ACUERDO DE PROCESAMIENTO DE DATOS DE SITEGROUND

Este Acuerdo para Procesamiento de Datos (“APD”) se concierta entre SiteGround Spain S. L. (“SiteGround”, nosotros) y Cliente (“Cliente”, Usted), ambos llamados “Las Partes”. Este APD forma parte de las Condiciones de Servicio, La Política de Privacidad y otras políticas relevantes, disponibles aquí. Los clientes que concretan el APD presente por cuenta propia, aceptan estas Condiciones, en la medida en que lo exijan los Reglamentos de Protección de Datos aplicables y las Leyes en la medida en la que SiteGround está procesando los Datos de los Clientes y según las instrucciones dadas por el administrador (según se define en Apartado 1).

En el curso de la prestación de los servicios al Cliente, SiteGround podrá procesar los datos del Cliente por cuenta del Cliente. Las Partes se comprometen a cumplir las disposiciones respecto a los datos del Cliente que siguen abajo, cada una actuando razonablemente y de buena fe.

1. Definiciones.

A menos que estén especialmente definidos en este APD, todos los términos en mayúsculas tienen el significado que se indica en continuación:

“Decisión de adecuación” es una decisión oficial adoptada por la UE, que reconoce que otro país, territorio, sector o una organización internacional provee un nivel de protección de los datos personales equivalente al de la UE.

“País o países adecuados” significa países que han aprobado la decisión de adecuación emitida por la UE. Lo que significa que los datos pueden fluir libremente entre estos países.

“Productos Adicionales” significa cualquier característica, producto, software, programa, addon, plugin, script, herramienta o cualquier software o contenido de terceros que no forman parte de los Servicios, pero que puedan ser accesibles vía área de clientes SiteGround o del panel de control.

“Acuerdos” abarca las Condiciones de Servicio y otros documentos relevantes anunciados en nuestra página web, junto con su Solicitud de Pedido/uso de los Servicios y la confirmación de la Solicitud, enviada por SiteGround, si procede.

“Administrador” es la persona física o jurídica que sola o conjuntamente con otras determina los fines y los medios del procesamiento de los datos del cliente. En este acuerdo, significa el Cliente (usted).

“Datos del Cliente” significa cualquier dato personal que se proporcione a SiteGround por o en nombre del Cliente a través de su uso de los Servicios (para evitar dudas, los Datos Personales que formen parte del pedido del Cliente para la compra/uso de los Servicios respectivos, no deberán ser tratados como Datos del Cliente sujetos de este APD).

“Pérdida de Protección de Datos” significa todas las responsabilidades, incluso:

a. reclamaciones, demandas, acciones, acuerdos, cargos, procedimientos, gastos, pérdidas y daños (ya sean materiales o no materiales, incluso para angustia emocional).

b. en la medida en que lo permita la ley aplicable:

1. multas administrativas, penalizaciones, sanciones, responsabilidades u otras medidas impuestas por las Autoridades de Control de Protección de Datos, otras Autoridades Reguladoras relevantes o el respectivo tribunal competente.

2. indemnización por el daño sufrido por causa del tratamiento de los datos personales al Titular de los mismos, ordenado por una Autoridad de control de la protección de los datos o el respectivo tribunal competente;

3. los costes razonables de las investigaciones hechas por parte de las Autoridades de control de Protección de Datos o cualquier otra Autoridad Reguladora pertinente;

c. los costes de la carga de los Datos del Cliente y de la sustitución de materiales y equipamiento del Cliente en caso de daño o pérdida de los ya existentes, un en caso de cualquier pérdida o corrupción de Datos de Cliente, incluso los costes de rectificación o restauración de Datos de Cliente;

d. cualquier otro coste (incluso los costes legales).

“Reglamentos y Leyes de Protección de Datos” o “Reglamentos de Protección de Datos” significa todas los reglamentos y leyes, entre otros, las leyes y los reglamentos de la UE, los del Espacio Económico Europeo y de los países miembros, de Suiza y el Reino Unido, que sean aplicables al Procesamiento de Datos de Cliente en este APD.

Los términos: “Titular de Datos”, “Datos Personales”, “Tratamiento”, “Encargado del Tratamiento” y “Autoridad de Control” (o “Autoridad de Control de Datos”) tienen el mismo significado que lo descrito en los Reglamentos de Protección de Datos aplicables.

“Fecha de entrada en vigor” significa, según corresponda:

a. la fecha cuando el Cliente ha hecho clic para aceptar el Acuerdo o las Partes han acordado otra cosa para este APD respecto al Acuerdo aplicable; o

b. 10 días contados desde la fecha cuando SiteGround pone en disposición pública el presente APD y envía una notificación al Cliente.

“RGPD” significa Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y el Consejo de 27 de abril de 2016 sobre la protección de las personas físicas respecto al tratamiento de los datos del cliente y a la circulación libre de estos datos, y por el que se deroga Directiva 95/46/CE (Reglamento General de Protección de Datos).

“Dirección de correo electrónico donde recibir notificaciones” significa la dirección de correo electrónico especificado por el Cliente en el Apartado de “Detalles del Perfil del Propietario” en el Área del Cliente para recibir determinadas notificaciones de SiteGround.

“Acuerdo de Transferencias Internacionales de Datos” (“ATID”) significa las cláusulas estándar para protección de las transferencias cuando el titular de los datos se encuentra en el Reino Unido. Esto está incorporado al Anexo 4 de este APD.

“Pedido” significa cualquier pedido del Cliente para la compra/uso de los servicio(s) respectivo(s).

“Socio” significa cualquier persona física o jurídica que directa o indirectamente ejercite control, esté controlada por o esté bajo control junto con SiteGround. “Control” para los fines de esta definición, significa propiedad o control sobre más de un 50 % de las participaciones con derecho de voto en la dicha entidad.

“Servicios” significa cualquier servicio que ofrezcamos y que pueda implicar tratamiento de datos personales por parte de SiteGround y sus subcontratistas.

“SiteGround” significa la entidad de SiteGround que forma parte de este AP, a saber: SiteGround Spain S. L., empresa registrada en el Reino de España (número del registro NIF: B87194171), con domicilio social: calle de Prim 19, 28004 Madrid, España.

“SiteGround Grupo de Empresas” significa cada una y a la vez todas las empresas que forman parte del SiteGround Grupo de empresas y que se dedican al tratamiento de Datos de Cliente:

• SG Hosting Inc., registrada y existente bajo las leyes de de Delaware, EE. UU., con domicilio social: 700 N. Fairfax St, Suite 614, Alexandria 22314 VA, EE. UU.;
• SiteGround Spain S. L., registrada y existente bajo las leyes del Reino de España (número NIF: B87194171), con domicilio social: Calle de Prim 19, 28004 Madrid, España;
• SiteGround Hosting Ltd., registrada en Inglaterra y Gales, con domicilio social: 7th Floor, 50 Broadway, Londres, SW1H 0DB, Reino Unido;
• SiteGround Hosting EOOD, registrada en Bulgaria (número del registro NIF: 204181297), con domicilio social calle de Olimpiyska 6, planta 7, Sofia, Bulgaria;
• SiteGround Capital Ltd., registrada en Chipre (número de registración HE 414758), con domicilio Calle Michail Karaoli 8, oficina 106, CY-1095, Nicosia, Chipre.

“Cláusulas Contractuales Estándar” o “CCE” significa las clausulas estándar de protección de datos para la transferencia de Datos de Cliente, tal y como se describe en Art. 46, p. 2, c) del RGPD, incorporadas como Anexo 1 a este APD.

“Subejecutor” significa cualquier Ejecutador contratado por SiteGround o miembro del SiteGround Grupo de Empresas.

“Plazo” significa el período comprendido entre la Fecha de Entrada en Vigor y el final de la prestación de los Servicios por parte de SiteGround en virtud del Acuerdo aplicable, incluso, si procede, cualquier período durante el cual los Servicios puedan haber sido suspendidos y cualquier período posterior a la finalización durante el cual SiteGround pueda seguir prestando los Servicios con fines transitorios.

2. Tratamiento de Datos.

2.1. Ámbito de aplicación.

Este APD se aplica cuando y solamente en la medida en que SiteGround procesa los Datos del Cliente en nombre del Cliente en el curso de la prestación de los Servicios y dichos Datos del Cliente están sujetos a la normativa de protección de datos aplicable.

El Anexo 1 (Cláusulas Contractuales Estándar) se aplicará a los Titulares de Datos que se encuentren en la UE, mientras que el Anexo 4 (Acuerdo de Transferencia Internacional de Datos) se aplicará a los Titulares de Datos que se encuentren en el Reino Unido.

Si el Cliente que está aceptando este APD ya es Cliente, el APD presente forma parte del Acuerdo, de la Política de Privacidad y de otras políticas y documentos relevantes anunciados en nuestro sitio web. Este APD y también sus anexos, entrarán en vigor y sustituirán a todas las condiciones anteriormente aplicables sobre la privacidad, tratamiento de datos y/o seguridad de los datos cuando SiteGround actúe como procesador de datos.

2.2. Conformidad con las leyes.

Cada parte va a cumplir con la obligación aplicable que se refiere a ella, bajo los Reglamentos de Protección de Datos respecto al tratamiento de esos Datos de Cliente.

