Anexo sobre procesamiento de datos

Este Anexo de procesamiento de datos (este «DPA») establece las obligaciones de Tesorería, Coprocess o CashAnalytics en virtud del Acuerdo marco con respecto a los datos personales cubiertos. En cualquier caso, en este anexo sobre procesamiento de datos, por «gTreasury» se entenderá la entidad respectiva de la que el cliente sea parte en virtud de un acuerdo marco.

1. Términos definidos.

Cualquier término en mayúscula en este DPA que no esté definido en este DPA tendrá el significado que se le da a ese término en el Acuerdo marco. De lo contrario, los siguientes términos tendrán los siguientes significados.
(a) Los «datos personales cubiertos» son los datos personales que:
(i) GTreasury recibe del Cliente o de cualquier tercero (incluido, entre otros, cualquier sujeto de datos) dentro del alcance del Acuerdo; y
(ii) Está protegido por la Ley de Protección de Datos y respecto de la cual la Ley de Protección de Datos impone protecciones debido a su naturaleza personal.
(b) «Ley de protección de datos» significa la ley internacional, nacional, estatal o provincial que protege o impone restricciones al procesamiento de los datos personales en cuestión. El término incluye, pero no se limita a, lo siguiente, en su versión modificada, y las normas correspondientes que tienen fuerza de ley, en la medida en que cumplan con la definición anterior: el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) (el «GDPR»), la Ley de Privacidad de Australia de 1988, la Ley de Privacidad de Nueva Zelanda de 2020, la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá («PIPEDA»), la Ley Federal Suiza de Protección de Datos, la Ley de Protección de Datos del Reino Unido de 2018, la Ley de Privacidad del Consumidor de California de 2018 («CCPA») y la Ley de Derechos de Privacidad de California de 2020 («CPRA»).
(c) Un «sujeto de datos» con respecto a los datos personales es la persona física identificada o identificable a la que se refieren los datos personales.
(d) «Datos personales del EEE» se refiere a los datos personales cubiertos cuyos interesados se encuentran en el EEE.
(e) La «Unión Europea» o «UE» se refiere a los estados miembros de esa unión según lo establecido en el Tratado de la Unión Europea, el Tratado sobre el Funcionamiento de la Unión Europea y los tratados relacionados, según puedan adherirse o salir dichos estados miembros.
(f) El «Espacio Económico Europeo» o «EEE» se refiere a los estados miembros en proceso de adhesión en virtud del Acuerdo sobre el Espacio Económico Europeo, ya que dichos estados miembros pueden acceder o salir.
(g) Por «datos personales» se entiende cualquier información relativa a una persona física identificada o identificable, donde una «persona física identificable» es aquella que puede identificarse, directa o indirectamente, en particular mediante referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
(h) Por «procesamiento» de datos personales se entiende cualquier operación o conjunto de operaciones que se realice con datos personales o conjuntos de datos personales, ya sea por medios automatizados o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, difusión o puesta a disposición de otro modo, la alineación o combinación, la restricción, el borrado o la destrucción.

‍
2. En general.

‍
(a) El cliente no proporcionará a GTreasury ningún dato personal que no sea necesario para el cumplimiento de las obligaciones de GTreasury of GTreasury en virtud del Acuerdo.
(b) Las obligaciones de GTreasury en virtud de esta DPA se aplican en la medida en que la Ley de Protección de Datos que se aplica al Cliente exija que el Cliente imponga dichas obligaciones a los procesadores de los Datos personales cubiertos.
(c) GTreasury no contratará a otro procesador sin la autorización previa por escrito específica o general del Cliente. En el caso de una autorización general por escrito, GTreasury informará al Cliente de cualquier cambio previsto relacionado con la adición o el reemplazo de otros procesadores y le dará al Cliente la oportunidad de oponerse a dichos cambios.
(d) El objeto, la naturaleza y el propósito del procesamiento por parte de GTreasury es la entrega de los bienes, servicios y/o software identificados en el Acuerdo.
(e) El tipo de datos personales y las categorías de sujetos de datos son los tipos y categorías contemplados en el Acuerdo.
(f) GTreasury procesará los datos personales cubiertos únicamente siguiendo instrucciones documentadas del Cliente, incluso en lo que respecta a las transferencias de datos personales a un tercer país o una organización internacional, a menos que lo exija la Ley de Protección de Datos a la que está sujeto GTreasury. En tal caso, GTreasury informará al Cliente de ese requisito legal antes del procesamiento, a menos que dicha ley prohíba dicha información por motivos importantes de interés público contemplados en la Ley de Protección de Datos. Para evitar cualquier duda, el Acuerdo constituye las instrucciones documentadas del Cliente para que GTreasury lleve a cabo el procesamiento que sea necesario para que GTreasury lleve a cabo en virtud del Acuerdo.
(g) GTreasury se asegurará de que sus agentes autorizados a procesar los Datos personales cubiertos se hayan comprometido a mantener la confidencialidad o estén sujetos a una obligación legal o profesional de confidencialidad adecuada.
(h) Seguridad.
(i) Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del procesamiento, así como el riesgo de variabilidad y gravedad para los derechos y libertades de las personas físicas, GTreasury implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluso, en la medida necesaria y apropiada:

(A) Seudonimización y cifrado de los datos personales cubiertos;

(B) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento;

(C) La capacidad de restablecer la disponibilidad y el acceso a los Datos personales cubiertos de manera oportuna en caso de un incidente físico o técnico; y/o

(D) Un proceso para probar, evaluar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

(ii) Al evaluar el nivel de seguridad adecuado, gTreasury tendrá en cuenta los riesgos que presenta el procesamiento, en particular los derivados de la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales transmitidos, almacenados o procesados de otro modo.
(iii) GTreasury puede utilizar el cumplimiento de un código de conducta aprobado contemplado en el artículo 40 del RGPD o un mecanismo de certificación aprobado según lo previsto en el artículo 42 del RGPD como elemento para demostrar el cumplimiento de los requisitos identificados en la sección 2 (h) (i).
(iv) gTreasury tomará medidas para garantizar que cualquier persona física que actúe bajo la autoridad del procesador de gTreasury y que tenga acceso a los datos personales cubiertos no procese los datos personales cubiertos excepto siguiendo instrucciones del cliente, a menos que la ley de protección de datos aplicable le exija hacerlo.
(i) GTreasury no contratará ni utilizará a ningún tercero para realizar ningún procesamiento que no sea el previsto en esta DPA. Para evitar cualquier duda, GTreasury puede utilizar los servicios de alojamiento proporcionados por Microsoft Corporation, Amazon Web Services, Inc., Rackspace, Inc. y/o sus filiales, siempre que GTreasury obtenga de dichos proveedores obligaciones contractuales consistentes con el cumplimiento por parte de GTreasury de sus obligaciones en virtud de esta DPA.
(j) Teniendo en cuenta la naturaleza del procesamiento, GTreasury ayudará al Cliente mediante las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para cumplir con las obligaciones del Cliente o del controlador del Cliente de responder a las solicitudes para ejercer los derechos del interesado establecidos en:
(i) El capítulo III del RGPD, en particular los artículos 12 (Información, comunicación y modalidades transparentes para el ejercicio de los derechos del interesado), 13 (Información que debe proporcionarse cuando se recopilan datos personales del interesado), 14 (Información que debe proporcionarse cuando los datos personales no se hayan obtenido del interesado), 15 (Derecho de acceso por parte del interesado), 16 (Derecho de rectificación), 17 (Derecho de supresión («Derecho de acceso por parte del interesado) olvidar»)), 18 (Derecho a la restricción del procesamiento), 19 (Obligación de notificación relativa a la rectificación o eliminación de datos personales o restricción del procesamiento), 20 (Derecho a la portabilidad de los datos), 21 (Derecho a oponerse y a la toma de decisiones individuales automatizada), 22 (Toma de decisiones individual automatizada, incluida la elaboración de perfiles) y 23 (Restricciones); y/o
(ii) Otra ley de protección de datos aplicable.
(k) GTreasury ayudará al Cliente a garantizar el cumplimiento de las obligaciones en virtud de los artículos 32 (Seguridad del procesamiento), 33 (Notificación de una violación de datos personales a la autoridad supervisora), 34 (Comunicación de una violación de datos personales al interesado), 35 (Evaluación del impacto de la protección de datos) y 36 (Consulta previa), y otras leyes de protección de datos aplicables, teniendo en cuenta la naturaleza del procesamiento y la información disponible para gTreasury.
(l) A elección del Cliente, GTreasury eliminará o devolverá todos los Datos personales cubiertos al Cliente una vez finalizada la prestación de los servicios relacionados con el procesamiento y eliminará las copias existentes, a menos que la ley aplicable exija que GTreasury continúe conservando los Datos personales cubiertos.
(m) GTreasury pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones del artículo 28 del RGPD y obligaciones similares en virtud de otras leyes de protección de datos, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente u otro auditor autorizado por el Cliente. GTreasury informará inmediatamente al Cliente si, en opinión de GTreasury, una instrucción infringe la Ley de Protección de Datos.
(n) Si GTreasury contrata a un tercero para llevar a cabo actividades de procesamiento específicas en nombre o en beneficio del Cliente, las obligaciones de protección de datos consistentes con el cumplimiento por parte de GTreasury de sus obligaciones establecidas en esta DPA y el Acuerdo marco se impondrán a ese tercero mediante un contrato, en particular proporcionando garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de tal manera que el procesamiento cumpla con los requisitos de la Ley de Protección de Datos aplicable. Si ese tercero no cumple con sus obligaciones de protección de datos, el Tesoro seguirá siendo plenamente responsable ante el Cliente por el cumplimiento de dichas obligaciones.

