SQUIRE Technologies, Inc. Acuerdo de Procesamiento de Datos (Cliente Empresarial x Squire Technologies, Inc.)

Este Acuerdo de Procesamiento de Datos (Cliente Empresarial x Squire Technologies, Inc.) ("DPA") se incorpora y está sujeto a los Términos de Servicio Empresariales y la Política de Privacidad (colectivamente, el "Acuerdo") entre Squire Technologies, Inc. ("Squire," "nosotros" o "nos") y el Cliente Empresarial que es parte del Acuerdo ("tú").

Todos los términos en mayúsculas que no estén definidos en este DPA tendrán los significados establecidos en el Acuerdo. Para evitar dudas, todas las referencias al "Acuerdo" incluirán este DPA (incluyendo los SCCs (donde sea aplicable), según se define aquí).

I. Definiciones

• "Acuerdo" significa los Términos Empresariales de Squire, la Política de Privacidad, cualquier Formulario de Pedido y cualquier otro acuerdo escrito o electrónico entre tú y Squire, según dichos términos o acuerdo puedan ser actualizados de vez en cuando.
• "Datos Cubiertos" significa toda la información confidencial bajo el Acuerdo y cualquier Información Personal que Squire procese en nombre del Cliente Empresarial como resultado del uso de la Plataforma Squire y los Servicios Squire por parte del Cliente Empresarial, según se describe más particularmente en este DPA.
• "Leyes de Protección de Datos" significa todas las leyes y regulaciones de protección de datos aplicables al procesamiento de Datos Cubiertos por una parte bajo el Acuerdo, incluyendo, cuando sea aplicable, la Ley de Protección de Datos Europea y la CCPA.
• "Sujeto de Datos" significa la persona a la que se refiere la Información Personal.
• "Ley de Privacidad del Consumidor de California de 2018" o "CCPA" significa el Proyecto de Ley de la Asamblea 375 de la Cámara de Representantes de California, una ley para añadir el Título 1.81.5 (que comienza con la Sección 1798.100) a la Parte 4 de la División 3 del Código Civil, relacionada con la privacidad y aprobada por el Gobernador de California el 28 de junio de 2018, según enmendada;
• "Ley de Protección de Datos Europea" significa todas las leyes y regulaciones de protección de datos aplicables a Europa, incluyendo (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al tratamiento de la Información Personal y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos) ("GDPR"); (ii) la Directiva 2002/58/CE relativa al tratamiento de la Información Personal y a la protección de la privacidad en el sector de las comunicaciones electrónicas; (iii) las implementaciones nacionales aplicables de (i) y (ii); y (iii) en relación con el Reino Unido ("UK") cualquier legislación nacional aplicable que reemplace o convierta en derecho interno el GDPR o cualquier otra ley relacionada con datos y privacidad como consecuencia de la salida del Reino Unido de la Unión Europea).
• "Europa" significa, a los efectos de este DPA, la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y el Reino Unido.
• "Información Personal" significa cualquier información relacionada con un individuo identificado o identificable, incluyendo pero no limitado al nombre y apellido de una persona, dirección física o de otro tipo, número de teléfono, número de fax, dirección de correo electrónico u otro identificador en línea, fotografías, identificador emitido por terceros, datos biométricos, información de salud, información de tarjeta de crédito u otra información financiera, dirección IP e información de cookies, y cualquier otro número o identificador específico del dispositivo y está protegido de manera similar a "datos personales", "información personal" o "información personalmente identificable" bajo las leyes de protección de datos aplicables.
• "SCCs" significa: (a) con respecto al procesamiento de Información Personal de individuos en Europa, la versión de las cláusulas contractuales estándar aprobada por la Comisión de la Unión Europea en la Decisión de la Comisión 2021/914/EU del 4 de junio de 2021, (en la forma establecida en el Anexo A, adjunto a este documento, y que se puede encontrar en el sitio web de la Unión Europea en https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN) ("los "EU SCCs"); o (b) con respecto al procesamiento de Información Personal de individuos en el Reino Unido, los EU SCCs modificados por la versión aprobada por la Oficina del Comisionado de Información del Reino Unido del Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar de la Comisión de la UE, Versión B1.0, en vigor el 21 de marzo de 2022 (en la forma establecida en el Anexo B, adjunto a este documento, y que se puede encontrar en el sitio web de la Oficina del Comisionado de Información del Reino Unido en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (los "UK SCCs").
• "Incidente de Seguridad" significa cualquier violación de seguridad no autorizada o ilegal que conduce a la destrucción, pérdida o alteración accidental o ilegal, o divulgación o acceso no autorizado a, Datos Cubiertos en sistemas gestionados o controlados de otro modo por Squire.
• "Subprocesador" significa cualquier procesador contratado por Squire para ayudar a cumplir con sus obligaciones con respecto a la provisión de la Plataforma Squire de acuerdo con el Acuerdo o este DPA. Los subprocesadores excluirán a los empleados, contratistas o consultores de Squire.

II. Roles.

Si (a) la Ley de Protección de Datos Europea se aplica al procesamiento de Información Personal de cualquiera de las partes, las partes reconocen y acuerdan que con respecto al procesamiento de Datos Cubiertos, el Cliente Empresarial es el "controlador" y Squire es un "procesador" actuando en nombre del Cliente Empresarial, o (b) si la CCPA se aplica al procesamiento de Información Personal de cualquiera de las partes, las partes reconocen y acuerdan que con respecto al procesamiento de Datos Cubiertos, el Cliente Empresarial es la "empresa" y Squire es el "proveedor de servicios" actuando en nombre del Cliente Empresarial, como se describe más detalladamente en el Anexo I ("Detalles del Procesamiento de Datos") de este DPA. Para evitar dudas, este DPA no se aplicará a los casos en que Squire sea el controlador/negocio (según se define en las leyes de protección de datos aplicables) a menos que se describa lo contrario en este documento.

III. Obligaciones del Cliente Empresarial.

• Cumplimiento de Todas las Leyes Aplicables. El Cliente Empresarial declara, garantiza y se compromete ante Squire que con respecto al procesamiento de Datos Cubiertos y cualquier instrucción de procesamiento que emita a Squire, el Cliente Empresarial ha cumplido y continuará cumpliendo con todas las leyes aplicables, incluidas las Leyes de Protección de Datos.
• Notificación y Consentimientos. Sin perjuicio de la generalidad de lo anterior, el Cliente Empresarial declara, garantiza y se compromete ante Squire que el Cliente Empresarial ha proporcionado, y continuará proporcionando, toda la notificación requerida y ha obtenido, y continuará obteniendo, todos los consentimientos y derechos necesarios bajo la Ley de Protección de Datos aplicable para que Squire procese Datos Cubiertos para los fines descritos en este Acuerdo.
• Integridad de los Datos. Sin perjuicio de la generalidad de lo anterior, el Cliente Empresarial tendrá la única responsabilidad de (i) la precisión, calidad y legalidad de los Datos Cubiertos y los medios por los cuales el Cliente Empresarial adquirió los Datos Cubiertos; (ii) asegurar que el Cliente Empresarial tiene el derecho de transferir, o proporcionar acceso a, los Datos Cubiertos a Squire para su procesamiento de acuerdo con los términos de este Acuerdo (incluido este DPA).
• Mensajes. Sin perjuicio de la generalidad de lo anterior, el Cliente Empresarial acepta que será responsable de cumplir con todas las leyes (incluidas las Leyes de Protección de Datos) aplicables a las comunicaciones enviadas utilizando los Servicios de Squire o gestionadas a través de la Plataforma Squire, incluidas aquellas relacionadas con la obtención de consentimiento (cuando sea necesario) para enviar correos electrónicos o mensajes SMS con fines de marketing directo y el contenido de los mensajes.
• Legalidad de las Instrucciones del Cliente Empresarial. Sin perjuicio de la generalidad de lo anterior, el Cliente Empresarial se asegurará de que el procesamiento de los Datos Cubiertos por parte de Squire de acuerdo con las instrucciones del Cliente Empresarial no cause que Squire viole ninguna ley, regulación o norma aplicable, incluidas, sin limitación, las Leyes de Protección de Datos.

