Disposiciones contractuales estándar

En virtud del artículo 26(2) de la Directiva 95/46/CE sobre la transferencia de datos personales a procesadores establecidos en terceros países que no garantizan un nivel adecuado de protección de los datos,

el Controlador especificado en el anexo n.° 2, Contrato de procesamiento de datos, (el "exportador de datos"),

y

el Procesador especificado en el anexo n.° 2, Contrato de procesamiento de datos, (el "importador de datos"),

cada uno denominado "parte", y en su conjunto, "las partes",

ACEPTAN las siguientes disposiciones contractuales (las Cláusulas) a fin de aducir los siguientes resguardos en materia de protección de la privacidad, los derechos fundamentales y las libertades de los individuos, en relación con la transferencia de datos personales desde el exportador hacia el importador, los cuales se establecen en el apéndice 1, que es parte integrante de estas Cláusulas ("Apéndice 1").

Cláusula 1. Definiciones

A fin de estas Cláusulas:

(a) "exportador de datos" significa el controlador que transfiere datos personales a su nombre y en representación de sus afiliados;

(b) "importador de datos" significa el procesador que acepta recibir datos personales de parte del exportador con el fin de procesarlos en representación del exportador después de la transferencia, de conformidad con las instrucciones del exportador y los términos de estas Cláusulas, y que no está sujeto al sistema de un tercer país que garantice una protección adecuada;

(c) "subprocesador" significa cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepta recibir, de parte del importador de datos o de cualquier otro subprocesador del importador de datos, datos personales exclusivamente destinados a actividades de procesamiento que se llevarán a cabo en representación del exportador de datos después de realizada la transferencia, de conformidad con las instrucciones del exportador, los términos de estas Cláusulas y los términos del subcontrato celebrado por escrito;

(d) "ley de protección de datos aplicable" significa la legislación que protege los derechos fundamentales y las libertades de los individuos y, en particular, el derecho a la privacidad, en relación con el procesamiento de datos personales aplicable al controlador de datos en el Estado miembro en que el exportador de datos está establecido;

(e) "medidas de seguridad técnicas y organizativas" significa aquellas medidas que tienen como fin proteger los datos personales contra la destrucción intencional o accidental, la pérdida o alteración accidental, la divulgación o el acceso no autorizado, especialmente cuando el procesamiento involucra la transmisión de datos por una red, y todas las otras formas de procesamiento ilegales especificadas en el apéndice 2, que es parte integrante de estas Cláusulas.

Cláusula 2. Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, siempre que corresponda, están establecidas en el apéndice 1.

Cláusula 3. Cláusula del tercero beneficiario

1. El titular de los datos puede hacer cumplir esta cláusula, las cláusulas 4(b) a 4(i), las cláusulas 5(a) a 5(e), y 5(g) a 5(j), las cláusulas 6(1) y 6(2), la cláusula 7, la cláusula 8(2) y las cláusulas 9 a 12 contra el exportador de datos, como tercero beneficiario.

2. El titular de los datos puede hacer cumplir esta cláusula, las cláusulas 5(a) a 5(e) y la cláusula 5(g), la cláusula 6, la cláusula 7, la cláusula 8(2) y las cláusulas 9 a 12 contra el importador de datos en caso de que el exportador de datos haya de hecho desaparecido o su existencia jurídica haya cesado, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o de pleno derecho y que, como resultado, asuma los derechos y las obligaciones del exportador de datos, en cuyo caso el titular de los datos puede hacer cumplir las cláusulas mencionadas contra dicha entidad.

3. El titular de los datos puede hacer cumplir esta cláusula, las cláusulas 5(a) a 5(e) y la 5(g), la cláusula 6, la cláusula 7, la cláusula 8(2) y las cláusulas 9 a 12 contra el subprocesador en caso de que el exportador y el importador de datos hayan de hecho desaparecido, sus existencias jurídicas hayan cesado o se hayan declarado insolventes, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o de pleno derecho y que, como resultado, asuma los derechos y las obligaciones del exportador de datos, en cuyo caso el titular de los datos puede hacer cumplir las cláusulas mencionadas contra dicha entidad. Esa responsabilidad de terceros aplicable al subprocesador estará limitada a sus propias operaciones de procesamiento de conformidad con estas Cláusulas.

4. Las partes no se oponen a que el titular de los datos esté representado por una asociación u otra entidad si el titular de los datos manifiesta ese deseo expresamente y si se lo permite la legislación nacional.