3. Disposiciones específicas de los Estados Unidos.

‍
(a) California. Las siguientes disposiciones se aplican a las transferencias de datos personales cubiertos del Cliente a la Tesorería, que están sujetas a la Ley de Privacidad del Consumidor de California de 2018 (Cal. Civ. Código § Sección 1798.100 y siguientes) («CCPA») y la Ley de Derechos de Privacidad de California de 2020 (Cal. Civ. Código § 1798.100 y siguientes) («CPRA»), cada una de ellas con sus modificaciones («Datos personales cubiertos por California»), en la medida en que el cliente sea una «empresa» y gTreasury actúe como un «proveedor de servicios» con respecto a los datos personales cubiertos por California.
(i) El Tesoro procesa los datos personales cubiertos por California como proveedor de servicios.
(ii) El cliente divulga los datos personales cubiertos por California a GTreasury en relación con el Acuerdo únicamente con los fines limitados y específicos de recibir los servicios en virtud del Acuerdo.
(iii) GTreasury retendrá, usará, divulgará o procesará de otro modo los datos personales cubiertos por California únicamente con el propósito específico de proporcionar los servicios en virtud del Acuerdo o según lo exija la ley.
(iv) La Tesorería no:

(A) Conservar, usar, divulgar o procesar de otro modo los datos personales cubiertos por California, excepto cuando sea necesario para prestar servicios en virtud del Acuerdo o según lo exija la ley;

(B) Vender los datos personales cubiertos por California; o

(C) Compartir los datos personales cubiertos por California de forma distinta a la requerida para cumplir con lo estipulado en el Acuerdo.

(v) GTreasury cooperará con cualquier auditoría, inspección u otra medida razonable y apropiada que la ley de California exija al Cliente que lleve a cabo para confirmar que GTreasury procesa los datos personales cubiertos por California de manera coherente con las obligaciones de GTreasury en virtud de esta DPA.
(vi) GTreasury notificará de inmediato al Cliente si GTreasury ya no puede cumplir con las obligaciones de GTreasury en virtud de esta DPA.
(vii) GTreasury cooperará con el Cliente para responder e implementar las solicitudes verificables de los consumidores para ejercer los derechos otorgados a los consumidores por la ley de California, incluso mediante la asistencia con las medidas técnicas y organizativas apropiadas. GTreasury entregará al Cliente, en un plazo de cinco días hábiles, cualquier solicitud de un consumidor para ejercer un derecho en virtud de la legislación de California, ya sea que la reciba de un consumidor o de un agente autorizado, si los datos personales del solicitante figuran en los datos personales cubiertos de California.
(viii) Tras una solicitud por escrito del Cliente o la rescisión del Acuerdo, GTreasury eliminará de inmediato todos los datos personales cubiertos por California.
(ix) gTreasury no procesará los datos personales cubiertos por California para crear datos anónimos sin obtener primero la autorización del Cliente. En caso de que gTreasury esté debidamente autorizado, gTreasury:

(A) Adoptar medidas razonables para evitar que los datos anónimos se utilicen para deducir información sobre una persona física o un hogar en particular o se vinculen de otro modo con ellos;

(B) Mantener y usar los datos anónimos de forma anónima y no intentar volver a identificar los datos anónimos, excepto que GTreasury pueda intentar volver a identificar la información únicamente con el propósito de determinar si sus procesos de desidentificación cumplen con los requisitos de la ley de California; y

(C) Exigir contractualmente a los destinatarios de los datos anónimos, incluidos los subprocesadores, los contratistas y otros terceros, que cumplan con las obligaciones del Tesoro en virtud de esta DPA.

(D) Siga siendo plenamente responsable de cualquier incumplimiento por parte de GTreasury o sus empleados, agentes o contratistas de las obligaciones de GTreasury con respecto a los datos anónimos.

(b) Colorado. A partir del 1 de julio de 2023, se aplicarán las siguientes disposiciones a las transferencias del Cliente a GTreasury de los datos personales cubiertos y al procesamiento de los datos personales cubiertos por parte de GTreasury, que está sujeto a la Ley de privacidad de Colorado (Col. Rev. Stat. § 6-1-1301 y siguientes), en su forma enmendada («Datos personales cubiertos de Colorado»), en la medida en que el Cliente actúe como controlador de los datos personales cubiertos de Colorado y el Tesoro actúe como procesador de los datos personales cubiertos por Colorado:
(i) El Tesoro procesa los datos personales cubiertos por Colorado como procesador al prestar los servicios en virtud del Acuerdo.
(ii) La Tesorería hará lo siguiente:

(A) Conservar, usar, divulgar o procesar de otro modo los datos personales cubiertos por Colorado únicamente con el propósito específico de proporcionar los servicios en virtud del Acuerdo o según lo exija la ley;

(iii) Garantizar que cada agente del Tesoro que procesa los datos personales cubiertos por Colorado esté sujeto a un deber de confidencialidad con respecto a los datos personales cubiertos por Colorado; y
(iv) En la medida en que la ley de Colorado exija al Cliente que exija a GTreasury lo siguiente:

(A) El Tesoro permitirá que el Cliente o el asesor designado por el Cliente realicen evaluaciones razonables y cooperará con ellas; o

(B) GTreasury puede hacer arreglos para que un evaluador calificado e independiente lleve a cabo una evaluación de las políticas y medidas técnicas y organizativas de GTreasury utilizando un estándar o marco de control y un procedimiento de evaluación apropiados y aceptados para dichas evaluaciones, y GTreasury proporcionará un informe de dicha evaluación al Cliente si lo solicita.

(v) Siguiendo las instrucciones del Cliente, GTreasury eliminará o devolverá al Cliente todos los Datos personales cubiertos por Colorado según lo solicitado al final de la prestación de los servicios, a menos que la ley exija la retención de los Datos personales cubiertos por Colorado;
(vi) Previa solicitud razonable del Cliente, GTreasury pondrá a disposición del Cliente toda la información que posea razonablemente necesaria para demostrar el cumplimiento por parte de GTreasury con esta DPA;
(vii) GTreasury cooperará con el Cliente mediante las medidas técnicas y organizativas apropiadas, en la medida en que sea razonablemente posible, para cumplir con la obligación del Cliente de responder a las solicitudes de derechos del consumidor. GTreasury entregará al Cliente, en un plazo de cinco días hábiles, cualquier solicitud de un sujeto de datos para ejercer un derecho en virtud de la legislación de Colorado, ya sea recibida de un sujeto de datos o de un agente autorizado, si los datos personales cubiertos del solicitante figuran entre los datos personales cubiertos de Colorado.
(viii) gTreasury ayudará al Cliente a cumplir con sus obligaciones en relación con la seguridad del procesamiento de los datos personales cubiertos por Colorado y en relación con la notificación de una violación de la seguridad del sistema de gTreasury de conformidad con la ley aplicable.
(ix) GTreasury no procesará los datos personales cubiertos por Colorado para crear datos anónimos sin obtener primero la autorización del Cliente. En caso de que gTreasury esté debidamente autorizado, gTreasury:

(A) Adoptar medidas razonables para evitar que los datos anónimos se utilicen para deducir información sobre una persona física o un hogar en particular o que se vinculen a ellos de otro modo; y

(B) Exigir contractualmente a los destinatarios de los datos anónimos, incluidos los subprocesadores, los contratistas y otros terceros, que cumplan con las obligaciones del Tesoro en virtud de esta DPA.

(c) Virginia. Las siguientes disposiciones se aplican a todas las transferencias de datos personales cubiertos del Cliente a GTreasury y al procesamiento de datos personales cubiertos por parte de GTreasury, que esté sujeto a la Ley de Protección de Datos del Consumidor de Virginia (Virginia). Código § 59.1-571 y siguientes), en su versión enmendada («VCDPA») («Datos personales cubiertos por Virginia»), en la medida en que el Cliente actúa como controlador de los datos personales cubiertos por Virginia y el Tesoro actúa como procesador de los datos personales cubiertos por Virginia.
(i) El Tesoro procesa los datos personales cubiertos por Virginia como procesador al prestar los servicios en virtud del Acuerdo.
(ii) GTreasury retendrá, usará, divulgará o procesará de otro modo los datos personales cubiertos por Virginia únicamente con el propósito específico de proporcionar los servicios en virtud del Acuerdo o según lo exija la ley.
(iii) gTreasury se asegurará de que cada agente de gTreasury que procese los datos personales cubiertos por Virginia esté sujeto a un deber de confidencialidad con respecto a los datos.
(iv) En la medida en que la ley de Virginia exija al Cliente que exija lo siguiente a GTreasury:

(A) El Tesoro permitirá que el Cliente o el asesor designado por el Cliente realicen evaluaciones razonables y cooperará con ellas; o

(B) GTreasury puede hacer arreglos para que un evaluador calificado e independiente lleve a cabo una evaluación de las políticas y medidas técnicas y organizativas de GTreasury utilizando un estándar o marco de control y un procedimiento de evaluación apropiados y aceptados para dichas evaluaciones, y GTreasury proporcionará un informe de dicha evaluación al Cliente si lo solicita.

(v) Siguiendo las instrucciones del Cliente, GTreasury eliminará o devolverá al Cliente todos los Datos personales cubiertos por Virginia según lo solicitado al final de la prestación de los servicios, a menos que la ley exija la retención de los Datos personales cubiertos por Virginia.
(vi) Previa solicitud razonable del Cliente, GTreasury pondrá a su disposición toda la información que posea necesaria para demostrar que GTreasury cumple con las obligaciones de GTreasury en virtud de esta DPA.
(vii) GTreasury cooperará con el Cliente, mediante las medidas técnicas y organizativas apropiadas, en la medida en que sea razonablemente posible, para cumplir con la obligación del Cliente de responder a las solicitudes de derechos del interesado. GTreasury entregará al Cliente, en un plazo de cinco días hábiles, cualquier solicitud para ejercer un derecho en virtud de la Ley de Protección de Datos de Virginia, ya sea que la reciba de un interesado o de un agente autorizado, si los datos personales del solicitante figuran entre los Datos personales cubiertos por Virginia.
(viii) gTreasury ayudará al Cliente a cumplir con sus obligaciones en relación con la seguridad del procesamiento de los datos personales cubiertos por Virginia y en relación con la notificación de una violación de la seguridad del sistema de gTreasury en la medida en que lo exija la ley de Virginia.
(ix) GTreasury no procesará los datos personales cubiertos por Virginia para crear datos anónimos sin obtener primero la autorización del Cliente. En caso de que GTreasury esté debidamente autorizado, GTreasury:

(A) Adoptar medidas razonables para evitar que los datos anónimos se utilicen para deducir información sobre una persona física o un hogar en particular o se vinculen de otro modo con ellos;

(B) Mantener y usar los datos anónimos de forma anónima y no intentar volver a identificar los datos anónimos, excepto que GTreasury pueda intentar volver a identificar la información únicamente con el propósito de determinar si sus procesos de desidentificación cumplen con los requisitos de la ley de Virginia; y

(C) Exigir contractualmente a los destinatarios de los datos anónimos, incluidos los subprocesadores, los contratistas y otros terceros, que cumplan con las obligaciones del Tesoro en virtud de esta DPA.