2.3. Objeto y Detalles del Tratamiento de los Datos.

2.3.1. Objeto.

SiteGround tratará los Datos del Cliente según sea necesario para la prestación de los Servicios y el relacionado con éstos, apoyo técnico y de otro tipo; incluso otras consultas de conformidad con el Acuerdo y según las instrucciones del Cliente en su uso de los Servicios.

2.3.2. Duración del Tratamiento.

Salvo lo dispuesto en el párrafo 11, la duración del tratamiento de datos será el plazo designado en el Pedido y en el Acuerdo aplicables.

2.3.3. Naturaleza y finalidad del tratamiento.

SiteGround tratará los Datos del Cliente con el fin de prestar los Servicios y la asistencia técnica y de otro tipo relacionada con el Cliente, de conformidad con el Acuerdo, este APD y otros documentos pertinentes.

2.3.4. Categorías de Titulares de Datos.

Procesamos Datos Personales de las siguientes categorías de Titulares de Datos:

• Personas que tienen acceso a y/o utilizan los Servicios;
• Personas cuyos datos se proporcionaron a SiteGround a través de los Servicios por o en la dirección del correo electrónico del Cliente o por los usuarios finales del Cliente / visitantes del sitio web;
• Empleados, agentes, autónomos, clientes y otros contratistas del Cliente, y cualquier otra persona cuyos Datos Personales se procesen en relación con la prestación de los Servicios;
• Las personas que transmiten datos a través de los Servicios, incluso las personas que colaboran y se comunican con el Cliente o los usuarios finales / visitantes del sitio web del Cliente.

2.3.5. Categorías de Datos Personales.

Procesamos las siguientes categorías de Datos Personales en el curso de la prestación de los Servicios:

• Información de identificación personal (el nombre, etc.);
• Datos de contacto (dirección, dirección de correo electrónico, número de teléfono, etc.); 
• Cualquier otro tipo de Datos Personales de los Titulares de Datos transmitidos en relación con la prestación de los Servicios, incluso los Datos Personales procesados en los registros del Cliente o el contenido del Cliente (la dirección IP, etc.).

2.4. Funciones de las Partes.

Las Partes reconocen y acuerdan que:

1. SiteGround es un procesador de los datos del cliente según El Reglamento de Protección de Datos aplicable;

2. El Cliente es un administrador de datos o un procesador de datos, según corresponda, de los Datos del Cliente según el Reglamento de Protección de Datos aplicable; y se opone en el contenido legal del Reglamento de Protección de Datos aplicable; para que SiteGround procese los Datos del Cliente y preste los Servicios según el Acuerdo y este APD.

2.5. Instrucciones para el Tratamiento de Datos. 

SiteGround tratará los Datos del Cliente de acuerdo con el presente APD, que constituye las instrucciones completas y definitivas del Cliente a SiteGround en relación con el tratamiento de los Datos del Cliente. El tratamiento fuera del ámbito del presente APD (si lo hubiera) requerirá un acuerdo previo por escrito entre SiteGround y el Cliente sobre las instrucciones adicionales para el tratamiento. Al suscribir el presente APD, el Cliente da instrucciones a SiteGround para que procese los datos del Cliente únicamente de conformidad con el reglamento aplicable en materia de protección de datos:

1. a fin de proporcionar los Servicios y el soporte técnico y de otro tipo relacionado con los Servicios;

2. por iniciativa del Cliente y sus usuarios finales/visitantes del sitio web durante su uso de los Servicios;

3. como se especifica en el Acuerdo, las Condiciones del Servicio, la Política de Privacidad y otros documentos pertinentes que rigen la prestación de los Servicios y el apoyo técnico y de otro tipo relacionado con los Servicios.

2.6. Acceso o Uso. 

SiteGround no accederá a los Datos del Cliente ni los utilizará, salvo en la medida en que sea necesario para prestar los Servicios y el apoyo técnico y de otro tipo relacionado con el Cliente, de conformidad con la APD, el Acuerdo y otros documentos pertinentes, y para cumplir con la legislación aplicable, incluida una orden válida y vinculante (como una orden judicial u otros documentos vinculantes) de un organismo policial y/o cualquier otra autoridad u organismo estatal competente.

2.6.1. Tratamiento por parte del Cliente. 

El Cliente, en su uso de los Servicios, procesará sus Datos Personales de acuerdo con los requisitos de las Leyes y Reglamentos de Protección de Datos que le sean aplicables. El Cliente será el único responsable de la exactitud, la calidad y la legalidad de sus Datos y de los medios por los que los haya adquirido.

2.6.2. Tratamiento de los Datos del Cliente por parte de SiteGround. 

SiteGround solo procesará los Datos del Cliente en nombre y de acuerdo con las instrucciones documentadas del Cliente (este APD) para los siguientes fines: 

1. Procesamiento para proporcionar los Servicios y el soporte técnico y de otro tipo relacionado;

2. Tratamiento iniciado por el Cliente y/o sus usuarios finales/visitantes del sitio web durante su uso de los Servicios;

3. Tratamiento necesario para mantener y mejorar los Servicios.

2.6.3. Cumplimiento de las instrucciones por parte de SiteGround.  

A partir de la fecha de entrada en vigor, SiteGround cumplirá las instrucciones descritas anteriormente, incluso en lo que respecta a las transferencias de datos, a menos que la legislación aplicable a la que está sujeto SiteGround exija otro tipo de tratamiento de los Datos del cliente por parte de SiteGround, en cuyo caso SiteGround informará al Cliente (a menos que dicha legislación prohíba a SiteGround hacerlo por motivos importantes de interés público). 

SiteGround y los Subcontratistas podrán acceder a los datos del cliente y tratarlos para cumplir con las obligaciones derivadas del presente APD, el Acuerdo correspondiente o la legislación aplicable. Dicho tratamiento cumplirá con las medidas indicadas en los Apartados 3 y 7 y en el Anexo 2 sobre medidas de seguridad.

2.7. Derechos de los Titulares de los Datos.

2.7.1. Acceso, rectificación, tratamiento restringido, portabilidad.

Durante el Plazo aplicable, SiteGround permitirá al Cliente, de forma coherente con la funcionalidad de los Servicios, acceder, rectificar y restringir el tratamiento de los Datos del Cliente, incluso mediante la eliminación de todos o algunos de los Datos del Cliente de su cuenta o la eliminación de toda la cuenta, tal como se describe en el Apartado 2.8. (Devolución y eliminación de los datos del cliente), y mediante la exportación de los Datos del cliente.

2.7.2. Solicitudes por parte de los Titulares de los Datos.

2.7.2.1.  Responsabilidad por parte del cliente en cuanto a las solicitudes.

Si durante el plazo aplicable, SiteGround recibe una solicitud de un Titular de Datos para ejercer su derecho de acceso, de rectificación, de restricción del tratamiento, de supresión ("derecho al olvido"), de portabilidad de los datos, de objeción al tratamiento o su derecho a no ser sometido a una toma de decisión individual automatizada ("solicitud del Titular de Datos"), SiteGround aconsejará al Titular de Datos que presente su solicitud al Cliente, y el Cliente será responsable de responder a cualquier solicitud de este tipo, incluso, cuando sea necesario, utilizando la funcionalidad de los Servicios. En la medida en que la ley lo permita, SiteGround tomará medidas comercialmente razonables para notificar al Cliente dichas solicitudes.

2.7.2.2. Asistencia de SiteGround a las solicitudes del Titular de Datos.

Teniendo en cuenta la naturaleza del Tratamiento, el Cliente acepta que SiteGround proporcione la asistencia técnica y organizativa adecuada, en la medida en que sea posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de los Sujetos de los Datos, incluida, en su caso, la obligación del Cliente de responder a las solicitudes de ejercicio de los derechos del Sujeto de los Datos establecidos en el Reglamento de Protección de Datos aplicable, mediante:

(a) proporcionando recursos de documentación en forma de tutoriales y artículos en base de conocimientos, funcionalidades y/o controles en el panel de control que el Cliente pueda elegir para configurar adecuadamente los Servicios y utilizarlos de forma segura.

(b) proporcionar características, funcionalidades y/o controles en el panel de control que el Cliente pueda elegir para recuperar, corregir o eliminar los Datos del Cliente de los Servicios.

(c) cumplir con los compromisos establecidos en esta APD.

(d) En la medida en que el Cliente, en su uso de los Servicios, no tenga la capacidad de responder a una solicitud del interesado, SiteGround, a petición del Cliente, hará esfuerzos comercialmente razonables para ayudar al Cliente a responder a dicha solicitud del Titular de Datos, en la medida en que SiteGround esté legalmente obligado a hacerlo y la respuesta a dicha solicitud del interesado sea necesaria en virtud de la normativa de protección de datos aplicable. En la medida en que la ley lo permita, el Cliente será responsable de cualquier coste derivado de la prestación de dicha asistencia por parte de SiteGround.

2.8. Devolución y eliminación de los Datos del Cliente.

SiteGround permitirá al Cliente eliminar Datos del Cliente durante el Periodo de Vigencia aplicable de forma coherente con la funcionalidad de los Servicios utilizados y las características respectivas. La recuperación o eliminación de de los Datos del cliente por parte del Cliente constituirá una instrucción a SiteGround para que elimine los respectivos Datos del cliente archivados en los sistemas de copia de seguridad de acuerdo con la legislación aplicable y en un plazo máximo de 60 días naturales.

