del interesado o de otra persona física; o
(vi) cuando no se aplique ninguna de las demás condiciones, el importador de datos haya obtenido el consentimiento explícito del interesado para una transferencia posterior en una situación específica, tras haberle informado de su(s) finalidad(es), la identidad del destinatario y los posibles riesgos que dicha transferencia supone para él debido a la falta de garantías adecuadas de protección de datos. En este caso, el importador de datos informará al exportador de datos y, a petición de este último, le transmitirá una copia de la información facilitada al interesado.
Cualquier transferencia posterior estará sujeta al cumplimiento por parte del importador de datos de todas las demás garantías previstas en las presentes cláusulas, en particular la limitación de la finalidad.
8.8 Tratamiento bajo la autoridad del importador de datos
El importador de datos se asegurará de que cualquier persona que actúe bajo su autoridad, incluido un encargado del tratamiento, trate los datos únicamente siguiendo sus instrucciones.
8.9 Documentación y cumplimiento
(a) Cada Parte deberá poder demostrar el cumplimiento de sus obligaciones en virtud de las presentes Cláusulas. En particular, el importador de datos conservará la documentación adecuada de las actividades de tratamiento realizadas bajo su responsabilidad.
(b) El importador de datos pondrá dicha documentación a disposición de la autoridad de control competente cuando esta lo solicite.
9 Utilización de subencargados del tratamiento
No aplicable.
10 Derechos del interesado
(a) El importador de datos, con la ayuda del exportador de datos cuando proceda, atenderá sin demora indebida y, a más tardar, en el plazo de un mes a partir de la recepción de la consulta o solicitud, cualquier consulta o solicitud que reciba de un interesado en relación con el tratamiento de sus datos personales y el ejercicio de sus derechos en virtud de las presentes cláusulas. [3] El importador de datos tomará las medidas adecuadas para facilitar dichas consultas, solicitudes y el ejercicio de los derechos del interesado. Toda la información facilitada al interesado se presentará en un formato inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo.
(b) En particular, a petición del interesado, el importador de datos deberá, de forma gratuita:
(i) confirmar al interesado si se están tratando datos personales que le conciernen y, en tal caso, facilitarle una copia de los datos que le conciernen y la información que figura en el anexo I; si los datos personales han sido o serán transferidos posteriormente, facilitará información sobre los destinatarios o las categorías de destinatarios (según proceda, con vistas a proporcionar información significativa) a los que se han transferido o se transferirán los datos personales, la finalidad de dichas transferencias posteriores y su fundamento de conformidad con la cláusula 8.7; y facilitará información sobre el derecho a presentar una reclamación ante una autoridad de control de conformidad con la cláusula 12(c)(i);
(ii) rectificar los datos inexactos o incompletos relativos al interesado;
(iii) suprimir los datos personales relativos al interesado si dichos datos se están tratando o se han tratado infringiendo cualquiera de las presentes cláusulas que garantizan los derechos de terceros beneficiarios, o si el interesado retira el consentimiento en el que se basa el tratamiento.
(c) Cuando el importador de datos trate los datos personales con fines de mercadotecnia directa, dejará de tratarlos con tales fines si el interesado se opone a ello.
(d) El importador de datos no tomará ninguna decisión basada únicamente en el tratamiento automatizado de los datos personales transferidos (en lo sucesivo, «decisión automatizada») que produzca efectos jurídicos sobre el interesado o le afecte de manera similar y significativa, salvo con el consentimiento explícito del interesado o si lo autoriza la legislación del país de destino, siempre que dicha legislación establezca medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado. En este caso, el importador de datos, en cooperación con el exportador de datos cuando sea necesario:
i) informará al interesado sobre la decisión automatizada prevista, las consecuencias previstas y la lógica aplicada; y
ii) aplicará las garantías adecuadas, al menos permitiendo al interesado impugnar la decisión, expresar su punto de vista y obtener una revisión por parte de un ser humano.
e) Cuando las solicitudes de un interesado sean excesivas, en particular por su carácter repetitivo, el importador de datos podrá cobrar una tarifa razonable teniendo en cuenta los costos administrativos de atender la solicitud o negarse a atenderla.