IV. Obligaciones de Squire

• Cumplimiento de las Instrucciones del Cliente Empresarial. Squire solo procesará los Datos Cubiertos de acuerdo con las instrucciones legales documentadas del Cliente Empresarial según lo establecido en este DPA, excepto donde y en la medida en que se requiera lo contrario por la ley aplicable, o según lo acordado por escrito ("Fines Permitidos"). Squire no alquilará, venderá, distribuirá ni compartirá de otro modo los Datos Cubiertos fuera del alcance de proporcionar los Servicios de Squire y acceso a la Plataforma Squire.
• Conflicto Entre la Ley Aplicable y las Instrucciones del Cliente Empresarial. Si Squire se entera de que el procesamiento de Datos Cubiertos de acuerdo con las instrucciones del Cliente Empresarial está prohibido debido a un requisito legal o cualquier ley aplicable, incluidas las Leyes de Protección de Datos, Squire notificará de inmediato al Cliente Empresarial sobre dicho requisito legal o ley en la medida permitida por la ley aplicable y, cuando sea necesario, cesará todo procesamiento (excepto el almacenamiento y mantenimiento de la seguridad de dichos Datos Cubiertos, de acuerdo con la ley aplicable) hasta que el Cliente Empresarial emita nuevas instrucciones con las que Squire pueda cumplir.
• Confidencialidad. Squire se asegurará de que cualquier empleado, contratista o agente de Squire autorizado para procesar Datos Cubiertos esté sujeto a obligaciones de confidencialidad adecuadas. Squire no divulgará los Datos Cubiertos a terceros a menos que dicha divulgación sea necesaria para realizar los Servicios de Squire o proporcionar acceso a la Plataforma de Squire.

V. Subprocesadores

• Lista de Subprocesadores; Derecho a Oponerse. El Cliente Empresarial acepta que Squire puede contratar Subprocesadores para procesar Datos Cubiertos en nombre del Cliente Empresarial. Las terceras partes y las Afiliadas de Squire actualmente contratadas como Subprocesadores y autorizadas por el Cliente Empresarial para procesar Datos Cubiertos se enumeran en el Anexo III("Lista de Subprocesadores") adjunto a este documento. Squire notificará al Cliente Empresarial si agrega o elimina Subprocesadores al menos 10 días antes de cualquier cambio. El Cliente Empresarial deberá notificar a Squire en caso de que se oponga a un Subprocesador, en cuyo caso podrá terminar su uso de los Servicios de Squire y la Cuenta de la Plataforma de Squire de acuerdo con los términos del Acuerdo.
• Subprocesadores Sujetos a Términos de Protección de Datos. Cuando Squire contrate Subprocesadores, Squire y el Subprocesador tendrán términos de protección de datos que proporcionen al menos el mismo nivel de protección para los Datos Cubiertos que los de este DPA (incluyendo, cuando sea apropiado, los SCCs), en la medida en que sea aplicable a la naturaleza de los servicios proporcionados por dichos Subprocesadores.

VI. Seguridad

• Medidas de Seguridad. Squire implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas que estén diseñadas para proteger los Datos Cubiertos de Incidentes de Seguridad y diseñadas para preservar la seguridad y confidencialidad de los Datos Cubiertos de acuerdo con los estándares de seguridad de Squire descritos en el Anexo II("Medidas de Seguridad").
• Actualizaciones a las Medidas de Seguridad. El Cliente Empresarial es responsable de revisar la información proporcionada por Squire relacionada con la seguridad de los datos y de hacer una determinación independiente sobre si la Plataforma de Squire cumple con los requisitos y obligaciones legales del Cliente Empresarial bajo las Leyes de Protección de Datos. El Cliente Empresarial reconoce que las Medidas de Seguridad están sujetas a avances y desarrollos técnicos y que Squire puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de la Plataforma de Squire proporcionada a Squire.
• Respuesta a Incidentes de Seguridad. Al tomar conocimiento de un Incidente de Seguridad, Squire deberá: (i) notificar al Cliente Empresarial sin demora indebida, y cuando sea factible, en cualquier caso no más tarde de 48 horas desde que tenga conocimiento del Incidente de Seguridad; (ii) proporcionar información oportuna relacionada con el Incidente de Seguridad a medida que se conozca o según lo solicite razonablemente el Cliente Empresarial; y (iii) tomar de inmediato medidas razonables para contener e investigar cualquier Incidente de Seguridad. La notificación o respuesta de Squire a un Incidente de Seguridad bajo esta Sección IV(C) no se interpretará como un reconocimiento por parte de Squire de ninguna falta o responsabilidad con respecto al Incidente de Seguridad.
• Credenciales Seguras. No obstante cualquier cosa en contrario mencionada anteriormente, el Cliente Empresarial acepta que, excepto lo dispuesto en este DPA, el Cliente Empresarial es responsable de su uso seguro de los Servicios de Squire y la Plataforma de Squire, incluyendo la seguridad de sus credenciales de autenticación de cuenta, protegiendo la seguridad de los Datos Cubiertos cuando están en tránsito hacia y desde la Plataforma de Squire, y tomando las medidas apropiadas para cifrar o respaldar de manera segura cualquier Dato Cubierto cargado en la Plataforma de Squire.

VII. Informes de Seguridad y Auditorías

• Derechos de auditoría. Squire pondrá a disposición del Cliente Empresarial toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA y permitirá y contribuirá a auditorías, incluidas inspecciones por parte del Cliente Empresarial para evaluar el cumplimiento de este DPA; sin embargo, Squire no está obligada a proporcionar ningún material que le cause violar sus políticas y estándares de seguridad de datos preexistentes y por escrito (incluidas sus Medidas de Seguridad). El Cliente Empresarial reconoce y acepta que ejercerá sus derechos de auditoría bajo este DPA (incluida esta Sección VII(A) y, cuando sea aplicable, los SCCs) y cualquier derecho de auditoría otorgado por las Leyes de Protección de Datos, instruyendo a Squire a cumplir con las medidas de auditoría descritas en la Sección VII(B).
• Solicitudes de Información. Squire responderá a todas las solicitudes razonables de información realizadas por el Cliente Empresarial para confirmar el cumplimiento de Squire con este DPA, incluidas las respuestas a cuestionarios de seguridad de la información, diligencia debida y auditoría, poniendo a disposición información adicional sobre su programa de seguridad de la información a solicitud por escrito del Cliente Empresarial a privacy@getsquire.com siempre que el Cliente Empresarial no ejerza este derecho más de una vez por año calendario.

VIII. Transferencias Internacionales

• Ubicaciones de los Centros de Datos. El Cliente Empresarial reconoce que Squire puede transferir y procesar Datos Cubiertos a y en los Estados Unidos y en cualquier otro lugar del mundo donde Squire, sus Afiliados o sus Subprocesadores mantengan operaciones de procesamiento de datos. Squire asegurará en todo momento que dichas transferencias se realicen en cumplimiento con los requisitos de las Leyes de Protección de Datos y este DPA.
• Transferencias de Datos Europeos. En la medida en que Squire sea un receptor de Datos Cubiertos protegidos por las Leyes de Protección de Datos Europeas ("Datos Europeos") en un país fuera de Europa que no se reconozca como que proporciona un nivel adecuado de protección para la Información Personal (como se describe en la Ley de Protección de Datos Europeas aplicable), los SCCs se incorporarán por referencia en este Acuerdo. El Apéndice de este Acuerdo establece los roles de las partes y la información requerida por los Anexos de los SCCs. Nada en este Apéndice se interpretará como prevaleciente sobre cualquier cláusula en conflicto de los SCCs. Cada parte reconoce que ha tenido la oportunidad de revisar los SCCs.

IX. Derechos de los Sujetos de Datos y Cooperación

• Solicitudes de Sujetos de Datos. Como parte de los Servicios de Squire y la Plataforma Squire, Squire proporciona al Cliente Empresarial una serie de funciones de autoservicio que el Cliente Empresarial puede utilizar para recuperar, corregir, eliminar o restringir el uso de Datos Cubiertos, que el Cliente Empresarial puede utilizar para ayudarle en relación con sus obligaciones bajo las Leyes de Protección de Datos con respecto a responder a solicitudes de Sujetos de Datos a través de la cuenta del Cliente Empresarial sin costo adicional. Además, Squire proporcionará, teniendo en cuenta la naturaleza del procesamiento, asistencia adicional razonable al Cliente Empresarial en la medida de lo posible para permitir que el Cliente Empresarial cumpla con sus obligaciones de protección de datos con respecto a los derechos de los Sujetos de Datos bajo las Leyes de Protección de Datos aplicables. En caso de que se realice alguna solicitud de este tipo a Squire directamente, Squire no responderá a dicha comunicación directamente, excepto cuando sea apropiado (por ejemplo, para dirigir al Sujeto de Datos a contactar al Cliente Empresarial) o legalmente requerido, sin la autorización previa del Cliente Empresarial. Si Squire está obligada a responder a tal solicitud, Squire notificará de inmediato al Cliente Empresarial y le proporcionará una copia de la solicitud a menos que Squire esté legalmente prohibida de hacerlo. Para evitar dudas, nada en el Acuerdo (incluido este DPA) restringirá o impedirá a Squire responder a cualquier solicitud de Sujetos de Datos o autoridades de protección de datos en relación con Información Personal para la cual Squire es un controlador.
• Evaluación de Impacto en la Protección de Datos. En la medida en que sea requerido bajo las Leyes de Protección de Datos aplicables, Squire proporcionará (teniendo en cuenta la naturaleza del procesamiento y la información disponible para Squire) toda la información razonablemente solicitada sobre los Servicios de Squire y la Plataforma Squire para permitir que el Cliente Empresarial realice evaluaciones de impacto en la protección de datos o consultas previas con autoridades de protección de datos según lo requieran las Leyes de Protección de Datos. Squire cumplirá con lo anterior mediante: (i) cumpliendo con la Sección VII (Informes de Seguridad y Auditorías); (ii) proporcionando la información contenida en el Acuerdo, incluido este DPA; y (iii) si las subsecciones anteriores (i) y (ii) son insuficientes para que el Cliente Empresarial cumpla con tales obligaciones, a solicitud, proporcionando asistencia adicional razonable (a expensas del Cliente Empresarial).