Cláusula 4. Obligaciones del exportador de datos

El exportador de datos acepta y garantiza lo siguiente:

(a) que el procesamiento y la transferencia de los datos personales han sido y seguirán siendo desarrollados de conformidad con las disposiciones relevantes de la ley de protección de datos aplicable (y que, según corresponda, se ha notificado de dicho procesamiento y dicha transferencia a las autoridades relevantes del Estado miembro en que el exportador está establecido) y no infringen las disposiciones relevantes de dicho Estado;

(b) que se le ha ordenado y que, durante la duración de los servicios de procesamiento de datos personales, se le ordenará al importador de datos que procese los datos personales transferidos solo en representación del exportador de datos y de conformidad con la ley de protección de datos aplicable y estas Cláusulas;

(c) que el importador de datos brindará garantías suficientes respecto de las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2;

(e) que después de la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción intencional o accidental, la pérdida o alteración accidental, la divulgación o el acceso no autorizado, especialmente cuando el procesamiento involucra la transmisión de datos por una red, y de todas las otras formas de procesamiento ilegales, y que estas medidas garantizan un nivel de seguridad adecuado para los riesgos que presenta el procesamiento y el tipo de los datos que deben protegerse, teniendo en cuenta la tecnología y el costo de la implementación;

(e) que garantizará el cumplimiento de las medidas de seguridad;

(f) que, si la transferencia involucra categorías especiales de datos, el titular de los datos ha sido informado o será informado antes de que los datos sean transmitidos a un tercer país que no brinde una protección adecuada, o bien después, lo más pronto posible;

(g) que reenviará cualquier notificación recibida del importador de datos o cualquier subprocesador, de conformidad con las cláusulas 5(b) y 8(3), a la autoridad de control de la protección de datos si el exportador de datos decide continuar con la transferencia o levantar la suspensión;

(h) que pondrá a disposición de los titulares de datos, a pedido, una copia de las Cláusulas, con excepción del apéndice 2, y un resumen de las medidas de seguridad, así como también, una copia del contrato de servicios de subprocesamiento que debe redactarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá quitar dicha información comercial;

(i) que, en caso de subprocesamiento, la actividad de procesamiento se lleve a cabo de conformidad con la cláusula 11 por parte de un subprocesador que brinde, como mínimo, el mismo nivel de protección de los datos personales y los derechos del titular de los datos que el importador de datos, de conformidad con estas Cláusulas; y

(j) que garantizará el cumplimiento de las cláusulas 4(a) a (i).

Cláusula 5. Obligaciones del importador de datos

El importador de datos acepta y garantiza lo siguiente:

(a) que procesará los datos personales solo en representación del exportador de datos y de conformidad con las instrucciones del exportador de datos y estas Cláusulas; si por cualquier motivo no pudiera cumplir con esto, acepta informar a la brevedad al exportador de datos sobre la imposibilidad de cumplimiento, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos o a rescindir el contrato;

(b) que no existe razón para creer que la legislación aplicable al importador de datos le impide cumplir con las instrucciones recibidas de parte del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de se produzca un cambio en la legislación que sea probable que tenga un efecto adverso en las garantías y las obligaciones establecidas en las Cláusulas, notificará de inmediato sobre este cambio al exportador de datos tan pronto como tome conocimiento de ello, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos o a rescindir el contrato;

(c) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 antes de procesar los datos personales transferidos;

(d) que notificará de inmediato al exportador de datos sobre lo siguiente:

(i) cualquier solicitud, legalmente vinculante, de divulgación de datos personales emitida por una autoridad legal competente, a menos que esté prohibida, como la prohibición del derecho penal orientada a preservar la confidencialidad de una investigación policial;

(ii) cualquier acceso accidental o no autorizado; y

(iii) cualquier solicitud recibida directamente de los titulares de datos sin responder a dicha solicitud, a menos que esté autorizado a hacerlo;

(e) que gestionará rápida y adecuadamente todas las preguntas del exportador de datos relacionadas con el procesamiento de los datos sujetos a transferencia y que cumplirá con las sugerencias de la autoridad de control respecto del procesamiento de los datos transferidos;

