CLÁUSULAS CONTRACTUALES ESTÁNDAR

Apéndice nº 2 - Cláusulas contractuales estándar

CLÁUSULAS CONTRACTUALES ESTÁNDAR

SECCIÓN I

Cláusula 1
Objetivo y alcance

(a) El objetivo de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) para la transferencia de datos personales a un tercer país.

(b) Las Partes:
i) la(s) persona(s) física(s) o jurídica(s), la(s) autoridad(es) pública(s), la(s) agencia(s) u otro(s) organismo(s) (en lo sucesivo, "entidad(es)") que transfiere(n) los datos personales, según la lista del anexo I.A (en lo sucesivo, cada "exportador de datos"), y

(ii) la(s) entidad(es) de un tercer país que recibe(n) los datos personales del exportador de datos, directa o indirectamente, a través de otra entidad que también es Parte de estas Cláusulas, según la lista del Anexo I.A (en adelante, cada "importador de datos") ha(n) aceptado estas cláusulas contractuales estándar (en adelante, las "Cláusulas").

(c) Las presentes cláusulas se aplican a la transferencia de datos personales según lo especificado en el Anexo I.B.

(d) El Apéndice de estas Cláusulas que contiene los Anexos a los que se hace referencia forma parte integrante de las mismas.

Cláusula 2
Efecto e invariabilidad de las cláusulas

(a) Las presentes Cláusulas establecen las salvaguardias adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de los responsables a los encargados del tratamiento y/o de los encargados del tratamiento a los encargados del tratamiento, las cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el módulo o los módulos apropiados o para añadir o actualizar la información del apéndice. Ello no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

(b) Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3
Terceros beneficiarios

(a) Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador de datos y/o al importador de datos, con las siguientes excepciones:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8 - Módulo Uno: Cláusula 8.5 (e) y Cláusula 8.9(b); Módulo Dos: Cláusula 8.1(b), 8.9(a), (c), (d) y (e); Módulo Tres: Cláusula 8.1 (a), (c) y (d) y Cláusula 8.9 (a), (c), (d), (e), (f) y (g); Módulo Cuatro: Cláusula 8.1 (b) y Cláusula 8.3 (b);

(iii) Cláusula 9 - Módulo Dos: Cláusula 9(a), (c), (d) y (e); Módulo Tres: Cláusula 9(a), (c), (d) y (e);

(iv) Cláusula 12 - Módulo Uno: Cláusula 12(a) y (d); Módulos Dos y Tres: Cláusula 12(a), (d) y (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) y (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18 - Módulos Uno, Dos y Tres: Cláusula 18(a) y (b); Módulo Cuatro: Cláusula 18.

(b) El apartado a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Cláusula 4
Interpretación

(a) Cuando en las presentes cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

(b) Las presentes cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.

(c) Las presentes Cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5
Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebradas con posterioridad, prevalecerán estas Cláusulas.

Cláusula 6
Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

Cláusula 7
Cláusula de acoplamiento

(a) Una entidad que no sea Parte de estas Cláusulas puede, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.

(b) Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad adherida se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de acuerdo con su designación en el Anexo I.A.

(c) La entidad adherente no tendrá ningún derecho ni obligación derivados de estas Cláusulas desde el periodo anterior a su adhesión.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8
Protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas apropiadas, de cumplir con sus obligaciones en virtud de estas cláusulas.

8.1 Instrucciones
(a) El importador de datos sólo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la duración del contrato.

(b) El importador de datos deberá informar inmediatamente al exportador de datos si no puede seguir esas instrucciones.

8.2 Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el Anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia de las presentes cláusulas, incluido el apéndice completado por las Partes. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá redactar parte del texto del apéndice de las presentes cláusulas antes de compartir una copia, pero proporcionará un resumen significativo cuando el interesado no pueda comprender el contenido o ejercer sus derechos de otro modo. A petición del interesado, las Partes le facilitarán los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Precisión
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos sólo tendrá lugar durante el tiempo especificado en el Anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados en nombre del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y eliminará las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o la supresión de los datos personales, el importador de datos garantiza que seguirá garantizando el cumplimiento de estas Cláusulas y que sólo los tratará en la medida y durante el tiempo que exija dicha legislación local. Esto se entiende sin perjuicio de la cláusula 14, en particular el requisito de que el importador de datos, en virtud de la cláusula 14(e), notifique al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas no conformes con los requisitos de la cláusula 14(a).

