Download Signed Version of DPA

CONTRATO GLOBAL DE PROTECCIÓN DE DATOS

This Document contains a Spanish translation of the CrowdStrike Global Data Protection Agreement (DPA) and is provided to you for ease of reference and convenience purposes only. In the event of any conflict or ambiguity, the English version will always prevail and take precedence and be the only terms and conditions in place and as agreed between the parties.

Esta traducción es comunicada únicamente con fines informativos. En caso de contradicción, divergencia o ambiguedad, deberá prevalecer la version inglesa del DPA.

El presente Contrato de protección de datos (en lo sucesivo, el «DPA», Data Protection Agreement) complementa cualquier documento de condiciones generales de CrowdStrike, contrato marco de compra u otro acuerdo similar existente y actualmente válido (en lo sucesivo, cada uno de los mismos, el «Contrato») celebrado previamente entre CrowdStrike, Inc. (en lo sucesivo, «CrowdStrike») y la parte que haya celebrado el contrato (en lo sucesivo, el «Cliente») (en lo sucesivo, de manera conjunta, las «partes»), si lo exige y en la medida en que lo exija la legislación aplicable (definida a continuación); cuando CrowdStrike trate los datos personales del cliente (ambos definidos a continuación). El presente DPA sustituye y reemplaza cualquier contrato de protección de datos anterior o cualquier otro acuerdo o compromiso anterior, relacionado con el tratamiento de datos personales del cliente en relación con el Contrato.

Sin perjuicio al presente DPA, los términos del Contrato continuarán estando plenamente en vigor y continuarán surtiendo efecto.

1. Definiciones

1.1 Los términos en mayúscula que no estén definidos en el presente documento tendrán el significado que se les da en el Contrato. Con la salvedad de las modificaciones que se introducen a continuación, los términos del Contrato continuarán estando plenamente en vigor y continuarán surtiendo efecto. Los términos afines se interpretarán en relación a los términos del Contrato.

1.1.1 Por «Legislación Vigente» se entiende la legislación que regula el tratamiento, la privacidad o la seguridad de los datos personales del cliente y que resultan directamente aplicables a cada una de las partes respectivas del presente DPA en el contexto del tratamiento de datos personales del cliente por parte de CrowdStrike.

1.1.2 Por «Filial de CrowdStrike» se entiende una persona jurídica perteneciente al grupo de empresas de CrowdStrike nombrada en el Anexo G como filial de CrowdStrike.

1.1.3 Por «Filial del cliente» se entiende una persona jurídica que posea o controle, sea propiedad o esté bajo el control o esté bajo control o propiedad común del Cliente, donde el control se define como la posesión, directa o indirectamente, de la facultad de dirigir o instruir la dirección de la administración y las políticas de una persona jurídica, ya sea a través de la propiedad de acciones con derecho a voto, por contrato o de otro modo, y está autorizado a utilizar los servicios de conformidad con el contrato y los datos personales del Cliente de la filial de tratamiento de CrowdStrike.

1.1.4 Por «Miembro del grupo del Cliente» se entiende el cliente y cualquier filial del Cliente.

1.1.5 Por «Datos personales del Cliente» se entiende cualquier dato personal tratado por CrowdStrike o un subencargado en nombre de un miembro del grupo del cliente durante la prestación de los servicios.

1.1.6 Por «RGPD» se entiende el Reglamento General de Protección de Datos 2016/679 (en lo sucesivo, el «RGPD») y cualquier legislación local que implemente o complemente el RGPD.

1.1.7 Por «Ofertas» se entiende de manera conjunta, cualquier producto, servicio relacionado con el producto o servicio profesional de CrowdStrike.

1.1.8 Por «Transferencia ulterior» se entiende cualquier transferencia de datos personales del cliente de CrowdStrike a un subencargado.

1.1.9 Por «Transferencia Restringida» se entiende cualquier exportación de datos personales del cliente desde su país de origen a un tercer país en el curso de la prestación de los servicios establecidos en el Contrato por parte de CrowdStrike que esté prohibida por la Legislación Aplicable, salvo que: a) haya sido reconocido que el destino proporcione un nivel adecuado de protección de datos por parte de la autoridad competente en materia de protección de datos, o de otro modo de forma jurídicamente vinculante; o b) las partes adopten un mecanismo de adecuación reconocido por la Legislación Aplicable que garantice un nivel adecuado de protección de datos; y

1.1.10 Por «Subencargado del tratamiento de datos» se entiende cualquier proveedor de servicios contratado (incluido cualquier tercero y filial de CrowdStrike, pero excluyendo a un empleado de CrowdStrike o de los subcontratistas de CrowdStrike) que trata datos personales del Cliente en el curso de la prestación de los servicios de CrowdStrike establecidos en el contrato.

1.2 Los términos, «Comisión», «Responsable», «Interesado», «Estado Miembro», «Datos Personales», «Violación de la seguridad de los datos personales», «Encargado», «Tratamiento» y «Autoridad de Control» se entiende que tienen el mismo significado que en el RGPD.

1.3 La palabra «incluir» se interpretará en el sentido de incluir sin limitación.

2. Autoridad

Solo si lo exige y en la medida en que lo exija la Legislación Aplicable, CrowdStrike celebra el presente DPA por: a) sí misma y b) por sus Filiales (como agente), en la medida en que dicha persona jurídica esté tratando Datos personales del Cliente contando con la debida autorización en vigor (o ratificada posteriormente).

3. Tratamiento de los Datos personales del Cliente.

3.1 Las partes reconocen y aceptan que, con respecto al tratamiento de los Datos personales del Cliente, este último determina los fines y los medios del tratamiento de sus Datos personales, y CrowdStrike trata los Datos personales del Cliente en nombre del Cliente durante la prestación de los servicios acordados.

3.2 CrowdStrike deberá:

3.2.1 tratar los Datos personales del Cliente sólo conforme a las instrucciones documentadas del Miembro del grupo del Cliente correspondiente, tal y como se establece en el Contrato y el presente DPA, salvo que la Legislación Aplicable exija el tratamiento. El presente DPA y el Contrato son las instrucciones documentadas completas y finales del Cliente en el momento de la firma del Contrato con CrowdStrike para el Tratamiento de datos personales del Cliente. Cualquier instrucción adicional o alternativa, que repercuta en los servicios acordados, deberá acordarse por separado; y

3.2.2 Salvo que lo prohíba la Legislación Aplicable, CrowdStrike informará al Cliente con antelación si a) las instrucciones de un Miembro del grupo del Cliente entran en conflicto con la Legislación Aplicable; o b) la Legislación Aplicable exige cualquier tratamiento contrario a las instrucciones del Miembro del grupo del Cliente.

3.3 El Miembro del grupo del Cliente deberá:

3.3.1 Ser responsable de cumplir con la Legislación Aplicable al tomar decisiones y emitir instrucciones para el Tratamiento de los datos personales del Cliente, incluida la obtención de todos los permisos, consentimientos o autorizaciones que puedan resultar necesarios.