X. Limitación de Responsabilidad

• La responsabilidad de cada parte y de todos sus Afiliados tomada en conjunto en el agregado que surja o esté relacionada con este DPA (incluidos los SCCs) estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.
• Cualquier reclamación presentada contra Squire bajo o en relación con este DPA (incluyendo, cuando sea aplicable, los SCCs) deberá ser presentada únicamente por la entidad del Cliente Empresarial que sea parte del Acuerdo.
• En ningún caso ninguna de las partes limitará su responsabilidad con respecto a los derechos de protección de datos de cualquier Sujeto de Datos bajo este DPA o de otro modo.

XI. Relación con el Acuerdo

• Este DPA permanecerá en vigor mientras Squire realice operaciones de procesamiento de Datos Cubiertos en nombre del Cliente Empresarial o hasta la terminación del Acuerdo (y todos los Datos Cubiertos hayan sido devueltos o eliminados de acuerdo con este DPA).
• Las partes acuerdan que este DPA reemplazará cualquier acuerdo de procesamiento de datos existente o documento similar que las partes puedan haber celebrado previamente en relación con los Servicios de Squire y la Plataforma Squire.
• En caso de cualquier conflicto o inconsistencia entre este DPA y los Términos Empresariales, prevalecerán las disposiciones de los siguientes documentos (en orden de prelación): (i) SCCs; luego (ii) este DPA; y luego (iii) los Términos Empresariales.
• Excepto por cualquier cambio realizado por este DPA, el Acuerdo permanece sin cambios y en pleno vigor y efecto.
• Nadie que no sea una parte de este DPA, sus sucesores y cesionarios permitidos tendrá derecho a hacer cumplir cualquiera de sus términos.
• Este DPA se regirá e interpretará de acuerdo con las disposiciones de ley y jurisdicción en el Acuerdo, a menos que se requiera lo contrario por las Leyes de Protección de Datos aplicables.

Anexo A - SCCs de la UECLÁUSULAS CONTRACTUALES ESTÁNDAR(Módulo Dos: Transferencia de Controlador a Procesador)SECCIÓN ICláusula 1

Propósito y Alcance

• El propósito de estas cláusulas contractuales estándar es asegurar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos) para la transferencia de datos personales a un tercer país.
• Las Partes: (i) la(s) persona(s) natural(es) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en adelante 'entidad(es)') que transfieren los datos personales, como se detalla en el Anexo I.A (en adelante cada 'exportador de datos'), y (ii) la(s) entidad(es) en un tercer país que recibe(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte de estas Cláusulas, como se detalla en el Anexo I.A (en adelante cada 'importador de datos') han acordado estas cláusulas contractuales estándar (en adelante: 'Cláusulas').
• Estas Cláusulas se aplican con respecto a la transferencia de datos personales según lo especificado en el Anexo I.B.
• El Apéndice de estas Cláusulas que contiene los Anexos mencionados en ellas forma parte integral de estas Cláusulas.

Cláusula 2‍

Efecto e invariabilidad de las Cláusulas

• Estas Cláusulas establecen salvaguardias adecuadas, incluidos derechos de los interesados exigibles y recursos legales efectivos, de conformidad con el Artículo 46(1) y el Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de los responsables a los encargados y/o de los encargados a los encargados, cláusulas contractuales estándar de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el(los) Módulo(s) apropiado(s) o para agregar o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales estándar establecidas en estas Cláusulas en un contrato más amplio y/o agreguen otras cláusulas o salvaguardias adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas o perjudiquen los derechos o libertades fundamentales de los interesados.
• Estas Cláusulas son sin perjuicio de las obligaciones a las que el exportador de datos está sujeto en virtud del Reglamento (UE) 2016/679.

Cláusula 3‍

Beneficiarios de terceros

• Los interesados pueden invocar y hacer cumplir estas Cláusulas, como beneficiarios de terceros, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:
• ‍i. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;ii. Cláusula 8 - Cláusula 8.1(b), 8.9(a), (c), (d) y (e);iii. Cláusula 9 - Cláusula 9(a), (c), (d) y (e);iv. Cláusula 12 - Cláusula 12(a), (d) y (f);v. Cláusula 13; Cláusula 15.1(c), (d) y (e);vi. Cláusula 16(e);vii. Cláusula 18 - Cláusula 18(a) y (b).
• El párrafo (a) es sin perjuicio de los derechos de los interesados bajo el Reglamento (UE) 2016/679.

Cláusula 4‍

Interpretación

• Cuando estas Cláusulas utilicen términos que están definidos en el Reglamento (UE) 2016/679, esos términos tendrán el mismo significado que en ese Reglamento.
• Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
• Estas Cláusulas no se interpretarán de manera que contradiga los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5

‍Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de acuerdos relacionados entre las Partes, existentes en el momento en que se acuerdan o se celebran estas Cláusulas, prevalecerán estas Cláusulas.

Cláusula 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y el/los propósito(s) para el/los que se transfieren, se especifican en el Anexo I.B.

Cláusula 7 - Opcional

Cláusula de acoplamiento

• Una entidad que no sea Parte de estas Cláusulas puede, con el acuerdo de las Partes, adherirse a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.
• Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad que se adhiere se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador de datos o importador de datos de acuerdo con su designación en el Anexo I.A.
• La entidad que se adhiere no tendrá derechos ni obligaciones que surjan bajo estas Cláusulas desde el período anterior a convertirse en Parte.

SECCIÓN II - OBLIGACIONES DE LAS PARTESCláusula 8

Salvaguardias de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, a través de la implementación de medidas técnicas y organizativas apropiadas, de cumplir con sus obligaciones bajo estas Cláusulas.

8.1 Instrucciones

• El importador de datos procesará los datos personales solo según las instrucciones documentadas del exportador de datos. El exportador de datos puede dar tales instrucciones durante la duración del contrato.
• El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.

8.2 Limitación de propósito

El importador de datos solo procesará los datos personales para el/los propósito(s) específico(s) de la transferencia, según se establece en el Anexo I.B, a menos que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

A solicitud, el exportador de datos pondrá a disposición del interesado una copia de estas Cláusulas, incluyendo el Apéndice completado por las Partes, de forma gratuita. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluyendo las medidas descritas en el Anexo II y datos personales, el exportador de datos podrá redactar parte del texto del Apéndice a estas Cláusulas antes de compartir una copia, pero deberá proporcionar un resumen significativo donde el interesado de otro modo no podría entender su contenido o ejercer sus derechos. A solicitud, las Partes deberán proporcionar al interesado las razones de las redacciones, en la medida de lo posible sin revelar la información redactada. Esta Cláusula no afecta a las obligaciones del exportador de datos bajo los Artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Exactitud

Si el importador de datos se da cuenta de que los datos personales que ha recibido son inexactos o se han vuelto obsoletos, deberá informar al exportador de datos sin demora indebida. En este caso, el importador de datos deberá cooperar con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del procesamiento y borrado o devolución de datos

El procesamiento por parte del importador de datos solo tendrá lugar durante la duración especificada en el Anexo I.B. Después del final de la prestación de los servicios de procesamiento, el importador de datos deberá, a elección del exportador de datos, eliminar todos los datos personales procesados en nombre del exportador de datos y certificar al exportador de datos que lo ha hecho, o devolver al exportador de datos todos los datos personales procesados en su nombre y eliminar copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos deberá continuar asegurando el cumplimiento de estas Cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo los procesará en la medida y durante el tiempo requerido bajo esa ley local. Esto no afecta a la Cláusula 14, en particular el requisito para el importador de datos bajo la Cláusula 14(e) de notificar al exportador de datos durante la duración del contrato si tiene razones para creer que está o se ha vuelto sujeto a leyes o prácticas que no están en línea con los requisitos bajo la Cláusula 14(a).

