Anexo sobre transferencia de datos

Introducción

El presente Anexo sobre Transferencia de Datos (el "ADT") entre ORGiD (el "Proveedor de Servicios") y el Cliente se aplica a cualquier transferencia de Datos Personales sujetos a la Ley de Protección de Datos al Proveedor de Servicios fuera del EEE, Suiza o el Reino Unido. Entre el Proveedor de Servicios y el Cliente, este DTA se incorporará al Acuerdo y al Anexo de Procesamiento de Datos ("DPA") según corresponda. Los términos "datos personales", "interesado", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "representante" y "autoridad de control" tendrán el significado que se les atribuye en el GDPR o en el GDPR del Reino Unido, según proceda, en cada caso con independencia de la aplicación de la Ley de Protección de Datos. Además, otros términos utilizados en el presente Acuerdo podrán definirse en dichos acuerdos.

1. Definiciones

"Transferencia internacional de datos" se refiere a una actividad de procesamiento por la que los Datos Personales que se procesan de conformidad con la Ley de Protección de Datos se transfieren al Proveedor de Servicios (o a nuestras instalaciones) en un tercer país que no sea el EEE, el Reino Unido, Suiza o un país sujeto a una decisión de adecuación tomada por la Comisión Europea o el Secretario de Estado del Reino Unido (según corresponda) de conformidad con las disposiciones pertinentes de la Ley de Protección de Datos aplicable.

"Cláusulas contractuales tipo": las cláusulas contractuales tipo aprobadas por la Comisión Europea en la Decisión 2021/914 de la Comisión, de 4 de junio de 2021, para las transferencias de datos personales a países que la Comisión Europea no reconozca que ofrecen un nivel adecuado de protección de los datos personales (en su versión modificada y actualizada cada cierto tiempo).

"Adenda IDTA del Reino Unido" significa las Cláusulas Obligatorias de la Adenda B.1.0 emitidas por la OIC y presentadas ante el Parlamento de conformidad con la s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se revisa en virtud de la Sección 18 de dichas Cláusulas Obligatorias.

2. Transferencias de datos de responsable a responsable

Datos EEE / Suiza:

Cuando se produzca una Transferencia Internacional de Datos en la que más de una parte actúe como Responsable del Tratamiento y una parte comparta Datos Personales de interesados del EEE o de Suiza con el Proveedor de Servicios también como Responsable del Tratamiento en virtud del Anexo sobre Intercambio de Datos, entonces: (i) las Transferencias Internacionales de Datos que se produzcan de dichos datos se regirán por las Cláusulas Contractuales Tipo para Transferencias de Responsable a Responsable de Datos Personales de la Unión Europea ("CCC C2C del EEE") o las Cláusulas Contractuales Tipo para Transferencias de Responsable a Responsable de Datos Personales de Suiza ("CCC C2C de Suiza"), que se incorporan a la presente Adenda de Transferencia de Datos; y (ii) los Anexos I y II de dichas CCC se completarán con la información establecida en los Anexos 1 y 2 de la Adenda de Tratamiento de Datos y la Adenda de Compartición de Datos, respectivamente.

Datos del Reino Unido: 

Cuando se produzca una Transferencia Internacional de Datos en la que más de una parte actúe como Responsable del Tratamiento y una parte comparta Datos Personales de interesados del Reino Unido con el Proveedor de Servicios también como Responsable del Tratamiento en virtud del Acuerdo de Transferencia de Datos, toda Transferencia de Datos que se produzca de dichos datos se regirá por los CCE C2C del EEE que incorporan los Anexos 1 y 2 del Anexo de Tratamiento Compartido de Datos y el Acuerdo de Transferencia Internacional de Datos del Reino Unido ("Anexo IDTA del Reino Unido"), que se incorpora al presente Anexo de Transferencia de Datos.

Además, estas disposiciones pretenden cumplir con el Reglamento General de Protección de Datos (GDPR), la Ley Federal de Protección de Datos de Suiza (FADP) y la Ley de Protección de Datos del Reino Unido de 2018, que regulan la transferencia de datos personales fuera del Espacio Económico Europeo (EEE), Suiza y el Reino Unido (Reino Unido), respectivamente.