(f) El importador de datos podrá denegar la solicitud de un interesado si dicha denegación está permitida por la legislación del país de destino y es necesaria y proporcionada en una sociedad democrática para proteger uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
g) Si el importador de datos tiene la intención de denegar la solicitud del interesado, informará a este de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad de control competente y/o de interponer un recurso judicial.
11 Recurso
a) El importador de datos informará a los interesados, de forma transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tramitará con prontitud cualquier reclamación que reciba de un interesado.
(b) En caso de controversia entre un interesado y una de las Partes en relación con el cumplimiento de las presentes Cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y oportuna. Las Partes se mantendrán mutuamente informadas sobre dichas controversias y, cuando proceda, cooperarán para resolverlas.
c) Cuando el interesado invoque un derecho de tercero beneficiario de conformidad con la cláusula 3, el importador de datos aceptará la decisión del interesado de:
i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente de conformidad con la cláusula 13;
(ii) someter la controversia a los tribunales competentes en el sentido de la cláusula 18.
(d) Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
(e) El importador de datos acatará cualquier resolución que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.
(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a solicitar recursos de conformidad con la legislación aplicable.
12. Responsabilidad
(a) Cada Parte será responsable ante la otra u otras Partes por los daños y perjuicios que cause a la otra u otras Partes por cualquier incumplimiento de las presentes cláusulas.
(b) Cada Parte será responsable ante el interesado, y este tendrá derecho a recibir una indemnización, por los daños materiales o inmateriales que la Parte cause al interesado al infringir los derechos de terceros beneficiarios en virtud de las presentes cláusulas.
Esto se entiende sin perjuicio de la responsabilidad del exportador de datos en virtud del Reglamento (UE) 2016/679.
(c) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia del incumplimiento de las presentes Cláusulas, todas las Partes responsables serán responsables solidariamente y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de estas Partes.
(d) Las partes acuerdan que, si una de ellas es considerada responsable en virtud del apartado (c), tendrá derecho a reclamar a la otra u otras partes la parte de la indemnización correspondiente a su responsabilidad por los daños.
(e) El importador de datos no podrá invocar la conducta de un encargado del tratamiento o de un subencargado del tratamiento para eludir su propia responsabilidad.
13 Supervisión
(a) La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal y como se indica en el anexo I.C, actuará como autoridad de control competente.
(b) El importador de datos se compromete a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes cláusulas.
En particular, el importador de datos se compromete a responder a las consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.
SECCIÓN III: LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
14 Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas
(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de datos personales o las medidas que autorizan el acceso de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no contradicen las presentes Cláusulas.
b) Las Partes declaran que, al proporcionar la garantía del apartado a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
i) las circunstancias específicas de la transferencia, incluida la duración de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias posteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
ii) las leyes y prácticas del tercer país de destino, incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades, pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables[4];
(iii) cualquier salvaguardia contractual, técnica u organizativa pertinente establecida para complementar las salvaguardias previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y al tratamiento de los datos personales en el país de destino.
(c) El importador de datos garantiza que, al realizar la evaluación prevista en el apartado (b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir cooperando con el exportador de datos para garantizar el cumplimiento de las presentes Cláusulas.
(d) Las Partes acuerdan documentar la evaluación prevista en el apartado (b) y ponerla a disposición de la autoridad de control competente que lo solicite.
(e)
El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos del apartado a), incluso tras un cambio en la legislación del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no se ajusta a los requisitos del apartado (a).
(f) Tras una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones en virtud de las presentes cláusulas, el exportador de datos identificará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deben adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar las salvaguardias adecuadas para dicha transferencia, o si así lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas. Si el contrato involucra a más de dos partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la parte pertinente, a menos que las partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con la presente cláusula, se aplicarán las letras d) y e) de la cláusula 16.
15 Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
15.1 Notificación
(a) El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario, con la ayuda del exportador de datos) si:
(i) reciba una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de la legislación del país de destino, para que se revelen los datos personales transferidos de conformidad con las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, el fundamento jurídico de la solicitud y la respuesta proporcionada; o
(ii) tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con las presentes Cláusulas, de acuerdo con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.
(b) Si el importador de datos tiene prohibido notificar al exportador de datos y/o al interesado en virtud de la legislación del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una exención de la prohibición, con el fin de comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
(c) Cuando lo permita la legislación del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información relevante posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).