4. Disposiciones específicas de Canadá.

Las siguientes disposiciones se aplican a todas las transferencias del Cliente al Tesoro de datos personales cubiertos, cuyo procesamiento está sujeto a la Ley de protección de la información personal y los documentos electrónicos, en su forma enmendada («PIPEDA») y a cualquier legislación federal o provincial canadiense similar que rija la protección de los datos personales («Datos personales canadienses cubiertos»).
(a) El cliente actuará como controlador de los datos personales canadienses cubiertos y el Tesoro actuará como procesador de los datos personales canadienses cubiertos.
(b) El cliente avisará adecuadamente y obtendrá los consentimientos correspondientes según lo exijan, según corresponda, la PIPEDA y otras leyes canadienses aplicables.
(c) El Tesoro implementará medidas de seguridad para proteger los datos personales de Canadá según lo exige el Acuerdo.
(d) Tanto el Cliente como el Tesoro deberán cumplir con todas las solicitudes válidas presentadas por las autoridades legales competentes.
(e) Previa solicitud del Cliente, GTreasury le brindará al Cliente la oportunidad de recuperar los Datos personales de Canadá.
‍

5. Derechos sobre los datos personales;

Derecho a procesar. El Cliente declara y garantiza a gTreasury y a las filiales y subprocesadores de gTreasury que tiene todos los derechos (ya sea por el consentimiento de los interesados de los datos personales, por tener un interés legítimo tal como se contempla en el artículo 6 del RGPD, por una o más excepciones en virtud del artículo 49 del RGPD o de otro modo en virtud de la ley de protección de datos aplicable) con respecto a los datos personales cubiertos necesarios para transferirlos a gTreasury, hacer que gTreasury posea y procese dichos datos personales como según este DPA y/o el Acuerdo, y permitir El Tesoro poseerá, procesará y subprocesará dichos datos personales tal como se exige en esta DPA y/o en el Acuerdo. El Cliente indemnizará, defenderá y eximirá de responsabilidad a GTreasury y a sus filiales y subprocesadores frente a cualquier reclamación presentada o en beneficio de cualquier interesado o autoridad gubernamental que alegue hechos que, de ser ciertos, constituirían un incumplimiento de las declaraciones y garantías de esta sección 5.
‍

6. Disposiciones específicas del EEE.

El cliente, como exportador de datos, y gTreasury, como importador de datos, aceptan las cláusulas contractuales estándar adjuntas como anexo 1 como si el cliente y gTreasury hubieran ejecutado y entregado las mismas. Estas cláusulas contractuales estándar se aplican únicamente a los datos personales cubiertos de los interesados que se encuentran en el EEE.
(a) En el caso de transferencias de datos personales cubiertos por parte del cliente a gTreasury, solo se aplicará el módulo dos (que cubre las transferencias de controlador a procesador).
(b) En el caso de transferencias de datos personales cubiertos por parte de GTreasury al cliente, solo se aplicará el módulo cuatro (que cubre las transferencias del procesador al controlador).
(c) Los módulos uno y tres no se aplicarán y ninguna de las Partes realizará ninguna transferencia a la otra que esté cubierta por cualquiera de esos módulos.
(d) A los efectos de la Cláusula 17, la ley de los Países Bajos regirá las cláusulas contractuales estándar.
(e) A los efectos de la Cláusula 18, cualquier disputa que surja de las Cláusulas contractuales estándar será resuelta por los tribunales de los Países Bajos.

‍
7. Disposiciones específicas del Reino Unido.

Las siguientes disposiciones se aplican con respecto a los datos personales cubiertos que están cubiertos por la Ley de Protección de Datos del Reino Unido de 2018, en su versión modificada (la «Ley del Reino Unido») (dichos datos personales son los «Datos personales cubiertos por el Reino Unido»).
(a) El cliente actúa como controlador y exportador de los datos personales cubiertos por el Reino Unido y el Tesoro actúa como procesador e importador de los datos personales del Reino Unido.
(b) «Anexo del Reino Unido» significa el Anexo B.1.0 aprobado emitido por la Oficina del Comisionado de Información del Reino Unido («ICO») y presentado al Parlamento de conformidad con el artículo 119a de la Ley del Reino Unido, tal como se revisa en virtud del artículo 18 de esas cláusulas obligatorias. A la fecha de la última revisión del formulario de la presente DPA, la versión actual de la adenda del Reino Unido está disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
(c) Las Partes cumplirán con los términos de la Parte 2: Cláusulas obligatorias del Anexo del Reino Unido, tal como se revisa en la Sección 18 de esas cláusulas obligatorias;
(d) Al firmar este DPA, se considera que las Partes han firmado la Adenda del Reino Unido;
(e) Con respecto a la parte 1, tabla 2 de la adición del Reino Unido:

(i) Se excluye la cláusula 7 (la cláusula de acoplamiento);

(ii) No se aplicará la autorización previa en virtud de la Cláusula 9 (a) (Autorización previa o autorización general);

(iii) No se aplicará la opción prevista en la Cláusula 11 (Reparación);

iv) La información requerida en la parte 1, tablas 1 y 2, de la adenda del Reino Unido figura en el anexo I de la presente DPA (según proceda);

(f) Con respecto a la Tabla 4, parte 1, del Anexo del Reino Unido, cualquiera de las Partes puede dar por terminado el Anexo del Reino Unido tal como se establece en la sección 19 del Anexo del Reino Unido (pero, para evitar dudas, si el Cliente finaliza el Anexo del Reino Unido según lo permitido en esta Sección 7 (f), dicha finalización no tendrá ningún efecto en las obligaciones del Cliente en virtud del Acuerdo distintas de esta DPA; y
(g) Cualquier referencia a las «Cláusulas» en las Cláusulas contractuales estándar incluirá las modificaciones establecidas en esta sección

‍
8. Transferencias a terceros iniciadas por el cliente mediante los servicios de tesorería.

Para evitar dudas, cuando la funcionalidad normal de los bienes, servicios y/o software de GTreasury permita al Cliente iniciar transacciones o utilizar de otro modo los bienes, servicios y/o software para enviar y/o recibir información que incluya datos personales, cualquier transferencia que resulte de dicha actividad iniciada por el Cliente es una transferencia por parte del Cliente y no de GTreasury.

‍
9. Los sujetos de datos como beneficiarios.

Cuando, pero solo en la medida en que, la Ley de Protección de Datos exija que el Cliente obligue a GTreasury a uno o más sujetos de datos personales cubiertos a terceros beneficiarios de una o más obligaciones en virtud de esta DPA, cada uno de esos Sujetos de datos personales cubiertos es un tercero beneficiario expreso de las obligaciones de GTreasury en virtud de esta DPA.

‍
10. Servicios no cubiertos por el Acuerdo distintos de este DPA.

Cuando una obligación de GTreasury en virtud de este DPA o de las Cláusulas contractuales estándar no esté cubierta por el Acuerdo, aparte de este DPA, el Cliente pagará a GTreasury por los servicios asociados a dicha obligación a las tasas vigentes en ese momento (pero, en cualquier caso, razonables desde el punto de vista comercial). Por ejemplo, si el Cliente necesita servicios administrativos o similares para cumplir con las demandas de un sujeto de datos o una evaluación del impacto de la protección de datos y dichos servicios no están cubiertos por el Acuerdo, excepto en esta DPA, el Cliente pagará a GTreasury por dichos servicios.

Anexo 1
CLÁUSULAS CONTRACTUALES ESTÁNDAR

SECCIÓN I
Cláusula 1 — Propósito y alcance
(a) El objetivo de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) para la transferencia de datos personales a un tercer país.
(b) Las Partes:

i) la persona o personas físicas o jurídicas, las autoridades públicas, las agencias u otros organismos (en lo sucesivo, «entidades») que transfieran los datos personales, tal como figuran en el anexo I.A (en lo sucesivo, cada «exportador de datos»), y

(ii) las entidades de un tercer país que reciben los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte en estas Cláusulas, tal como se enumeran en el anexo I.A (en adelante, cada «importador de datos»)
han aceptado estas cláusulas contractuales estándar (en adelante: «Cláusulas»).

(c) Estas cláusulas se aplican con respecto a la transferencia de datos personales tal como se especifica en el anexo I.B.
(d) El apéndice de estas cláusulas, que contiene los anexos a los que se hace referencia en ellas, forma parte integral de estas cláusulas.
Cláusula 2 — Efecto e invariabilidad de las cláusulas
(a) Estas cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el artículo 46 (1) y el artículo 46 (2) (c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de controladores a procesadores y/o de procesadores a procesadores, cláusulas contractuales estándar de conformidad con el artículo 28 (7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar los módulos apropiados o para añadir o actualizar la información del Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales estándar establecidas en estas cláusulas en un contrato más amplio y/o añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, estas cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
(b) Estas cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3 — Terceros beneficiarios
(a) Los interesados pueden invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador o importador de datos, con las siguientes excepciones:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8 — Módulo uno: cláusula 8.5 (e) y cláusula 8.9 (b); módulo dos: cláusula 8.1 (b), 8.9 (a), (c), (d) y (e); módulo tres: cláusula 8.1 (a), (c) y (d) y cláusula 8.9 (a), (c), (d), (e), (f) y (g); módulo cuatro: cláusula 8.1 (b) y la Cláusula 8.3 (b);

(iii) Cláusula 9 — Módulo dos: Cláusula 9 (a), (c), (d) y (e); Módulo tres: Cláusula 9 (a), (c), (d) y (e);

(iv) Cláusula 12 — Módulo uno: Cláusula 12 (a) y (d); Módulos dos y tres: Cláusula 12 (a), (d) y (f);

(v) Cláusula 13;

(vi) Cláusula 15.1 (c), (d) y (e);

(vii) Cláusula 16 (e);

(viii) Cláusula 18 — Módulos uno, dos y tres: Cláusula 18 (a) y (b); Módulo cuatro: Cláusula 18.

