Acuerdo de procesamiento de datos de Exinda

El presente Anexo sobre Tratamiento de Datos ("DPA") forma parte del/de los Acuerdo(s) y se celebra entre el Cliente y el Proveedor de Servicios en la Fecha de entrada en vigor. Para evitar dudas, este DPA no es válido ni legalmente vinculante si no existe un/unos Acuerdo(s) entre el Cliente y el Proveedor de servicios.

El presente DPA entrará en vigor el 25 de mayo de 2018 o en el momento en que se acepten el/los Acuerdo(s), lo que ocurra posteriormente (la "Fecha de entrada en vigor").

  1. DEFINICIONES

    1. “Acuerdo(s)” hace referencia al acuerdo celebrado entre el Cliente y el Proveedor de servicios para la prestación de los Servicios del Proveedor de servicios al Cliente con respecto a los productos y servicios de Exinda. Puede encontrar nuestros acuerdos aquí: https://www.gfi.com/es/legal.

    2. “Cliente” hace referencia a la persona jurídica que recibe los Servicios de conformidad con el/los Acuerdo(s), incluidas todas las filiales de dicha entidad, si las hubiera.

    3. Por "EEE" se entiende el Espacio Económico Europeo.

    4. "Normas de la UE" hace referencia a las leyes y reglamentos de la Unión Europea, el Espacio Económico Europeo, sus Estados miembros y el Reino Unido, aplicables al tratamiento de Datos personales conforme al Acuerdo o Acuerdos, incluido (cuando proceda) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, también conocido como Reglamento General de Protección de Datos ("RGPD").

    5. "Escudo de privacidad": el marco de principios de privacidad UE-EE. UU. acordado el 2 de febrero de 2016 y adoptado formalmente por la Decisión de Ejecución C(2016) 4176 final de la Comisión Europea, de 12 de julio de 2016, o cualquier otro marco para la transferencia de Datos Personales del EEE o Suiza a los Estados Unidos que la Comisión Europea apruebe por considerar que ofrece un nivel de protección adecuado de conformidad con las Normas de la UE.

    6. "Servicios" hace referencia a los servicios y otras actividades que se suministrarán o llevarán a cabo por o en nombre del Proveedor de servicios para el Cliente de conformidad con el/los acuerdo(s).

    7. "Proveedor de Servicios" hace referencia a la entidad jurídica que es parte del/de los Acuerdo(s) y que procesa los Datos personales en nombre del Cliente.

    8. "Cláusulas contractuales tipo": las cláusulas contractuales tipo para la transferencia de datos personales de un responsable del tratamiento en el EEE a encargados del tratamiento establecidos en terceros países con arreglo a la Directiva 95/46/CE de la UE sobre protección de datos (la "Directiva"), o cualquier legislación que sustituya a la Directiva, en la forma que figura en el anexo de la Decisión 2010/87/UE de la Comisión Europea (o cualquier Decisión alternativa o sucesora que apruebe nuevas cláusulas contractuales tipo para las transferencias a encargados del tratamiento en terceros países), modificada mediante la inclusión de la descripción de los Datos Personales que se transferirán que se establece en el apéndice 1 de la presente DPA y las medidas técnicas y organizativas que se aplicarán, tal como se establece en el apéndice 2 de la presente DPA. Las cláusulas contractuales tipo están disponibles en el sitio web de la Comisión Europea en el siguiente enlace: http://ec.europa.eu/justice/data-protection/international-transfers/files/clauses_for_personal_data_transfer_processors_c2010-593.doc.

  2. APLICABILIDAD; ROLES DE LAS PARTES

    1. Este DPA modifica y complementa el/los Acuerdo(s) entre las partes. Los términos de este DPA se aplicarán a todo el procesamiento de Datos personales en relación con los Servicios prestados en virtud de los términos del/ de los Acuerdo(s). Este DPA no se aplicará al procesamiento de Datos personales, cuando dicho procesamiento no esté regulado por las Reglas de la UE.