3. Transferencias de datos de responsable a encargado del tratamiento

Datos EEE / Suiza: 

Cuando el Responsable del Tratamiento transfiera Datos Personales de interesados del EEE o de Suiza al Proveedor de Servicios que actúe como Encargado del Tratamiento en virtud del Anexo sobre Tratamiento de Datos, cualquier Transferencia Internacional de Datos de dichos datos deberá cumplir los CEC de Encargado del Tratamiento a Encargado del EEE, que se incorporan al presente DTA con las siguientes modificaciones: (i) el Encargado del tratamiento debe informar al Responsable del tratamiento de cualquier cambio previsto en la lista de subencargados del tratamiento actualizándola en línea; y (ii) los Anexos I y II de los CEC de responsable a encargado del tratamiento del EEE deben cumplimentarse con la información especificada en los Apéndices 1 y 2 de la Adenda sobre tratamiento de datos, respectivamente.

Datos del Reino Unido: 

Cuando el responsable del tratamiento transfiera datos personales de interesados del Reino Unido al proveedor de servicios que actúe como encargado del tratamiento en virtud del apéndice sobre tratamiento de datos, toda transferencia internacional de datos de este tipo deberá cumplir los CCE de responsable a encargado del tratamiento del EEE que incorporan los apéndices 1 y 2 del apéndice sobre tratamiento de datos, y el apéndice IDTA del Reino Unido.

La legislación aplicable a las transferencias internacionales de datos es la siguiente

El Reglamento General de Protección de Datos de la UE (GDPR) y la Ley de Protección de Datos del Reino Unido de 2018.

4. Medidas complementarias 

Con respecto a cualquier transferencia internacional de datos, se aplicarán las siguientes medidas complementarias:

(a) El procesador declara y garantiza que, en el momento de la transferencia, no ha recibido ninguna solicitud legal formal de ningún servicio/agencia gubernamental de inteligencia o seguridad del país al que se exportan los Datos Personales pertinentes, para acceder a (o para obtener copias de) los Datos Personales que se han transferido al procesador en virtud del presente Acuerdo ("Solicitudes de agencias gubernamentales"); y

(b) si, durante la vigencia del presente DTA, el Procesador recibe alguna Solicitud de una Agencia Gubernamental, informará (a menos que la Ley Aplicable lo prohíba) al Controlador por escrito tan pronto como sea razonablemente factible y las partes (tan pronto como sea razonablemente factible) discutirán y determinarán si todas o alguna de las transferencias de Datos Personales en virtud del presente Acuerdo deben suspenderse a la luz de dichas Solicitudes de la Agencia Gubernamental.

5. Garantías adicionales

(a) Si la Ley de Protección de Datos exige la ejecución de las CEC o del Anexo IDTA del Reino Unido para una transferencia específica de Datos Personales al Encargado del Tratamiento como un acuerdo independiente, el Encargado del Tratamiento ejecutará sin demora dichas CEC o Anexo IDTA del Reino Unido previa solicitud, con las modificaciones necesarias para reflejar los requisitos aplicables de la Ley de Protección de Datos pertinente.

(b) En caso de que alguno de los medios para legitimar las transferencias de datos personales fuera de los países del EEE, Suiza o el Reino Unido a los que se hace referencia en el presente DTA deje de ser válido, o cualquier autoridad de control exija la suspensión de las transferencias de Datos Personales con arreglo a dichos medios, el Procesador podrá modificar o aplicar acuerdos alternativos para dichas transferencias según lo exija la Ley de Protección de Datos pertinente. El encargado del tratamiento notificará a la otra parte la fecha efectiva de dichos cambios.

6. Conflictos

En caso de conflicto o incoherencia entre cualquier disposición de este DTA y cualquier otro acuerdo aplicable, el orden de precedencia será el siguiente: el Addendum IDTA del Reino Unido y los CCE pertinentes (según proceda), este DTA, el Addendum de Procesamiento de Datos (según proceda) y el Acuerdo.

7. Cambios

El Proveedor de Servicios podrá actualizar cualquier parte o la totalidad de los términos del Apéndice según sea necesario para cumplir con la Legislación de Protección de Datos y entrará en vigor y será vinculante en la fecha de renovación de la siguiente Suscripción de Producto o previo acuerdo por escrito del Cliente, lo que ocurra antes. Si este Apéndice se incorpora por referencia como URL de una página web, la versión actualizada del Apéndice se publicará en la misma URL y se notificará al Cliente por escrito. Si esta Adenda se incorpora como parte de un acuerdo comercial ejecutado por las Partes, la versión actualizada de la Adenda se compartirá con el Cliente para su aprobación por escrito. Si el Cliente no está de acuerdo con una actualización, deberá notificarlo por escrito al Proveedor de Servicios y el Anexo anterior seguirá en vigor mientras las Partes colaboran de buena fe para elaborar un nuevo Anexo sobre transferencia de datos mutuamente aceptable.