8.6 Seguridad del procesamiento

• El importador de datos y, durante la transmisión, también el exportador de datos deberán implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluyendo protección contra una violación de seguridad que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso a esos datos (en adelante 'violación de datos personales'). Al evaluar el nivel apropiado de seguridad, las Partes deberán tener en cuenta el estado de la técnica, los costos de implementación, la naturaleza, alcance, contexto y propósito(s) del procesamiento y los riesgos involucrados en el procesamiento para los interesados. Las Partes deberán considerar en particular recurrir a la encriptación o seudonimización, incluyendo durante la transmisión, donde el propósito del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico deberá, cuando sea posible, permanecer bajo el control exclusivo del exportador de datos. Al cumplir con sus obligaciones bajo este párrafo, el importador de datos deberá al menos implementar las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos deberá realizar controles regulares para asegurar que estas medidas continúan proporcionando un nivel apropiado de seguridad.
• El importador de datos deberá otorgar acceso a los datos personales a miembros de su personal solo en la medida estrictamente necesaria para la implementación, gestión y monitoreo del contrato. Deberá asegurarse de que las personas autorizadas para procesar los datos personales se hayan comprometido a la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada.
• En caso de una violación de datos personales relacionada con datos personales procesados por el importador de datos bajo estas Cláusulas, el importador de datos deberá tomar medidas apropiadas para abordar la violación, incluyendo medidas para mitigar sus efectos adversos. El importador de datos también deberá notificar al exportador de datos sin demora indebida después de haber tomado conocimiento de la violación. Dicha notificación deberá contener los detalles de un punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, categorías y número aproximado de interesados y registros de datos personales afectados), sus posibles consecuencias y las medidas tomadas o propuestas para abordar la violación, incluyendo, cuando sea apropiado, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial deberá contener la información disponible en ese momento y la información adicional deberá, a medida que esté disponible, ser proporcionada posteriormente sin demora indebida.
• El importador de datos deberá cooperar y asistir al exportador de datos para permitir que el exportador de datos cumpla con sus obligaciones bajo el Reglamento (UE) 2016/679, en particular para notificar a la autoridad de supervisión competente y a los interesados afectados, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el importador de datos.

8.7 Datos sensibles

Cuando la transferencia implique datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación a sindicatos, datos genéticos, o datos biométricos con el propósito de identificar de manera única a una persona natural, datos relacionados con la salud o la vida sexual de una persona o su orientación sexual, o datos relacionados con condenas y delitos penales (en adelante 'datos sensibles'), el importador de datos deberá aplicar las restricciones específicas y/o salvaguardias adicionales descritas en el Anexo I.B.

8.8 Transferencias posteriores

El importador de datos solo deberá divulgar los datos personales a un tercero bajo instrucciones documentadas del exportador de datos. Además, los datos solo podrán ser divulgados a un tercero ubicado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en adelante 'transferencia posterior') si el tercero está o acepta estar sujeto a estas Cláusulas, bajo el Módulo apropiado, o si:

• la transferencia posterior es a un país que se beneficia de una decisión de adecuación conforme al Artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia posterior;
• el tercero de otro modo garantiza salvaguardias apropiadas conforme a los Artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al procesamiento en cuestión;
• la transferencia posterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, regulatorios o judiciales específicos; o
• la transferencia posterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias bajo estas Cláusulas, en particular la limitación de propósito.

8.9 Documentación y cumplimiento

• El importador de datos deberá atender de manera rápida y adecuada las consultas del exportador de datos que se relacionen con el procesamiento bajo estas Cláusulas.
• Las Partes deberán poder demostrar el cumplimiento con estas Cláusulas. En particular, el importador de datos deberá mantener documentación apropiada sobre las actividades de procesamiento realizadas en nombre del exportador de datos.
• El importador de datos deberá poner a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento con las obligaciones establecidas en estas Cláusulas y, a solicitud del exportador de datos, permitir y contribuir a auditorías de las actividades de procesamiento cubiertas por estas Cláusulas, en intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones relevantes que posea el importador de datos.
• El exportador de datos puede optar por realizar la auditoría por sí mismo o encargar a un auditor independiente. Las auditorías pueden incluir inspecciones en las instalaciones o locales físicos del importador de datos y deberán, cuando sea apropiado, llevarse a cabo con un aviso razonable.
• Las Partes deberán poner la información a la que se hace referencia en los párrafos (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad de supervisión competente a solicitud.

Cláusula 9

Uso de subprocesadores

• El importador de datos tiene la autorización general del exportador de datos para la contratación de subprocesador(es) de una lista acordada. El importador de datos deberá informar específicamente al exportador de datos por escrito sobre cualquier cambio previsto en esa lista a través de la adición o reemplazo de subprocesadores con al menos 30 días hábiles de anticipación, dando así al exportador de datos tiempo suficiente para poder objetar dichos cambios antes de la contratación de los subprocesadores. El importador de datos deberá proporcionar al exportador de datos la información necesaria para permitir que el exportador de datos ejerza su derecho a objetar.
• Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que prevea, en sustancia, las mismas obligaciones de protección de datos que vinculan al importador de datos bajo estas Cláusulas, incluidos los derechos de beneficiario de terceros para los interesados. Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones bajo la Cláusula 8.8. El importador de datos deberá asegurarse de que el subprocesador cumpla con las obligaciones a las que el importador de datos está sujeto en virtud de estas Cláusulas.
• El importador de datos deberá proporcionar, a solicitud del exportador de datos, una copia de dicho acuerdo de subprocesador y cualquier enmienda posterior al exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
• El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador bajo su contrato con el importador de datos. El importador de datos deberá notificar al exportador de datos cualquier incumplimiento por parte del subprocesador de sus obligaciones bajo ese contrato.
• El importador de datos deberá acordar una cláusula de beneficiario de terceros con el subprocesador mediante la cual - en el caso de que el importador de datos haya desaparecido de hecho, dejado de existir legalmente o se haya vuelto insolvente - el exportador de datos tendrá el derecho de rescindir el contrato del subprocesador y de instruir al subprocesador para que borre o devuelva los datos personales.

Cláusula 10

Derechos del sujeto de datos

• El importador de datos notificará de inmediato al exportador de datos cualquier solicitud que haya recibido de un sujeto de datos. No responderá a esa solicitud a menos que haya sido autorizado para hacerlo por el exportador de datos.
• El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones para responder a las solicitudes de los sujetos de datos para el ejercicio de sus derechos bajo el Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del procesamiento, mediante las cuales se proporcionará la asistencia, así como el alcance y la extensión de la asistencia requerida.
• Al cumplir con sus obligaciones bajo los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del exportador de datos.

Cláusula 11

Reparación

• El importador de datos informará a los sujetos de datos en un formato transparente y fácilmente accesible, a través de un aviso individual o en su sitio web, de un punto de contacto autorizado para manejar quejas. Se ocupará de manera rápida de cualquier queja que reciba de un sujeto de datos.
• En caso de disputa entre un sujeto de datos y una de las Partes respecto al cumplimiento de estas Cláusulas, esa Parte hará todo lo posible para resolver el problema de manera amistosa y en un plazo razonable. Las Partes se mantendrán informadas mutuamente sobre tales disputas y, cuando sea apropiado, cooperarán en su resolución.
• Cuando el sujeto de datos invoque un derecho de beneficiario de terceros de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del sujeto de datos de: (i) presentar una queja ante la autoridad de supervisión en el Estado miembro de su residencia habitual o lugar de trabajo, o la autoridad de supervisión competente de conformidad con la Cláusula 13; (ii) remitir la disputa a los tribunales competentes en el sentido de la Cláusula 18.
• Las Partes aceptan que el sujeto de datos puede ser representado por un organismo, organización o asociación sin fines de lucro bajo las condiciones establecidas en el Artículo 80(1) del Reglamento (UE) 2016/679.
• El importador de datos se adherirá a una decisión que sea vinculante bajo la legislación de la UE o del Estado miembro aplicable.
• El importador de datos acepta que la elección hecha por el sujeto de datos no perjudicará sus derechos sustantivos y procesales para buscar recursos de acuerdo con las leyes aplicables.