    2. Los términos en mayúscula empleados, pero no definidos en este DPA tienen los significados que se les asignan en el/los Acuerdo(s) o las Reglas de la UE. Los "Datos Personales", tal como se emplean en este DPA, incluyen todos los datos relacionados con los Interesados ubicados en el EEE y Suiza que son procesados por el Proveedor de servicios en nombre del Cliente dentro del alcance del/de los Acuerdo(s).

    3. En el contexto de esta DPA, el Cliente actúa como Controlador de datos y el Proveedor de servicios actúa como Responsable del tratamiento de datos personales.

    4. El Proveedor de servicios llevará a cabo los Servicios y procesará los Datos personales recibidos del Cliente según lo establecido en el/los Acuerdo(s) o según lo notificado por escrito por el Cliente al Proveedor de Servicios durante la vigencia del/de los Acuerdo(s). En caso de que, según la opinión del Proveedor de servicios, una instrucción de procesamiento dada por el Cliente pueda infringir las normas de la UE, el Proveedor de servicios informará de inmediato al Cliente en cuanto tenga conocimiento de dicha instrucción de procesamiento.

    5. El Proveedor de servicios se comprometerá en todo momento a cumplir las Normas de la UE y a no ejecutar sus obligaciones derivadas del/de los Contrato(s) de manera que el Cliente incumpla cualquiera de sus obligaciones aplicables en virtud de las Normas de la UE y de cualquier normativa vigente emitida por las autoridades competentes en materia de protección de datos.

  3. PROTECCIÓN DE DATOS

    1. Todos los Datos personales proporcionados al Proveedor de servicios por el Cliente u obtenidos por el Proveedor de servicios en el curso de su trabajo con el Cliente deben protegerse y no pueden copiarse, divulgarse ni procesarse de ninguna forma sin la autorización por escrito del Cliente. En la medida en que las disposiciones del Acuerdo(s) o las instrucciones del Cliente requieran la copia, divulgación o procesamiento de datos, se considerará que esto constituye la autoridad requerida para hacerlo.

    2. El Proveedor de servicios se compromete a cumplir de vez en cuando con cualquier medida razonable que el Cliente requiera para garantizar que sus obligaciones en virtud del presente DPA se cumplen de forma satisfactoria de conformidad con toda la legislación aplicable. Esto incluye cualquier guía de mejores prácticas que el Cliente notifique al Proveedor de servicios.

  4. TRATAMIENTO DE DATOS PERSONALES

    1. Cuando el Proveedor de servicios procese Datos personales (ya sea almacenados en forma de registros físicos o electrónicos) en nombre del Cliente, deberá:

      1. Tratar los Datos personales únicamente en la medida y de la forma necesarias para cumplir sus obligaciones en virtud del Acuerdo o Acuerdos o según lo exija la ley, incluida la normativa de la UE y cualesquiera leyes, normas o reglamentos vigentes dictados por las autoridades competentes en materia de protección de datos;

      2. Aplicar las medidas técnicas y organizativas apropiadas y adoptar las medidas necesarias para proteger los Datos personales contra el tratamiento no autorizado o ilícito y contra la pérdida, destrucción, daño, alteración o divulgación accidentales, y facilitar sin demora los detalles de dichas medidas cuando lo solicite el Cliente; dichas medidas de seguridad se establecen en la Sección 6 de la presente DPA; y

      3. A petición del Cliente, proporcionarle sin demora información detallada acerca de los sistemas técnicos y organizativos establecidos para salvaguardar la seguridad de los Datos personales conservados e impedir el acceso no autorizado.

    2. El Cliente reconoce y acepta que (a) las filiales del Proveedor de servicios pueden ser contratadas como Subprocesadores; y (b) el Proveedor de servicios y las filiales del Proveedor de servicios pueden contratar a terceros Subprocesadores para la prestación de los Servicios. El Proveedor de servicios se asegurará de que cualquier tercero al que subcontrate cualquier procesamiento haya firmado un contrato por escrito con el Proveedor de servicios que incluya disposiciones parecidas a las del presente DPA, en la medida en que sean aplicables a la naturaleza de los Servicios prestados por dicho Subprocesador. A petición del Cliente, el Proveedor de servicios pondrá a disposición del Cliente la lista actual de subprocesadores con su país de ubicación. Si el Proveedor de servicios presta servicios de alojamiento en virtud del/de los Contrato(s), el Cliente acepta y reconoce que el Proveedor de servicios está autorizado a alojar los Datos personales en un proveedor externo de centros de datos.