Nada de lo dispuesto en el presente Apartado 2.8 varía o modifica la obligación de SiteGround de conservar algunos o todos de los Datos del Cliente en la medida en que sea necesario para cumplir con la legislación aplicable, incluso una orden válida y vinculante (como una orden judicial u otros documentos vinculantes) de un organismo encargado de hacer cumplir la ley y/o de cualquier otra autoridad u organismo estatal competente. 

2.9. Revelación.

SiteGround no revelará los Datos del cliente a ningún gobierno, organismo de seguridad u otras autoridades, excepto cuando sea necesario para cumplir con la legislación aplicable o con una orden válida y vinculante (como una orden judicial u otros documentos vinculantes) de un organismo de seguridad y/o cualquier otra autoridad/organismo estatal competente. Al recibir una orden de las autoridades de tercer país, SiteGround actuará de acuerdo con la Cláusula 15 de las Cláusulas Contractuales Tipo. SiteGround también podrá revelar los datos del cliente a terceros en caso de que venda o compre algún negocio o activo, en cuyo caso SiteGround podrá revelar los datos del cliente al posible vendedor o comprador, o en caso de que SiteGround venda, compre, se fusione, sea adquirida por, o se asocie con otras empresas o negocios, o venda algunos o todos sus activos. 

2.10. Personal de SiteGround. 

SiteGround restringe el alcance a su personal al tratamiento de los Datos del Cliente sin autorización de SiteGround. El acceso a los Datos del Cliente se limita al personal cuya función y responsabilidades están relacionadas con la prestación de los Servicios.

SiteGround impone a su personal las obligaciones contractuales adecuadas, incluso las obligaciones pertinentes en materia de confidencialidad, protección y seguridad de los datos. SiteGround garantiza que estas obligaciones de confidencialidad sobreviven a la finalización del contrato del personal.

2.11. Responsable de la protección de datos.

En cumplimiento de la legislación aplicable en materia de protección de datos, SiteGround ha designado a un responsable de la protección de datos, que puede ser contactado en dpo@siteground.es.

3. Subcontratistas.

3.1. Consentimiento para la contratación la /designación de subcontratistas.

El Cliente reconoce y acepta que:

(a) los Socios de SiteGround pueden ser contratados como Subcontratistas; y 

(b) SiteGround y los Socios de SiteGround pueden contratar Subcontratistas en relación con la prestación de los Servicios. SiteGround ha firmado un acuerdo por escrito con cada Subcontratista del tratamiento que contiene obligaciones de protección de datos no menos protectoras que las de la presente APD con respecto a la protección de los datos del Cliente en la medida aplicable a la naturaleza de los Servicios prestados por dichos Subcontratistas. 

Si el Cliente ha suscrito las Cláusulas Contractuales Estándar (Anexo 1) o el Acuerdo de Transferencia Internacional de Datos (Anexo 4), tal y como se describe en el Apartado 5, las autorizaciones anteriores constituirán el consentimiento previo y por escrito del Cliente para la subcontratación por parte de SiteGround del tratamiento de los Datos del Cliente si dicho consentimiento es necesario en virtud de las Cláusulas Contractuales Estándar.

3.2. Información sobre los Subcontratistas.

3.2.1. SiteGround podrá compartir información sobre el Cliente con Subcontratistas, como también con el grupo de empresas de SiteGround, que pueden participar en la prestación de los servicios sujetos a su Acuerdo y que están basados dentro o fuera de la UE, el EEE o el Reino Unido. Estos Subcontratistas procesarán los Datos del Cliente proporcionados bajo las instrucciones de SiteGround y de acuerdo con nuestra política de privacidad y este APD.

3.2.2. Una lista de los Subcontratistas de SiteGround puede ser revelada si se solicita, de acuerdo con el Anexo 3.

3.3. Requisitos para la contratación de Subcontratistas.

Al contratar a un Subcontratista, SiteGround deberá:

(a) garantizar mediante un contrato escrito que:

(i) el Subcontratista del tratamiento solo accede y utiliza los datos del cliente en la medida necesaria para cumplir las obligaciones que se le han subcontratado, y lo hace de conformidad con el presente Acuerdo de tratamiento de datos y con cualquier cláusula contractual estándar o acuerdo de transferencia internacional de datos suscrito o solución de transferencia alternativa adoptada por SiteGround, tal como se describe en el Apartado 5; y

(ii) las obligaciones de protección de datos establecidas en la Normativa de Protección de Datos aplicable, tal y como se describe en el presente Acuerdo de Procesamiento de Datos, se imponen al Subcontratista; y

(b) seguirá siendo plenamente responsable de todas las obligaciones que se le hayan subcontratado, así como de todos los actos y omisiones del Subcontratista.

3.4. Derecho de objeción contra un (unos) Subcontratista(s) del tratamiento. 

3.4.1. El Cliente podrá oponerse a cualquier Subcontratista rescindiendo el Acuerdo aplicable de forma inmediata mediante notificación por escrito a SiteGround, a condición de que el Cliente proporcione dicha notificación en un plazo de 10 días naturales tras ser informado de la contratación del Subprocesador correspondiente. Este derecho de rescisión es el único y exclusivo recurso del Cliente si éste se opone a cualquier Subcontratista.

3.4.2. SiteGround reembolsará al Cliente cualquier tarifa prepagada que cubra el resto de la vigencia de dicho(s) Pedido(s) tras la fecha efectiva de rescisión con respecto a dichos Servicios rescindidos, sin imponer al Cliente una penalización por dicha rescisión.

4. Evaluaciones y consultas sobre el impacto de la protección de datos.

A petición del Cliente, SiteGround le proporcionará la cooperación y la asistencia razonables necesarias para cumplir con la obligación del Cliente, en virtud de la normativa aplicable en materia de protección de datos, de llevar a cabo una evaluación del impacto de la protección de datos (DPIA) relacionada con el uso de los Servicios por parte del Cliente, en la medida en que este no tenga acceso a la información pertinente, y en la medida en que dicha información esté disponible para SiteGround. SiteGround prestará una asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad de Supervisión en el desempeño de sus tareas relacionadas con el presente APD, en la medida en que lo exija el Reglamento de Protección de Datos.

5. Transferencias fuera de la UE, el EEE y el Reino Unido

5.1. Centros de datos.

SiteGround procesa los datos del cliente en centros de datos situados dentro y fuera de la Unión Europea, el EEE y el Reino Unido. La información sobre la ubicación de los Centros de Datos está disponible en: https://www.siteground.com/datacenters y SiteGround se reserva el derecho de actualizarla de vez en cuando.

El Cliente puede especificar la ubicación del Centro de Datos donde se almacenará el contenido de su cuenta de alojamiento. El Cliente acepta que SiteGround puede cambiar las ubicaciones de los Centros de Datos y trasladar la cuenta de alojamiento del Cliente a otro Centro de Datos a su entera discreción. SiteGround informará al Cliente al menos 10 días naturales antes de trasladar la cuenta de hosting del Cliente a su entera discreción a un nuevo Centro de Datos, ya sea enviando un correo electrónico a la Dirección de Correo de Notificación o a través del Área de Cliente. Si el cambio del Centro de Datos tiene como resultado el almacenamiento de los Datos del Cliente ubicados en la cuenta de hosting del Cliente bajo una jurisdicción diferente, el Cliente podrá oponerse a dicho cambio rescindiendo el Acuerdo inmediatamente y previa notificación por escrito a SiteGround, a condición de que el Cliente proporcione dicha notificación en un plazo de 10 días naturales tras ser informado del cambio del Centro de Datos.

El Cliente podrá trasladar su cuenta de alojamiento a otra ubicación del Centro de Datos en cualquier momento, siempre que la funcionalidad de los Servicios lo permita y a cambio de unas tarifas adicionales.

5.2. Ubicaciones de tratamiento.

En la medida en que los Datos del Cliente estén ubicados en un Centro de Datos fuera de la UE, del EEE o del Reino Unido, y en la medida en que SiteGround preste los Servicios y el soporte técnico y de otro tipo relacionado, el Cliente acepta que SiteGround pueda, con sujeción a lo dispuesto en el Apartado 5, transmitir, acceder y procesar los Datos del Cliente en la UE, el EEE, el Reino Unido, Asia, Australia y los Estados Unidos y en cualquier otro país en el que SiteGround y/o sus Socios y Subcontratistas tengan Centros de Datos, instalaciones o mantengan operaciones de procesamiento de datos. 

Este tipo de operaciones de transferencia internacional de datos puede producirse al prestar cualquiera de los Servicios proporcionados por SiteGround, incluido el servicio de Red de Entrega de Contenidos (REC).

Las ubicaciones geográficas de los servidores a los que puede producirse la mencionada transferencia de datos se enumeran en nuestro sitio web y están sujetas a cambios a nuestra entera discreción.

Si el almacenamiento y/o el tratamiento de los Datos del cliente implica el tratamiento de los Datos del cliente fuera del EEE y se aplica el RGPD de la UE, entonces este APD y el Anexo 1, que contiene las Cláusulas contractuales estándar, se aplicarán automáticamente como salvaguardia contractual de la transferencia internacional de datos. 

