ESET Services – Índice

Cláusulas contractuales tipo

APÉNDICE SOBRE CLÁUSULAS CONTRACTUALES TIPO

(MÓDULO CUATRO: transferencia de encargado a responsable)

  1. Este Apéndice sobre las Cláusulas contractuales tipo (2021/914/UE) (el "Apéndice") es una parte inseparable de los Términos y condiciones para la prestación de los servicios profesionales y de seguridad de ESET (los "Términos"), en virtud de los que ESET presta al Cliente Servicios profesionales y de seguridad (los "Servicios") y que hacen referencia a este Apéndice.
  2. Este Apéndice se aplicará en caso de que las partes deban suscribir Cláusulas contractuales tipo adoptadas por la Comisión de la UE de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (el "RGPD") y en la medida en que haya cualquier transferencia o tratamiento de datos personales fuera del Espacio Económico Europeo o de un país designado como seguro por decisión de la Comisión Europea, según sea necesario en el contexto de la prestación de Servicios.
  3. A menos que una disposición particular de este Apéndice implique otra cosa, el significado de todos los términos con mayúscula inicial contenidos en este documento será el definido en los Términos y su Suplemento A, Acuerdo de procesamiento de datos (el "DPA").
  4. ESET puede cambiar este Apéndice unilateralmente cuando dicho cambio sea necesario debido a cambios en las leyes aplicables o a la decisión de la Comisión Europea sobre las Cláusulas contractuales tipo, lo que incluye cuando la Comisión Europea adopte nuevas cláusulas tipo de protección de datos de acuerdo con el RGPD. En tales casos, ESET está obligado a enviar una notificación por correo electrónico al Cliente no menos de treinta (30) días antes de que dichos cambios de este Apéndice entren en vigor y a publicarlo en un sitio web dedicado. Además, ESET puede cambiar unilateralmente este Apéndice en las mismas condiciones que se prescriben para el cambio unilateral de Términos en las disposiciones pertinentes de dichos Términos.
  5. Al aceptar los Términos, ESET y el Cliente aceptan este Apéndice vinculante, que incorpora las Cláusulas contractuales tipo de la Comisión Europea (2021/914/UE) (las "Cláusulas contractuales tipo") a los Términos sin necesidad de su posterior ejecución. Las Cláusulas contractuales tipo forman parte integral de este Apéndice y se aplican sin necesidad de ejecución adicional. En caso de conflicto entre este Apéndice y los Términos, prevalecerán las disposiciones de este Apéndice.
  6. Las partes de los Términos han acordado por este medio específicamente los siguientes puntos en relación con las Cláusulas contractuales tipo:
    1. Cláusula 11, Reparación: no se incluirá el párrafo opcional.
    2. Cláusula 17, Legislación aplicable: el Apéndice se regirá por la legislación eslovaca.
    3. Cláusula 18, Elección de foro y jurisdicción: las disputas que surjan de este Apéndice las resolverán los tribunales de Eslovaquia.

ANEXO

Cláusulas contractuales tipo

SECCIÓN I

Cláusula 1 Finalidad y ámbito de aplicación

a) La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.

b) Las Partes:

i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «exportador de datos»), y

ii) la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»),

han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).

c) El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo I.B.

d) El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del pliego.

Cláusula 2 Efecto e invariabilidad de las cláusulas

a) El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

b) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3 Tercero beneficiario

a) Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.

Cláusulas 1, 2, 3, 6 y 7.

ii) Cláusula 8: [módulo uno] cláusula 8.5, letra e), y cláusula 8.9, letra b); [módulo dos] cláusula 8.1, letra b), y cláusula 8.9, letras a), c), d) y e); [módulo tres] cláusula 8.1, letras a), c) y d), y cláusula 8.9, letras a), c), d), e), f) y g); [módulo cuatro] cláusula 8.1, letra b), y cláusula 8.3, letra b).

iii) Cláusula 9: [módulo dos] cláusula 9, letras a), c), d) y e); [módulo tres] cláusula 9, letras a), c), d) y e).

iv) Cláusula 12: [módulo uno] cláusula 12, letras a) y d); [módulos dos y tres] cláusula 12, letras a), d) y f).

v) Cláusula 13

vi) Cláusula 15.1, letras c), d) y e).

vii) Cláusula 16, letra e).

viii) Cláusula 18: [módulos uno, dos y tres] cláusula 18, letras a) y b); [módulo cuatro] cláusula 18.

b) Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.