    3. A menos que las leyes aplicables exijan la conservación de dichos Datos personales, el Proveedor de servicios acepta que, en caso de que el Cliente le notifique que no está obligado a prestar más servicios al Cliente con arreglo al presente DPA, el Proveedor de servicios transferirá al Cliente una copia de toda la información (incluidos los Datos personales) que conserve en relación con el presente DPA en un formato elegido por el Cliente (siempre que el Cliente pague los costes asociados) y/o, a petición del Cliente, destruirá toda esa información empleando un método seguro que garantice que ningún tercero pueda acceder a ella, y entregará al Cliente una confirmación por escrito de la eliminación segura.

    4. Todos los derechos de autor, derechos sobre bases de datos y otros derechos de propiedad intelectual sobre cualquier Dato personal procesado en virtud del presente DPA (incluyendo, entre otros, cualquier actualización, modificación o adaptación de los Datos personales por parte del Cliente o del Proveedor de servicios) pertenecerán al Cliente. El Proveedor de servicios tiene licencia para usar dichos datos solo durante el plazo y según este DPA.

  5. DERECHOS DE LAS PERSONAS A QUIENES PERTENEZCAN LOS DATOS

    1. En la medida en que la ley lo permita, el Proveedor de Servicios notificará sin demora al Cliente en caso de que reciba una solicitud de un Titular de los datos para ejercer su derecho de acceso, rectificación, limitación del tratamiento, supresión, portabilidad de los datos, oposición al tratamiento o su derecho a no ser objeto de una decisión individual automatizada (cada una de ellas, una "Solicitud del Titular de los datos"). Teniendo en cuenta la naturaleza del Procesamiento, el Proveedor de Servicios ayudará al Cliente a través de medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Cliente de responder a una Solicitud del Sujeto de datos en virtud del Capítulo III del GDPR. Salvo en la medida en que lo exija la legislación aplicable, el Proveedor de servicios no responderá a ninguna Solicitud del interesado sin el consentimiento previo por escrito del Cliente, salvo para confirmar que la solicitud está relacionada con el Cliente.

    2. Además, en la medida en que el Cliente, en su uso de los Servicios, no pueda atender una Solicitud del Sujeto de datos, el Proveedor de servicios, a petición del Cliente, realizará esfuerzos comercialmente razonables para ayudar al Cliente a responder a dicha Solicitud del Sujeto de datos, en la medida en que el Proveedor de servicios esté legalmente autorizado a hacerlo y siempre que dicha Solicitud del Sujeto de datos sea necesaria en virtud de las Normas de la UE aplicables. Cualquier costo que surja de dicha prestación de asistencia será responsabilidad del Cliente, en la medida en que lo permita la ley.

  6. SEGURIDAD

    1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el Proveedor de Servicios garantizará que, con respecto a todos los Datos Personales que reciba del Cliente o trate en su nombre, aplicará medidas de seguridad de un nivel adecuado a: (a) el daño que podría derivarse del tratamiento ilícito o no autorizado o de la pérdida, daño o destrucción accidental de los Datos Personales; y (b) la naturaleza de los Datos personales.

    2. El Proveedor de servicios, con respecto a los Datos personales, implementará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluidas, según corresponda, las medidas mencionadas en el Artículo 32(1) del GDPR, y en particular las relacionadas con posibles Violaciones de Datos personales. Específicamente, el Proveedor de servicios deberá:

      1. contar con una política de seguridad, y cumplirla, que (a) defina las necesidades de seguridad basándose en una evaluación periódica del impacto sobre la privacidad ("PIA"); (b) asigne la responsabilidad de aplicar la política a una persona o miembros de un equipo específicos, incluido el establecimiento de un responsable de la protección de datos ("DPO"); (c) se difunda a todos los miembros, voluntarios y personal pertinentes; y (d) proporcione un mecanismo de retroalimentación y revisión;