3.3.2 Indemnizar a CrowdStrike y sus Subencargados del tratamiento por cualquier acción entablada contra ellos que se derive del incumplimiento de la presente sección por parte del Cliente, ya sea por parte de un Interesado o una autoridad estatal. La presente disposición no limita los derechos del Miembro del grupo del Cliente o del interesado en virtud de la legislación aplicable en relación con el cumplimiento de CrowdStrike de sus obligaciones en virtud de la Legislación Aplicable.

4. Personal de CrowdStrike

CrowdStrike deberá:
4.1 Tomar medidas razonables para garantizar la fiabilidad de cualquier persona autorizada a tener acceso a los Datos personales del Cliente;

4.2 Garantizar que el acceso a los Datos personales del Cliente sea estrictamente restringido a aquellas personas naturales que precisen conocer/acceder a los Datos personales del Cliente y a aquellos datos que sean necesarios, según sea razonablemente necesario para los fines descritos en el contrato o exigidos por la Legislación Aplicable;

4.3 Asegurarse de que todas esas personas naturales estén sujetas a obligaciones de confidencialidad u obligaciones de confidencialidad profesionales o estatutarias.

5. Seguridad

5.1 Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, CrowdStrike deberá, en relación con el Tratamiento de Datos personales del Cliente, mantener las medidas técnicas y organizativas apropiadas según se especifica en el contrato diseñadas para garantizar un nivel de seguridad adecuado al riesgo, incluidas, cuando proceda, las medidas a las que se hace referencia en la Legislación Aplicable.

5.2 Al evaluar el nivel adecuado de seguridad, CrowdStrike tendrá en cuenta la naturaleza de los datos y las actividades de tratamiento al evaluar los riesgos que plantea una posible Violación de la seguridad de los datos personales.

6. Tratamiento de datos por un Subencargado

6.1 Cada miembro del grupo del cliente autoriza a CrowdStrike a designar (y permitir que cada Subencargado designado de conformidad con la presente sección 6 designe) Subencargados de conformidad con la presente sección 6 y cualquier restricción en el Contrato.

6.2 CrowdStrike puede continuar utilizando los Subencargados que ya están contratados a la fecha del presente DPA especificado en el Anexo G, sujeto a que CrowdStrike en cada caso cumpla con las obligaciones establecidas en la sección 6.5.

6.3 El Cliente acepta que CrowdStrike mantenga y actualice su lista de Subencargados en línea, para la Plataforma Falcon y Humio, tal y como se describe en el Anexo G.

6.4 CrowdStrike notificará al Cliente la propuesta de un nuevo Subencargado a través de la Plataforma Falcon / Humio, en la que el Cliente puede optar por suscribirse para recibir dichos avisos. Los Clientes pueden registrarse para recibir las notificaciones de los Subencargados por correo electrónico en https://www.crowdstrike.com/subprocessor-notification/. El aviso de la propuesta de un nuevo Subencargado se enviará al Cliente, al menos, 30 días antes de la utilización por parte de CrowdStrike del nuevo Subencargado para tratar los Datos personales del Cliente. Durante el período de notificación, el Cliente puede presentar objeciones a un cambio de Subencargado por escrito, y CrowdStrike hará todos los esfuerzos razonables para resolver las objeciones del Cliente, incluidas las opciones que bien pudieran parecer comercialmente razonables para proporcionar las ofertas sin la utilización del Subencargado propuesto. Cuando CrowdStrike no pueda facilitar dicha alternativa al Cliente en el plazo de los 90 días posteriores a la notificación de la objeción del Cliente, y sin perjuicio de lo dispuesto en el contrato, el Cliente puede rescindir el contrato en la medida en que se aplique a las Ofertas que requieran la utilización del Subencargado propuesto.

6.5 Con respecto a cada Subencargado, CrowdStrike deberá:

6.5.1 Antes de que el Subencargado trate por primera vez los Datos personales del Cliente (o, cuando proceda, de conformidad con la sección 6.2), llevar a cabo la diligencia debida adecuada para garantizar que el Subencargado sea capaz de proporcionar el nivel de protección exigido por la Legislación Aplicable para los Datos personales del Cliente, el presente DPA y el Contrato.

6.5.2 Asegurarse de que el acuerdo entre CrowdStrike y el Subencargado se rija por un contrato por escrito que ofrezca sustancialmente el mismo nivel de protección para los datos personales del cliente que exige el presente DPA y la Legislación Aplicable, incluida la capacidad del cliente de proteger los derechos de los Interesados en caso de que CrowdStrike sea declarado insolvente, liquidado o de deje de existir por cualquier otro motivo.

6.5.3 Aplicar un mecanismo de adecuación reconocido por la Autoridad de control del Cliente para garantizar un nivel adecuado de protección de datos conforme a la Legislación Aplicable cuando el Tratamiento de datos personales del Cliente por parte del Subencargado implique una Transferencia Restringida.

6.5.4 Guardar copias de los contratos con los Subencargados según lo solicite el Cliente puntualmente. En la medida necesaria para proteger la información confidencial, CrowdStrike puede ocultar la información confidencial de las copias antes de compartirlas con el Cliente.

6.5.5 Seguir siendo plenamente responsable ante el Cliente por el cumplimiento de las obligaciones del Subencargado de conformidad con el Contrato; y

6.5.6 Notificar al Cliente sobre el incumplimiento relevante del Subencargado con las obligaciones establecidas por la Legislación Aplicable, el presente DPA y el Contrato.

7. Derechos de los Interesados

7.1 El Cliente declara y garantiza proporcionar la transparencia adecuada a cualquier Interesado relacionado con el Tratamiento de datos personales del Cliente por parte de CrowdStrike, y responder a cualquier solicitud presentada por los Interesados según lo exija la Legislación Aplicable.

7.2 Teniendo en cuenta la naturaleza del Tratamiento de datos personales del Cliente, CrowdStrike deberá:

7.2.1 Abstenerse de responder a la solicitud del Interesado por sí misma o por el Subencargado salvo que lo exija la Legislación Aplicable;

7.2.2 Notificar al Cliente sin demora indebida si CrowdStrike o cualquier Subencargado recibe una solicitud de un Interesado en virtud de la Legislación Aplicable con respecto a los datos personales del Cliente;

7.2.3 Asistir en lo razonable al Cliente a través de las medidas técnicas y organizativas apropiadas para cumplir con la obligación del Cliente de responder a las solicitudes de los Interesados en virtud de la Legislación Aplicable, cuando el Cliente no pueda responder a las solicitudes de los Interesados a través de la información disponible por medio del uso de las Ofertas y servicios de CrowdStrike.

8. Violación de la seguridad de los datos personales

8.1 CrowdStrike notificará al Cliente sin demora indebida, y dentro de los plazos exigidos por la Legislación Aplicable, cuando CrowdStrike o cualquier Subencargado tome conocimiento de cualquier Violación de la seguridad de los datos personales que afecte los Datos personales del Cliente, proporcionando al Miembro del grupo del Cliente información suficiente para cumplir con las obligaciones de notificar o informar a los Interesados de la Violación de la seguridad de los datos personales en virtud de la Legislación Aplicable.