Si el almacenamiento y/o el tratamiento de los Datos del Cliente implica el tratamiento de los Datos del Cliente fuera del Reino Unido, y se aplica el RGPD del Reino Unido, entonces este APD y el Anexo 4, que contiene el Acuerdo de Transferencia Internacional de Datos, se aplicarán automáticamente como una salvaguardia contractual de la transferencia internacional de datos. 

5.3. Mecanismo de transferencia.

En la medida en que SiteGround procese o transfiera (directamente o a través de una transferencia posterior) los Datos del Cliente en virtud del presente APD desde la Unión Europea, el Espacio Económico Europeo o el Reino Unido a países que no garanticen un nivel adecuado de protección de datos en el sentido de la normativa de protección de datos aplicable de los territorios mencionados, las Partes acuerdan que:

1. El Cliente autoriza por la presente cualquier transferencia o acceso a los Datos del Cliente desde y hacia dichos destinos fuera de la UE, el EEE y el Reino Unido;

2. Se considerará que SiteGround proporcionará medidas técnicas y organizativas de protección de datos y de mitigación de riesgos de ciberseguridad adecuadas y proporcionales, así como que realizará las evaluaciones de riesgo pertinentes cuando transfiera los Datos del Cliente fuera de la UE, el EEE y el Reino Unido;

3. Se considerará que SiteGround proporciona las salvaguardias adecuadas para proteger los datos del cliente en virtud de la puesta a disposición de las cláusulas contractuales tipo (anexo 1) y del acuerdo de transferencia internacional de datos (anexo 4) como mecanismo de transferencia.

3.1. Las Cláusulas Contractuales Tipo (Anexo 1) se aplicarán a los Datos del Cliente que se transfieran, cuando el Titular de los Datos se encuentre en la UE o en el EEE;

3.2. El Acuerdo de Transferencia Internacional de Datos (Anexo 4) se aplicará a los Datos del Cliente que se transfieran, cuando el Titular de los Datos se encuentre en el Reino Unido.

6. Registros de tratamiento.

El Cliente reconoce que SiteGround está obligado, en virtud de la normativa de protección de datos aplicable, a:

(a) recopilar y mantener registros de cierta información, incluyendo el nombre y los datos de contacto de cada procesador y/o controlador en nombre del cual SiteGround está actuando y, en su caso, del representante local de dicho procesador o controlador y del oficial de protección de datos; y 

(b) poner dicha información a disposición de las autoridades de control. Cuando el RGPD se aplique al tratamiento de los datos del Cliente, este deberá, cuando se le solicite, proporcionar dicha información a SiteGround a través del sitio web de SiteGround o de otros medios facilitados por este, y se asegurará de que toda la información proporcionada se mantenga exacta y actualizada.

7.  Responsabilidades de seguridad de SiteGround.

7.1. Medidas de seguridad.

SiteGround aplicará y mantendrá medidas técnicas y organizativas para proteger los datos del cliente contra la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación o el acceso no autorizados, tal como se describe en el anexo 2 (las "medidas de seguridad"). Tal y como se describe en el Anexo 2, las Medidas de seguridad incluyen medidas para proporcionar una transmisión encriptada de los Datos del cliente fuera del entorno del Servicio; para ayudar a garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y Servicios de SiteGround; para ayudar a restaurar oportunamente DeepL a los Datos del cliente a partir de una copia de seguridad disponible, proporcionada por los Servicios de copia de seguridad de SiteGround o por la propia copia de seguridad del Cliente tras un incidente; y para comprobar periódicamente su eficacia. SiteGround podrá actualizar o modificar las Medidas de seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no supongan una degradación de la seguridad general de los Servicios.

7.2. Responsabilidades y evaluación de la seguridad del Cliente.

El Cliente acepta que, sin perjuicio de las obligaciones de SiteGround en virtud del Apartado 7 (Responsabilidades de seguridad de SiteGround) y de otras secciones relevantes de este APD:

7.2.1. El Cliente es el único responsable de su uso de los Servicios, incluyendo:

i. hacer un uso apropiado de los Servicios para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos del Cliente y al contenido de su cuenta de alojamiento;

ii. asegurar las credenciales de autentificación de la cuenta, los sistemas y los dispositivos que el Cliente utiliza para acceder a los Servicios;

iii. garantizar que todos los programas, scripts, addons, plugins y otro software instalado en su cuenta de alojamiento son seguros, están correctamente configurados y se mantienen con regularidad, y su uso no impone ningún riesgo de seguridad con respecto a los Datos del Cliente y la propia cuenta;

7.2.2. SiteGround no tiene ninguna obligación de proteger los Datos del Cliente que éste almacene o transfiera fuera de los sistemas de SiteGround y de sus Subcontratistas (por ejemplo, el almacenamiento fuera de línea o en las instalaciones), ni de proporcionar servicios de seguridad adicionales de pago, excepto en la medida en que SiteGround ofrezca y, respectivamente, el Cliente solicite y pague dichos servicios.

7.2.3. El Cliente es el único responsable de revisar la documentación y evaluar si los Servicios, las medidas de seguridad, los compromisos de SiteGround en cuanto a lo expuesto en este Apartado y los siguientes, satisfacen las necesidades del Cliente, incluiso las obligaciones de seguridad del Cliente en virtud del Reglamento de Protección de Datos aplicable.

7.2.4. El Cliente reconoce y acepta que (teniendo en cuenta los costes de implementación y la naturaleza, el alcance, el contexto y la finalidad del tratamiento de los datos del Cliente, así como los riesgos para las personas) las medidas de seguridad implementadas y mantenidas por SiteGround, tal y como se establece en el Apartado 7.1., proporcionan el nivel de seguridad necesario y adecuado al riesgo con respecto a los Datos del Cliente.

7.2.5. Es responsabilidad del Cliente hacer una copia de seguridad de los Datos del Cliente y de todos los datos y contenidos almacenados en su cuenta de alojamiento para evitar posibles pérdidas de datos. Los Servicios de copia de seguridad de SiteGround se proporcionan "tal cual" y están sujetos a todas las limitaciones de responsabilidad establecidas en el Acuerdo aplicable. En caso de pérdida o corrupción parcial o total de los datos y en caso de que el Cliente no esté satisfecho con el resultado de la restauración por parte de los Servicios de copia de seguridad de SiteGround o de que la copia de seguridad de SiteGround no sea reciente o adecuada para la restauración, será obligación del Cliente restaurar todos y cada uno de los datos y contenidos almacenados en su cuenta de alojamiento a partir de la propia copia de seguridad del Cliente.

8. Revisión y auditorías de cumplimiento.

En virtud del Reglamento aplicable en materia de protección de datos: 

1. El Cliente tiene derecho a verificar el cumplimiento por parte de SiteGround de sus obligaciones en virtud del presente APD, mediante la realización de una revisión de la documentación o una auditoría, llevada a cabo por el Cliente o por un auditor independiente designado por el Cliente, mediante una solicitud específica a SiteGround de forma escrita a la dirección establecida en las respectivas Condiciones de Servicio. 
2. Además, SiteGround responderá por escrito a todas las solicitudes razonables del Cliente y podrá cobrar una tarifa por cualquier revisión o auditoría. SiteGround proporcionará detalles de cualquier tarifa aplicable antes de cualquier auditoría y el Cliente será responsable de cualquier tarifa cobrada por cualquier auditor y cualquier tarifa asociada a la ejecución de una auditoría. Los informes de cualquier auditoría se pondrán a disposición de SiteGround sin restricciones de los fines para su uso posterior por parte de SiteGround.
3. SiteGround podrá oponerse y rechazar por escrito al Cliente o a un auditor designado por el Cliente para llevar a cabo cualquier auditoría si el Cliente o el auditor, en opinión razonable de SiteGround, no están debidamente cualificados o no son independientes, son competidores de SiteGround o son manifiestamente inadecuados.
4. Si SiteGround se niega a seguir cualquier instrucción solicitada por el Cliente o un auditor en relación con una auditoría o revisión debidamente solicitada y con alcance, el Cliente tendrá derecho a rescindir el presente APD y el Acuerdo.
5. Nada de lo dispuesto en la presente Apartado 8 (Revisión y auditorías de cumplimiento) varía o modifica algún derecho u obligación del Cliente o de SiteGround en virtud de las cláusulas contractuales estándar suscritas según lo descrito en el Apartado 5.

9.  Notificación de violaciones de la seguridad. 

9.1. SiteGround mantiene políticas y procedimientos de gestión de incidentes de seguridad y notificará al Cliente sin demora indebida tras tener conocimiento de la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos del Cliente, incluidos los datos del Cliente transmitidos, almacenados o procesados de otro modo por SiteGround o sus Subcontratistas, de los que SiteGround tenga conocimiento y que afecten a los derechos y libertades de cualquiera de los Sujetos de Datos ("Incidente de Datos del Cliente"). SiteGround se esforzará razonablemente por identificar la causa de dicho incidente con los datos del cliente y tomará las medidas que considere necesarias y razonables para remediar la causa de dicho incidente con los datos del cliente en la medida en que el remedio esté dentro del control razonable de SiteGround. Las obligaciones del presente documento no se aplicarán a los incidentes causados por el Cliente, el uso de los Servicios por parte del Cliente, las acciones o actividades del Cliente o los Usuarios del Cliente.