(b) El párrafo (a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.
Cláusula 4 — Interpretación
(a) Cuando estas Cláusulas utilicen términos que se definen en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en ese Reglamento.
(b) Estas cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
(c) Estas cláusulas no se interpretarán de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.
Cláusula 5 — Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes que existan en el momento en que se acuerden estas Cláusulas o se celebren posteriormente, prevalecerán estas Cláusulas.
Cláusula 6 — Descripción de la (s) transferencia (es)
Los detalles de las transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el anexo I.B.
Cláusula 7 — Opcional
[Omitido intencionadamente.]

SECCIÓN II — OBLIGACIONES DE LAS PARTES
Cláusula 8 — Garantías de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos puede, mediante la implementación de las medidas técnicas y organizativas apropiadas, cumplir con sus obligaciones en virtud de estas Cláusulas.
MÓDULO UNO: Transferir controlador a controlador
8.1 Limitación de propósito
El importador de datos procesará los datos personales solo para los fines específicos de la transferencia, tal como se establece en el anexo I.B. Solo podrá procesar los datos personales para otro propósito:

(i) cuando haya obtenido el consentimiento previo del interesado;

(ii) cuando sea necesario para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

(iii) cuando sea necesario para proteger los intereses vitales del interesado o de otra persona física.

8.2 Transparencia
(a) Para que los interesados puedan ejercer de manera efectiva sus derechos de conformidad con la cláusula 10, el importador de datos les informará, ya sea directamente o a través del exportador de datos:

(i) de su identidad y datos de contacto;

(ii) de las categorías de datos personales procesados;

(iii) del derecho a obtener una copia de estas Cláusulas;

(iv) cuando tenga la intención de transferir posteriormente los datos personales a terceros, del destinatario o las categorías de destinatarios (según proceda, con el fin de proporcionar información significativa), el propósito de dicha transferencia posterior y el motivo por el que se basa, de conformidad con la cláusula 8.7.

(b) El párrafo (a) no se aplicará cuando el interesado ya tenga la información, incluso cuando dicha información ya haya sido proporcionada por el exportador de datos, o cuando proporcionar la información resulte imposible o implique un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos pondrá la información a disposición del público, en la medida de lo posible.
(c) Previa solicitud, las Partes pondrán a disposición del interesado una copia de estas Cláusulas, incluido el Apéndice tal como lo completaron, de forma gratuita. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, las Partes podrán redactar parte del texto del apéndice antes de compartir una copia, pero deberán proporcionar un resumen significativo cuando, de lo contrario, el interesado no pueda entender su contenido ni ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información redactada.
(d) Los párrafos (a) a (c) se entienden sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8.3 Precisión y minimización de datos
(a) Cada Parte se asegurará de que los datos personales sean precisos y, cuando sea necesario, se mantengan actualizados. El importador de datos tomará todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines del procesamiento, se borren o rectifiquen sin demora.
(b) Si una de las Partes se entera de que los datos personales que ha transferido o recibido son inexactos o están desactualizados, informará a la otra Parte sin demora indebida.
(c) El importador de datos se asegurará de que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del procesamiento.
8.4 Limitación de almacenamiento
El importador de datos conservará los datos personales durante no más tiempo del necesario para los fines para los que se procesan. Adoptará las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, incluida la eliminación o la anonimización de los datos y de todas las copias de seguridad al final del período de retención.
8.5 Seguridad del procesamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, incluida la protección contra una violación de la seguridad que provoque la destrucción, la pérdida, la alteración, la divulgación o el acceso no autorizados (en lo sucesivo, «violación de datos personales»). Al evaluar el nivel de seguridad adecuado, tendrán debidamente en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento y los riesgos que implica el procesamiento para el interesado. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera.
(b) Las Partes han acordado las medidas técnicas y organizativas establecidas en el anexo II. El importador de datos realizará controles periódicos para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.
(c) El importador de datos se asegurará de que las personas autorizadas a procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
(d) En caso de una violación de datos personales relacionada con los datos personales procesados por el importador de datos en virtud de estas Cláusulas, el importador de datos tomará las medidas adecuadas para abordar la violación de datos personales, incluidas las medidas para mitigar sus posibles efectos adversos.
(e) En caso de una violación de datos personales que pueda resultar en un riesgo para los derechos y libertades de las personas físicas, el importador de datos lo notificará sin demora indebida tanto al exportador de datos como a la autoridad supervisora competente de conformidad con la cláusula 13. Dicha notificación contendrá i) una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), ii) sus posibles consecuencias, iii) las medidas adoptadas o propuestas para abordar la violación, y iv) los detalles de un punto de contacto del que pueda obtenerse más información. En la medida en que el importador de datos no pueda proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin demoras indebidas.
(f) En caso de una violación de datos personales que pueda resultar en un alto riesgo para los derechos y libertades de las personas físicas, el importador de datos también notificará sin demora indebida a los interesados la violación de datos personales y su naturaleza, si es necesario en cooperación con el exportador de datos, junto con la información a la que se hace referencia en el párrafo (e), puntos ii) a iv), a menos que el importador de datos haya adoptado medidas para reducir significativamente el riesgo para el derechos o libertades de las personas físicas, o la notificación implicaría esfuerzos desproporcionados. En este último caso, el importador de datos emitirá una comunicación pública o adoptará una medida similar para informar al público de la violación de los datos personales.
(g) El importador de datos documentará todos los hechos relevantes relacionados con la violación de datos personales, incluidos sus efectos y cualquier medida correctiva adoptada, y mantendrá un registro de los mismos.
8.6 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de forma exclusiva a una persona física, datos sobre la salud o la vida sexual u orientación sexual de una persona, o datos relacionados con condenas o delitos penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o salvaguardias adicionales adaptadas a la naturaleza específica de los datos y a los riesgos involucrados. Esto puede incluir restringir el personal autorizado a acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a la divulgación posterior.
8.7 Transferencias posteriores
El importador de datos no divulgará los datos personales a un tercero ubicado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo, «transferencia ulterior») a menos que el tercero esté o acepte regirse por estas Cláusulas, en virtud del módulo correspondiente. De lo contrario, la transferencia ulterior por parte del importador de datos solo podrá tener lugar si:

i) es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 lo que cubre la transferencia ulterior;

(ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;

(iii) el tercero celebra un instrumento vinculante con el importador de datos que garantiza el mismo nivel de protección de datos que en virtud de estas Cláusulas, y el importador de datos proporciona una copia de estas garantías al exportador de datos;

iv) es necesario para la formulación, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos;

(v) es necesario para proteger los intereses vitales del interesado o de otra persona física; o

(vi) cuando no se aplique ninguna de las demás condiciones, el importador de datos haya obtenido el consentimiento explícito del interesado para una transferencia posterior en una situación específica, tras haberle informado de su (s) propósito (s), la identidad del destinatario y los posibles riesgos de dicha transferencia para él debido a la falta de garantías de protección de datos adecuadas. En este caso, el importador de datos informará al exportador de datos y, a petición de este último, le transmitirá una copia de la información proporcionada al interesado. Toda transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías previstas en estas cláusulas, en particular la limitación de la finalidad.

8.8 Procesamiento bajo la autoridad del importador de datos
El importador de datos se asegurará de que cualquier persona que actúe bajo su autoridad, incluido un procesador, procese los datos únicamente siguiendo sus instrucciones.
8.9 Documentación y cumplimiento
(a) Cada Parte podrá demostrar el cumplimiento de sus obligaciones en virtud de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada de las actividades de procesamiento realizadas bajo su responsabilidad.
(b) El importador de datos pondrá dicha documentación a disposición de la autoridad supervisora competente que la solicite.
MÓDULO DOS: Transfiera el controlador al procesador
8.1 Instrucciones
(a) El importador de datos procesará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante la vigencia del contrato.
(b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.
8.2 Limitación de propósito
El importador de datos procesará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el anexo I.B, a menos que reciba instrucciones adicionales del exportador de datos.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del interesado una copia de estas cláusulas, incluido el apéndice tal como lo completaron las Partes, de forma gratuita. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá redactar parte del texto del apéndice de estas cláusulas antes de compartir una copia, pero proporcionará un resumen significativo cuando, de lo contrario, el interesado no pueda entender su contenido o ejercer sus derechos. Previa solicitud, las Partes proporcionarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información redactada. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8.4 Precisión
Si el importador de datos se da cuenta de que los datos personales que ha recibido son inexactos o están desactualizados, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.
8.5 Duración del procesamiento y borrado o devolución de datos
El procesamiento por parte del importador de datos solo tendrá lugar durante el período especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de procesamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales procesados en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales procesados en su nombre y eliminará las copias existentes. Hasta que se eliminen o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusulas. En el caso de que las leyes locales aplicables al importador de datos prohíban la devolución o la eliminación de los datos personales, el importador de datos garantiza que seguirá garantizando el cumplimiento de estas cláusulas y que solo los procesará en la medida y durante el tiempo que lo exija dicha legislación local. Esto se entiende sin perjuicio de la Cláusula 14, en particular el requisito de que el importador de datos en virtud de la Cláusula 14 (e) notifique al exportador de datos durante la vigencia del contrato si tiene motivos para creer que está o ha quedado sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14 (a).
8.6 Seguridad del procesamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, la pérdida, la alteración, la divulgación o el acceso no autorizados a esos datos (en lo sucesivo, «violación de datos personales»). Al evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento y los riesgos que implica el procesamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos realizará controles periódicos para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.
(b) El importador de datos concederá acceso a los datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la ejecución, la gestión y el seguimiento del contrato. Se asegurará de que las personas autorizadas a procesar los datos personales se hayan comprometido a mantener la confidencialidad o tengan la obligación legal adecuada de confidencialidad.
(c) En caso de una violación de datos personales relacionada con los datos personales procesados por el importador de datos en virtud de estas Cláusulas, el importador de datos tomará las medidas adecuadas para abordar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida tras tener conocimiento de la infracción. Dicha notificación contendrá los detalles del punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la infracción (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus posibles consecuencias y las medidas adoptadas o propuestas para abordar la infracción, incluidas, cuando proceda, las medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y se proporcionará más información, a medida que esté disponible, sin demora indebida.
(d) El importador de datos cooperará con el exportador de datos y lo ayudará a fin de que pueda cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del procesamiento y la información de que disponga el importador de datos.
8.7 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de forma exclusiva a una persona física, datos sobre la salud o la vida sexual u orientación sexual de una persona, o datos relacionados con condenas e delitos penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las salvaguardias adicionales descritas en el anexo I.B.
8.8 Transferencias posteriores
El importador de datos solo divulgará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo podrán divulgarse a un tercero ubicado fuera de la Unión Europea (en el mismo país que el importador de los datos o en otro tercer país, en lo sucesivo, «transferencia ulterior») si el tercero cumple o acepta regirse por estas cláusulas, en virtud del módulo correspondiente, o si:

i) la transferencia ulterior se dirige a un país que se beneficia de una decisión de adecuación con arreglo al artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;

(ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;

(iii) la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

(iv) la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.
Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías en virtud de estas Cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y cumplimiento
(a) El importador de datos atenderá de manera rápida y adecuada las consultas del exportador de datos relacionadas con el procesamiento en virtud de estas Cláusulas.
(b) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de procesamiento realizadas en nombre del exportador de datos.
(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a petición del exportador de datos, permitir y contribuir a las auditorías de las actividades de procesamiento cubiertas por estas Cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir si procede a una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
(d) El exportador de datos puede optar por realizar la auditoría por sí mismo o encargar un auditor independiente. Las auditorías pueden incluir inspecciones en las instalaciones o instalaciones físicas del importador de datos y, cuando proceda, se llevarán a cabo con una antelación razonable.
(e) Las Partes pondrán la información a la que se hace referencia en los párrafos (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad supervisora competente que la solicite.
MÓDULO TRES: Transferencia de procesador a procesador
8.1 Instrucciones
(a) El exportador de datos ha informado al importador de datos de que actúa como procesador siguiendo las instrucciones de su (s) controlador (es), que el exportador de datos pondrá a disposición del importador de datos antes del procesamiento.
(b) El importador de datos procesará los datos personales únicamente siguiendo las instrucciones documentadas del controlador, tal como las haya comunicado el exportador de datos al importador de datos, y cualquier instrucción documentada adicional del exportador de datos. Estas instrucciones adicionales no deberán entrar en conflicto con las instrucciones del responsable del tratamiento. El responsable del tratamiento o el exportador de datos podrán dar más instrucciones documentadas sobre el procesamiento de datos durante la vigencia del contrato.
(c) El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones. Cuando el importador de datos no pueda seguir las instrucciones del controlador, el exportador de datos lo notificará inmediatamente al controlador.
(d) El exportador de datos garantiza que ha impuesto al importador de datos las mismas obligaciones de protección de datos que las establecidas en el contrato u otro acto jurídico en virtud de la legislación de la Unión o de los Estados miembros entre el responsable del tratamiento y el exportador de datos.
8.2 Limitación de propósito
El importador de datos procesará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el anexo I.B., a menos que reciba instrucciones adicionales del responsable del tratamiento, comunicadas al importador de datos por el exportador de datos o por el exportador de datos.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del interesado una copia de estas cláusulas, incluido el apéndice tal como lo completaron las Partes, de forma gratuita. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el exportador de datos podrá redactar una parte del texto del apéndice antes de compartir una copia, pero proporcionará un resumen significativo si, de lo contrario, el interesado no podría entender su contenido ni ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las redacciones, en la medida de lo posible sin revelar la información redactada.
8.4 Precisión
Si el importador de datos se da cuenta de que los datos personales que ha recibido son inexactos o están desactualizados, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para rectificar o borrar los datos.
8.5 Duración del procesamiento y borrado o devolución de datos
El procesamiento por parte del importador de datos solo tendrá lugar durante el período especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de procesamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales procesados en nombre del controlador y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales procesados en su nombre y eliminará las copias existentes. Hasta que se eliminen o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusulas. En el caso de que las leyes locales aplicables al importador de datos prohíban la devolución o la eliminación de los datos personales, el importador de datos garantiza que seguirá garantizando el cumplimiento de estas cláusulas y que solo los procesará en la medida y durante el tiempo que lo exija dicha legislación local. Esto se entiende sin perjuicio de la Cláusula 14, en particular el requisito de que el importador de datos en virtud de la Cláusula 14 (e) notifique al exportador de datos durante la vigencia del contrato si tiene motivos para creer que está o ha quedado sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14 (a).
8.6 Seguridad del procesamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, la pérdida, la alteración, la divulgación o el acceso no autorizados a esos datos (en lo sucesivo, «violación de datos personales»). Al evaluar el nivel de seguridad adecuado, tendrán debidamente en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del procesamiento y los riesgos que implica el procesamiento para el interesado. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos o del responsable del tratamiento. Al cumplir sus obligaciones en virtud del presente apartado, el importador de datos aplicará al menos las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos realizará controles periódicos para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.
(b) El importador de datos concederá acceso a los datos a los miembros de su personal solo en la medida estrictamente necesaria para la ejecución, la gestión y el seguimiento del contrato. Se asegurará de que las personas autorizadas a procesar los datos personales se hayan comprometido a mantener la confidencialidad o tengan la obligación legal adecuada de confidencialidad.
(c) En caso de una violación de datos personales relacionada con los datos personales procesados por el importador de datos en virtud de estas Cláusulas, el importador de datos tomará las medidas adecuadas para abordar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará, sin demora indebida, al exportador de datos y, cuando proceda y sea posible, al responsable del tratamiento una vez que tenga conocimiento de la violación. Dicha notificación contendrá los detalles de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus posibles consecuencias y las medidas adoptadas o propuestas para abordar la violación de datos, incluidas las medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y se proporcionará más información, a medida que esté disponible, sin demora indebida.
(d) El importador de datos cooperará con el exportador de datos y lo ayudará a fin de que este pueda cumplir con sus
obligaciones en virtud del Reglamento (UE) 2016/679, en particular la de notificar a su responsable del tratamiento para que este último pueda, a su vez, notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
8.7 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de forma exclusiva a una persona física, datos sobre la salud o la vida sexual u orientación sexual de una persona, o datos relacionados con condenas e delitos penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las salvaguardias adicionales establecidas en el anexo I.B.
8.8 Transferencias posteriores
El importador de datos solo divulgará los datos personales a un tercero siguiendo instrucciones documentadas del controlador, tal y como el exportador de datos le haya comunicado al importador de datos. Además, los datos solo pueden divulgarse a un tercero ubicado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo, «transferencia ulterior») si el tercero está sujeto a estas Cláusulas o acepta regirse por ellas, en virtud del módulo correspondiente, o si:

i) la transferencia ulterior se dirige a un país que se beneficia de una decisión de adecuación con arreglo al artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;

ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679;