Cláusula 12

Responsabilidad

• Cada Parte será responsable ante la otra Parte/s por cualquier daño que cause a la otra Parte/s por cualquier incumplimiento de estas Cláusulas.
• El importador de datos será responsable ante el sujeto de datos, y el sujeto de datos tendrá derecho a recibir compensación por cualquier daño material o inmaterial que el importador de datos o su subprocesador cause al sujeto de datos al infringir los derechos de beneficiario de terceros bajo estas Cláusulas.
• No obstante el párrafo (b), el exportador de datos será responsable ante el sujeto de datos, y el sujeto de datos tendrá derecho a recibir compensación por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subprocesador) cause al sujeto de datos al infringir los derechos de beneficiario de terceros bajo estas Cláusulas. Esto es sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos actúe como procesador en nombre de un controlador, de la responsabilidad del controlador bajo el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.
• Las Partes acuerdan que si el exportador de datos es considerado responsable bajo el párrafo (c) por daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos esa parte de la compensación correspondiente a la responsabilidad del importador de datos por el daño.
• Cuando más de una Parte sea responsable de cualquier daño causado al sujeto de datos como resultado de una infracción de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el sujeto de datos tendrá derecho a presentar una acción en el tribunal contra cualquiera de estas Partes.
• Las Partes acuerdan que si una Parte es considerada responsable bajo el párrafo (e), tendrá derecho a reclamar a la otra Parte/s esa parte de la compensación correspondiente a su/s responsabilidad/es por el daño.
• El importador de datos no podrá invocar la conducta de un subprocesador para eludir su propia responsabilidad.

Cláusula 13

Supervisión

• La autoridad de supervisión responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, como se indica en el Anexo I.C, actuará como autoridad de supervisión competente.
• El importador de datos acepta someterse a la jurisdicción y cooperar con la autoridad de supervisión competente en cualquier procedimiento destinado a garantizar el cumplimiento de estas Cláusulas. En particular, el importador de datos acepta responder a consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad de supervisión, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad de supervisión una confirmación por escrito de que se han tomado las acciones necesarias.

SECCIÓN III - LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO POR AUTORIDADES PÚBLICASCláusula 14

Leyes y prácticas locales que afectan el cumplimiento de las Cláusulas

• Las Partes garantizan que no tienen razones para creer que las leyes y prácticas en el tercer país de destino aplicables al procesamiento de los datos personales por el importador de datos, incluidas cualquier requisito para divulgar datos personales o medidas que autoricen el acceso por parte de autoridades públicas, impiden que el importador de datos cumpla con sus obligaciones bajo estas Cláusulas. Esto se basa en la comprensión de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.
• Las Partes declaran que al proporcionar la garantía en el párrafo (a), han tenido en cuenta debidamente, en particular, los siguientes elementos:
• i. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, el número de actores involucrados y los canales de transmisión utilizados; transferencias posteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que ocurre la transferencia; la ubicación de almacenamiento de los datos transferidos;ii. las leyes y prácticas del tercer país de destino, incluidas aquellas que exigen la divulgación de datos a autoridades públicas o que autorizan el acceso por parte de tales autoridades, relevantes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables.(12);ii. (iii) cualquier salvaguarda contractual, técnica u organizativa relevante implementada para complementar las salvaguardas bajo estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y al procesamiento de los datos personales en el país de destino.
• El importador de datos garantiza que, al llevar a cabo la evaluación bajo el párrafo (b), ha hecho sus mejores esfuerzos para proporcionar al exportador de datos información relevante y acepta que continuará cooperando con el exportador de datos para asegurar el cumplimiento de estas Cláusulas.
• Las Partes acuerdan documentar la evaluación bajo el párrafo (b) y ponerla a disposición de la autoridad de supervisión competente a solicitud.
• El importador de datos acepta notificar al exportador de datos de inmediato si, después de haber aceptado estas Cláusulas y durante la duración del contrato, tiene razones para creer que está o se ha convertido en objeto de leyes o prácticas que no están en línea con los requisitos bajo el párrafo (a), incluyendo tras un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de tales leyes en la práctica que no está en línea con los requisitos en el párrafo (a).
• Tras una notificación conforme al párrafo (e), o si el exportador de datos tiene razones para creer que el importador de datos ya no puede cumplir con sus obligaciones bajo estas Cláusulas, el exportador de datos deberá identificar de inmediato medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y confidencialidad) que deben ser adoptadas por el exportador de datos y/o el importador de datos para abordar la situación. El exportador de datos deberá suspender la transferencia de datos si considera que no se pueden garantizar salvaguardas apropiadas para dicha transferencia, o si es instruido por la autoridad de supervisión competente para hacerlo. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de datos personales bajo estas Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la Parte relevante, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se rescinda conforme a esta Cláusula, se aplicarán las Cláusulas 16(d) y (e).

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de autoridades públicas

15.1 Notificación

• El importador de datos acepta notificar al exportador de datos y, cuando sea posible, al interesado de inmediato (si es necesario con la ayuda del exportador de datos) si:
• i. recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, bajo las leyes del país de destino para la divulgación de datos personales transferidos conforme a estas Cláusulas; dicha notificación deberá incluir información sobre los datos personales solicitados, la autoridad solicitante, la base legal para la solicitud y la respuesta proporcionada; oii. se entera de cualquier acceso directo por parte de autoridades públicas a datos personales transferidos conforme a estas Cláusulas de acuerdo con las leyes del país de destino; dicha notificación deberá incluir toda la información disponible para el importador.
• Si al importador de datos se le prohíbe notificar al exportador de datos y/o al interesado bajo las leyes del país de destino, el importador de datos acepta hacer sus mejores esfuerzos para obtener una exención de la prohibición, con el fin de comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlo a solicitud del exportador de datos.
• Donde sea permisible bajo las leyes del país de destino, el importador de datos acepta proporcionar al exportador de datos, a intervalos regulares durante la duración del contrato, la mayor cantidad de información relevante posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de tales impugnaciones, etc.).
• El importador de datos acepta conservar la información conforme a los párrafos (a) a (c) durante la duración del contrato y ponerla a disposición de la autoridad de supervisión competente a solicitud.
• Los párrafos (a) a (c) son sin perjuicio de la obligación del importador de datos conforme a la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos de inmediato donde no pueda cumplir con estas Cláusulas.

15.2 Revisión de legalidad y minimización de datos

• El importador de datos acepta revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y impugnar la solicitud si, tras una cuidadosa evaluación, concluye que hay motivos razonables para considerar que la solicitud es ilegal según las leyes del país de destino, las obligaciones aplicables bajo el derecho internacional y los principios de comity internacional. El importador de datos deberá, bajo las mismas condiciones, buscar posibilidades de apelación. Al impugnar una solicitud, el importador de datos deberá solicitar medidas provisionales con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente haya decidido sobre su fondo. No deberá divulgar los datos personales solicitados hasta que se le requiera hacerlo bajo las reglas procesales aplicables. Estos requisitos son sin perjuicio de las obligaciones del importador de datos bajo la Cláusula 14(e).
• El importador de datos acepta documentar su evaluación legal y cualquier impugnación a la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de supervisión competente a solicitud.
• El importador de datos acepta proporcionar la cantidad mínima de información permisible al responder a una solicitud de divulgación, basada en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALESCláusula 16

Incumplimiento de las Cláusulas y terminación

• El importador de datos deberá informar de inmediato al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.
• En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplir con estas Cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice nuevamente el cumplimiento o se termine el contrato. Esto es sin perjuicio de la Cláusula 14(f).
• El exportador de datos tendrá derecho a terminar el contrato, en la medida en que se refiera al tratamiento de datos personales bajo estas Cláusulas,
• i. el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Cláusulas no se restablece dentro de un tiempo razonable y en cualquier caso dentro de un mes desde la suspensión;ii. el importador de datos está en incumplimiento sustancial o persistente de estas Cláusulas; oiii. el importador de datos no cumple con una decisión vinculante de un tribunal competente o autoridad de supervisión respecto a sus obligaciones bajo estas Cláusulas. En estos casos, deberá informar a la autoridad de supervisión competente sobre dicho incumplimiento. Cuando el contrato involucre a más de dos Partes, el exportador de datos podrá ejercer este derecho de terminación solo con respecto a la Parte relevante, a menos que las Partes hayan acordado lo contrario.
• Los datos personales que se hayan transferido antes de la terminación del contrato de conformidad con el párrafo (c) deberán, a elección del exportador de datos, ser devueltos de inmediato al exportador de datos o eliminados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos deberá certificar la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos deberá continuar asegurando el cumplimiento de estas Cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará asegurando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo que sea requerido bajo esa ley local.
• Cualquiera de las Partes puede revocar su acuerdo a estar sujeto a estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 se convierta en parte del marco legal del país al que se transfieren los datos personales. Esto es sin perjuicio de otras obligaciones que se aplican al tratamiento en cuestión bajo el Reglamento (UE) 2016/679.