(f) que, a pedido del exportador de datos, facilitará sus instalaciones de procesamiento de datos para realizar una auditoría de las actividades de procesamiento abordadas en estas Cláusulas, lo cual será llevado a cabo por el exportador de datos o una entidad de fiscalización, compuesta por miembros independientes que posean las calificaciones profesionales requeridas, sujetos al deber de confidencialidad, seleccionados por el exportador de datos, según corresponda, previo consentimiento de la autoridad de control;

(g) que pondrá a disposición del titular de datos, a pedido, una copia de las Cláusulas o de cualquier contrato existente de subprocesamiento —a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá quitar dicha información comercial—, con excepción del apéndice 2, que será reemplazado por un resumen de las medidas de seguridad en caso de que el titular de datos no pueda obtener una copia del exportador de datos;

(h) que, en caso de subprocesamiento, ha informado con anticipación al exportador de datos y ha obtenido, previamente, su consentimiento por escrito;

(i) que los servicios de procesamiento realizados por el subprocesador se ajustarán a las disposiciones de la cláusula 11;

(j) que le enviará al exportador de datos, de inmediato, una copia de cualquier contrato que celebre con un subprocesador de conformidad con estas Cláusulas.

Cláusula 6. Responsabilidad

1. Las partes aceptan que el titular de datos que ha sufrido un daño como resultado del incumplimiento de las obligaciones incluidas en la cláusula 3 o en la cláusula 11 por parte de cualquier parte o del subprocesador tiene derecho a recibir un resarcimiento del exportador de datos por el daño sufrido.

2. Si el titular de datos no puede presentar una demanda por daños de acuerdo con el párrafo 1 contra el exportador de datos como resultado de un incumplimiento por parte del importador de datos o su subprocesador de cualquiera de las obligaciones incluidas en la cláusula 3 o en la cláusula 11 debido a que el exportador de datos ha desaparecido de hecho, su existencia jurídica ha cesado o se ha declarado insolvente, el importador de datos acepta que el titular de datos puede presentar una demanda contra el importador de datos como si fuera el exportador, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o de pleno derecho, en cuyo caso el titular de los datos puede ejercer sus derechos contra dicha entidad.

3. El importador de datos no puede alegar el incumplimiento de las obligaciones del subprocesador para evitar su propia responsabilidad.

4. Si el titular de datos no puede presentar una demanda contra el exportador o el importador de datos de acuerdo con el párrafo 1 y el párrafo 2 como resultado de un incumplimiento por parte del subprocesador de cualquiera de las obligaciones incluidas en la cláusula 3 o en la cláusula 11 debido a que tanto el exportador como el importador de datos han desaparecido de hecho, sus existencias jurídicas han cesado o se han declarado insolventes, el subprocesador acepta que el titular de datos puede presentar una demanda contra el subprocesador relativa a sus propias operaciones de procesamiento en virtud de estas Cláusulas como si fuera el exportador o el importador de datos, a menos que una entidad sucesora haya asumido todas las obligaciones legales del exportador o el importador de datos por contrato o de pleno derecho, en cuyo caso el titular de los datos puede ejercer sus derechos contra dicha entidad. La responsabilidad del subprocesador estará limitada a sus propias operaciones de procesamiento según lo establecido en estas Cláusulas.

Cláusula 7. Mediación y jurisdicción

1. El importador de datos acepta que si el titular de datos invoca derechos de tercero beneficiario contra este o exige un resarcimiento por daños y perjuicios en virtud de estas Cláusulas, el importador de datos aceptará la decisión del titular de datos:

(a) de someter la disputa a mediación a cargo de una persona independiente o, según corresponda, de la autoridad de control;

(b) de someter la disputa a los tribunales del Estado miembro en que el exportador de datos está establecido.

2. Las partes aceptan que la elección del titular de datos no perjudicará el derecho que surge de la ley procesal o de fondo a exigir un resarcimiento, de acuerdo con otras disposiciones de la legislación nacional o internacional.

Cláusula 8. Cooperación con las autoridades de control

1. El exportador de datos acepta depositar una copia de este contrato ante la autoridad de control, si esta así lo pide o si dicho depósito es requerido por la ley de protección de datos aplicable.

2. Las partes aceptan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos y de cualquier subprocesador, la cual tendrá el mismo alcance y estará sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos de conformidad con la ley de protección de datos aplicable.

3. El importador de datos informará de inmediato al exportador de datos sobre la existencia de legislación aplicable a este o al subprocesador que impida la realización de una auditoría del importador de datos o de cualquier subprocesador, de conformidad con el párrafo 2. En ese caso, el exportador de datos tendrá derecho a implementar las medidas previstas en la cláusula 5(b).