9.2. Las notificaciones realizadas en virtud de este Apartado describirán, en la medida de lo posible, los detalles del incidente con los datos del cliente, incluidas las medidas adoptadas para mitigar los posibles riesgos y las medidas que SiteGround recomienda al cliente para solucionar el incidente con los datos del cliente. 

9.3. La(s) notificación(es) de cualquier Incidencia de Datos del Cliente se enviará(n) a la Dirección de Correo Electrónico de Notificación o, a discreción de SiteGround, por comunicación directa (por ejemplo, por llamada telefónica). El Cliente es el único responsable de garantizar que la Dirección de correo electrónico de notificación y su información de contacto especificada en el Apartado "Detalles del perfil del propietario" de su Área de Cliente sean correctas y válidas.

9.4. SiteGround no evaluará el contenido de los Datos del Cliente para identificar información sujeta a cualquier requisito legal específico. El Cliente es el único responsable de cumplir con las leyes de notificación de incidentes aplicables al Cliente y de cumplir con cualquier obligación de notificación a terceros relacionada con cualquier Incidente de Datos del Cliente.

9.5. La notificación o la respuesta de SiteGround a un Incidente de Datos del Cliente en virtud de este Apartado 9 no se interpretará como un reconocimiento por parte de SiteGround de cualquier culpa o responsabilidad con respecto al Incidente de Datos del Cliente.

10. Responsabilidad e indemnización.

10.1. El Cliente indemnizará y mantendrá indemne a SiteGround con respecto a todas las infracciones de la protección de datos y las pérdidas sufridas o incurridas por, derivadas de o en relación con:

(a) cualquier incumplimiento por parte del Cliente de las Leyes y el Reglamento de Protección de Datos;

(b) cualquier incumplimiento por parte del Cliente de sus obligaciones en materia de protección de datos y otras obligaciones en virtud del presente APD y del Acuerdo; 

10.2. SiteGround será responsable de las infracciones y pérdidas en materia de protección de datos causadas por el tratamiento de los datos del Cliente únicamente en la medida en que se deriven directamente del incumplimiento por parte de SiteGround de sus obligaciones como responsable del tratamiento de datos en virtud de las leyes y reglamentos de protección de datos. La responsabilidad de SiteGround en virtud de la APD estará sujeta a las exclusiones y limitaciones de responsabilidad establecidas en el Acuerdo.

11. Terminación.

El presente APD entrará en vigor a partir de la Fecha Efectiva y durará hasta la fecha final de la prestación de los Servicios por parte de SiteGround en virtud del Acuerdo aplicable, incluyendo, en su caso, cualquier período durante el cual los Servicios puedan haber sido suspendidos y cualquier período posterior a la terminación (concretamente, un máximo de 60 días naturales) durante el cual SiteGround podrá seguir procesando los Datos del cliente con fines transitorios ("Plazo"). Nada de lo dispuesto en la presente Apartado 11 varía o modifica la obligación de SiteGround de retener algunos o todos los Datos del cliente en la medida en que sea necesario para cumplir con la legislación aplicable o con una orden válida y vinculante (como una citación o una orden judicial) de un organismo policial y/o de cualquier otra autoridad u organismo estatal competente. El APD se extinguirá automáticamente tras la finalización del Acuerdo y la eliminación de todos los Datos del Cliente por parte de SiteGround.

12. Efecto legal. Modificaciones.

12.1. En caso de conflicto o incoherencia entre los términos del presente APD y los del Acuerdo aplicable relacionado con el tratamiento de los Datos del cliente, prevalecerán los términos del presente APD. Para mayor claridad, si el Cliente ha suscrito más de un Acuerdo, el presente APD modificará cada uno de los Acuerdos por separado.

12.2. SiteGround podrá modificar los términos de este APD en cualquier momento. Si realizamos cambios materiales en el presente APD, te lo notificaremos aquí, por correo electrónico, o mediante un aviso a través de nuestro sitio web o de tu Área de Cliente, al menos diez (10) días naturales antes de que los cambios entren en vigor. Los cambios no materiales de esta APD tendrán efecto inmediato.

---

ANEXO 1:

CLÁUSULAS CONTRACTUALES TIPO

APARTADO I

Cláusula 1

Finalidad y ámbito de aplicación 

1. La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.

2. Las partes:

   1. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «exportador de datos»), y

   2. la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»),

han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»). 

3. El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo I.B. 

4. El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del pliego.

Cláusula 2

Efecto e invariabilidad de las cláusulas

1. El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados. 

2. El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Terceros beneficiarios

1. Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.

2. Cláusulas 1, 2, 3, 6 y 7.

2. Cláusula 8: cláusula 8.1, letra b), y cláusula 8.9, letras a), c), d) y e).

3. Cláusula 9: cláusula 9, letras a), c), d) y e).

4. Cláusula 12: cláusula 12, letras a), d) y f).

5. Cláusula 13.

6. Cláusula 15.1, letras c), d) y e).

7. Cláusula 16, letra e).

8. Cláusula 18: cláusula 18, letras a) y b).

9. Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.

Cláusula 4

Interpretación

1. Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.

2. El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.

3. El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679. 

Cláusula 5

Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6

Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.

Cláusula 7 (opcional)

Cláusula de incorporación

1. Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el anexo I.A.  

2. Una vez haya cumplimentado el apéndice y firmado el anexo I.A, la entidad que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en el anexo I.A.

3. La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.

APARTADO II: OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas. 

8.1. Instrucciones

1. El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante todo el período de vigencia del contrato.

4. El importador de datos informará inmediatamente al exportador de datos en caso de que no pueda seguir dichas instrucciones. 

8.2. Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B, salvo cuando siga instrucciones adicionales del exportador de datos. 

8.3. Transparencia 

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como las medidas descritas en el anexo II y datos personales, el exportador de datos podrá expurgar el texto del apéndice del presente pliego de cláusulas antes de compartir una copia, pero deberá aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada. La presente cláusula se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.  

8.4. Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará de ello al exportador de datos sin dilación indebida. En este caso, el importador de datos colaborará con el exportador de datos para suprimir o rectificar los datos.

8.5. Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo se realizará durante el período especificado en el anexo I.B. Una vez se hayan prestado los servicios de tratamiento, el importador de datos suprimirá, a petición del exportador de datos, todos los datos personales tratados por cuenta del exportador de datos y acreditará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. Lo anterior se entiende sin perjuicio de la cláusula 14 y, en particular, de la obligación que esta impone al importador de datos de informar al exportador de datos durante todo el período de vigencia del contrato si tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la cláusula 14, letra a). 

8.6. Seguridad del tratamiento

1. El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para los interesados. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional necesaria para atribuir los datos personales a un interesado específico quedará, en la medida de lo posible, bajo el control exclusivo del exportador de datos. Al cumplir las obligaciones que le impone el presente párrafo, el importador de datos aplicará, al menos, las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado. 

2. El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, la gestión y el seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. 

3. En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los efectos negativos. El importador de datos también lo notificará al exportador de datos sin dilación indebida una vez tenga conocimiento de la violación de la seguridad. Dicha notificación incluirá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), las consecuencias probables y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad, especialmente, en su caso, medidas para mitigar sus posibles efectos negativos. Cuando y en la medida en que no se pueda proporcionar toda la información al mismo tiempo, en la notificación inicial se proporcionará la información de que se disponga en ese momento y, a medida que se vaya recabando, la información adicional se irá proporcionando sin dilación indebida. 

4. El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7. Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8. Transferencias ulteriores

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Por otra parte, solo se podrán comunicar los datos a terceros situados fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») si el tercero está vinculado por el presente pliego de cláusulas o consiente a someterse a este, con elección del módulo correspondiente, o si: 

1. la transferencia ulterior va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior; 

2. el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;

3. si la transferencia ulterior es necesaria para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos; o

4. si la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.9. Documentación y cumplimiento

1. El importador de datos resolverá con presteza y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento con arreglo al presente pliego de cláusulas. 

2. Las partes deberán poder demostrar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen por cuenta del exportador de datos.

3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente pliego de cláusulas y, a instancia del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente pliego de cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza un examen o una auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.   

4. El exportador de datos podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías podrán consistir en inspecciones de los locales o instalaciones físicas del importador de datos y, cuando proceda, realizarse con un preaviso razonable. 

5. Las partes pondrán a disposición de la autoridad de control competente, a instancia de esta, la información a que se refieren las letras b) y c) y, en particular, los resultados de las auditorías.

Cláusula 9

Recurso a Subcontratistas

1. El importador de datos cuenta con una autorización general del exportador de datos para contratar a Subcontratistas que figuren en una lista acordada. El importador de datos informará al exportador de datos específicamente y por escrito de las adiciones o sustituciones de Subcontratistas previstas en dicha lista con al menos 10 días de antelación, de modo que el exportador de datos tenga tiempo suficiente para formular objeción a tales cambios antes de que se contrate al Subcontratista o Subcontratistas de que se trate. El importador de datos proporcionará al exportador de datos la información necesaria para que este pueda ejercer su derecho a formular objeción. 