Cláusula 4 Interpretación

a) Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.

b) El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.

c) El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

Cláusula 5 Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6 Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.

Cláusula 7 (opcional) Cláusula de incorporación

a) Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el anexo I.A.

b) Una vez haya cumplimentado el apéndice y firmado el anexo I.A, la entidad que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en el anexo I.A.

c) La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.

SECCIÓN II: OBLIGACIONES DE LAS PARTES

Cláusula 8 Garantías en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.

8.1. Instrucciones

a) El exportador de datos solo tratará los datos personales siguiendo instrucciones documentadas del importador de datos que actúe como su responsable.

b) El exportador de datos informará inmediatamente al importador de datos si no puede seguir dichas instrucciones, especialmente si dichas instrucciones infringen el Reglamento (UE) 2016/679 u otro instrumento normativo del Derecho de la Unión o del Estado miembro en materia de protección de datos.

c) El importador de datos no obrará de forma que pueda impedir al exportador de datos cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679 y, en particular, en el marco del subtratamiento o de la cooperación con las autoridades de control competentes.

d) Una vez se hayan prestado los servicios de tratamiento, el exportador de datos suprimirá, a petición del importador de datos, todos los datos personales tratados por cuenta del importador de datos y acreditará al importador de datos que lo ha hecho, o devolverá al importador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes.

8.2. Seguridad del tratamiento

a) Las partes aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, especialmente durante la transferencia; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza de los datos personales (2), la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados, y considerarán, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento.

b) El exportador de datos ayudará al importador de datos a garantizar una seguridad adecuada de los datos de conformidad con la letra a). En caso de violación de la seguridad de los datos personales tratados por el exportador de datos en virtud del presente pliego de cláusulas, el exportador de datos lo notificará sin dilación indebida al importador de datos, una vez que tenga conocimiento de ello, y le ayudará a poner remedio a la violación de la seguridad.

c) El exportador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

8.3. Documentación y cumplimiento

Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas.

b) El exportador de datos pondrá a disposición del importador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones que le atribuye el presente pliego de cláusulas y permitirá y contribuirá a las auditorías.

Cláusula 9 Recurso a subencargados

No aplicable al módulo correspondiente ni a la naturaleza de la transferencia.

Cláusula 10 Derechos del interesado

Las partes se prestarán ayuda recíproca para responder a las consultas y solicitudes de los interesados en virtud del Derecho doméstico aplicable al importador de datos o, respecto del tratamiento de datos por parte del exportador de datos en la Unión, en virtud del Reglamento (UE) 2016/679.

Cláusula 11 Reparación

a) El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.

Cláusula 12 Responsabilidad

a) Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.

b) Cada parte será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que la parte ocasione al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Ello se entiende sin perjuicio de la responsabilidad que le atribuye el Reglamento (UE) 2016/679 al exportador de datos.

c) Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.

d) Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra c), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.

e) El importador de datos no puede alegar la conducta de un encargado o subencargado del tratamiento para eludir su propia responsabilidad.

Cláusula 13 Supervisión

No aplicable al módulo correspondiente.

DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14 Derecho y prácticas del país que afectan al cumplimiento de las cláusulas

MÓDULO CUATRO: Transferencia de encargado a responsable (solo si el encargado de la UE combina los datos personales recibidos del responsable del tercer país con los datos personales recopilados por el encargado en la UE)

a) Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.

b) Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:

i) las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;

ii) el Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables (3);

iii) las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.

c) El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.

d) Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud.

e) El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a).

f) De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e).

Cláusula 15 Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

MÓDULO CUATRO: Transferencia de encargado a responsable (solo si el encargado de la UE combina los datos personales recibidos del responsable del tercer país con los datos personales recopilados por el encargado en la UE)

15.1. Notificación

a) El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:

i) recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o

ii) tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.

b) Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos.

c) En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.).

d) El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.

e) Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.

15.2. Control de la legalidad y minimización de datos

a) El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos.

b) El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.

c) El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV: DISPOSICIONES FINALES

Cláusula 16 Incumplimiento de las cláusulas y resolución del contrato

a) El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.

b) En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f).

c) El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:

i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;

ii) el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o

iii) el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.