Cláusula 17

Ley aplicable

Estas Cláusulas se regirán por la ley del Estado miembro de la UE en el que esté establecido el exportador de datos. Cuando dicha ley no permita derechos de beneficiario de terceros, se regirán por la ley de otro Estado miembro de la UE que sí permita derechos de beneficiario de terceros. Las Partes acuerdan que esta será la ley de Irlanda.

Cláusula 18

Elección de foro y jurisdicción

• Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de un Estado Miembro de la UE.
• Las Partes acuerdan que esos serán los tribunales de Irlanda.
• Un sujeto de datos también puede iniciar procedimientos legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado Miembro en el que tenga su residencia habitual.
• Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

Anexo I - Detalles del Procesamiento de Datos

(Anexo I de los SCC de la UE)

A. LISTA DE PARTES

Exportador de datos:

• Nombre: Cliente Empresarial, según se define en los Términos de Servicio del Cliente Empresarial de SQUIRE (en nombre de sí mismo, sus Afiliados y sus Usuarios de Tienda)
• Dirección:dirección del Cliente Empresarial, según se establece en el Formulario de Pedido
• Nombre, cargo y datos de contacto de la persona de contacto:datos de contacto del Cliente Empresarial, según se establece en el Formulario de Pedido aplicable y/o según se establece en la Cuenta de Plataforma Squire del Cliente Empresarial
• Actividades relevantes para los datos transferidos bajo estas Cláusulas: Procesamiento de Información Personal en relación con el uso de la Plataforma Squire y los Servicios Squire por parte del Cliente Empresarial de acuerdo con los Términos de Servicio del Cliente Empresarial de Squire.
• Firma y fecha: [FIRMA DEL CLIENTE EMPRESARIAL], [FECHA]
• Rol (controlador/procesador): Controlador

Importador de datos:

• Nombre:Squire Technologies, Inc., una corporación de Delaware
• Dirección: 216 Bowery, 3rd Floor, Nueva York, NY 10012, EE. UU.
• Nombre, cargo y detalles de contacto de la persona de contacto: Dana Lee, Directora Legal, Squire Technologies, Inc., 216 Bowery, 3rd Floor, Nueva York, NY 10012, EE. UU.
• Actividades relevantes para los datos transferidos bajo estas Cláusulas: Procesamiento de Información Personal en relación con el uso del Cliente Empresarial de la Plataforma Squire y los Servicios Squire de acuerdo con los Términos de Servicio del Cliente Empresarial de Squire.
• Firma y fecha: [FIRMA DE SQUIRE TECHNOLOGIES, INC.], [FECHA]
• Rol (controlador/procesador): Procesador

B. Descripción de la Transferencia

Categorías de Sujetos de Datos cuyos Datos Personales son Transferidos

El Cliente Empresarial puede enviar datos personales en el transcurso del uso de la Plataforma y Servicios de Squire, cuya extensión es determinada y controlada por el Cliente Empresarial a su exclusivo criterio, que puede incluir, pero no se limita a los datos personales relacionados con las siguientes categorías de Sujetos de Datos:

• empleados del Cliente Empresarial, Afiliados y Usuarios de la Tienda
• Clientes potenciales, existentes o nuevos del Cliente Empresarial
• referencias y contactos comerciales del Cliente Empresarial

Categorías de Datos Personales Transferidos

El Cliente Empresarial puede enviar datos personales en el transcurso del uso de la Plataforma y Servicios de Squire, cuya extensión es determinada y controlada por el Cliente Empresarial a su exclusivo criterio, que puede incluir, pero no se limita a las siguientes categorías de datos personales:

• Información de Perfil: Cierta información cuando creas o modificas tu cuenta con nosotros. Esta información puede incluir nombre, fecha de nacimiento, correo electrónico, número de teléfono, dirección postal, foto de perfil, método de pago y otra información que elijas proporcionar.
• Información de Ubicación: Si permites que los Servicios de Squire accedan a información de geolocalización, como a través de la señal GPS de tu dispositivo móvil o señal WIFI. También podemos derivar tu ubicación aproximada a través de otros identificadores de dispositivo, como tu dirección IP o dirección MAC de WIFI.
• Información de Contactos: Si permites que Squire acceda a la agenda de tu dispositivo, podemos acceder y almacenar nombres e información de contacto de tu agenda para mejorar tu uso de los Servicios de Squire.
• Información de Transacciones: Detalles de transacciones relacionadas con tu uso de los Servicios de Squire, incluyendo pero no limitado a método de pago, monto de compra, fecha de compra, descripción de los bienes o servicios comprados y otros detalles de transacción relacionados.
• Información de Pago: Algunos Servicios de Squire pueden requerir que ingreses información de pago, como detalles de tarjeta de crédito o débito, información de cuenta bancaria, direcciones de envío y facturación, y otra información requerida cuando realizas una compra.

• Información de Cuenta Empresarial: Squire puede recopilar información financiera y otros datos personales sensibles sobre ti como parte de la relación comercial con nosotros, incluyendo pero no limitado a fecha de nacimiento, número de seguro social, número de identificación fiscal, Número de Identificación del Empleador y información de cuenta bancaria.
• Información sobre el uso y preferencias: Información sobre cómo usted y los visitantes del sitio interactúan con los Servicios de Squire, preferencias expresadas y configuraciones elegidas; en algunos casos a través del uso de cookies, etiquetas de píxel y tecnologías similares que crean y mantienen identificadores únicos.
• Información del dispositivo: Información sobre su dispositivo móvil, incluyendo, pero no limitado a, el modelo de hardware, sistema operativo y versión, nombres y versiones de software y archivos, idioma preferido, identificador único del dispositivo, identificadores publicitarios, número de serie, información de movimiento del dispositivo e información de la red móvil.
• Datos de SMS y correos electrónicos Algunos Servicios de Squire facilitan la comunicación entre Clientes Empresariales y Usuarios Consumidores. En relación con la facilitación de este servicio, podemos recibir y recopilar datos de comunicación, incluyendo, pero no limitado a, la fecha y hora del mensaje SMS o correo electrónico, los números de teléfono o direcciones de correo electrónico de las partes, y el contenido del mensaje SMS o correos electrónicos.
• Información de registro: Registros del servidor, que pueden incluir información como la dirección IP del dispositivo, fechas y horas de acceso, características o páginas de la aplicación vistas, fallos de la aplicación y otra actividad del sistema, tipo de navegador y el sitio o servicio de terceros que estaba utilizando antes de interactuar con los Servicios de Squire.
• Otra información que elija proporcionar: Cualquier otra información que proporcione directamente a Squire, como cuando se pone en contacto con el soporte al cliente o se comunica con nosotros de otra manera.

Datos sensibles transferidos y restricciones aplicadas de salvaguardias

Las partes no anticipan la transferencia de datos sensibles.

Frecuencia de la transferencia

Los Datos Personales se transfieren de manera continua.

Naturaleza del procesamiento

Los Datos Personales se procesan de acuerdo con el Acuerdo (incluido el DPA) y pueden estar sujetos a las siguientes actividades de procesamiento:

• Recopilación, almacenamiento, organización, estructuración y uso de acuerdo con el Acuerdo para proporcionar los Servicios de Squire y acceso a la Plataforma de Squire.
• Divulgación de acuerdo con el Acuerdo y la ley aplicable.
• Eliminación de acuerdo con el Acuerdo y la ley aplicable.

Propósito(s) de la transferencia de datos y procesamiento adicional

El Cliente Empresarial transferirá datos personales a Squire y Squire procesará los datos personales con el fin de y según sea necesario para proporcionar a la Plataforma de Squire y los Servicios de Squire al Cliente Empresarial de acuerdo con el Acuerdo y la ley aplicable.

Período durante el cual se retendrán los Datos Personales, o, si eso no es posible, los criterios utilizados para determinar ese período

Squire retendrá los datos personales durante la duración del Acuerdo, a menos que se acuerde lo contrario por escrito, o según lo requiera la ley aplicable.

C. Autoridad Supervisora Competente

La autoridad supervisora responsable de garantizar el cumplimiento por parte del exportador de datos con el Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, la autoridad supervisora responsable de garantizar el cumplimiento del Cliente Empresarial con el GDPR, actuará como autoridad supervisora competente.

Anexo II - Medidas de Seguridad(Anexo II de los SCC de la UE - Medidas Técnicas y Organizativas Incluyendo Medidas Técnicas y Organizativas para Garantizar la Seguridad de los Datos)

Squire despliega los recursos necesarios para implementar, operar y mantener una postura de ciberseguridad robusta. Utilizando tecnología y prácticas probadas en la industria, Squire protege la confidencialidad, integridad y disponibilidad de la información personal, sistemas propietarios y otros recursos.