8.2 CrowdStrike cooperará con el Miembro del grupo del Cliente y tomará las medidas comercialmente razonables para ayudar en la investigación, mitigación y reparación de dicha Violación de la seguridad de los datos personales.

9. Obligaciones de ayudar al Cliente

Teniendo en cuenta la naturaleza del tratamiento y la información puesta a disposición del Miembro del grupo del Cliente , en cada caso únicamente en relación con el Tratamiento de los datos personales del Cliente por parte de CrowdStrike, CrowdStrike brindará asistencia razonable a los Miembros del grupo del Cliente ante cualquier:

9.1.1 Evaluación del impacto sobre la protección de datos requerida según la Legislación Aplicable de parte de cualquier Miembro del grupo del Cliente;

9.1.2 Consulta o solicitud de una autoridad de protección de datos competente;

9.1.3 Demostración requerida de cumplimiento con la Legislación Aplicable y el presente DPA; y

9.1.4 Consulta sobre el Tratamiento de datos personales del Cliente por parte de CrowdStrike de conformidad con el Contrato y el presente DPA.

10. Eliminación de los Datos personales del Cliente

10.1 El Tratamiento de los datos personales del cliente por parte de CrowdStrike solo tendrá lugar durante el período especificado en el Anexo A.

10.2 Al final del período especificado en el Anexo A o al finalizar la prestación de los servicios de CrowdStrike y de conformidad con el Contrato, los datos personales del Cliente se eliminarán en el plazo de los 90 días posteriores al cese del acceso a los datos, salvo que la Legislación Aplicable exija la retención de los Datos personales del Cliente. Previa solicitud por escrito del Cliente, CrowdStrike deberá:

10.2.1 Poner a disposición del Cliente sus Datos personales proporcionándole de manera razonable un medio de recuperar esta información de la Plataforma Falcon o Humio;

10.2.2 Proporcionar al Cliente una certificación por escrito de la eliminación de sus Datos personales.

11. Derechos de auditoría

11.1 Sin perjuicio de las secciones 11 apartado 2 a 11 apartado 4, CrowdStrike facilitará al Cliente, previa solicitud, la información necesaria para demostrar el cumplimiento con la Legislación Aplicable y el presente DPA.

11.2 En la medida en que lo exija la Legislación Aplicable, CrowdStrike contribuirá a las auditorías realizadas por el Cliente o por un auditor independiente contratado por el Cliente, siempre y cuando éste no sea un competidor de CrowdStrike, en relación con el Tratamiento de los datos personales del Cliente.

11.3 Los derechos de información y auditoría de los Miembros del grupo del Cliente se limitan a la sección 11 apartado 1 en la medida en que el Contrato no les otorgue de otro modo información y derechos de auditoría que cumplan con los requisitos pertinentes de la Legislación Aplicable.

11.4 Sin perjuicio de lo anterior, CrowdStrike puede excluir de la auditoría información y documentación que podría revelar la identidad de otros clientes de CrowdStrike o información cuya confidencialidad CrowdStrike deba mantener. Cualquier información o registro proporcionado de conformidad con este proceso de evaluación se considerará Información confidencial de CrowdStrike y estará sujeta a la sección de confidencialidad del Contrato.

12. Transferencias Restringidas desde el Espacio Económico Europeo, Suiza, Israel, Reino Unido, Argentina

12.1 Cuando CrowdStrike realice una Transferencia Restringida de Datos personales del Cliente con origen en el EEE, Suiza o Israel a un tercer país que la Comisión Europea determine, sobre la base del artículo 45 del RGPD, que no ofrezca un nivel adecuado de protección de datos, cuando CrowdStrike no haya adoptado otro mecanismo de adecuación legalmente suficiente, las cláusulas contractuales tipo (UE) 2021/914 (Anexo B) se incorporarán al presente DPA y resultarán aplicables del siguiente modo:

12.1.1 CrowdStrike será un Encargado del Tratamiento de los datos personales del Cliente;

12.1.2 El Cliente será el Responsable del Tratamiento de los datos personales del Cliente;

12.1.3 Resultará aplicable el Módulo 2 (Responsable a Encargado);

12.1.4 La cláusula 7 (cláusula de incorporación) no resultará aplicable;

12.1.5 La opción en la cláusula 11 letra a) (Reparación) no resultará aplicable;

12.1.6 Las partes optan por la Opción 2 de la cláusula 17;

12.1.7 Cláusula 8 apartado 1 (Instrucciones). El presente DPA y el Contrato son las instrucciones documentadas completas y finales del Cliente en el momento de la firma del Contrato con CrowdStrike para el Tratamiento de datos personales del Cliente. Cualquier instrucción adicional o alternativa debe acordarse por separado. Se considera que lo siguiente constituye la instrucción del Miembro del grupo del Cliente para tratar los datos personales del Cliente: a) el tratamiento de conformidad con el Contrato y cualquier orden de compra aplicable; b) el tratamiento iniciado por los usuarios en su uso de las Ofertas y servicios de CrowdStrike, y c) el tratamiento para cumplir con otras instrucciones documentadas razonables proporcionadas por el Miembro del grupo del Cliente (por ejemplo, por correo electrónico) cuando dichas instrucciones sean conformes a las condiciones del Contrato.

12.1.8 Cláusula 8 apartado 5 (Duración del tratamiento y supresión o devolución de los datos). El Cliente reconoce y acepta expresamente que el proceso descrito en la Sección 10 del DPA regirá el cumplimiento de los requisitos relacionados con la supresión y devolución de datos.

12.1.9 Cláusula 8 apartado 9 letras c), d) (Auditoría). Las partes acuerdan que las auditorías descritas en la cláusula 8 apartado 9 letras c), d) se llevarán a cabo de conformidad con la Sección 11 del presente DPA. En la medida en que la cláusula 8 apartado 9 letras c), d) exija además que las instalaciones de CrowdStrike se sometan a una inspección, el Miembro del grupo del Cliente puede ponerse en contacto con CrowdStrike mediante una notificación previa por escrito para solicitar una auditoría in situ de los procedimientos relacionados con la protección de los datos personales del Cliente. El Cliente deberá resarcir a CrowdStrike por cualquier tiempo invertido en dicha auditoría in situ a las tarifas de servicios profesionales de CrowdStrike vigentes en ese momento, que se proporcionarán al Miembro del grupo del Cliente cuando así se le solicite. Antes del comienzo de dicha auditoría in situ, el Miembro del grupo del Cliente y CrowdStrike acordarán mutuamente el alcance, el momento y la duración de la auditoría, además de la tasa de reembolso de la que será responsable el Cliente. El Miembro del grupo del Cliente notificará de inmediato a CrowdStrike cualquier información sobre cualquier incumplimiento descubierto durante el curso de una auditoría.

12.1.10 Cláusula 9 (Recurso a Subencargados). El Cliente reconoce y acepta expresamente que CrowdStrike puede contratar nuevos Subencargados tal y como se describe en la Sección 6 del DPA.