En este supuesto, informará a la autoridad de supervisión competente de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.

Los datos personales recopilados por el exportador de datos en la UE que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán destruirse en su totalidad inmediatamente, así como cualquier copia de estos. El importador de datos certificará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.

e) Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17 Ley aplicable

El presente pliego de cláusulas se regirá por el Derecho de un país que contemple los derechos de los terceros beneficiarios. Las Partes acuerdan que este será el Derecho de Eslovaquia.

Cláusula 18 Elección del foro y jurisdicción

Cualquier controversia derivada de estas Cláusulas será resuelta por los tribunales de Eslovaquia.

APÉNDICE

ANEXO I

A. Lista de las partes

Exportador de datos: el exportador de datos es ESET, como se especifica en los Términos.

Importador de datos: el importador de datos es el Cliente (y sus filiales, si corresponde), como se especifica en los Términos.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados

El importador de datos, como Responsable del tratamiento de acuerdo con el DPA puede, en el contexto de los Servicios, acceder a tratar datos personales sobre cualquier interesado a su entera discreción. Esos datos personales pueden estar relacionados principalmente con usuarios autorizados de los dispositivos del importador de datos o empleados o contratistas del importador de datos (y, si corresponde, de sus filiales). Además, también pueden estar relacionados con cualquier persona cuyos datos trate el importador de datos o se traten en sus dispositivos y se proporcionen al exportador de datos o se pongan a disposición del exportador de datos durante la prestación de Servicios.

Categorías de datos personales transferidos:

Entre los datos personales tratados en el contexto de la prestación de Servicios pueden incluirse los datos personales facilitados por el importador de datos durante la prestación de Servicios y a su entera discreción, en concreto los datos personales enviados en solicitudes de soporte de los Servicios o durante el proceso de solicitud de Servicios, y los datos personales a los que pueda acceder el exportador de datos si el importador de datos ha concedido acceso temporal o permanente a sus Productos o sus dispositivos durante la prestación de Servicios.

Categorías especiales de datos

El importador de datos, como Responsable del tratamiento de acuerdo con el DPA, puede enviar categorías especiales de datos en el contexto de la prestación de Servicios, cuyo alcance determina y controla el importador de datos a su entera discreción.

La frecuencia de la transferencia: de forma continua.

Naturaleza del tratamiento: automatizado.

Finalidad(es) de la transferencia y posterior tratamiento de los datos: prestación del Servicio como se define en los anexos de los Términos.

El plazo durante el que se conservarán los datos personales: como se define en el DPA.

Referencias:

(1) Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe por cuenta de una institución u organismo de la Unión como responsable del tratamiento, se considera que la utilización del presente pliego de cláusulas al recurrir a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n. o 45/2001 y la Decisión n. o 1247/2002/CE (DO L295 de 21.11.2018, p. 39), en la medida en que estén armonizados el presente pliego de cláusulas y las obligaciones en materia de protección de datos que imponga el contrato u otro acto jurídico celebrado entre el responsable y el encargado con arreglo al artículo 29, apartado 3, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915.

(2) En concreto, si el tratamiento afecta a datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales.

(3) Por lo que se refiere al efecto de dicho Derecho y prácticas en el cumplimiento del presente pliego de cláusulas, a la hora de realizar una valoración integral de esta cuestión pueden tenerse en cuenta distintos aspectos. Uno de estos aspectos puede ser que haya experiencia práctica pertinente y documentada en casos anteriores de solicitudes de comunicación por parte de las autoridades públicas, o la ausencia de tales solicitudes, en un período suficientemente representativo. Con esto se quiere decir, en particular, los registros internos u otra documentación elaborados de forma continua con la diligencia debida y certificados en los niveles más altos de la dirección siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir el presente pliego de cláusulas, deberá estar respaldada por otros elementos pertinentes y objetivos; corresponde a las partes valorar minuciosamente si la suma de estos factores es suficientemente determinante, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las partes deben tener en cuenta si su experiencia práctica está corroborada y no se ve desmentida, por información que sea fiable y de dominio público o accesible de cualquier otro modo acerca de la existencia o ausencia de solicitudes en el mismo sector o acerca de la aplicación de la normativa de que se trate en la práctica, como jurisprudencia e informes de organismos de supervisión independientes.