2. Cuando el importador de datos recurra a un Subcontratista para llevar a cabo actividades específicas de tratamiento (por cuenta del exportador de datos), lo hará por medio de un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al importador de datos en virtud del presente pliego de cláusulas, especialmente en lo que se refiere a los derechos de los interesados en cuanto que terceros beneficiarios. Las Partes convienen que, al cumplir el presente pliego de cláusulas, el importador de datos también da cumplimiento a las obligaciones que le atribuye la cláusula 8.8. El importador de datos se asegurará de que el Subcontratista cumpla las obligaciones que le atribuya el presente pliego de cláusulas.

3. El importador de datos proporcionará al exportador de datos, a instancia de este, una copia del contrato con el Subcontratista y de cualquier modificación posterior del mismo. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar el texto del contrato antes de compartir la copia.

4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones que imponga al Subcontratista su contrato con el importador de datos. El importador de datos notificará al exportador de datos los incumplimientos por parte del Subcontratista de las obligaciones que le atribuye dicho contrato. 

5. El importador de datos pactará con el Subcontratista una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos desaparezca de facto, cese de existir jurídicamente o sea insolvente, el exportador de datos tendrá derecho a rescindir el contrato del Subcontratista y ordenar a este que suprima o devuelva los datos personales.

Cláusula 10

Derechos del interesado

1. El importador de datos notificará con presteza al exportador de datos las solicitudes que reciba del interesado. No responderá a dicha solicitud por sí mismo, a menos que el exportador de datos le haya autorizado a hacerlo.

2. El importador de datos ayudará al exportador de datos a cumplir sus obligaciones al responder a las solicitudes de ejercicio de derechos que el Reglamento (UE) 2016/679 atribuye a los interesados. A este respecto, las partes establecerán en el anexo II medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, por las que se garantice que se prestará ayuda al responsable a aplicar la presente cláusula, así como el objeto y el alcance de la ayuda requerida. 

3. En el cumplimiento de las obligaciones que le atribuyen las letras a) y b), el importador de datos seguirá las instrucciones del exportador de datos.

Cláusula 11

Reparación

1. El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados. 

2. En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.   

3. El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de: 

   1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 13;

   2. ejercitar una acción judicial en el sentido de la cláusula 18.

4. Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679. 

5. El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.

6. El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.

Cláusula 12

Responsabilidad

1. Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas. 

2. El importador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el importador de datos o su Subcontratista ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. 

3. A pesar de lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que el exportador de datos o el importador de datos (o su Subcontratista) ocasionen al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe por cuenta de un responsable, de la responsabilidad del responsable con arreglo al Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según cuál sea de aplicación.

4. Las partes acuerdan que, si el exportador de datos es considerado responsable, de conformidad con la letra c), de los daños o perjuicios causados por el importador de datos (o su Subcontratista), estará legitimado para exigir al importador de datos la parte de la indemnización que sea responsabilidad del importador de los datos.

5. Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.

6. Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra e), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.

7. El importador de datos no puede alegar la conducta de un Subcontratista del tratamiento para eludir su propia responsabilidad.

Cláusula 13

Supervisión

1. La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente.

2. El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.

APARTADO III: DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Derecho y prácticas del país que afectan al cumplimiento de las cláusulas

1. Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.

2. Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:

   1. las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos; 

   2. el Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables; 

   3. las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.

3. El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.

4. Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud.

5. El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a).

6. De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e).  

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1. Notificación

1. El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si: 

2. recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o

3. tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.

2. Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos. 

3. En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.). 

4. El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud. 

5. Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.

15.2. Control de la legalidad y minimización de datos

1. El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos.

2. El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud. 

3. El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.

APARTADO IV: DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las cláusulas y resolución del contrato

1. El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo. 

2. En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f).

3. El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:

   1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión; 

   2. el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o

   3. el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.

En este supuesto, informará a la autoridad de supervisión competente de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. 

4. Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos. El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país. 

5. Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679. 

Cláusula 17

Derecho aplicable

El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de los terceros beneficiarios. Las partes acuerdan que sea el Derecho del Reino de España.

Cláusula 18

Elección del foro y jurisdicción

1. Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.

2. Las partes acuerdan que sean los órganos jurisdiccionales del Reino de España.

3. Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual. 

4. Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.

---

Anexo I.A. LISTA DE PARTES

Exportador(es) de datos:

Nombre: [Nombre del cliente]

Dirección: [Dirección del cliente]

Nombre, cargo y datos de la persona de contacto: [Persona de contacto del cliente]

Actividades relevantes para los datos transferidos en virtud de estas cláusulas: El importador de datos presta los servicios al exportador de datos de conformidad con el Acuerdo.

Firma y fecha: 

........................................................................................................

Función: Responsable del tratamiento de datos.

Importador(es) de datos:

Nombre: SiteGround Spain S.L. 

Dirección: Calle de Prim 19, 28004 Madrid, España. Nombre, cargo y datos de contacto de la persona de contacto: Caberseg, Consultores y Auditores S.L.L., Responsable de Protección de Datos, dpo@siteground.es.

Actividades relacionadas con los datos transferidos en virtud de estas cláusulas: alojamiento y otros servicios

Firma y fecha: 

........................................................................................................

Función: Encargado del tratamiento

---

Anexo I.B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de Titulares de Datos cuyos datos personales se transfieren

Los datos personales se refieren a las categorías de Titulares de Datos definidos en el Apartado 2.3.4. del Acuerdo de Tratamiento de Datos.

Categorías de datos personales transferidos

Los datos personales se refieren a las categorías de datos definidas en el Apartado 2.3.5. del Acuerdo de Tratamiento de Datos.

Los datos sensibles transferidos (si procede) y las restricciones o salvaguardias aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos implicados, como por ejemplo la estricta limitación de la finalidad, las restricciones de acceso (incluido el acceso sólo para el personal que haya seguido una formación especializada), el mantenimiento de un registro de acceso a los datos, las restricciones para las transferencias posteriores o las medidas de seguridad adicionales.

El Cliente puede enviar Datos del Cliente durante su uso de los Servicios, cuyo alcance es determinado y controlado por el Cliente a su entera discreción, y que puede incluir categorías de datos sensibles. Para garantizar su protección, hemos adoptado diversas restricciones y salvaguardias, tales como medidas de seguridad, sistemas y controles de acceso a los datos, entre otros. Para información más detallada, véase el Anexo 2.

La frecuencia de las transferencias (por ejemplo, si los datos se transfieren de forma puntual o continua).

De forma continua.

Naturaleza del tratamiento.

La naturaleza del tratamiento se determina de acuerdo con el art. 2.3.3 de la APD.

Finalidad de la transferencia de datos y del tratamiento posterior.

La finalidad de la transferencia de datos y del tratamiento posterior es utilizar mejor la infraestructura de servidores de SiteGround, algunos de los cuales se encuentran fuera del EEE.

El período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período.

La duración del tratamiento se determina de acuerdo con el Art. 2.3.2 de la APD.

Para las transferencias a (sub)contratistas, especifique también el objeto, la naturaleza y la duración del tratamiento.

El objeto, la naturaleza y la duración del tratamiento se determinan con arreglo al artículo 2.3.1, 2.3.2 de la APD. 2.3.1, 2.3.2 y 2.3.3 de la APD, respectivamente.

---

Anexo I.C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

La autoridad de control competente es la Agencia Española de Protección de Datos.

---

Anexo 2: MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Medidas de seguridad

SiteGround aplica y mantiene medidas de seguridad técnicas y organizativas adecuadas para el tratamiento de los datos personales, incluidas las medidas establecidas en el presente Anexo 2 del Acuerdo de tratamiento de datos. Estas medidas tienen por objeto proteger los Datos Personales contra la pérdida, destrucción, alteración, divulgación o acceso accidentales o no autorizados, así como contra cualquier otra forma ilícita de Tratamiento. En el Acuerdo podrán especificarse medidas adicionales e información relativa a dichas medidas, incluidas las mismas y las prácticas de seguridad específicas para los Servicios concretos solicitados por el Cliente.

SiteGround podrá actualizar o modificar estas Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no supongan una degradación del nivel de la seguridad general de los Servicios. 

Las medidas de seguridad técnicas y organizativas aplicadas por SiteGround se ajustan a las Cláusulas Contractuales Tipo.

Personal y confidencialidad.

SiteGround tomará medidas razonables para garantizar que ninguna persona sea designada por SiteGround para procesar datos personales a menos que dicha persona

1. sea competente y esté cualificada para realizar las tareas específicas que le asigne SiteGround

2. haya sido autorizada por SiteGround; y

3. haya recibido instrucciones por pate de SiteGround sobre los requisitos pertinentes para el cumplimiento de las obligaciones de SiteGround en virtud de las presentes cláusulas, en particular de la finalidad limitada del tratamiento de datos.

4. El personal de SiteGround está obligado a comportarse de forma coherente con las directrices de la empresa en materia de confidencialidad, ética empresarial, uso adecuado y normas profesionales. SiteGround lleva a cabo comprobaciones de antecedentes razonablemente apropiadas en la medida en que lo permita la ley y de acuerdo con la legislación laboral local y las normativas legales aplicables. El personal está obligado a firmar un acuerdo de confidencialidad y debe acusar recibo y cumplir con las políticas de confidencialidad y privacidad de SiteGround. Se les proporciona la formación pertinente en materia de seguridad de la información y protección de datos, y el personal que maneja los datos de los clientes debe cumplir requisitos adicionales adecuados a su función. 