12.1.11 Cuando CrowdStrike realice una Transferencia Restringida de Datos personales del Cliente desde Suiza a un tercer país, resultarán aplicables los siguientes requisitos adicionales en la medida en que las transferencias de datos estén sujetas exclusivamente a la Ley federal suiza relativa a la protección de datos (FADP, Federal Data Protection Act) o estén sujetas tanto a la FADP como al RGPD: a) El término ‘Estado Miembro’ no debe interpretarse de tal modo que excluya a los interesados en Suiza de la posibilidad de hacer valer sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la cláusula 18 letra c) de las presentes cláusulas contractuales tipo. b) En la medida en que las transferencias de datos subyacentes a las presentes cláusulas contractuales tipo estén sujetas exclusivamente a la FADP, las referencias al RGPD deben entenderse como referencias a la FADP. Cuando las transferencias de datos subyacentes a las presentes cláusulas contractuales tipo estén sujetas tanto a la FADP como al RGPD, las referencias al RGPD deben entenderse como referencias a la FADP en la medida en que las transferencias de datos estén sujetas a la FADP. c) Hasta que la revisión de la Ley federal suiza relativa a la protección de datos (rev. FADP) entre en vigor, las disposiciones de las presentes cláusulas contractuales tipo y todos los anexos también amparan los Datos personales de los Miembros del grupo del Cliente en la medida en que estas disposiciones les sean aplicables en virtud de la Ley suiza.

12.2 Cuando CrowdStrike realiza una Transferencia Restringida de Datos personales del Cliente desde el Reino Unido («RU») a un tercer país que la Oficina del Comisario de Información británico (“ICO”) determine que no ofrezca un nivel adecuado de protección de datos, y cuando CrowdStrike no haya adoptado otro mecanismo de adecuación legalmente suficiente, las cláusulas contractuales tipo (UE) 2010/593 (Anexo H) se incorporarán al presente DPA y resultarán aplicables del siguiente modo:

12.2.1 Cuando la Oficina del Comisionado de Información Británico adopte un acuerdo que se utilizase como mecanismo de salvaguardia para las Transferencias Restringidas de datos cubiertas por el RGPD del Reino Unido, como por ejemplo el contrato Internacional de Transferencia de Datos (IDTA, International Data Transfer Agreement), las partes podrán utilizarlo en lugar de las cláusulas contractuales tipo (UE) 2010/593 que rigen el manejo y la protección de los Datos personales del Cliente de conformidad con el RGPD del Reino Unido.

12.2.2 Las presentes cláusulas contractuales tipo y las condiciones adicionales especificados en la presente sección 12 apartado 2 del presente DPA resultarán aplicables a 1) la persona jurídica que haya ejecutado el DPA y 2) los Miembros del grupo del Cliente establecidos en el Reino Unido de la misma, que hayan implementado las ofertas y servicios de CrowdStrike, de conformidad con el Contrato y cuyos datos personales del Cliente sean tratados por CrowdStrike en relación con el Contrato. Con respecto a las presentes cláusulas contractuales tipo y la presente sección 12 apartado 2, las entidades antes mencionadas merecerán la consideración de «exportadores de datos».

12.2.3 Instrucciones. El presente DPA y el Contrato son las instrucciones documentadas completas y finales del Cliente en el momento de la firma del Contrato con CrowdStrike para el Tratamiento de Datos personales del Cliente. Cualquier instrucción adicional o alternativa debe acordarse por separado. A los efectos de la cláusula 5 letra a) de las presentes cláusulas contractuales tipo, se considera que lo siguiente constituye una instrucción del Miembro del grupo del Cliente para tratar sus Datos personales: a) el Tratamiento de conformidad con el Contrato y cualquier orden aplicable; b) el Tratamiento iniciado por los usuarios en su uso de las ofertas de CrowdStrike, y c) el tratamiento para cumplir con otras instrucciones documentadas razonables proporcionadas por el Miembro del grupo del Cliente (por ejemplo, por correo electrónico) cuando dichas instrucciones sean conformes a las condiciones del Contrato.

12.2.4 Designación de nuevos Subencargados y lista de Subencargados actuales. De conformidad con la cláusula 5 letra h) de las presentes cláusulas contractuales tipo (UE) 2010/593, el Cliente reconoce y acepta expresamente que a) las Filiales de CrowdStrike pueden seguir siendo Subencargados; y b) CrowdStrike y las Filiales de CrowdStrike, respectivamente, pueden contratar Subencargados de terceros en relación con la prestación de los servicios de las ofertas de CrowdStrike. CrowdStrike facilitará al Cliente la lista actual de Subencargados de conformidad con la sección 6 letra a y 12 apartado 3 del presente DPA.

12.2.5 Notificación de nuevos Subencargados y derecho a presentar objeciones a nuevos Subencargados. De conformidad con la cláusula 5 letra h) de las presentes cláusulas contractuales tipo y de conformidad con el artículo 28 del RGPD, el Cliente reconoce y acepta expresamente que CrowdStrike puede contratar nuevos Subencargados tal y como se describe en la sección 6 del DPA.

12.2.6 Acuerdos de Subencargados. Las partes acuerdan que las obligaciones de tratamiento subordinado de conformidad con la cláusula 11 de las presentes cláusulas contractuales tipo se llevarán a cabo de conformidad con el artículo 28 del RGPD. Las partes acuerdan que CrowdStrike puede expurgar de antemano toda la información comercial y confidencial, o cláusulas no relacionadas con las presentes cláusulas contractuales tipo o su equivalente de los ejemplares de los contratos del Subencargado que debe proporcionar CrowdStrike al Cliente de conformidad con la cláusula 5 letra j) de las presentes cláusulas contractuales tipo; y que dichos ejemplares serán proporcionados por CrowdStrike, del modo que se determine a su discreción, únicamente previa solicitud por escrito del Cliente.

12.2.7 Auditorias. Las partes acuerdan que las auditorías descritas en la cláusula 5 letra f) y la cláusula 12 apartado 2) de las presentes cláusulas contractuales tipo se llevarán a cabo de conformidad con la sección 11 del presente DPA. En la medida en que las presentes cláusulas contractuales tipo (UE) 2010/593 exijan, además, que las instalaciones de CrowdStrike se sometan a inspección, el Miembro del grupo del Cliente puede ponerse en contacto con CrowdStrike mediante una notificación previa por escrito para solicitar una auditoría in situ de los procedimientos relevantes para proteger los Datos personales del Cliente. El Cliente deberá resarcir a CrowdStrike por cualquier tiempo invertido en dicha auditoría in situ a las tarifas de servicios profesionales de CrowdStrike vigentes en ese momento, que CrowdStrike facilitará al Miembro del grupo del Cliente cuando así se le solicite. Antes del comienzo de dicha auditoría in situ, el Miembro del grupo del Cliente y CrowdStrike acordarán mutuamente el alcance, el momento y la duración de la auditoría, además de la tasa de reembolso de la que será responsable el Cliente. El Miembro del grupo del Cliente notificará de inmediato a CrowdStrike cualquier información sobre cualquier incumplimiento descubierto durante el curso de una auditoría.