(iii) la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

(iv) la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.
Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías en virtud de estas Cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y cumplimiento
(a) El importador de datos atenderá de manera rápida y adecuada las consultas del exportador de datos o del controlador relacionadas con el procesamiento en virtud de estas Cláusulas.
(b) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de procesamiento realizadas en nombre del controlador.
(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas, quien la proporcionará al controlador.
(d) El importador de datos permitirá que el exportador de datos audite las actividades de procesamiento cubiertas por estas Cláusulas y contribuirá a ellas, a intervalos razonables o si hay indicios de incumplimiento. Lo mismo se aplicará cuando el exportador de datos solicite una auditoría siguiendo instrucciones del responsable del tratamiento. Al decidir la realización de una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
(e) Cuando la auditoría se lleve a cabo siguiendo las instrucciones del controlador, el exportador de datos pondrá los resultados a disposición del controlador.
(f) El exportador de datos puede optar por realizar la auditoría por sí mismo o encargar un auditor independiente. Las auditorías pueden incluir inspecciones en las instalaciones o instalaciones físicas del importador de datos y, cuando proceda, se llevarán a cabo con una antelación razonable.
(g) Las Partes pondrán la información mencionada en los párrafos (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad supervisora competente que la solicite.
MÓDULO CUATRO: Transfiera el procesador a la controladora
8.1 Instrucciones
(a) El exportador de datos procesará los datos personales únicamente siguiendo instrucciones documentadas del importador de datos que actúa como su controlador.
(b) El exportador de datos informará inmediatamente al importador de datos si no puede seguir esas instrucciones, incluso si dichas instrucciones infringen el Reglamento (UE) 2016/679 u otra ley de protección de datos de la Unión o de los Estados miembros.
(c) El importador de datos se abstendrá de cualquier acción que impida al exportador de datos cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, incluso en el contexto del subprocesamiento o en lo que respecta a la cooperación con las autoridades de supervisión competentes.
(d) Una vez finalizada la prestación de los servicios de procesamiento, el exportador de datos, a elección del importador de datos, eliminará todos los datos personales procesados en nombre del importador de datos y certificará al importador de datos que lo ha hecho, o devolverá al importador de datos todos los datos personales procesados en su nombre y eliminará las copias existentes.
8.2 Seguridad del procesamiento
(a) Las Partes implementarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluso durante la transmisión, y la protección contra una violación de la seguridad que conduzca a la destrucción, pérdida, alteración o divulgación o acceso no autorizados de forma accidental o ilegal (en lo sucesivo, «violación de datos personales»). Al evaluar el nivel de seguridad adecuado, tendrán debidamente en cuenta el estado de la técnica, los costes de implementación, la naturaleza de los datos personales, la naturaleza, el alcance, el contexto y los fines del procesamiento y los riesgos que implica el procesamiento para los interesados y, en particular, considerarán la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera.
(b) El exportador de datos ayudará al importador de datos a garantizar la seguridad adecuada de los datos de conformidad con el párrafo (a). En caso de violación de datos personales en relación con los datos personales procesados por el exportador de datos en virtud de las presentes cláusulas, el exportador de datos lo notificará al importador de datos sin demora indebida tras tener conocimiento de ello y ayudará al importador de datos a subsanar la violación.
(c) El exportador de datos se asegurará de que las personas autorizadas a procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
8.3 Documentación y cumplimiento
(a) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas.
(b) El exportador de datos pondrá a disposición del importador de datos toda la información necesaria para demostrar el cumplimiento de sus obligaciones en virtud de estas Cláusulas y permitir las auditorías y contribuir a ellas.
Cláusula 9 — Uso de subprocesadores
MÓDULO DOS: Transfiera el controlador al procesador
(a) El importador de datos cuenta con la autorización general del exportador de datos para contratar a subprocesadores de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier modificación que pretenda introducir en dicha lista mediante la incorporación o sustitución de subprocesadores con al menos 30 días de antelación, con lo que el exportador de datos dispondrá de tiempo suficiente para poder oponerse a dichos cambios antes de que contrate a los subprocesadores. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho de oposición.
(b) Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas cláusulas, incluso en términos de derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos se asegurará de que el subprocesador cumpla con las obligaciones a las que está sujeto el importador de datos en virtud de estas cláusulas.
(c) El importador de datos proporcionará, a solicitud del exportador de datos, una copia de dicho acuerdo de subprocesador y de cualquier modificación posterior al exportador de datos. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador de las obligaciones que le impone ese contrato.
(e) El importador de datos acordará con el subprocesador una cláusula de tercero beneficiario según la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subprocesador y a ordenar al subprocesador que borre o devuelva los datos personales.
MÓDULO TRES: Transferencia de procesador a procesador
(a) El importador de datos cuenta con la autorización general del controlador para contratar a los subprocesadores de una lista acordada. El importador de datos informará específicamente al responsable del tratamiento por escrito de cualquier modificación que pretenda introducir en dicha lista añadiendo o sustituyendo subprocesadores con al menos 30 días de antelación, de modo que el responsable del tratamiento tenga tiempo suficiente para poder oponerse a dichos cambios antes de que contrate a los subprocesadores. El importador de datos proporcionará al responsable del tratamiento la información necesaria para que este pueda ejercer su derecho de oposición. El importador de datos informará al exportador de datos de la contratación de los subprocesadores.
(b) Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre del controlador), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas cláusulas, incluso en términos de derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, al cumplir con esta cláusula, el importador de datos cumple con su obligación
Acciones en virtud de la Cláusula 8.8. El importador de datos se asegurará de que el subprocesador cumpla con las obligaciones a las que está sujeto el importador de datos en virtud de estas cláusulas.
(c) El importador de datos proporcionará, a solicitud del exportador de datos o del controlador, una copia de dicho acuerdo de subprocesador y de cualquier modificación posterior. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador de las obligaciones que le impone ese contrato.
(e) El importador de datos acordará con el subprocesador una cláusula de tercero beneficiario según la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o se haya declarado insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subprocesador y a ordenar al subprocesador que borre o devuelva los datos personales.
Cláusula 10 — Derechos del interesado
MÓDULO UNO: Transferir controlador a controlador
(a) El importador de datos, cuando proceda con la ayuda del exportador de datos, tramitará cualquier consulta y solicitud que reciba de un interesado en relación con el procesamiento de sus datos personales y el ejercicio de sus derechos en virtud de las presentes Cláusulas sin demora indebida y, a más tardar, en el plazo de un mes a partir de la recepción de la consulta o solicitud. El importador de datos adoptará las medidas adecuadas para facilitar dichas consultas y solicitudes y el ejercicio de los derechos de los interesados. Toda la información que se facilite al interesado deberá estar en un formato inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.
(b) En particular, a petición del interesado, el importador de datos deberá, de forma gratuita:

(i) confirmar al interesado si se están procesando datos personales que le conciernen y, en ese caso, una copia de los datos que le conciernen y de la información del anexo I; si los datos personales se han transferido o se transferirán posteriormente, proporcionar información sobre los destinatarios o las categorías de destinatarios (según proceda con el fin de proporcionar información significativa) a los que los datos personales se han transferido o se transferirán en el futuro, el propósito de dicho las transferencias posteriores y su motivo de conformidad con la Cláusula 8.7; y proporcionar información sobre la derecho a presentar una reclamación ante una autoridad supervisora de conformidad con la Cláusula 12 (c) (i);

(ii) rectificar los datos inexactos o incompletos sobre el interesado;

(iii) borrar los datos personales relativos al interesado si dichos datos se procesan o se han procesado en violación de alguna de estas Cláusulas que garantizan los derechos de los terceros beneficiarios, o si el interesado retira el consentimiento en el que se basa el procesamiento.

(c) Cuando el importador de datos procese los datos personales con fines de marketing directo, dejará de procesarlos para dichos fines si el interesado se opone a ello.
(d) El importador de datos no tomará una decisión basada únicamente en el procesamiento automatizado de los datos personales transferidos (en lo sucesivo, «decisión automatizada»), que produzca efectos legales para el interesado o lo afecte significativamente de manera similar, a menos que cuente con el consentimiento explícito del interesado o esté autorizado a hacerlo en virtud de las leyes del país de destino, siempre que dichas leyes establezcan medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado. En este caso, el importador de datos, en colaboración con el exportador de datos, cuando sea necesario:

(i) informar al interesado sobre la decisión automatizada prevista, las consecuencias previstas y la lógica implicada; y

(ii) implementar las salvaguardias adecuadas, al menos permitiendo al interesado impugnar la decisión, expresar su punto de vista y obtener la revisión de un ser humano.

(e) Cuando las solicitudes de un interesado sean excesivas, en particular debido a su carácter repetitivo, el importador de datos podrá cobrar una tarifa razonable teniendo en cuenta los costes administrativos derivados de la concesión de la solicitud o negarse a atender la solicitud.
(f) El importador de datos puede rechazar la solicitud de un interesado si dicha denegación está permitida por la legislación del país de destino y es necesaria y proporcionada en una sociedad democrática para proteger uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
(g) Si el importador de datos tiene la intención de rechazar la solicitud de un interesado, le informará de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad supervisora competente y/o solicitar una reparación judicial.
MÓDULO DOS: Transfiera el controlador al procesador
(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un sujeto de datos. No responderá por sí mismo a esa solicitud a menos que el exportador de datos lo haya autorizado a hacerlo.
(b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del procesamiento, mediante las cuales se prestará la asistencia, así como el alcance y el alcance de la asistencia requerida.
(c) Al cumplir sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del exportador de datos.
MÓDULO TRES: Transferencia de procesador a procesador
(a) El importador de datos notificará sin demora al exportador de datos y, cuando proceda, al controlador cualquier solicitud que haya recibido de un interesado, sin responder a esa solicitud, a menos que el controlador lo haya autorizado a hacerlo.
(b) El importador de datos ayudará, cuando proceda en cooperación con el exportador de datos, al responsable del tratamiento a cumplir sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según proceda. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del procesamiento, mediante las cuales se prestará la asistencia, así como el alcance y el alcance de la asistencia requerida.
(c) Al cumplir sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del controlador comunicadas por el exportador de datos.
MÓDULO CUATRO: Transfiera el procesador a la controladora
Las Partes se ayudarán mutuamente para responder a las consultas y solicitudes realizadas por los interesados en virtud de la legislación local aplicable al importador de datos o, para el procesamiento de datos por parte del exportador de datos en la UE, en virtud del Reglamento (UE) 2016/679.
Cláusula 10 — Derechos del interesado
MÓDULO UNO: Transferir controlador a controlador
(a) El importador de datos, cuando proceda con la ayuda del exportador de datos, tramitará cualquier consulta y solicitud que reciba de un interesado en relación con el procesamiento de sus datos personales y el ejercicio de sus derechos en virtud de las presentes Cláusulas sin demora indebida y, a más tardar, en el plazo de un mes a partir de la recepción de la consulta o solicitud. (10) El importador de datos tomará las medidas adecuadas para facilitar dichas consultas, solicitudes y el ejercicio de los derechos del interesado.. Toda la información facilitada al interesado deberá estar en un formato inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo.
(b) En particular, a petición del interesado, el importador de datos deberá, de forma gratuita:

(i) confirmar al interesado si se están procesando datos personales que le conciernen y, en ese caso, una copia de los datos que le conciernen y de la información del anexo I; si los datos personales se han transferido o se transferirán posteriormente, proporcionar información sobre los destinatarios o las categorías de destinatarios (según proceda con el fin de proporcionar información significativa) a los que los datos personales se han transferido o se transferirán en el futuro, el propósito de dicho las transferencias posteriores y su motivo de conformidad con la Cláusula 8.7; y proporcionar información sobre la derecho a presentar una reclamación ante una autoridad supervisora de conformidad con la Cláusula 12 (c) (i);

(ii) rectificar los datos inexactos o incompletos sobre el interesado;

(iii) borrar los datos personales relativos al interesado si dichos datos se procesan o se han procesado en violación de alguna de estas Cláusulas que garantizan los derechos de los terceros beneficiarios, o si el interesado retira el consentimiento en el que se basa el procesamiento.