      2. garantizar la existencia de salvaguardias de seguridad y protección antivirus apropiadas para proteger los equipos y programas informáticos empleados en el tratamiento de los Datos Personales, conforme a las mejores prácticas del sector;

      3. impedir cualquier acceso no autorizado a Datos personales;

      4. garantizar que el almacenamiento de sus Datos personales se ajusta a las prácticas del sector, de forma que los soportes en los que se registran los Datos personales (incluidos los registros en papel y los almacenados electrónicamente) se almacenan en lugares seguros y el acceso del personal a los Datos personales está rigurosamente supervisado y controlado;

      5. contar con métodos seguros para el tránsito de Datos personales dentro del portal de atención al cliente (por ejemplo, mediante el uso de cifrado);

      6. usar la protección con contraseña en los sistemas informáticos en los que se almacenan datos personales y garantizar que únicamente el personal autorizado reciba los detalles de la contraseña;

      7. tomar medidas razonables para garantizar la fiabilidad de cualquier empleado, agente, contratista u otras personas que puedan acceder a los Datos personales, asegurándose en cada caso de que el acceso esté estrictamente limitado a aquellas personas que necesiten conocer o acceder a los Datos personales pertinentes, según sea estrictamente necesario para los fines del Acuerdo o Acuerdos, y para cumplir la normativa de la UE en el contexto de las obligaciones de dicha persona con el Proveedor de servicios;

      8. garantizar que todos los empleados, agentes, contratistas u otras personas que deban acceder a los Datos personales estén informados de la naturaleza confidencial de los Datos personales y cumplan con las obligaciones establecidas en este DPA;

      9. garantizar que ninguno de los empleados, agentes, contratistas u otras personas que tengan acceso a los Datos personales publique, revele o divulgue ninguno de los Datos personales a terceros, a menos que el Cliente se lo indique por escrito;

      10. contar con métodos para detectar y abordar las violaciones de la seguridad (incluida la pérdida, daño o destrucción de Datos Personales), incluyendo: (a) la capacidad de identificar qué individuos han trabajado con Datos personales específicos; y (b) contar con un procedimiento adecuado para investigar y remediar las violaciones de los principios de protección de datos contenidos en la Normativa de la UE, incluyendo registros escritos.

      11. tener un procedimiento seguro para realizar copias de seguridad y almacenarlas por separado de los originales; y

      12. disponer de un método seguro de eliminación de datos personales no deseados, incluidas copias de seguridad, discos, impresiones y equipos redundantes.

    3. El Proveedor de servicios facilitará al Cliente la documentación pertinente, como un informe de auditoría (previa solicitud por escrito y sujeto a las obligaciones de confidencialidad), con respecto a cualquier evaluación de impacto acerca de la protección de datos, y las consultas previas con las autoridades de supervisión u otras autoridades competentes en materia de privacidad de datos, cuando el Cliente considere razonablemente que dichas evaluaciones de impacto acerca de la protección de datos o consultas previas son necesarias en virtud de los artículos 35 o 36 del GDPR o en virtud de las disposiciones equivalentes de cualquier otra Norma de la UE, pero en cada uno de estos casos únicamente con respecto al Tratamiento de Datos personales por parte del Proveedor de servicios, y teniendo en cuenta la naturaleza del Tratamiento y la información disponible. Dicha auditoría se llevará a cabo a expensas del Cliente, en la medida en que lo permita la ley.

  7. GESTIÓN Y NOTIFICACIÓN DE BRECHAS DE SEGURIDAD

    1. El Proveedor de Servicios, de conformidad con la Normativa de la UE, notificará al Cliente y/o a la autoridad supervisora tan pronto como se produzca cualquier "Violación de Datos Personales" con respecto a los Datos Personales, pero no más tarde de 48 horas tras el descubrimiento de dicha Violación de Datos Personales. La notificación o respuesta del Proveedor de servicios a una Violación de datos personales en virtud de la presente Sección 7.1 no se interpretará como un reconocimiento por parte del Proveedor de servicios de culpa o responsabilidad alguna con respecto a la Violación de datos personales.