12.2.8 Certificación de eliminación. Las partes acuerdan que la certificación de eliminación de los Datos personales del Cliente que se describe en la cláusula 12 apartado 1) de las presentes cláusulas contractuales tipo será proporcionada por CrowdStrike al Miembro del grupo del Cliente solo cuando éste lo solicite de conformidad con la sección 10 apartado 2 del presente DPA.

12.2.9 Límite de responsabilidad. Las partes acuerdan que la responsabilidad combinada total de cualquiera de las partes y sus filiales hacia la otra Parte y sus filiales en virtud o en relación con el Contrato y las presentes cláusulas contractuales tipo se limitará al límite aplicable (máximo) de limitación de responsabilidad para cada parte, tal como dicha limitación está establecida en el contrato.

12.3 Cuando CrowdStrike realice una Transferencia Restringida de Datos personales del Cliente con origen en Argentina a un tercer país que la Agencia de Acceso a la Información Pública (AAIP) determine no ofrezca un nivel adecuado de protección de datos, y en el supuesto que se considere que el presente DPA no ofrece garantías adecuadas sobre la base del derecho, entonces, cuando CrowdStrike no haya adoptado otro mecanismo de adecuación legalmente suficiente, las cláusulas contractuales tipo establecidas en virtud del Reglamento n.º 60-E/2016 se incorporarán al presente DPA y resultarán aplicables en la medida en que se exija en virtud de la Legislación Aplicable.

12.4 Cuando resulten aplicables los Anexos B y H, el Cliente reconoce que CrowdStrike mantiene una lista actualizada de Subencargados en línea tal y como se describe en el Anexo G.

13. Condiciones generales

Legislación aplicable y jurisdicción competente

13.1 Las partes del presente DPA por el presente acatan la elección de jurisdicción estipulada en el Contrato con respecto a cualquier controversia o demanda que surja en virtud del presente DPA, incluidas las controversias relacionadas con su existencia, validez o rescisión o las consecuencias de su nulidad.

13.2 El presente DPA y todas las obligaciones no contractuales o de otro tipo que surjan del mismo o en relación con el mismo se rigen por la legislación del país o territorio estipulado a tal fin en el Contrato.

Orden de aplicación

13.3 Nada en el presente DPA reduce las obligaciones de CrowdStrike en virtud del Contrato en relación con la protección de los Datos personales del Cliente o permite que CrowdStrike Trate (o permita el tratamiento) de los Datos personales del Cliente de una manera que esté prohibida por el Contrato.

13.4 Cualquier conflicto entre las condiciones del Contrato y el presente DPA relacionado con el Tratamiento de Datos personales del Cliente se resuelve con el siguiente orden de prioridad: 1) las cláusulas contractuales tipo (Anexos B y H – en el caso de transferencias restringidas donde afecte sustancialmente la adecuación de la transferencia); 2) el DPA; 3) el Contrato.

Divisibilidad

13.5 En el supuesto de que alguna disposición del presente DPA resultase ser inválida o inoponible, el resto del presente DPA seguirá siendo válido y seguirá en vigor. La disposición inválida o inoponible será o bien a) enmendada en la medida en que resulte necesario para asegurar su validez y oponibilidad, preservando al mismo tiempo la intención de las partes en la mayor medida posible o, si ésto no fuese posible, b) interpretada como si la disposición inválida o inoponible nunca se hubiese incluido en el mismo.

LIMITACIÓN DE RESPONSABILIDAD

13.6 La responsabilidad de cada parte y de todas sus filiales, en conjunto, que se derive del presente DPA o esté relacionada con el mismo, y todos los DPA entre las Filiales del Cliente y CrowdStrike, ya sea responsabilidad extracontractual, responsabilidad civil o responsabilidad en virtud de cualquier otra teoría de responsabilidad, está sujeta a la sección ‘Limitación de responsabilidad’ del Contrato y la limitación aplicable (máximo) para la parte correspondiente establecida en el Contrato. Se entiende cualquier referencia en dicha sección a la responsabilidad de una parte como la responsabilidad agregada de esa parte y de todas sus filiales en virtud del Contrato y de todos los DPA en su conjunto.

13.7 Para que no haya lugar a ninguna duda, la responsabilidad total de CrowdStrike y las Filiales de CrowdStrike ante todas las demandas del Cliente y de todas las Filiales del Cliente que se deriven del Contrato y de todos los DPA o estén relacionadas con los mismos resultará aplicable al conjunto de demandas, incluyendo las del Cliente y las de todas sus filiales . En particular, no se entenderá que resulta aplicable de forma individual y por separado al Cliente o a cualquier Filial del Cliente que sea una parte contractual de dicho DPA.

13.8 En la medida en que lo exija la Legislación Aplicable, la presente sección no pretende a) modificar o limitar la responsabilidad de las partes por las demandas de los Interesados presentadas contra una parte cuando exista una responsabilidad solidaria; o b) limitar la responsabilidad de cualquiera de las partes de pagar las sanciones impuestas a dicha parte por una autoridad reguladora.

CROWDSTRIKE, INC.                                                                                                  Customer Name: _________________________________

By: _______________________________________                                                      By: _______________________________________________

Name: _____________________________________                                                  Name: ____________________________________________

Title: ______________________________________                                                   Title: ______________________________________________

Date: ______________________________________                                                   Date: ______________________________________________

Send notices to:
150 Mathilda Place, 3rd Floor                                                                                        Notice Address: ________________________________
Sunnyvale, CA 94086                                                                                                           _________________________________________________
With a copy to: legal@crowdstrike.com                                                                  _________________________________________________

 

ANEXO A

DESCRIPCIÓN DEL TRATAMIENTO DE LOS DATOS PERSONALES DEL CLIENTE

El presente Anexo A incluye ciertos detalles del tratamiento de Datos personales del Cliente, según lo requerido por el artículo 28, apartado 3 del RGPD.

Contenido, naturaleza y duración del Tratamiento de los Datos personales del Cliente

El contenido y duración del Tratamiento de los Datos personales del Cliente se establecen en el Contrato y el presente DPA.

Fin para el cual se tratan los Datos personales en nombre del Miembro del grupo del Cliente

Los fines del Tratamiento de los Datos personales del Cliente se establecen en el Contrato y el presente DPA, y entre los mismos se incluyen los siguientes.

Prestación/uso de las ofertas. Datos personales que se pueden recopilar y utilizar durante la prestación y el uso de las ofertas para entregar, respaldar y mejorar las ofertas, administrar el Contrato y promover la relación comercial entre el Cliente y CrowdStrike, cumplir con la ley, actuar de conformidad con las instrucciones por escrito del Cliente, o de otro modo de conformidad con el presente contrato.

Servicios profesionales. Datos personales recopilados en relación con los servicios profesionales, por ejemplo, como parte de la imagen informática y diagnóstico por ordenador y reparación de ordenadores en relación con la entrega de respuesta a incidentes u otros servicios profesionales orientados al análisis forense.