Cláusula 9. Ley aplicable

Las Cláusulas se regirán por las leyes del Estado miembro en que el exportador de datos está establecido.

Cláusula 10. Modificación del contrato

Las partes se comprometen a no modificar las Cláusulas. Esto no impide que las partes agreguen cláusulas sobre cuestiones relacionadas al negocio cuando sea necesario, siempre que no contradigan a estas Cláusulas.

Cláusula 11. Subprocesamiento

1. El importador de datos no subcontratará ninguna de las operaciones de procesamiento realizadas en representación del exportador de datos en virtud de estas Cláusulas sin el previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones en virtud de estas Cláusulas, con el consentimiento del exportador de datos, lo hará solamente por medio de un contrato celebrado por escrito con el subprocesador, que le imponga las mismas obligaciones al subprocesador que las impuestas al importador de datos en virtud de estas Cláusulas. Si el subprocesador no cumple sus obligaciones de protección de datos en virtud de dicho contrato escrito, el importador de datos seguirá siendo responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho contrato.

2. El contrato celebrado previamente por escrito entre el importador de datos y el subprocesador también incluirá una cláusula de tercero beneficiario, tal como lo dispone la cláusula 3, para casos en que el titular de datos no pueda presentar la demanda por daños y perjuicios establecida en el párrafo 1 de la cláusula 6 contra el exportador o el importador de datos en el supuesto en que estos hayan desaparecido de hecho, sus existencias jurídicas hayan cesado o se hayan declarado insolventes, y no exista una entidad sucesora que haya asumido todas las obligaciones legales del exportador o el importador de datos por contrato o de pleno derecho. Esa responsabilidad de terceros aplicable al subprocesador estará limitada a sus propias operaciones de procesamiento de conformidad con estas Cláusulas.

3. Las disposiciones del contrato mencionado en el párrafo 1 relativas a la protección de datos durante el subprocesamiento se regirán por las leyes del Estado miembro en que el exportador de datos está establecido.

4. El exportador de datos mantendrá una lista de los contratos de subprocesamiento celebrados en virtud de estas Cláusulas y sobre los cuales se notificó al importador de datos de conformidad con la cláusula 5(j). Esta lista se actualizará, como mínimo, una vez al año. La lista estará disponible para la autoridad de control de la protección de datos del exportador de datos.

Cláusula 12. Obligación posterior a la finalización de los servicios de procesamiento de datos personales

1. Las partes aceptan que, al momento de finalizar la provisión del servicio de procesamiento de datos personales, el importador de datos y el subprocesador, a discreción del exportador de datos, le devolverán todos los datos personales transferidos y las copias de estos al exportador de datos, o bien destruirán todos los datos personales y certificarán ante el exportador de datos que así lo han hecho, a menos que la legislación aplicable al importador de datos les impida devolver o destruir todo o parte de los datos transferidos. En ese caso, el importador de datos garantiza que mantendrá la confidencialidad de los datos personales transferidos y que dejará de procesar de manera activa los datos personales transferidos.

2. El importador de datos y el subprocesador garantizan que, a pedido del exportador de datos o la autoridad de control, someterán las instalaciones de procesamiento de datos a fin de realizar una auditoría de las medidas mencionadas en el párrafo 1.

Apéndice n.° 1 a Anexo n.° 3: Disposiciones contractuales estándar

Exportador de datos

El Controlador especificado en el anexo n.° 2, Contrato de procesamiento de datos, de estos Términos.

Importador de datos

El Procesador especificado en el anexo n.° 2, Contrato de procesamiento de datos, de estos Términos.

Titulares de datos

Empleados, clientes, socios comerciales, etc., del exportador de datos, según su propia decisión.

Categorías de datos

Todos los datos, según la propia decisión del exportador de datos.

Categorías especiales de datos

El procesamiento de categorías especiales de datos se basa, exclusivamente, en la decisión del exportador de datos.

Operaciones de procesamiento

Según se describe en los Términos, los anexos y la política de privacidad.

Apéndice n.° 2 a Anexo n.° 3: Disposiciones contractuales estándar

La descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos, de acuerdo con las cláusulas 4(d) y 5(c) descriptas en estos Términos, los anexos y la política de privacidad.