    2. El Proveedor de Servicios hará todo lo posible por identificar la causa de dicha Violación de Datos personales y deberá, con prontitud y sin demoras indebidas: (a) investigar la Violación de Datos personales y facilitar al Cliente información acerca de la Violación de Datos personales, incluida, en su caso, dicha información que un Procesador de datos debe proporcionar a un Responsable del tratamiento en virtud del artículo 33 (3) del GDPR en la medida en que dicha información esté razonablemente disponible ; y (b) tomar medidas razonables para mitigar los efectos y minimizar cualquier daño resultante de la Violación de Datos personales en la medida en que la solución esté dentro del control razonable del Proveedor de servicios. Las obligaciones aquí establecidas no se aplicarán a ninguna violación que sea provocada por el Cliente o los usuarios autorizados. La notificación se entregará al Cliente de acuerdo con la Sección 7.3 a continuación.

    3. Las notificaciones de violaciones de datos personales, si las hubiera, se entregarán a uno o más de los contactos comerciales, técnicos o administrativos del Cliente por cualquier medio que el Proveedor de servicios escoja, incluso por correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que mantiene información de contacto precisa en los sistemas de soporte técnico del Proveedor de servicios en todo momento.

  8. OBLIGACIONES DEL CLIENTE

    El Cliente es el único responsable de:

    1. Cumplir, en todo momento, con la Normativa de la UE con respecto al procesamiento de Datos personales en relación con el/los Acuerdo(s) y los Servicios;

    2. Garantizar que el procesamiento de los Datos personales por parte del Proveedor de servicios sea legal;

    3. Cuando proceda, garantizar que se han obtenido los consentimientos legalmente vinculantes para la recopilación, el acceso, el uso, el mantenimiento y/o la divulgación de los Datos personales de acuerdo con la Normativa de la UE y las políticas y procedimientos del Cliente por parte de cada individuo y entidad (incluidos, entre otros, consumidores, clientes comerciales y/o empleados y contratistas del Cliente) a los que se refieren los Datos personales;

    4. Hacer que cualquier información personal en sus sistemas sea inutilizable, ilegible o indescifrable para personas no autorizadas según los estándares de la industria, la ley aplicable y cualquier Código de conducta relevante;

    5. Establecer las salvaguardas de seguridad de la información aplicables y las políticas asociadas para proteger los Datos personales en sus instalaciones. El Cliente debe comunicar las garantías y políticas pertinentes al Proveedor de servicios con un aviso previo razonable y por escrito cuando el Proveedor de Servicios preste Servicios en una instalación del Cliente o acceda a los sistemas del Cliente;

    6. Informar sin demora al Proveedor de servicios acerca de cualquier política que aplique con respecto al tratamiento y la protección de los Datos personales, con instrucciones expresas sobre la forma en que el Proveedor de servicios debe aplicar dichas políticas;

    7. Informar sin demora al Proveedor de servicios de cualquier solicitud de supresión relativa a los Datos personales del Sujeto de los datos, con instrucciones detalladas acerca de la forma en que el Proveedor de servicios debe atender la solicitud; y

    8. Proporcionar al Proveedor de servicios y también actualizar sin demora, cuando sea necesario, la información que se especifica a continuación (cuando proceda) (a) identidad e información de contacto del Responsable de protección de datos del Cliente; (b) identidad e información de contacto del representante de la UE del Cliente; (c) descripción de las categorías de Tratamiento llevadas a cabo por el Cliente con respecto a los Servicios; (d) tipos de Datos personales que se tratarán; y (e) categorías de Sujetos de datos a los que se refieren los Datos personales.

  9. TRANSFERENCIAS INTERNACIONALES DE DATOS

    1. El Proveedor de Servicios únicamente transferirá Datos personales fuera del EEE, cuando dichas transferencias estén reguladas por las Reglas de la UE, según la Normativa de la UE. El Cliente autoriza al Proveedor de servicios (y autoriza al Proveedor de servicios a autorizar a sus Subprocesadores) a procesar Datos personales y a transferir Datos personales a aquellos países o territorios en los que se encuentren dichos Subprocesadores, de acuerdo con el/los Contrato(s) y la presente DPA.