Análisis de archivos/documentos. Datos personales que se encuentren presentes en archivos o documentos desconocidos o sospechosos que se envíen a las ofertas para su análisis en busca de vulnerabilidades o cualquier actividad hostil. Estos archivos desconocidos o sospechosos y otra información relacionada se utilizan para el análisis de la seguridad y la respuesta o, al enviar informes de bloqueos, para mejorar la fiabilidad del producto o mejorar los productos y servicios de CrowdStrike o mejorar la ciberseguridad.
Soporte técnico e información de la cuenta. Los nombres y contactos de los empleados del Cliente pueden recibirse en relación con el soporte técnico de las ofertas.

Categorías de Datos personales tratados

En cuanto a la Plataforma Falcon, según las ofertas y las convenciones de nomenclatura y el entorno del responsable del tratamiento, los datos personales, como por ejemplo los que posiblemente se encuentren en un nombre del ordenador, nombre de usuario o nombre de archivo o los artefactos técnicos contemplados en los fines anteriores, así como los datos personales almacenados en soportes de datos y proporcionados el responsable o al que el mismo pueda obtener de otro modo como parte de nuestros servicios antes mencionados. Entre los datos personales asociados con la prestación y el funcionamiento de las ofertas se incluyen los datos incluidos en datos de eventos de máquinas, datos de agentes de amenaza y datos enviados por el responsable tratados para proteger los dispositivos del responsable de cualquier actividad hostil y para proporcionar aplicaciones, módulos, funcionalidades y servicios adicionales seleccionados por el responsable.

En cuanto a Humio, según las ofertas y los eventos de registro generados por las aplicaciones de software del cliente y la infraestructura en la que se ejecuten, entre los que se pueden incluir datos personales del Cliente.

Categorías de Interesados cuyos datos personales se traten

Interesados, como los usuarios del sistema informático del Responsable u otras personas naturales cuyo Responsable del tratamiento de datos personales sea responsable de las ofertas y cuyos datos personales se tratan en relación con las mismas.

 

ANEXO B

CLÁUSULAS CONTRACTUALES TIPO

para la transferencia de datos personales a terceros países de conformidad con el RGPD

SECCIÓN I

Cláusula 1 – Finalidad y ámbito de aplicación

(a) La finalidad de las presentes cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1) (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.

(b) Las partes:

i. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el Anexo C (cada una denominada en lo sucesivo «exportador de datos»), y

ii. la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el Anexo C (cada una denominada en lo sucesivo «importador de datos»), han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).

(c) El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el Anexo D.

(d) El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del presente pliego de cláusulas.

Cláusula 2 – Efecto e invariabilidad de las cláusulas

(a) El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

(b) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3 – Terceros beneficiarios

(a) Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.

i. Cláusula 1, cláusula 2, cláusula 3, cláusula 6, cláusula 7;

ii. Cláusula 8, apartado 1, letra b) y cláusula 8, apartado 9 letras a) c), d) y e);

iii. Cláusula 9 letras a), c), d) y e);

iv. Cláusula 12 letras a), d) y f);

v. Cláusula 13;

vi. Cláusula 15, apartado 1, letras c), d) y e);

vii. Cláusula 16 letra e);

viii. Cláusula 18 letras a) y b).

(b) Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.

Cláusula 4 – Interpretación

(a) Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.

(b) El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.

(c) El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

Cláusula 5 – Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6 – Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el Anexo D.

Cláusula 7 – Cláusula de incorporación

(a) Cualquier persona jurídica que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el Anexo C.

(b) Una vez haya cumplimentado el apéndice y firmado el Anexo C, la persona jurídica que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en dicho anexo.

(c) La persona jurídica que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.

SECCIÓN II: OBLIGACIONES DE LAS PARTES

Cláusula 8 – Garantías en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.

MÓDULO 2 (Transferencia de responsable a encargado)

8.1 Instrucciones
a) El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato.

b) El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones.

8.2 Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el Anexo D, salvo cuando siga instrucciones adicionales del exportador de datos.

8.3 Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el Anexo F y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.

8.4 Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador colaborará con el exportador de datos para suprimir o rectificar la información.

8.5 Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el Anexo D. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, toda la información personal tratada por cuenta del exportador y le acreditará que lo ha hecho, o le devolverá todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6 Seguridad del tratamiento
(a) El importador de datos y, durante la transferencia, también el exportador de datos, aplicará medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el Anexo F. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

(b) El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

(c) En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

(d) El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas o las garantías adicionales descritas en el Anexo D.

8.8 Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:

i. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

ii. el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;

iii. si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o

iv. si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9 Documentación y cumplimiento
(a) El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.

(b) Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.

(e) Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.

MÓDULO 3 (Transferencia de encargado a encargado)

8.1 Instrucciones
(a) El exportador de datos ha informado al importador de datos de que actúa como encargado del tratamiento siguiendo las instrucciones de su(s) responsable(s), que el exportador de datos deberá poner a disposición del importador de datos antes del tratamiento.

(b) El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento, comunicadas al importador por el exportador de datos, así como instrucciones documentadas adicionales del exportador de datos. Dichas instrucciones adicionales no podrán estar en conflicto con las instrucciones del responsable. El responsable o el exportador de datos podrán dar instrucciones documentadas adicionales sobre el tratamiento de datos durante todo el período de vigencia del contrato.

(c) El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones. Si el importador de datos no puede seguir las instrucciones del responsable, el exportador de datos lo notificará inmediatamente al responsable.

(d) El exportador de datos asegura que ha impuesto al importador de datos las obligaciones en materia de protección de datos establecidas en el contrato u otro acto jurídico con arreglo al Derecho de la Unión o del Estado miembro entre el responsable y el exportador de datos.

8.2 Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el Anexo D, salvo cuando siga instrucciones adicionales del responsable, comunicadas al importador de datos por el exportador de datos, o del exportador de datos.

8.3 Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el exportador de datos podrá expurgar el texto del apéndice antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.

8.4 Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el Anexo D. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del responsable y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a).

8.6 Seguridad del tratamiento
(a) El importador de datos y, durante la transferencia, también el exportador de datos, aplicará medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos o del responsable. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el Anexo F. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.

(b) El importador de datos solo concederá acceso a los datos a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.

(c) En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también notificará sin dilación indebida al exportador de datos y, cuando proceda y sea viable, al responsable cuando tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida.

(d) El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación al responsable para que este luego lo notifique a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles
En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas o las garantías adicionales descritas en el Anexo D.

8.8 Transferencias ulteriores
El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del responsable, tal y como las haya comunicado el exportador de datos al importador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (6) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si:

i. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

ii. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

iii. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;

iv. el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679;

v. si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o

vi. si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9 Documentación y cumplimiento
(a) El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos o del responsable relacionadas con el tratamiento con arreglo al presente pliego de cláusulas.

(b) Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del responsable.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente pliego de cláusulas; el exportador de datos luego la proporcionará al responsable.

(d) El importador de datos permitirá y contribuirá a las auditorías que realice el exportador de datos sobre las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Lo mismo se aplicará cuando el exportador de datos solicite una auditoría siguiendo instrucciones del responsable. Al decidir si se realiza una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

(e) Cuando la auditoría se realice siguiendo instrucciones del responsable del tratamiento, el exportador de datos pondrá los resultados a disposición del responsable.

(f) El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable.

(g) Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.