Seguridad física 

SiteGround utiliza centros de datos distribuidos geográficamente y almacena todos los datos de producción en centros de datos físicamente seguros. Los centros de datos de producción de los Subcontratistas de SiteGround emplean medidas para asegurar el acceso a los sistemas de procesamiento de datos. Disponen de un sistema de acceso que controla el acceso al centro de datos. Este sistema permite que sólo el personal autorizado tenga acceso a las zonas seguras. Las instalaciones están diseñadas para resistir las inclemencias del tiempo y otras condiciones naturales razonablemente predecibles, están protegidas por guardias las 24 horas del día, monitorización por CCTV (Cículo Cerrado de Televisión), control de acceso y acceso controlado por escolta, y también cuentan con generadores de reserva in situ en caso de fallo de energía.

Los sistemas de energía eléctrica de los centros de datos están diseñados para ser redundantes y poder ser mantenidos sin que ello afecte a las operaciones continuas las 24 horas del día. En la mayoría de los casos, se proporciona una fuente de energía primaria y otra alternativa para los componentes críticos de la infraestructura del centro de datos. La energía de reserva la proporcionan varios mecanismos, como las baterías de los sistemas de alimentación ininterrumpida (SAI) o los generadores diésel, que son capaces de proporcionar un suministro de energía eléctrica de emergencia o una protección de energía fiable durante las caídas de tensión de la red eléctrica, los apagones, la sobretensión, la baja tensión y las condiciones de frecuencia fuera de tolerancia.

Los sistemas de infraestructura han sido diseñados para eliminar los puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Los equipos e instalaciones de producción de SiteGround Subprocessor cuentan con procedimientos documentados de mantenimiento preventivo que detallan el proceso y la frecuencia de actuación de acuerdo con las especificaciones del fabricante o internas. El mantenimiento preventivo y correctivo de los equipos del centro de datos se programa a través de un proceso de cambio estándar según procedimientos documentados.

Control de acceso al sistema

Los servidores de SiteGround utilizan una implementación basada en Linux personalizada para los Servicios. SiteGround emplea un proceso de revisión para aumentar la seguridad de los sistemas operativos utilizados para prestar los Servicios y mejorar los productos de seguridad en los entornos de producción.

SiteGround tiene, y mantiene, un conjunto de políticas de seguridad de la información para su personal. El personal de infraestructura, desarrollo y soporte de SiteGround es responsable de la supervisión continua de la seguridad de la infraestructura de SiteGround, la revisión de los Servicios y la respuesta a los incidentes de seguridad.

Las políticas y procesos internos de control de acceso de SiteGround están diseñados para evitar que personas y/o sistemas no autorizados accedan a los sistemas utilizados para procesar los datos de los clientes, incluidos los datos personales. SiteGround pretende diseñar sus sistemas para: (i) permitir únicamente a las personas autorizadas el acceso a los datos a los que están autorizados a acceder; y (ii) garantizar que los datos personales no puedan ser leídos, copiados, alterados o eliminados sin autorización durante su procesamiento, uso y después de su registro. SiteGround emplea un sistema de gestión de acceso para controlar el acceso del personal a los servidores de producción, y sólo permite el acceso al personal autorizado. En función de los servicios solicitados, se pueden aplicar, entre otros, los siguientes controles: autenticación mediante contraseñas y/o autenticación de dos factores, claves SSH, procesos de autorización, procesos de gestión de cambios, el acceso lógico a los centros de datos está restringido y protegido por firewall/VLAN, registro y supervisión del acceso en varios niveles. La concesión o modificación de los derechos de acceso se basa en: las responsabilidades del trabajo del personal autorizado; los requisitos del trabajo necesarios para realizar las tareas autorizadas; y una estricta necesidad de saber. La concesión o modificación de los derechos de acceso también debe estar de acuerdo con las políticas internas de acceso a los datos de SiteGround. 

Control de acceso a los servicios

Los clientes deben autenticarse a través de un sistema de autenticación para poder utilizar los Servicios. Cada aplicación comprueba las credenciales para permitir la visualización de los datos al Cliente.

En función de los Servicios solicitados, se pueden aplicar, entre otros, los siguientes controles: autenticación mediante contraseñas y/o autenticación de dos factores, claves SSH, procesos de autorización, procesos de gestión de cambios y registro de acceso en varios niveles. En función de los servicios solicitados, también pueden aplicarse los siguientes controles: atribución de identificadores únicos a la persona responsable, mecanismos de revocación del acceso en caso de intentos fallidos consecutivos de inicio de sesión y períodos de bloqueo, mecanismos de caducidad y restablecimiento de la contraseña, requisitos de complejidad de la contraseña.

Control de acceso a los datos 

SiteGround almacena los datos en un entorno multi-tenant, lo que significa que los despliegues de múltiples clientes se almacenan en el mismo hardware físico. SiteGround utiliza el aislamiento lógico para segregar los datos de cada cliente y separa lógicamente los datos de cada cliente de los de los demás. Esto proporciona la escala al tiempo que evita rigurosamente que los clientes accedan a los datos de los demás.

El Cliente dispone de controles específicos para compartir el acceso a los datos a los Usuarios Finales con fines específicos de acuerdo con la funcionalidad de los Servicios. El Cliente puede optar por hacer uso de estos controles. SiteGround pone a disposición cierta capacidad de registro.

El acceso directo a los datos del cliente está restringido y, en caso de que se requiera, los derechos de acceso se establecen y aplican únicamente al personal debidamente autorizado, además de las normas de control de acceso establecidas en las secciones anteriores. 

Control de la transmisión

Los centros de datos suelen estar conectados a través de enlaces privados de alta velocidad para proporcionar una transferencia de datos segura y rápida entre los centros de datos. Esto está diseñado para evitar que los datos sean leídos, copiados, alterados o eliminados sin autorización durante la transferencia o el transporte electrónico o mientras se graban en medios de almacenamiento de datos o se intercambian dentro del centro de datos. 

Para los datos en tránsito, SiteGround utiliza protocolos de transporte estándar del sector, como SSL y TLS, entre los dispositivos del Cliente y los Servicios y centros de datos de SiteGround, y dentro de los propios centros de datos. Salvo que se especifique lo contrario para los Servicios (incluso dentro del Pedido, el Acuerdo aplicable o la documentación del Usuario de los Servicios), las transmisiones de datos fuera del entorno del Servicio están encriptadas. Algunas funcionalidades de los Servicios pueden permitir al Cliente elegir comunicaciones no cifradas en su uso del Servicio. El Cliente es el único responsable de los resultados de su decisión de utilizar dichas comunicaciones o transmisiones no cifradas.

Control de entrada

El origen de los Datos Personales está bajo el control del Cliente, y la integración de los Datos Personales en el sistema, se gestiona mediante la transferencia segura de archivos, a través de servicios web o introducidos en la aplicación desde el Cliente. Tal y como se establece en el apartado Control de la Transmisión, algunas funcionalidades de los Servicios permiten al Cliente utilizar protocolos de transferencia de archivos no cifrados. En estos casos, el Cliente es el único responsable de su decisión de utilizar dichos protocolos de transferencia de campo no cifrados. 

Los Servicios no introducirán ningún virus en los Datos del Cliente; sin embargo, los Servicios no escanean en busca de virus que pudieran estar incluidos en los archivos adjuntos u otros Datos Personales cargados en los Servicios por el Cliente. Dichos archivos adjuntos cargados no se ejecutarán en los Servicios y, por lo tanto, no dañarán ni comprometerán el Servicio.

Control de la red

SiteGround bloquea el tráfico no autorizado hacia y dentro de los centros de datos utilizando una variedad de tecnologías como cortafuegos, NATs, redes de área local particionadas y separación física de los servidores back-end de las interfaces de cara al público.

SiteGround emplea múltiples capas de dispositivos de red y detección de intrusos para proteger su superficie de ataque externa. SiteGround tiene en cuenta los posibles vectores de ataque e incorpora las tecnologías apropiadas en los sistemas de cara al exterior.

SiteGround y el personal autorizado supervisarán los servicios para detectar intrusiones no autorizadas utilizando mecanismos de detección de intrusiones basados en la red. La detección de intrusos tiene como objetivo proporcionar una visión de las actividades de ataque en curso y proporcionar información adecuada para responder a los incidentes. La detección de intrusiones de SiIteGround implica un control estricto de la superficie de ataque de las comunicaciones de la red a través de medidas preventivas como cortafuegos, empleando controles de detección inteligentes en los puntos de entrada de datos y empleando tecnologías que remedien automáticamente ciertas situaciones peligrosas.

Respuesta a incidentes

SiteGround mantiene políticas y procedimientos de gestión de incidentes de seguridad y supervisa una variedad de canales de comunicación para incidentes de seguridad. El personal de SiteGround reaccionará con prontitud ante los incidentes conocidos y notificará sin demora al Cliente en caso de que SiteGround tenga conocimiento de una divulgación real o razonablemente sospechosa de Datos Personales no autorizada.

Registros del sistema

SiteGround se asegura de que los sistemas de procesamiento utilizados para almacenar los Datos del Cliente registren la información en sus respectivas instalaciones de registro del sistema. Las entradas de registro se mantienen y almacenan en caso de que haya sospechas de acceso inapropiado y se requiera un análisis. Los registros se guardan de forma segura para evitar su manipulación.