8.6 Seguridad del tratamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a dichos datos (en lo sucesivo, "violación de los datos personales"). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos que entraña el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un sujeto de datos específico permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.

(b) El importador de datos sólo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Se asegurará de que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal de confidencialidad adecuada.

(c) En caso de que se produzca una violación de los datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus probables consecuencias y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, a medida que esté disponible, se facilitará más información sin demora injustificada.

(d) El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el importador de datos.

8.7 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la pertenencia a un sindicato, datos genéticos o datos biométricos destinados a identificar de manera inequívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, "datos sensibles"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8 Traslados
El importador de datos sólo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán ser revelados a un tercero situado fuera de la Unión Europea (4) (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo "transferencia ulterior") si el tercero está o acepta estar obligado por estas Cláusulas, en virtud del Módulo correspondiente, o si:
(i) la transferencia ulterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;

(ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

(iii) la transferencia posterior es necesaria para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

(iv) la transferencia posterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Toda transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías previstas en estas cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y cumplimiento
(a) El importador de datos deberá atender rápida y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento de datos en virtud de las presentes cláusulas.

(b) Las partes deberán poder demostrar el cumplimiento de estas cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas en nombre del exportador de datos.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas y, a petición del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.

(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.

(e) Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en las letras b) y c), incluidos los resultados de las auditorías.

Cláusula 9
Uso de subprocesadores

(a) El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargados de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con una antelación mínima de [Especifíquese el período de tiempo], dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados. El importador de datos facilitará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.

(b) Cuando el importador de datos contrate a un subprocesador para que lleve a cabo actividades específicas de tratamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de las presentes cláusulas, incluso en lo que respecta a los derechos de terceros beneficiarios para los interesados. (8) Las Partes acuerdan que, al cumplir con esta cláusula, el importador de datos cumple con sus obligaciones en virtud de la cláusula 8.8. El importador de datos se asegurará de que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.

(c) El importador de datos proporcionará, a petición del exportador de datos, una copia de dicho acuerdo de subprocesador y de cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho contrato.

(e) El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado que borre o devuelva los datos personales.

Cláusula 10
Derechos del interesado

(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí mismo a menos que haya sido autorizado a hacerlo por el exportador de datos.

(b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.

(c) En el cumplimiento de sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos deberá cumplir las instrucciones del exportador de datos.

Cláusula 11
Reenvío

(a) El importador de datos informará a los interesados, en un formato transparente y fácilmente accesible, a través de una notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tratará sin demora cualquier reclamación que reciba de un interesado. El importador de datos acepta que los interesados puedan también presentar una reclamación ante un organismo independiente de resolución de litigios sin coste alguno para el interesado. Informará a los interesados, en la forma establecida en la letra a), de dicho mecanismo de recurso y de que no están obligados a utilizarlo ni a seguir una secuencia determinada para solicitar el recurso.

(b) En caso de litigio entre un interesado y una de las Partes en lo que respecta al cumplimiento de las presentes cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa en el momento oportuno. Las Partes se mantendrán mutuamente informadas sobre tales litigios y, en su caso, cooperarán para resolverlos.

(c) Cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, el importador de datos aceptará la decisión del interesado de
(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o de su lugar de trabajo, o ante la autoridad de control competente en virtud de la cláusula 13;

(ii) remitir el litigio a los tribunales competentes en el sentido de la cláusula 18.

(d) Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

(e) El importador de datos deberá acatar una decisión que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.

(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales para interponer recursos de conformidad con la legislación aplicable.

Cláusula 12
Responsabilidad

(a) Cada una de las Partes será responsable frente a la otra/s por los daños y perjuicios que cause/n a la otra/s por cualquier incumplimiento de estas Cláusulas.

(b) El importador de datos será responsable ante el interesado, y éste tendrá derecho a ser indemnizado, por los daños materiales o inmateriales que el importador de datos o su subencargado le causen al interesado por la violación de los derechos de los terceros beneficiarios en virtud de las presentes cláusulas.

(c) No obstante lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado, y este tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subencargado) cause al interesado por la infracción de los derechos de los terceros beneficiarios en virtud de las presentes cláusulas. Ello se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del mismo, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.

(d) Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del apartado (c) por los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.

(e) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de una infracción de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de estas Partes.

(f) Las Partes acuerdan que si una de ellas es considerada responsable en virtud del párrafo (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su responsabilidad por el daño.

(g) El importador de datos no puede invocar la conducta de un subprocesador para evitar su propia responsabilidad.