I. Seguridad de los Datos

En caso de acceso no autorizado a nuestra red, hardware u otros sistemas, Squire ha implementado medidas de protección para mantener los datos seguros:

• Cifrado de HD de Laptop: Squire cifra los discos duros de cada laptop que distribuye a sus empleados para evitar que los datos almacenados en un disco duro sean accesibles en caso de que la laptop se pierda o sea robada;
• Puertos USB Bloqueados: Squire desactiva los puertos USB, si los hay, en cada laptop que distribuye a sus empleados con la capacidad de habilitar y deshabilitar, si es necesario, para prevenir la transferencia o duplicación no autorizada de archivos;
• Software de Prevención de Pérdida de Datos: Squire utiliza software de prevención de pérdida de datos para monitorear, detectar y rastrear el movimiento de datos sensibles en uso, en la red o almacenados para detectar y prevenir violaciones de datos.

II. Políticas de Seguridad y Protección de Datos

Squire mantiene, revisa y actualiza políticas documentadas para la protección de datos. Estas políticas incluyen:

• Política de Control de Datos: La Política de Control de Datos detalla los métodos de control de datos requeridos para mantener el más alto nivel posible de seguridad de la información. Además, la Política de Control de Datos define y clasifica sistemas y datos críticos, y especifica qué departamentos pueden acceder a dichos sistemas y datos como parte de su función laboral;
• Política de Responsabilidad de Seguridad de la Información: Bajo requisitos federales, estatales y otros requisitos regulatorios y contractuales, Squire es responsable de desarrollar e implementar un programa integral de seguridad de la información. El propósito de la Política de Responsabilidad de Seguridad de la Información es definir claramente los roles y responsabilidades que son esenciales para la implementación y continuación del Plan de Seguridad de la Información de Squire;
• ~Principio de Menor Privilegio: Los privilegios de acceso para cualquier usuario se limitan únicamente a lo que es necesario para completar sus funciones o deberes asignados, y nada más;
• ~Principio de Separación de Funciones: Siempre que sea práctico, ninguna persona debe ser responsable de completar o controlar una tarea, o un conjunto de tareas, de principio a fin cuando implique el potencial de fraude, abuso u otro daño;
• Política de Manejo de Datos Sensibles: La Política de Manejo de Datos Sensibles de Squire requiere que todas las aplicaciones de Squire que manejan el almacenamiento de información de titulares de tarjetas estén configuradas de manera que no retengan datos de seguimiento completos. Además, estos dispositivos no pueden almacenar el número de validación de la tarjeta o el valor utilizado para verificar transacciones de tarjeta no presente. Todos los proveedores de servicios que realicen negocios con Squire y que recojan y/o procesen datos de tarjetas de crédito deben completar el formulario de Confirmación de No Almacenamiento de Datos de Seguimiento confirmando que la empresa no almacena datos de banda magnética completos (es decir, datos de seguimiento) ni el código CVV2 de 3 dígitos en ninguno de sus sistemas;
• Política de Almacenamiento de Datos de Titulares de Tarjetas: El alcance de la Política de Almacenamiento de Datos de Titulares de Tarjetas cubre a todos los empleados y personal de Squire que instalan, operan, tienen acceso o mantienen recursos de información, así como a los empleados y personal de Squire que gestionan estos procesos. Se aplica a todas las aplicaciones y sistemas en cada empresa del grupo de empresas Squire. Además, la Política de Almacenamiento de Datos de Titulares de Tarjetas también se aplica a la gestión de claves de cifrado que se comparten con los clientes de Squire para intercambiar datos sensibles. La documentación proporcionada a los clientes que necesitan intercambiar claves de cifrado con Squire debe hacer referencia e incluir la Política de Almacenamiento de Datos de Titulares de Tarjetas;
• Política de Retención y Eliminación de Datos: La Política de Retención y Eliminación de Registros y Datos estipula qué registros se retienen, qué registros se destruyen y los métodos de eliminación apropiados para destruir registros con el fin de lograr un equilibrio entre el cumplimiento de las leyes y regulaciones aplicables y las necesidades del negocio.
• Política de Retención de Registros de Auditoría: Las Industrias de Tarjetas de Pago (PCI) requieren que se creen ciertos registros de auditoría, se revisen de manera oportuna y se mantengan durante un período de tiempo específico. Los registros son revisados cada día hábil por representantes del departamento de TI o DevOps. La Política de Retención de Registros de Auditoría describe el nivel de seguridad que debe mantenerse con respecto a los derechos de acceso, almacenamiento y modificación de los registros de auditoría.
• Plan de Continuidad del Negocio y Plan de Recuperación ante Desastres: El propósito del Plan de Recuperación ante Desastres (DR) y del Plan de Continuidad del Negocio (BCP) es proporcionar orientación sobre cómo responder a un incidente inesperado y recuperarse lo más rápido y eficazmente posible de un desastre o emergencia imprevista que interrumpa los sistemas de información y las operaciones comerciales.
• Plan de Respuesta a Incidentes: El Plan de Respuesta a Incidentes de Squire (IRP) describe una hoja de ruta práctica de procesos y procedimientos diseñados para mitigar riesgos, reducir costos y disminuir los tiempos de inactividad debido a un incidente de seguridad o anomalía catastrófica.
• Política de Conciencia de Seguridad: El Director de TI/Seguridad es responsable de asegurar que todos los empleados de Squire se sometan a capacitación en Conciencia de Seguridad anualmente. Esta capacitación se proporciona mediante capacitación en línea proporcionada por "KnowBe4".

III. Autenticación

Lo siguiente describe el proceso y procedimiento de autenticación para el uso de equipos informáticos, dispositivos y los sistemas y redes de Squire.

• Cuentas: Todos los usuarios reciben un nombre de usuario único antes de permitir el acceso a los componentes o datos del sistema;
• Autenticación de Dos Factores: Utilizado para acceso remoto y para ciertos accesos de usuarios privilegiados;
• Contraseñas: Los siguientes son algunos procesos utilizados para el acceso al sistema Squire:
• ~El sistema obliga a cambiar la contraseña cuando el usuario inicia sesión por primera vez en el sistema, cuando se restablece la contraseña, o en caso de que el sistema haya sido comprometido;
• ~Las contraseñas se cambian periódicamente y no se reutilizan;
• ~Se aplica una longitud mínima y complejidad de contraseña.‍

IV. Cumplimiento de PCI-DSS

Con respecto a la protección de datos de tarjetas de débito y crédito, Squire está certificado como PCI-DSS Nivel 1 SAQ D-SP.

V. Seguridad Interna de TI

Mantenemos un equipo de seguridad interno dedicado que monitorea rutinariamente nuestros entornos en busca de vulnerabilidades.

• Antivirus y Antispyware: Monitorea dispositivos en busca de virus/malware y remedia aquellos identificados;

• Protección Avanzada contra Malware: Detecta y bloquea malware basado en análisis de comportamiento;
• Escaneo y Gestión de Vulnerabilidades: Squire utiliza software de seguridad que identifica vulnerabilidades explotables, interna y externamente, y aplica parches;
• Pruebas de Seguridad de Aplicaciones Dinámicas (DAST): Squire utiliza herramientas de pruebas de seguridad de aplicaciones dinámicas para identificar posibles vulnerabilidades de seguridad en la aplicación web y debilidades arquitectónicas;
• Herramientas de Parchado: Squire utiliza software de gestión de parches que detecta dónde se necesitan parches y los aplica.

‍VI. Seguridad de la Red

Estas tecnologías previenen y mitigan ataques contra la integridad y disponibilidad de los recursos de la red.

• Cortafuegos de Aplicaciones Web (WAF): Squire protege las aplicaciones web de una variedad de ataques de capa de aplicación, como scripting entre sitios (XSS), inyección SQL y envenenamiento de cookies, entre otras vulnerabilidades y ataques;
• Mitigación de Ataques de Denegación de Servicio Distribuido (DDoS): Squire implementa tecnología para proteger contra ataques DDoS que envían múltiples solicitudes al recurso web atacado con el objetivo de exceder la capacidad del sitio web para manejar múltiples solicitudes y prevenir que el sitio web funcione correctamente.
• Pruebas de Penetración: Una prueba de penetración, conocida como pen test, es un ataque simulado autorizado a un sistema informático, realizado para evaluar la seguridad del sistema. La prueba se realiza para identificar debilidades (vulnerabilidades), incluida la posibilidad de que partes no autorizadas accedan a las características y datos del sistema.