(c) Cuando el importador de datos procese los datos personales con fines de marketing directo, dejará de procesarlos para dichos fines si el interesado se opone a ello.
(d) El importador de datos no tomará una decisión basada únicamente en el procesamiento automatizado de los datos personales transferidos (en lo sucesivo, «decisión automatizada»), que produzca efectos legales para el interesado o lo afecte significativamente de manera similar, a menos que cuente con el consentimiento explícito del interesado o esté autorizado a hacerlo en virtud de las leyes del país de destino, siempre que dichas leyes establezcan medidas adecuadas para salvaguardar los derechos e intereses legítimos del interesado. En este caso, el importador de datos, en colaboración con el exportador de datos, cuando sea necesario:

(i) informar al interesado sobre la decisión automatizada prevista, las consecuencias previstas y la lógica implicada; y

(ii) implementar las salvaguardias adecuadas, al menos permitiendo al interesado impugnar la decisión, expresar su punto de vista y obtener la revisión de un ser humano.

(e) Cuando las solicitudes de un interesado sean excesivas, en particular debido a su carácter repetitivo, el importador de datos podrá cobrar una tarifa razonable teniendo en cuenta los costes administrativos derivados de la concesión de la solicitud o negarse a atender la solicitud.
(f) El importador de datos puede rechazar la solicitud de un interesado si dicha denegación está permitida por la legislación del país de destino y es necesaria y proporcionada en una sociedad democrática para proteger uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
(g) Si el importador de datos tiene la intención de rechazar la solicitud de un interesado, le informará de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad supervisora competente y/o solicitar una reparación judicial.
MÓDULO DOS: Transfiera el controlador al procesador
(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un sujeto de datos. No responderá por sí mismo a esa solicitud a menos que el exportador de datos lo haya autorizado a hacerlo.
(b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del procesamiento, mediante las cuales se prestará la asistencia, así como el alcance y el alcance de la asistencia requerida.
(c) Al cumplir sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del exportador de datos.
MÓDULO TRES: Transferencia de procesador a procesador
(a) El importador de datos notificará sin demora al exportador de datos y, cuando proceda, al controlador cualquier solicitud que haya recibido de un interesado, sin responder a esa solicitud, a menos que el controlador lo haya autorizado a hacerlo.
(b) El importador de datos ayudará, cuando proceda en cooperación con el exportador de datos, al responsable del tratamiento a cumplir sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según proceda. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del procesamiento, mediante las cuales se prestará la asistencia, así como el alcance y el alcance de la asistencia requerida.
(c) Al cumplir sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del controlador comunicadas por el exportador de datos.
MÓDULO CUATRO: Transfiera el procesador a la controladora
Las Partes se ayudarán mutuamente para responder a las consultas y solicitudes realizadas por los interesados en virtud de la legislación local aplicable al importador de datos o, para el procesamiento de datos por parte del exportador de datos en la UE, en virtud del Reglamento (UE) 2016/679.
Cláusula 11 — Reparación
(a) El importador de datos informará a los interesados en un formato transparente y de fácil acceso, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tramitará con prontitud cualquier reclamación que reciba de un interesado.
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
(b) En caso de una disputa entre un sujeto de datos y una de las Partes en relación con el cumplimiento de estas Cláusulas, esa Parte hará todo lo posible para resolver el problema de manera amistosa y oportuna. Las Partes se mantendrán informadas mutuamente sobre dichas disputas y, cuando proceda, cooperarán para resolverlas.
(c) Cuando el interesado invoque el derecho de un tercero beneficiario de conformidad con la cláusula 3, el importador de datos aceptará la decisión del interesado de:

(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente de conformidad con la cláusula 13;

(ii) remitir la disputa a los tribunales competentes en el sentido de la Cláusula 18.

(d) Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin fines de lucro en las condiciones establecidas en el artículo 80 (1) del Reglamento (UE) 2016/679.
(e) El importador de datos deberá acatar una decisión que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.
(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a interponer recursos de conformidad con las leyes aplicables.
Cláusula 12 — Responsabilidad
MÓDULO UNO: Transferir controlador a controlador
MÓDULO CUATRO: Transfiera el procesador a la controladora
(a) Cada Parte será responsable ante la otra Parte por cualquier daño que cause a la otra Parte por el incumplimiento de estas Cláusulas.
(b) Cada Parte será responsable ante el interesado, y el interesado tendrá derecho a recibir una compensación, por cualquier daño material o inmaterial que la Parte cause al interesado al infringir los derechos de terceros beneficiarios en virtud de estas Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos en virtud del Reglamento (UE) 2016/679.
(c) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado del incumplimiento de estas Cláusulas, todas las Partes responsables serán responsables solidariamente y el interesado tendrá derecho a entablar una acción judicial contra cualquiera de estas Partes.
(d) Las Partes acuerdan que si una Parte es considerada responsable en virtud del párrafo (c), tendrá derecho a reclamar a la otra Parte la parte de la compensación correspondiente a su responsabilidad por el daño.
(e) El importador de datos no podrá invocar la conducta de un procesador o subprocesador para eludir su propia responsabilidad.
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
(a) Cada Parte será responsable ante la otra Parte por cualquier daño que cause a la otra Parte por el incumplimiento de estas Cláusulas.
(b) El importador de datos será responsable ante el interesado, y este tendrá derecho a recibir una compensación, por cualquier daño material o inmaterial que el importador de datos o su subprocesador causen al interesado al infringir los derechos de terceros beneficiarios en virtud de estas Cláusulas.
(c) No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el interesado, y este tendrá derecho a recibir una compensación por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subprocesador) cause al interesado al infringir los derechos de terceros beneficiarios en virtud de estas Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, si el exportador de datos es un procesador que actúa en nombre de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.
(d) Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo (c) por los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la compensación correspondiente a la responsabilidad del importador de datos por el daño.
(e) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado del incumplimiento de estas Cláusulas, todas las Partes responsables serán responsables solidariamente y el interesado tendrá derecho a entablar una acción judicial contra cualquiera de estas Partes.
(f) Las Partes acuerdan que si una Parte es considerada responsable en virtud del párrafo (e), tendrá derecho a reclamar a la otra Parte la parte de la compensación correspondiente a su responsabilidad por el daño.
(g) El importador de datos no podrá invocar la conducta de un subprocesador para eludir su propia responsabilidad.
Cláusula 13 — Supervisión
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
(a) Cuando el exportador de datos esté establecido en un Estado miembro de la UE: la autoridad supervisora responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C, actuará como autoridad supervisora competente.
(b) Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero esté dentro del ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya nombrado a un representante de conformidad con el artículo 27, apartado 1, del Reglamento (UE) 2016/679: la autoridad supervisora del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, como se indica en el anexo I.C, actuará como autoridad supervisora competente.
(c) Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre dentro del ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin tener que nombrar un representante de conformidad con el artículo 27, apartado 2, del Reglamento (UE) 2016/679: la autoridad supervisora de uno de los Estados miembros en los que los interesados cuyos datos personales se transfieran en virtud de estas cláusulas en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento sea monitoreado, estén localizados, como se indica en el anexo I.C, actuará como autoridad supervisora competente.
(b) El importador de datos se compromete a someterse a la jurisdicción de la autoridad supervisora competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de estas Cláusulas. En particular, el importador de datos se compromete a responder a las consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad supervisora, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III — LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14 — Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
MÓDULO CUATRO: Transferencia del procesador al controlador (donde el procesador de la UE combina los datos personales recibidos del controlador del tercer país con los datos personales recopilados por el procesador en la UE)
(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al procesamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de datos personales o las medidas que autoricen el acceso por parte de las autoridades públicas, impidan que el importador de datos cumpla con sus obligaciones en virtud de estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no van más allá de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con estas cláusulas.
(b) Las Partes declaran que, al otorgar la garantía del párrafo (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:

i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de actores involucrados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;

(ii) las leyes y prácticas del tercer país de destino, incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso por parte de dichas autoridades, pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables;

(iii) cualquier salvaguarda contractual, técnica u organizativa relevante que se haya establecido para complementar las garantías en virtud de estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y al procesamiento de los datos personales en el país de destino.

(c) El importador de datos garantiza que, al llevar a cabo la evaluación prevista en el párrafo (b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y acepta que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.
(d) Las Partes acuerdan documentar la evaluación de conformidad con el párrafo (b) y ponerla a disposición de la autoridad supervisora competente si así lo solicita.
(e) El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado estas cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos del párrafo (a), incluso tras un cambio en la legislación del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no esté en línea con los requisitos en el párrafo (a).
(f) Tras recibir una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará sin demora las medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que debe adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar las garantías adecuadas para dicha transferencia, o si la autoridad supervisora competente así lo ordena. En este caso, el exportador de datos tendrá derecho a rescindir el contrato en lo que respecta al procesamiento de datos personales en virtud de estas cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con esta cláusula, se aplicarán las cláusulas 16 (d) y (e).
Cláusula 15 — Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
MÓDULO CUATRO: Transferencia del procesador al controlador (donde el procesador de la UE combina los datos personales recibidos del controlador del tercer país con los datos personales recopilados por el procesador en la UE)

15.1 Notificación
(a) El importador de datos se compromete a notificar con prontitud al exportador de datos y, cuando sea posible, al interesado (si es necesario con la ayuda del exportador de datos) si:

(i) recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a las leyes del país de destino para la divulgación de los datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base legal de la solicitud y la respuesta proporcionada; o

(ii) tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con estas Cláusulas de conformidad con las leyes del país de destino; dicha notificación incluirá toda la información disponible para el importador.

(b) Si las leyes del país de destino prohíben al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos se compromete a hacer todo lo posible para obtener una exención de la prohibición, con el fin de comunicar la mayor cantidad de información posible lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
(c) Cuando lo permitan las leyes del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, las autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).
(d) El importador de datos se compromete a conservar la información de conformidad con los párrafos (a) a (c) durante la vigencia del contrato y a ponerla a disposición de la autoridad supervisora competente si así lo solicita.
(e) Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14 (e) y la Cláusula 16 de informar sin demora al exportador de datos cuando no pueda cumplir con estas Cláusulas.

15.2 Revisión de la legalidad y minimización de datos
a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de las facultades otorgadas a la autoridad pública solicitante, y a impugnar la solicitud si, tras una evaluación cuidadosa, concluye que hay motivos razonables para considerar que la solicitud es ilegal en virtud de la legislación del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos buscará, en las mismas condiciones, las posibilidades de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas provisionales con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente se pronuncie sobre su fondo. No divulgará los datos personales solicitados hasta que así lo exijan las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la cláusula 14 (e).
(b) El importador de datos acepta documentar su evaluación legal y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permitan las leyes del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad supervisora competente si así lo solicita.
(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, sobre la base de una interpretación razonable de la solicitud.