Cláusula 9 – Recurso a subencargados

MÓDULO 2 (Transferencia de responsable a encargado)

(a) El importador de datos cuenta con una autorización general del exportador de datos para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos 30 días de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al subencargado o subencargados. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeciones.

(b) Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios. Las partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8 apartado 8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

(c) El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.

(e) El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

MÓDULO 3 (Transferencia de encargado a encargado)

(a) El importador de datos cuenta con una autorización general del responsable para contratar a subencargados que figuren en una lista acordada. El importador de datos informará al responsable específicamente y por escrito de las adiciones o sustituciones de subencargados previstas en dicha lista con al menos 30 días de antelación, de modo que el responsable tenga tiempo suficiente para formular objeciones a tales cambios antes de que se contrate al subencargado o subencargados de que se trate. El importador de datos proporcionará al responsable la información necesaria para que pueda ejercer su derecho a formular objeciones. El importador de datos informará al exportador de datos de la contratación del subencargado o subencargados.

(b) Cuando el importador de datos recurra a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del responsable), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios. (9) Las partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el subencargado cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

(c) El importador de datos proporcionará al exportador de datos o al responsable, a instancia del exportador de datos o el responsable, respectivamente, una copia del contrato con el subencargado y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al subencargado su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del subencargado de las obligaciones que le atribuye dicho contrato.

(e) El importador de datos pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y ordenar a este que suprima o devuelva los datos personales.

Cláusula 10 – Derechos del interesado

MÓDULO 2 (Transferencia de responsable a encargado)

(a) El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo.

(b) El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el Anexo F medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

(c) En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del exportador de datos.

MÓDULO 3 (Transferencia de encargado a encargado)

(a) El importador de datos notificará con presteza al exportador de datos y, en su caso, al responsable toda solicitud que reciba de un interesado, sin responder a dicha solicitud, a menos que haya sido autorizado a hacerlo por el responsable.

(b) El importador de datos ayudará al exportador de datos, cuando proceda con la colaboración del exportador de datos, a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725 atribuyen a los interesados. A este respecto, las partes establecerán en el Anexo F medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida.

(c) En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del responsable, comunicadas por el exportador de datos.

Cláusula 11 – Reparación

(a) El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.

(b) El importador de datos se aviene a que los interesados también puedan presentar una reclamación ante un organismo independiente de resolución de litigios sin coste alguno para el interesado. Informará a los interesados, en la forma establecida en la letra a), de este mecanismo de reparación y de que no están obligados a recurrir a este ni a seguir una secuencia concreta de vías de reparación.

(c) En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.

(d) El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de:

i. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 13;

ii. ejercitar una acción judicial en el sentido de la cláusula 18.

(e) Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

(f) El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.

(g) El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.

Cláusula 12 – Responsabilidad

(a) Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.

(b) El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su subencargado ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas.

(c) A pesar de lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su subencargado) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación.

(d) Las partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra c), de los daños o perjuicios causados por el importador de datos (o su subencargado), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos.

(e) Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.

(f) Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.

(g) El importador de datos no puede alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Cláusula 13 – Supervisión

(a) La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el Anexo E, actuará como autoridad de control competente.

(b) El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III – DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14 – Derecho y prácticas del país que afectan al cumplimiento de las cláusulas

(a) Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.

(b) Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:

i. las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;

ii. el Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables;

iii. las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.

(c) El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.

(d) Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud.

(e) El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a).

(f) De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos o el importador de datos para poner remedio a la situación. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e).

Cláusula 15 – Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1 Notificación
(a) El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:

i. recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o

ii. tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.

(b) Si se prohíbe al importador de datos enviar la notificación al exportador de datos o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos.

(c) En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.).

(d) El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.

(e) Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.

15.2 Control de la legalidad y minimización de datos
(a) El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos.

(b) El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.

(c) El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16 – Incumplimiento de las cláusulas y resolución del contrato

(a) El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.

(b) En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f).

(c) El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:

i. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;

ii. el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o

iii. el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.
En este supuesto, informará a la autoridad de control competente de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.

(d) Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos. El importador de datos acreditará la destrucción de la información al exportador de datos. Hasta que se destruya o devuelva la información, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará la información en la medida y durante el tiempo que exija el Derecho del país.

(e) Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: a) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o b) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17 – Derecho aplicable

El presente pliego de cláusulas se regirá por el Derecho del Estado miembro de la Unión Europea en que esté establecido el exportador de datos. Cuando dicho Derecho no admita la existencia de derechos de los terceros beneficiarios, se regirá por el Derecho de otro Estado miembro de la Unión Europea que sí la admita. Las partes acuerdan que sea el Derecho de los Países Bajos.

Cláusula 18 – Elección del foro y jurisdicción

(a) Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.

(b) Las partes acuerdan que sean los órganos jurisdiccionales de los Países Bajos.

(c) Los interesados también podrán ejercer acciones judiciales contra el exportador de datos o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual.

(d) Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.

 

ANEXO C

LISTA DE PARTES

Exportador de datos:

Nombre: Cliente

Dirección: Según lo especificado en el contrato

Nombre, cargo y datos de contacto de la persona de contacto: Según lo especificado en la página 10

Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: Según lo especificado en el Anexo D.

Función (responsable/encargado): Responsable

Importador de datos:

Nombre: CrowdStrike Inc.

Dirección: 150 Mathilda Place, 3rd Floor, Sunnyvale, CA 94086, EE. UU.

Nombre, cargo y datos de contacto de la persona de contacto: Vicepresidente de Privacidad, privacy@crowdstrike.com

Actividades relacionadas con los datos transferidos en virtud del presente pliego de cláusulas: Según lo especificado en el Anexo A del presente DPA y el Contrato.

Función: Encargado

 

ANEXO D

DESCRIPCIÓN DE LA TRANSFERENCIA DE LOS DATOS PERSONALES DEL CLIENTE

Categorías de Interesados cuyos Datos personales se transfieren
Como se describe en el Anexo A del presente DPA en «Categorías de Interesados cuyos datos personales se tratan».

Categorías de Datos personales transferidos
Como se describe en el Anexo A del presente DPA en «Categorías de datos personales que se tratan».

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de modo puntual o de forma periódica).

En función de la naturaleza y alcance de las ofertas:

-En cuanto a la Plataforma Falcon y los usos de la nube de la Unión Europea (“UE”) de CrowdStrike, las transferencias pueden realizarse de modo puntual, por ejemplo, a fines de soporte técnico, ingeniería y supervisión.

-En cuanto a la Plataforma Falcon y los usos de la nube de Estados Unidos (“EE. UU.”) de CrowdStrike, las transferencias pueden realizarse de forma continua al cargar y alojar Datos personales del Cliente.

-En cuanto a Humio y los usos de la nube de la UE de CrowdStrike Humio, las transferencias pueden realizarse de modo puntual, por ejemplo, a fines de soporte técnico e ingeniería.

-En cuanto a Humio y los usos de la nube de EE. UU. de CrowdStrike Humio, las transferencias pueden ocurrir de manera continua mediante la carga y el alojamiento de Datos personales del Cliente.