Anexo III - Lista de Subprocesadores(Anexo III de los SCC de la UE)

A. El Cliente Empresarial ha autorizado el uso de los siguientes Subprocesadores de terceros:

B. El Cliente Empresarial ha autorizado el uso de los siguientes Sub-Procesadores afiliados a Squire

Anexo B - SCCs del Reino Unido

VERSIÓN B1.0, en vigor el 21 de marzo de 2022

Este Anexo ha sido emitido por el Comisionado de Información para las Partes que realizan Transferencias Restringidas. El Comisionado de Información considera que proporciona Salvaguardias Apropiadas para Transferencias Restringidas cuando se celebra como un contrato legalmente vinculante.

1: Tablas

‍Tabla 2: SCCs seleccionados, Módulos y Cláusulas seleccionadas

Tabla 3: Información del Apéndice

"Información del Apéndice" significa la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de los SCC aprobados de la UE (además de las Partes), y que para este Anexo se establece en:

Tabla 4: Finalización de este Anexo cuando cambien los Anexos Aprobados

Parte 2: Cláusulas Obligatorias

Interpretación de este Anexo

Cada Parte acepta estar sujeta a los términos y condiciones establecidos en este Anexo, a cambio de que la otra Parte también acepte estar sujeta a este Anexo.

Aunque el Anexo 1A y la Cláusula 7 de los SCC aprobados de la UE requieren firma por las Partes, para el propósito de realizar Transferencias Restringidas, las Partes pueden celebrar este Anexo de cualquier manera que las haga legalmente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo establecido en este Anexo. Celebrar este Anexo tendrá el mismo efecto que firmar los SCC aprobados de la UE y cualquier parte de los SCC aprobados de la UE.

Celebrar este Anexo

Donde este Anexo utiliza términos que están definidos en los SCC aprobados de la UE, esos términos tendrán el mismo significado que en los SCC aprobados de la UE. Además, los siguientes términos tienen los siguientes significados:

Este Anexo debe interpretarse siempre de manera que sea consistente con las Leyes de Protección de Datos del Reino Unido y que cumpla con la obligación de las Partes de proporcionar las Salvaguardias Apropiadas.

Si las disposiciones incluidas en el Anexo de SCCs de la UE modifican los SCCs Aprobados de cualquier manera que no esté permitida bajo los SCCs Aprobados de la UE o el Anexo Aprobado, tales enmiendas no se incorporarán en este Anexo y la disposición equivalente de los SCCs Aprobados de la UE tomará su lugar.

Si hay alguna inconsistencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y este Anexo, se aplican las Leyes de Protección de Datos del Reino Unido.

Si el significado de este Anexo no está claro o hay más de un significado, se aplica el significado que más se alinee con las Leyes de Protección de Datos del Reino Unido.

Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa esa legislación (o disposición específica) tal como puede cambiar con el tiempo. Esto incluye cuando esa legislación (o disposición específica) ha sido consolidada, re-promulgada y/o reemplazada después de que este Anexo haya sido firmado.

Jerarquía

Aunque la Cláusula 5 de los SCCs Aprobados de la UE establece que los SCCs Aprobados de la UE prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para las Transferencias Restringidas, la jerarquía en la Sección 10 prevalecerá.

Donde haya alguna inconsistencia o conflicto entre el Anexo Aprobado y los SCCs de la UE (según corresponda), el Anexo Aprobado anula los SCCs de la UE, excepto donde (y en la medida en que) los términos inconsistentes o conflictivos de los SCCs de la UE proporcionen una mayor protección para los sujetos de datos, en cuyo caso esos términos anularán el Anexo Aprobado.

Donde este Anexo incorpora SCCs de la UE que han sido firmados para proteger transferencias sujetas al Reglamento General de Protección de Datos (UE) 2016/679, las Partes reconocen que nada en este Anexo impacta esos SCCs de la UE.

Incorporación de y cambios a los SCCs de la UE

Este Anexo incorpora los SCCs de la UE que se modifican en la medida necesaria para que:

• juntos operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se apliquen al procesamiento del exportador de datos al realizar esa transferencia de datos, y proporcionen Salvaguardias Apropiadas para esas transferencias de datos;
• Las Secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) de los SCCs de la UE; y
• este Anexo (incluyendo los SCCs de la UE incorporados en él) está (1) regido por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja de él se resuelve por los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.

A menos que las Partes hayan acordado enmiendas alternativas que cumplan con los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.

No se pueden hacer enmiendas a los SCC aprobados de la UE, excepto para cumplir con los requisitos de la Sección 12.

Se realizan las siguientes enmiendas a los SCC del Anexo de la UE (con el propósito de la Sección 12):

• Las referencias a las "Cláusulas" significan este Anexo, incorporando los SCC del Anexo de la UE;
• En la Cláusula 2, eliminar las palabras:
• "y, con respecto a las transferencias de datos de controladores a procesadores y/o de procesadores a procesadores, cláusulas contractuales estándar de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679"; la Cláusula 6 (Descripción de la(s) transferencia(s)) se reemplaza por:
• "Los detalles de la(s) transferencia(s) y en particular las categorías de datos personales que se transfieren y el/los propósito(s) para el/los cuales se transfieren son los especificados en el Anexo I.B donde las Leyes de Protección de Datos del Reino Unido se aplican al procesamiento del exportador de datos al realizar esa transferencia."; la Cláusula 8.7(i) del Módulo 1 se reemplaza por:
• "es a un país que se beneficia de regulaciones de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior"; la Cláusula 8.8(i) de los Módulos 2 y 3 se reemplaza por:
• "la transferencia posterior es a un país que se beneficia de regulaciones de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior;" Las referencias a "Reglamento (UE) 2016/679", "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos)" y "ese Reglamento" son reemplazadas por "Leyes de Protección de Datos del Reino Unido". Las referencias a artículos específicos del "Reglamento (UE) 2016/679" son reemplazadas por el artículo o sección equivalente de las Leyes de Protección de Datos del Reino Unido;
• Las referencias al Reglamento (UE) 2018/1725 son eliminadas;
• Las referencias a la "Unión Europea", "Unión", "UE", "Estado Miembro de la UE", "Estado Miembro" y "UE o Estado Miembro" son todas reemplazadas por "Reino Unido";
• La referencia a "Cláusula 12(c)(i)" en la Cláusula 10(b)(i) del Módulo uno, se reemplaza por "Cláusula 11(c)(i)";
• La Cláusula 13(a) y la Parte C del Anexo I no se utilizan;
• La "autoridad de supervisión competente" y "autoridad de supervisión" son ambas reemplazadas por el "Comisionado de Información";
• En la Cláusula 16(e), el inciso (i) se reemplaza por:
• "el Secretario de Estado emite regulaciones de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;"; la Cláusula 17 se reemplaza por:
• "Estas Cláusulas se rigen por las leyes de Inglaterra y Gales."; la Cláusula 18 se reemplaza por:
• "Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un sujeto de datos también puede presentar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país en el Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales."; y las notas al pie de los SCC aprobados de la UE no forman parte del Anexo, excepto por las notas al pie 8, 9, 10 y 11.

Enmiendas a este Anexo

Las Partes pueden acordar cambiar las Cláusulas 17 y/o 18 de los SCC aprobados de la UE para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.

Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Anexo Aprobado, pueden hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las Salvaguardias Apropiadas.

De vez en cuando, la ICO puede emitir un Anexo Aprobado revisado que:

• realiza cambios razonables y proporcionales al Anexo Aprobado, incluyendo la corrección de errores en el Anexo Aprobado; y/o
• refleja cambios en las Leyes de Protección de Datos del Reino Unido;

El Anexo Aprobado revisado especificará la fecha de inicio a partir de la cual los cambios en el Anexo Aprobado son efectivos y si las Partes necesitan revisar este Anexo, incluyendo la Información del Apéndice. Este Anexo se modifica automáticamente como se establece en el Anexo Aprobado revisado a partir de la fecha de inicio especificada.

Si la ICO emite un Anexo Aprobado revisado bajo la Sección 18, si alguna Parte seleccionada en la Tabla 4 "Terminando el Anexo cuando el Anexo Aprobado cambia", como resultado directo de los cambios en el Anexo Aprobado tendrá un aumento sustancial, desproporcionado y demostrable en:

• sus costos directos de cumplir con sus obligaciones bajo el Anexo; y/o
• su riesgo bajo el Anexo,

y en cualquiera de los casos ha tomado primero medidas razonables para reducir esos costos o riesgos de modo que no sean sustanciales y desproporcionados, entonces esa Parte puede finalizar este Anexo al final de un período de aviso razonable, proporcionando un aviso por escrito para ese período a la otra Parte antes de la fecha de inicio del Anexo Aprobado revisado.

Las Partes no necesitan el consentimiento de ningún tercero para hacer cambios a este Anexo, pero cualquier cambio debe hacerse de acuerdo con sus términos.