SECCIÓN IV — DISPOSICIONES FINALES
Cláusula 16 — Incumplimiento de las cláusulas y rescisión
(a) El importador de datos informará sin demora al exportador de datos si no puede cumplir con estas cláusulas, por cualquier motivo.
(b) En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se rescinda el contrato. Esto se entiende sin perjuicio de lo dispuesto en la cláusula 14 (f).
(c) El exportador de datos tendrá derecho a rescindir el contrato, en lo que respecta al procesamiento de datos personales en virtud de estas Cláusulas, cuando:

(i) el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas cláusulas no se restablece en un plazo razonable y, en cualquier caso, dentro de un mes desde la suspensión;

(ii) el importador de datos incumple de manera sustancial o persistente estas Cláusulas; o

(iii) el importador de datos no cumple con una decisión vinculante de un tribunal o autoridad supervisora competente en relación con sus obligaciones en virtud de estas Cláusulas. En estos casos, informará a la autoridad supervisora competente de dicho incumplimiento. Cuando el contrato involucre a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte correspondiente, a menos que las Partes hayan acordado lo contrario.

(d) Para el módulo dos: los datos personales que se hayan transferido antes de la rescisión del contrato de conformidad con el párrafo (c) se devolverán inmediatamente al exportador de datos o se eliminarán en su totalidad, a elección del exportador de datos. Lo mismo se aplicará a cualquier copia de los datos. Para el módulo cuatro: los datos personales recopilados por el exportador de datos en la UE que hayan sido transferidos antes de la rescisión del contrato de conformidad con el párrafo (c) se eliminarán inmediatamente en su totalidad, incluida cualquier copia de los mismos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que se eliminen o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En el caso de que las leyes locales aplicables al importador de datos prohíban la devolución o la eliminación de los datos personales transferidos, el importador de datos garantiza que seguirá garantizando el cumplimiento de estas cláusulas y que solo procesará los datos en la medida y durante el tiempo que lo exija dicha legislación local.
(e) Cualquiera de las Partes podrá revocar su acuerdo de obligarse por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45 (3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican estas Cláusulas; o

(ii) El Reglamento (UE) 2016/679 pasa a formar parte del marco legal del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al procesamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17 — Ley aplicable
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
Estas cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley del Estado miembro identificado en el Acuerdo de protección de datos al que se adjuntan estas cláusulas.
MÓDULO CUATRO: Transfiera el procesador a la controladora
Estas Cláusulas se regirán por la ley de un país que permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley identificada en el Acuerdo de protección de datos al que se adjuntan estas cláusulas.
Cláusula 18 — Elección de foro y jurisdicción
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
(a) Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de un Estado miembro de la UE.
(b) Las Partes acuerdan que esos serán los tribunales del Estado miembro identificado en el Acuerdo de Protección de Datos al que se adjuntan estas cláusulas.
(c) El interesado también puede iniciar acciones legales contra el exportador o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
MÓDULO CUATRO: Transfiera el procesador a la controladora
Cualquier disputa que surja de estas cláusulas será resuelta por los tribunales del Estado miembro identificado en el Acuerdo de protección de datos al que se adjuntan estas cláusulas.

APÉNDICE
ANEXO I

A. LISTA DE PARTES
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
MÓDULO CUATRO: Transfiera el procesador a la controladora
Exportador (es) de datos: cliente, tal como se identifica en el acuerdo de procesamiento de datos al que se adjuntan las cláusulas contractuales estándar.
1. Nombre:
Cliente, tal como se identifica en el Acuerdo marco.
Dirección:
Como se indica en el Acuerdo marco.
Nombre, cargo y datos de contacto de la persona de contacto:
Como se indica en el Acuerdo marco.
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas:
Recibir y usar los bienes, servicios y/o software en virtud del Acuerdo.
Firma y fecha:
Consulte la página de firma del Acuerdo marco.

De: [CounterPartySignerSignature_EQFX7ot]
(Firma)

[Nombre del firmante de la contraparta_PZT2SXQ] _
(Nombre impreso)

Es: [CounterPartySignerTitle_Z1ieb0y] _
(Título)

Función (controlador/procesador):
Controlador
Importador (es) de datos: gTreasury, tal como se identifica en el acuerdo de procesamiento de datos al que se adjuntan las cláusulas contractuales estándar
1. Nombre:
Tesorería, tal como se identifica en el Acuerdo Marco.
Dirección:
Como se indica en el Acuerdo Marco.
Nombre, cargo y datos de contacto de la persona de contacto:
Como se indica en el Acuerdo Marco.
Actividades relacionadas con los datos transferidos en virtud de estas cláusulas:
Rendimiento en virtud del Acuerdo.

Firma y fecha:
Consulte la página de firma del Acuerdo marco.

De: [CounterPartySignerSignature_01pxzlp]
(Firma)

[Nombre del firmante de la contraparte: 2LI13B0]
(Nombre impreso)

Es: [CounterPartySignerTitle_L33m0ml]
(Título)

Función (controlador/procesador):
Procesador
B. DESCRIPCIÓN DE LA TRANSFERENCIA
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
MÓDULO CUATRO: Transfiera el procesador a la controladora
Categorías de sujetos de datos cuyos datos personales se transfieren.
Empleados, contratistas y otras personas que reciben y usan el software o los servicios de GTreasury y/o que administran la relación entre gTreasury y el Cliente.
Personas cuyos datos personales el Cliente incluya en los registros de los sistemas de GTreasury en la medida necesaria para que GTreasury funcione en virtud del Acuerdo.
Categorías de datos personales transferidos
La información que normalmente figura en un ticket de soporte (por ejemplo, nombre, número de teléfono de la empresa, dirección de correo electrónico de la empresa y función organizativa).
Información necesaria para proporcionar y mantener credenciales de inicio de sesión y credenciales similares (por ejemplo, nombre, número de teléfono empresarial, dirección de correo electrónico empresarial y función organizativa) o para facturar y recibir el pago.
Información necesaria para brindar servicios de capacitación y/o consultoría (por ejemplo, nombre, número de teléfono comercial, dirección de correo electrónico comercial, rol organizacional, ubicación, intento de capacitación y capacitación recibida).
Se transfirieron datos confidenciales (si procede) y se aplicaron restricciones o salvaguardas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), el mantenimiento de un registro del acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales.
Ninguna.
La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).
Continuo.
Naturaleza del procesamiento
Recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación mediante transmisión, difusión o puesta a disposición de otro modo, alineación o combinación, restricción, borrado y/o destrucción, todo ello en la medida en que lo exija el cumplimiento del Acuerdo.
Propósito (s) de la transferencia de datos y su posterior procesamiento
Cumplimiento en virtud del Acuerdo y/o disfrute de los beneficios del mismo.
El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período
La vigencia del Acuerdo, así como cualquier momento adicional en el que dicho Acuerdo requiera que GTreasury retenga dicha información y, en cualquier caso, el tiempo necesario, utilizando las prácticas estándar de la industria, para eliminar dicha información.
Para las transferencias a (sub) procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento.
La vigencia del Acuerdo, así como cualquier momento adicional en el que dicho Acuerdo requiera que GTreasury retenga dicha información y, en cualquier caso, el tiempo necesario, utilizando las prácticas estándar de la industria, para eliminar dicha información.
C. AUTORIDAD SUPERVISORA COMPETENTE
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador
Identifique la autoridad o autoridades supervisoras competentes de conformidad con la cláusula 13.
Como se describe en la Cláusula 13.

ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
MÓDULO UNO: Transferir controlador a controlador
MÓDULO DOS: Transfiera el controlador al procesador
MÓDULO TRES: Transferencia de procesador a procesador

Las medidas técnicas y organizativas exigidas por el Acuerdo distintas de esta DPA.

ANEXO III
LISTA DE SUBPROCESADORES

MÓDULO DOS: Transfiera el controlador al procesador

MÓDULO TRES: Transferencia de procesador a procesador

El controlador ha autorizado el uso de los siguientes subprocesadores:

1. Nombre
Microsoft Corp. (o cualquiera de sus filiales que presten servicios de Azure)

Dirección
Una forma de Microsoft
Redmond, Washington 98052-6399
+1425-882-8080

Nombre, cargo y datos de contacto de la persona de contacto:
Oficial de protección de datos de Microsoft en la UE
Un Microsoft Place
Parque Empresarial del Sur del Condado
Leopardstown
Dublín 18
D18 P521
Irlanda
Teléfono: +353 (1) 706-3117

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):

Servicios de hospedaje necesarios para prestar los servicios en virtud del Acuerdo.

2. Nombre
Amazon Web Services, Inc. (o cualquiera de sus filiales que presten servicios de alojamiento de AWS, incluidos, entre otros, Amazon Web Services EMEA SARL y Amazon Internet Services Private Limited)

Dirección
410 Terry Avenue North
Seattle, Washington 98109-5210,
+1425-882-8080

Nombre, cargo y datos de contacto de la persona de contacto:
Oficial de protección de datos de Amazon Web Services EMEA SARL
38 Avenida John F. Kennedy
L-1855, Luxemburgo,
A la atención de: Departamento legal de AWS en EMEA

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):

Servicios de hospedaje necesarios para prestar los servicios en virtud del Acuerdo.

3. Nombre
Rackspace Technology, Inc. (o cualquiera de sus filiales que presten servicios de hospedaje)

Dirección
1 lugar fanático
Windcrest, Texas 78218
+1 210-312-4000

Nombre, cargo y datos de contacto de la persona de contacto:
Director de privacidad
Rackspace Technology, Inc.
1 lugar fanático
Windcrest, Texas 78218

Descripción del procesamiento (incluida una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores):

Servicios de hospedaje necesarios para prestar los servicios en virtud del Acuerdo.

‍