    2. Transferencias de conformidad con las Cláusulas contractuales estándar

      1. Las Cláusulas contractuales estándar se aplicarán a los Datos personales que se transfieran desde el EEE, ya sea de forma directa o mediante transferencia ulterior, a cualquier país o destinatario: (i) que no esté reconocido por la Comisión Europea por proporcionar un nivel adecuado de protección de los datos personales (tal como se describe en la Directiva de protección de datos de la UE y en cualquier legislación que la sustituya), y (ii) que no esté cubierto por un marco adecuado reconocido por las autoridades o tribunales pertinentes por ofrecer un nivel adecuado de protección de los datos personales, incluido, entre otros, el Marco del Escudo de la privacidad UE-EE.UU.

      2. Cuando las Cláusulas contractuales estándar se apliquen de acuerdo con la Sección 9.2.1:

        1. El Proveedor de servicios se compromete a cumplir los términos de las Cláusulas contractuales estándar, a cuyos efectos el Cliente y sus filiales establecidas en el EEE se considerarán el Exportador o Exportadores de datos y el Proveedor de servicios el Importador de datos;

        2. la ley aplicable en la cláusula 9 de las Cláusulas contractuales estándar será la ley del Exportador de datos;

        3. si así lo exigen las leyes o los procedimientos reglamentarios de cualquier jurisdicción, las partes o el Proveedor de servicios y una o diversas de sus filiales establecidas en el EEE, según proceda, ejecutarán o volverán a ejecutar las Cláusulas contractuales tipo como documentos independientes en los que se establezcan las transferencias de Datos personales propuestas de la forma que se requiera;

        4. en caso de incoherencias entre las disposiciones de las Cláusulas contractuales tipo y el presente DPA, el Contrato u otros acuerdos entre las partes en relación con los Servicios, prevalecerán las Cláusulas contractuales estándar;

        5. en caso de que las Cláusulas contractuales estándar sean modificadas, sustituidas o derogadas por la Comisión Europea o en virtud de la normativa de la UE, las partes colaborarán de buena fe para firmar cualquier versión actualizada de las Cláusulas contractuales estándar o negociarán de buena fe una solución que permita que la transferencia de Datos personales se lleve a cabo de conformidad con la normativa de la UE; y

        6. las partes acuerdan que la certificación de supresión de Datos personales que se describe en la Cláusula 12(1) de las Cláusulas contractuales estándar únicamente será facilitada por el Importador de datos al Exportador de datos a petición de este.

    3. Transferencias de conformidad con el Escudo de privacidad

      1. En lo que respecta a los Datos personales transferidos por el Cliente al Proveedor de servicios de conformidad con el Marco del Escudo de la privacidad UE-EE. UU. o Suiza-EE.UU., el Proveedor de servicios únicamente tratará dichos Datos personales estrictamente de conformidad con los Principios del Escudo de la privacidad UE-EE. UU. o Suiza-EE. UU. y los Principios complementarios.

  10. TÉRMINOS GENERALES

    1. La responsabilidad de cada una de las partes y de todas sus filiales, consideradas en conjunto, que surja de este DPA o esté relacionada con el mismo, ya sea contractual, extracontractual o en virtud de cualquier otra teoría de responsabilidad, está sujeta a la sección de limitación de responsabilidad del/de los Acuerdo(s), y cualquier referencia en dicha sección a la responsabilidad de una parte implica la responsabilidad agregada de dicha parte y de todas sus filiales en virtud del/de los Acuerdo(s) y del presente DPA.

    2. Ninguna alteración, enmienda o modificación del presente DPA será válida a menos que sea por escrito y esté firmada por un representante autorizado de ambas partes.

    3. Cualquier ambigüedad en los términos de este DPA se resolverá para permitir que el Proveedor de servicios o el Cliente cumplan con las leyes aplicables.