Cláusula 13
Supervisión

(a) [Cuando el exportador de datos esté establecido en un Estado miembro de la UE:] Actuará como autoridad de control competente la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, según lo indicado en el anexo I.C.
[Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679:] La autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de supervisión competente.
[Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin que, no obstante, tenga que designar a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679:] Actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle, según se indica en el anexo I.C.

(b) El importador de datos se compromete a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes cláusulas. En particular, el importador de datos se compromete a responder a las investigaciones, a someterse a las auditorías y a cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctoras y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han adoptado las medidas necesarias.

SECCIÓN III - LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

Cláusula 14
Leyes y prácticas locales que afectan al cumplimiento de las cláusulas

(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de los datos personales o las medidas que autorizan el acceso de las autoridades públicas, impiden al importador de datos cumplir sus obligaciones en virtud de las presentes cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.

(b) Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias posteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;

(ii) la legislación y las prácticas del tercer país de destino -incluidas las que exigen la comunicación de los datos a las autoridades públicas o que autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables (12);

(iii) todas las salvaguardias contractuales, técnicas u organizativas pertinentes establecidas para complementar las salvaguardias previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

(c) El importador de datos garantiza que, al llevar a cabo la evaluación prevista en el apartado b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y acepta que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de estas cláusulas.

(d) Las Partes acuerdan documentar la evaluación prevista en el apartado (b) y ponerla a disposición de la autoridad de control competente cuando ésta lo solicite.

(e) El importador de datos se compromete a notificar sin demora al exportador de datos si, después de haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no se ajusta a los requisitos de la letra a). [Para el módulo tres: El exportador de datos remitirá la notificación al responsable del tratamiento].

(f) Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación [para el módulo 3: si procede, en consulta con el responsable del tratamiento]. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así lo ordena [para el módulo tres: el responsable del tratamiento o] la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte correspondiente, salvo que las Partes hayan acordado otra cosa. Cuando el contrato se resuelva en virtud de esta Cláusula, se aplicará la Cláusula 16(d) y (e).

Cláusula 15
Obligaciones del importador de datos en caso de acceso de las autoridades públicas

15.1 Notificación
(a) El importador de datos se compromete a notificar rápidamente al exportador de datos y, cuando sea posible, al interesado (si es necesario con la ayuda del exportador de datos) si:
(i) reciba una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de los datos personales transferidos en virtud de las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o

(ii) tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes cláusulas, de conformidad con la legislación del país de destino; dicha notificación deberá incluir toda la información de que disponga el importador.

[Para el módulo tres: El exportador de datos remitirá la notificación al responsable del tratamiento].

(b) Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos se compromete a hacer todo lo posible para obtener una exención de la prohibición, con el fin de comunicar toda la información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.

(c) Cuando la legislación del país de destino lo permita, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante la duración del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.). [Para el Módulo 3: El exportador de datos transmitirá la información al responsable del tratamiento].

(d) El importador de datos se compromete a conservar la información de acuerdo con los apartados (a) a (c) durante la duración del contrato y a ponerla a disposición de la autoridad de control competente cuando ésta lo solicite.

(e) Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, de acuerdo con la cláusula 14 (e) y la cláusula 16, de informar al exportador de datos con prontitud cuando no pueda cumplir con estas cláusulas.

15.2 Revisión de la legalidad y minimización de datos
(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de las competencias otorgadas a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal en virtud de la legislación del país de destino, de las obligaciones aplicables en virtud del Derecho internacional y de los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente se pronuncie sobre su fundamento. No revelará los datos personales solicitados hasta que se le exija hacerlo en virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la cláusula 14(e).

(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente cuando ésta lo solicite. [Para el módulo tres: El exportador de datos pondrá la evaluación a disposición del responsable del tratamiento].

(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Artículo 16
Incumplimiento de las cláusulas y rescisión

(a) El importador de datos informará sin demora al exportador de datos si no puede cumplir con estas cláusulas, por cualquier motivo.

(b) En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se resuelva el contrato. Esto se entiende sin perjuicio de la cláusula 14(f).

(c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas, cuando:
(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y no se restablezca el cumplimiento de estas cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión;

(ii) el importador de datos incumple de forma sustancial o persistente las presentes cláusulas; o

(iii) el importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad de control en relación con sus obligaciones en virtud de las presentes cláusulas.

En estos casos, informará a la autoridad de control competente [para el Módulo 3: y al responsable del tratamiento] de dicho incumplimiento. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte correspondiente, salvo que las Partes hayan acordado otra cosa.