Naturaleza del Tratamiento
Según la naturaleza y el alcance de las ofertas, la recopilación, el almacenamiento, el uso, la difusión (hacia los Subencargados de conformidad con el contrato y el presente DPA), la eliminación de los Datos personales del Cliente.

Finalidad(es) de la transferencia y posterior tratamiento de los datos
Tal y como se describe en el Anexo A del presente DPA en el «Fin para el cual se tratan los datos personales en nombre del miembro del grupo del cliente».

El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo

El contenido y duración del tratamiento de los datos personales del Cliente se establecen en el Contrato y el presente DPA.

En caso de transferencia a (Sub)encargados, especifíquese también el objeto, la naturaleza y la duración del tratamiento

Para Falcon, CrowdStrike mantiene una lista actualizada de Subencargados, incluyendo el tema, la naturaleza y la duración en línea en https://falcon.crowdstrike.com/support/documentation/34/crowdstrike-products-and-services-third-party-subprocessors-of-personal-data.

Para Humio, CrowdStrike mantiene una lista actualizada de subencargados enlínea en https://cloud.humio.com/account/subprocessors (clúster de la UE) y https://cloud.us.humio.com/account/subproccesors (clúster de EE. UU.).

 

ANEXO E

AUTORIDAD DE CONTROL COMPETENTE

Cuando CrowdStrike trate Datos personales del Cliente procedentes del Espacion Econónomico Europeo, se determinará la autoridad de control competente de conformidad con la cláusula 13 del Anexo B: Landesbeauftragte für Datenschutz und Informationsfreiheit, Nordrhein-Westfalen, Kavalleriestr. 2 – 4, 40102 Düsseldorf, Alemania.

Cuando CrowdStrike trate datos personales del Cliente procedentes del Reino Unido, la autoridad de control competente será la Oficina del Comisionado de Información del Reino Unido (“ICO”).

 

ANEXO F

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, EN ESPECIAL MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Las medidas técnicas y organizativas se establecen en el Contrato.

 

ANEXO G

LISTA DE SUBENCARGADOS DEL TRATAMIENTO

El responsable ha autorizado que se recurra a los subencargados siguientes:

Para Falcon, CrowdStrike mantiene una lista actualizada de subencargados, en línea en https://falcon.crowdstrike. com/support/documentation/34/crowdstrike-products-and-services-third-party-subprocessors-of-personal-data. Para Humio, CrowdStrike mantiene una lista actualizada de subencargados en línea en https://cloud.humio.com/account/subprocessors (clúster de la UE) y https://cloud.us.humio.com/account/subprocessors (clúster de EE. UU.).

 

ANEXO H

 

European EUROPEAN COMMISSION
DIRECTORATE-GENERAL JUSTICEDirectorate C: Fundamental rights and Union citizenship
Unit C.3: Data protection

Cláusulas contractuales tipo (Encargados del tratamiento)

A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos.

Nombre de la entidad exportadora de los datos:
Dirección:
Tel. ; fax: ; correo electrónico:
Otros datos necesarios para identificar a la entidad:

……………………………………………………………
(en lo sucesivo, el exportador de datos)

Y
Nombre de la entidad importadora de los datos: CrowdStrike, Inc.
Dirección: 150 Mathilda Place, Suite 300, Sunnyvale, CA 94086, EE. UU.,
Tel.: fax: ; correo electrónico: dpa@crowdstrike.com (para devolver el DPA y las presentes Cláusulas contractuales; y privacy@crowdstrike.com (para preguntas generales sobre privacidad)
Otros datos necesarios para identificar a la entidad:

…………………………………………………………………
(en lo sucesivo, el importador de datos)

cada una de ellas «la parte»; conjuntamente «las partes»,

ACUERDAN las siguientes cláusulas contractuales (en lo sucesivo, las «cláusulas») con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el Anexo D.

 

Cláusula 1

Definiciones

A los efectos de las presentes cláusulas:

a) «datos personales», «categorías especiales de datos», «tratamiento», «responsable del tratamiento», «encargado del tratamiento», «interesado» y «autoridad de control» tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;

b) por «exportador de datos» se entenderá el responsable del tratamiento que transfiera los datos personales;

c) por «importador de datos» se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;

d) por «subencargado del tratamiento» se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito;

e) por «legislación de protección de datos aplicable» se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;

f) por «medidas de seguridad técnicas y organizativas» se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.

 

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el Anexo D, que forma parte integrante de las presentes cláusulas.

 

Cláusula 3

Cláusula de tercero beneficiario

1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.

2. Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.

3. Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Tal responsabilidad de terceros del subencargado se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.

4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.

 

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos acuerda y garantiza lo siguiente:

a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;

b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;

c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el Anexo F del presente contrato;

d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;

e) asegurará que dichas medidas se lleven a la práctica;

f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;

g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;

h) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del Anexo F, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

i) que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas;

j) y que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.

 

Cláusula 5

Obligaciones del importador de datos

El importador de datos acuerda y garantiza lo siguiente:

a) tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;

b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;

c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el Anexo F antes de efectuar el tratamiento de los datos personales transferidos;

d) notificará sin demora al exportador de datos sobre:

i) toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación llevada a cabo por una de dichas autoridades,

ii) todo acceso accidental o no autorizado,

iii) toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;

e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;

g) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del Anexo F que se sustituirá por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos;

h) que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;

i) que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;

j) enviará sin demora al exportador de datos una copia de cualquier contrato con el subencargado del tratamiento que concluya con arreglo a las cláusulas.

 

Cláusula 6

Responsabilidad

1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.

2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad.

El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.

3. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 y 2 por incumplimiento por parte del subencargado del tratamiento de las obligaciones a las que hace referencia la cláusula 3 o la cláusula 11, porque tanto el exportador de datos como el importador de datos hayan desaparecido de facto, cesado de existir jurídicamente o sean insolvente, el subencargado acepta que el interesado pueda presentar una demanda al subencargado con respecto a sus propias operaciones de tratamiento en virtud de las cláusulas como si fuera el exportador de datos o importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador o importador de datos por contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.

 

Cláusula 7

Mediación y jurisdicción
1. El importador de datos acuerda que, si el interesado invoca en su contra derechos de tercero beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:

a) someter el conflicto a mediación por parte de una persona física independiente o, si procede, por parte de la autoridad de control;

b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.

2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.

 

Cláusula 8

Cooperación con las autoridades de control

1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.

2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.

3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con arreglo al apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.

 

Cláusula 9

Legislación aplicable

Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber, el Reino Unido.

 

Cláusula 10

Variación del contrato

Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.

 

Cláusula 11

Subtratamiento de datos

1. El importador de datos no subcontratará ninguna de sus operaciones de tratamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un contrato escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas. En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho contrato escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho contrato.

2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá, asimismo, una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Tal responsabilidad de terceros del subencargado se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.

3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de tratamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber, el Reino Unido.

4. El exportador de datos conservará la lista de los contratos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.

 

Cláusula 12

Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales

1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a dirección del exportador, o bien devolver todos los datos personales transferidas y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará la confidencialidad de los datos personales transferidos y que no volverá a someterlos a tratamiento.

2. El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el párrafo 1.