    4. El presente DPA constituye el acuerdo íntegro y completo entre las partes en relación con la privacidad y la seguridad de los Datos personales y sustituye a cualquier otro acuerdo, declaración o entendimiento, ya sea oral o escrito. Todas las cláusulas del/de los Acuerdo(s), que no estén explícitamente modificadas o complementadas por las cláusulas del presente DPA, y siempre que esto no contradiga con los requisitos obligatorios de la Normativa de la UE, en virtud del presente DPA, permanecerán en pleno vigor y efecto y se aplicarán, incluyendo, pero no limitándose a: la Ley aplicable y la Resolución de conflictos, la Jurisdicción y la Limitación de responsabilidad (en la medida máxima permitida por las Normas de la UE).

    5. En caso de que cualquier disposición del presente DPA se considere inválida o inaplicable en virtud de cualquier ley aplicable, la disposición no válida o inaplicable se considerará sustituida por una disposición válida y aplicable que se acerque lo más posible a la intención de la disposición original y el resto del DPA seguirá en vigor.

    6. Si el Proveedor de servicios determina que ya no puede cumplir sus obligaciones de conformidad con el presente DPA, notificará inmediatamente al Cliente dicha determinación, y cesará el Procesamiento o tomará otras medidas razonables y apropiadas para remediarlo.

    7. Las notificaciones requeridas en virtud del presente DPA se enviarán de conformidad con el Acuerdo o Acuerdos, con copia (que no constituirá notificación) por correo electrónico a: legal@gfi.com.

APÉNDICE 1 DE LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR

El presente Apéndice forma parte de las Cláusulas contractuales estándar y debe ser completado y firmado por las partes.

Los Estados miembros pueden completar o especificar, según sus procedimientos nacionales, cualquier información adicional necesaria que se incluya en este Apéndice.

Exportador de datos

El Exportador de datos es (especifique brevemente sus actividades relevantes para la transferencia):

El Exportador de datos es la entidad legal que ha ejecutado el/los Acuerdo(s) con el Importador de datos.

Importador de datos

El Importador de datos es (especifique brevemente sus actividades relevantes para la transferencia):

El Importador de datos es la persona jurídica que ha suscrito el/los Acuerdo(s) con el Exportador de datos, que trata los Datos personales siguiendo instrucciones del Exportador de datos de acuerdo con los términos del/de los Acuerdo(s).

Sujetos de los datos

Los datos personales transferidos se refieren a las siguientes categorías de interesados (por favor, especifique):

Las categorías de Sujetos de datos, según lo determine el Exportador de datos, pueden incluir representantes de clientes y usuarios (finales), como empleados, solicitantes de empleo, contratistas, colaboradores, socios, proveedores y clientes del Cliente.

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos (por favor, especifique):

Las categorías de Datos personales, según determine el Exportador de datos, pueden incluir, entre otra información, datos personales de contacto como el nombre, la dirección, el número de teléfono fijo o móvil, el número de fax, la dirección de correo electrónico y las contraseñas; datos de empleo como el nombre del empleador, el cargo y la función, y datos de contacto de la empresa.

Categorías especiales de datos (si corresponde):

Los datos personales transferidos se refieren a las siguientes categorías de datos (por favor, especifique):

Ninguno.

Propósitos de las operaciones de transferencia / procesamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades de tratamiento básico (por favor, especifique):

El objetivo del Tratamiento de Datos personales por parte del Importador de datos es la prestación de los Servicios conforme al/los Acuerdo(s) vigente(s) entre el Exportador de datos y el Importador de datos.

APÉNDICE 2 DE LAS CLÁUSULAS CONTRACTUALES ESTÁNDAR

El presente Apéndice forma parte de las Cláusulas contractuales estándar y debe ser completado y firmado por las partes.

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de acuerdo a las Cláusulas 4(d) y 5(c) (o documento/legislación adjunta):

El Importador de datos implementará salvaguardas razonables de control administrativo, físico, de gestión y técnico para la protección de la seguridad, confidencialidad e integridad de los Datos personales con respecto a los Servicios, de conformidad con los requisitos legales aplicables, y según lo establecido en la Sección 6 del presente DPA del Importador de datos, y según lo acordado de otro modo por las partes por escrito. El Importador de datos no disminuirá sustancialmente la seguridad general de los Servicios durante la vigencia del/de los Acuerdo(s).