(d) El importador de datos se compromete a conservar la información prevista en los apartados (a) a (c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente cuando esta lo solicite.
(e) Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, de conformidad con la cláusula 14(e) y la cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir con las presentes cláusulas.
15.2 Revisión de la legalidad y minimización de datos
(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de las facultades otorgadas a la autoridad pública solicitante, y a impugnar la solicitud si, tras una evaluación cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal según las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos, en las mismas condiciones, ejercerá las posibilidades de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre su fondo. No divulgará los datos personales solicitados hasta que así lo exijan las normas de procedimiento aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la cláusula 14, letra e).
(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente que lo solicite.
(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.
SECCIÓN IV - DISPOSICIONES FINALES
16 Incumplimiento de las cláusulas y rescisión
(a) El importador de datos informará sin demora al exportador de datos si no puede cumplir con estas cláusulas, por cualquier motivo.
(b) En caso de que el importador de datos incumpla las presentes Cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Esto se entiende sin perjuicio de lo dispuesto en la Cláusula 14(f).
(c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas, cuando:
(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y el cumplimiento de las presentes cláusulas no se restablezca en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;
(ii) el importador de datos incumpla de manera sustancial o persistente las presentes cláusulas; o
(iii) el importador de datos incumpla una decisión vinculante de un tribunal competente o de una autoridad de control en relación con sus obligaciones en virtud de las presentes cláusulas.
En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato implique a más de dos partes, el exportador de datos solo podrá ejercer este derecho de rescisión con respecto a la parte pertinente, salvo que las partes hayan acordado lo contrario. (d) Los datos personales que se hayan transferido antes de la rescisión del contrato de conformidad con el apartado (c) se devolverán inmediatamente al exportador de datos o se suprimirán en su totalidad, a elección del exportador de datos. Lo mismo se aplicará a cualquier copia de los datos.
El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o la eliminación de los datos personales transferidos, el importador de datos garantizará que seguirá asegurando el cumplimiento de las presentes cláusulas y solo tratará los datos en la medida y durante el tiempo que exija la legislación local.
(e) Cualquiera de las partes podrá revocar su acuerdo de quedar vinculada por las presentes cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican las presentes cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
17 Legislación aplicable
Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que se aplicará la legislación de Irlanda.
18 Elección del foro y jurisdicción
(a) Cualquier controversia que surja de las presentes Cláusulas se resolverá ante los tribunales de un Estado miembro de la UE.
(b) Las Partes acuerdan que serán los tribunales de Irlanda.
(c) El interesado también podrá interponer una acción judicial contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
[1] Esto requiere que los datos se anonimicen de tal manera que la persona ya no sea identificable por nadie, de conformidad con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso sea irreversible.
[2] El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de la Unión en materia de protección de datos, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado a su anexo XI. Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero ubicado en el EEE no se considera una transferencia posterior a los efectos de las presentes cláusulas.
[3] Ese plazo podrá prorrogarse por un máximo de dos meses más, en la medida en que sea necesario teniendo en cuenta la complejidad y el número de solicitudes. El importador de datos informará debidamente y sin demora al interesado de cualquier prórroga de este tipo.
[4] En lo que respecta a la incidencia de dichas leyes y prácticas en el cumplimiento de las presentes cláusulas, pueden tenerse en cuenta diferentes elementos como parte de una evaluación global. Dichos elementos pueden incluir la experiencia práctica relevante y documentada con casos anteriores de solicitudes de divulgación por parte de las autoridades públicas, o la ausencia de tales solicitudes, que abarquen un periodo de tiempo suficientemente representativo. Esto se refiere, en particular, a los registros internos u otra documentación, elaborados de forma continua de acuerdo con la diligencia debida y certificados a nivel de la alta dirección, siempre que esta información pueda compartirse legalmente con terceros. Cuando se recurra a esta experiencia práctica para concluir que no se impedirá al importador de datos cumplir las presentes Cláusulas, deberá respaldarse con otros elementos pertinentes y objetivos, y corresponderá a las Partes examinar cuidadosamente si estos elementos, en su conjunto, tienen suficiente peso, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica se ve corroborada y no contradicha por información fiable, disponible públicamente o accesible de otro modo, sobre la existencia o ausencia de solicitudes en el mismo sector y/o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de organismos de supervisión independientes.