(d) [Para los módulos uno, dos y tres: Los datos personales que hayan sido transferidos antes de la terminación del contrato de conformidad con el apartado (c) serán, a elección del exportador de datos, devueltos inmediatamente al exportador de datos o eliminados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos]. [Para el módulo cuatro: Los datos personales recogidos por el exportador de datos en la UE que hayan sido transferidos antes de la terminación del contrato con arreglo a la letra c) se eliminarán inmediatamente en su totalidad, incluida cualquier copia de los mismos]. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o la supresión de los datos personales transferidos, el importador de datos garantiza que seguirá garantizando el cumplimiento de las presentes cláusulas y que sólo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.

(e) Cualquiera de las Partes podrá revocar su acuerdo de vinculación a las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17
Derecho aplicable

Las presentes cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de Polonia.

Cláusula 18
Elección de foro y jurisdicción

(a) Cualquier litigio derivado de estas cláusulas será resuelto por los tribunales de un Estado miembro de la UE.

(b) Las Partes acuerdan que serán los tribunales de Polonia.

(c) El interesado también podrá emprender acciones legales contra el exportador o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

(d) Las Partes aceptan someterse a la jurisdicción de dichos tribunales.

APÉNDICE
NOTA EXPLICATIVA:

Debe ser posible distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, a este respecto, determinar el papel respectivo de las Partes como exportador(es) de datos y/o importador(es) de datos. Esto no requiere necesariamente completar y firmar apéndices separados para cada transferencia/categoría de transferencias y/o relación contractual, cuando esta transparencia puede lograrse a través de un apéndice. Sin embargo, cuando sea necesario para garantizar la suficiente claridad, deberán utilizarse apéndices separados.

ANEXO I

A. LISTA DE PARTES

  1. Exportador(es) de datos:

Nombre: ...
Dirección: ...
Nombre de la persona de contacto, cargo y datos de contacto: ...
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: tratamiento de datos para la ejecución del Acuerdo Marco
Firma y fecha: ...
Función: controlador

  1. Importador(es) de datos:

Nombre: DevSkiller S.A.
Dirección: Al. Lindleya 16, 02-013 Varsovia
Nombre de la persona de contacto, cargo y datos de contacto: ...
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: tratamiento de datos para la ejecución del Acuerdo Marco
Firma y fecha: ...
Función: procesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de interesados cuyos datos personales se transfieren: Personas autorizadas para representar al responsable del tratamiento, participantes en las pruebas
Categorías de datos personales transferidos: nombre, apellido, número de identificación fiscal, correo electrónico, dirección, número de teléfono, nombre de la empresa, cargo que ocupa en la empresa, número IP, imagen.
Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso sólo para el personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales: no procede
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua): continua

Naturaleza del tratamiento:
Finalidad(es) de la transferencia de datos y del tratamiento posterior: ejecución del Acuerdo Principal
El período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período: duración del Acuerdo Principal, el período de prescripción de las reclamaciones
En el caso de las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento: la duración del Acuerdo Principal, el período de prescripción de las reclamaciones.

C. AUTORIDAD DE CONTROL COMPETENTE
Identifique la(s) autoridad(es) de control competente(s) de acuerdo con la cláusula 13:
El responsable polaco de la protección de datos personales.

ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Medidas de seudonimización y cifrado de datos personales.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de procesamiento.
Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico.
Procesos para comprobar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento.
Medidas de identificación y autorización de usuarios.
Medidas de protección de los datos durante la transmisión.
Medidas de protección de los datos durante el almacenamiento.
Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales.
Medidas para garantizar el registro de eventos.
Medidas para garantizar la configuración del sistema, incluida la configuración por defecto.
Medidas para la gobernanza y la gestión de la seguridad informática interna.
Medidas de certificación/garantía de procesos y productos.
Medidas para garantizar la minimización de los datos.
Medidas para garantizar la calidad de los datos.
Medidas para garantizar una conservación limitada de los datos.
Medidas para garantizar la responsabilidad.
Medidas para permitir la portabilidad de los datos y garantizar su eliminación.

ANEXO III
LISTA DE SUBPROCESADORES

De acuerdo con el Apéndice nº 1 de la DPA.

Certificaciones de seguridad y cumplimiento. Nos aseguramos de que sus datos estén seguros y protegidos.

El logo de DevSkiller Logotipo de TalentBoost Logotipo de TalentScore