Fiabilidad y copia de seguridad

Para los Servicios, SiteGround garantiza que se realicen copias de seguridad de forma regular. Las copias de seguridad se protegen mediante una combinación de controles técnicos y físicos. 

SiteGround garantiza que los sistemas en los que se almacenan los datos del cliente cuentan con una instalación de recuperación de desastres y se rigen por un plan de recuperación de desastres. En el caso de que las instalaciones de producción dejen de estar disponibles, SiteGround ejecutará los planes de recuperación para restablecer el funcionamiento de manera oportuna. SiteGround ha diseñado y planifica y prueba regularmente sus planes de recuperación de desastres.

Destrucción de datos

Cuando los Clientes borran datos o dejan de ser clientes del Servicio, SiteGround se asegura de que los datos se eliminen según los términos del Acuerdo aplicable. Los centros de datos de los subcontratistas de SiteGround emplean procedimientos estrictos para la reutilización, la redistribución, la destrucción de datos y el desmantelamiento de discos y hardware.

Seguridad en cuanto a los Subcontratistas.

Antes de incorporar a los Subcontratistas, SiteGround lleva a cabo la debida diligencia de las prácticas de seguridad y privacidad de los Subcontratistas para garantizar que estos proporcionan un nivel de seguridad y privacidad adecuado a su acceso a los datos y al alcance de los servicios que se les contrata. El Subcontratista del tratamiento debe suscribir las condiciones contractuales adecuadas en materia de seguridad, confidencialidad y privacidad.

Cambios y mejoras del sistema

SiteGround podrá mejorar e implementar cambios en los Servicios durante la vigencia del Acuerdo. Los controles de seguridad, los procedimientos, las políticas y las características pueden cambiar o añadirse. SiteGround proporcionará controles de seguridad que ofrezcan un nivel de protección de la seguridad que no sea sustancialmente inferior al proporcionado en la fecha de entrada en vigor.

---

Anexo 3: Lista de Subcontratistas

 

Disponible a petición.

---

Anexo 4: Acuerdo Internacional de Transferencia de Datos

Este Acuerdo Internacional de Transferencia de Datos (AITD) ha sido emitido por el Comisionado de Información para las partes que realizan transferencias restringidas. El Comisario de Información considera que proporciona las garantías adecuadas para las transferencias restringidas cuando se celebra como un contrato legalmente vinculante.

Parte 1: Cuadros

Tabla 1: Partes y firmas

Fecha de inicio	Desde el momento en que el Exportador (Administrados) entra en relación con el Importador (Procesador)
Las Partes	Exportador (el que envía la Transferencia Restringida)	Importador (el que recibe la Transferencia Restringida)
Datos de las Partes	Cliente de SiteGround, residente del Reino Unido	SiteGround Spain S.L.    Domicilio Social      Calle de Prim 19, 28004 Madrid, España Número NIF: B87194171
Contacto clave	- Tal y como está descrito en el  Apartado "Detalles del perfil del propietario" en el área de clientes	Caberseg, Consultores y Auditores S.L.L., Responsable de la protección de datos, dpo@siteground.es.
Importador Titular de Datos		Caberseg, Consultores y Auditores S.L.L., Responsable de la protección de datos, dpo@siteground.es.
Firmas que confirman que cada una de las Partes está de acuerdo con el presente ATID	Se considera firmada en el momento de la aceptación del Acuerdo de Procesamiento de Datos.	Se considera firmado en el momento de su publicación en el sitio web de SiteGround..

Tabla 2: Detalles de la transferencia

La ley del país del Reino Unido que rige el ADIT	Inglaterra y Gales
Lugar principal para las reclamaciones legales de las Partes	Inglaterra y Gales
El estatus del exportador en relación con el tratamiento de los datos transferidos:	El exportador es un controlador, un contratista o un subcontratista
El estatuto del Importador	En relación con el Tratamiento de los Datos Transferidos:
Si el RGPD del Reino Unido se aplica al importador	El RGPD del Reino Unido se aplica al tratamiento de los datos transferidos por el importador cuando los Titulares de los Datos están en el Reino Unido
Acuerdos vinculados	Si el Importador es el Contratista Encargado del Tratamiento o Subcontratista del Exportador - el acuerdo o acuerdos entre las Partes que establecen las instrucciones del Encargado o Subencargado del Tratamiento de los Datos Transferidos: Nombre del acuerdo: Acuerdo de Procesamiento de Datos (APD). Fecha del acuerdo: La fecha de entrada en vigor especificada en el APD. Partes que contraen acuerdo: Los clientes de SiteGround y SiteGround.
Plazo	El importador podrá tratar los datos transferidos durante el siguiente período de tiempo el período de vigencia del Acuerdo Vinculado
Finalización del ADIT antes de la finalización del Plazo	Las Partes no pueden finalizar el ADIT antes de la finalización del Plazo, a menos que se produzca un incumplimiento del ADIT o que las Partes lo acuerden por escrito.
Finalización del ADIT cuando cambia el ADIT Aprobado	Las Partes pueden finalizar el ADIT según lo establecido en la Sección 29.2: Importador.
¿Puede el importador realizar más transferencias de los datos transferidos?	El Importador PUEDE transferir los Datos Transferidos a otra organización o persona (que sea una entidad legal diferente) de acuerdo con el Apartado 16.1 (Transferencia de los Datos Transferidos).
Restricciones específicas cuando el Importador puede transferir los Datos Transferidos?	No hay restricciones específicas. .
Fechas de revisión	Las Partes deben revisar los Requisitos de Seguridad al menos una vez al año o cada vez que haya un cambio en los Datos Transferidos, los Fines, la Información del Importador, la TRA o la evaluación de riesgos.

Tabla 3: Datos transferidos

Datos Transferidos	Las categorías de Datos Transferidos se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado al que se hace referencia.  Los datos personales se refieren a las categorías de datos definidas en la sección 2.3.5. del Acuerdo Vinculado. El Cliente puede enviar Datos del Cliente en el curso de su uso de los Servicios, cuyo alcance es determinado y controlado por el Cliente a su entera discreción, y que puede incluir categorías de datos sensibles. Para garantizar su protección, hemos adoptado diversas restricciones y salvaguardias, como medidas de seguridad, sistemas y controles de acceso a los datos, entre otros. Para una información más detallada, véase el Anexo 2.
Categorías especiales de datos personales y condenas e infracciones penales	El Cliente podrá transferir todo tipo de datos sensibles a su entera discreción cuando utilice los servicios, y el Importador aplicará restricciones o salvaguardias que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso sólo para el personal que haya seguido una formación especializada), el mantenimiento de un registro de acceso a los datos, las restricciones para las transferencias ulteriores o las medidas de
Titulares de los Datos	Los Titulares de los datos transferidos son: Las categorías de los Titulares de los Datos se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado referido.  Los datos personales se refieren a las categorías de Titulares de datos definidas en la sección 2.3.4. del Acuerdo Vinculado.
Finalidad	El Importador podrá tratar los datos transferidos para los fines establecidos en el acuerdo vinculado.  Los fines se actualizarán automáticamente si la información se actualiza en el Acuerdo Vinculado mencionado.

Cuadro 4: Requisitos de seguridad

Seguridad de la transmisión	Según lo establecido en el Anexo 2 del Acuerdo Vinculado.
Seguridad de almacenamiento	Según lo establecido en el Anexo 2 del Acuerdo Vinculado.
Seguridad del tratamiento	Según lo establecido en el Anexo 2 del Acuerdo de vinculación.
Medidas de seguridad organizativa	Según lo establecido en el Anexo 2 del Acuerdo Vinculado.
Requisitos mínimos de seguridad técnica.	Según lo establecido en el Anexo 2 del Acuerdo Vinculado.
Actualizaciones de los requisitos de seguridad	Los requisitos de seguridad se actualizarán automáticamente si la información se actualiza en el acuerdo vinculado al que se hace referencia.

Parte 2: Cláusulas de protección adicional

Cláusulas de protección adicional:	Según lo establecido en el Convenio Vinculado y su Anexo 2.
(i) Protecciones extra de seguridad técnica	Según lo establecido en el Convenio Vinculado y su Anexo 2.
(ii) Protecciones organizativas adicionales	Según lo establecido en el Acuerdo Vinculado y su Anexo 2.
(iii) Protecciones contractuales adicionales

Parte 3: Cláusulas comerciales

Cláusulas comerciales

Como se establece en el Acuerdo Vinculado.

Parte 4: Cláusulas obligatorias

Información que le ayuda a entender este ADIT

1. Este ADIT y los Acuerdos Vinculados

1.1 Cada una de las Partes se compromete a respetar los términos y condiciones establecidos en el ADIT, a cambio de que la otra Parte también acepte respetar el ADIT.

1.2 Este ADIT está compuesto por:

1.2.1 Primera parte: Tablas;

1.2.2 Segunda parte: Cláusulas de protección adicional;

1.2.3 Tercera parte: Cláusulas comerciales; y

1.2.4 Cuarta parte: Cláusulas Obligatorias.

1.3 El ADIT comienza en la Fecha de Inicio y termina según lo establecido en los Apartados 29 o 30.

1.4 Si el Importador es un Encargado del Tratamiento o Subcontratista del Tratamiento instruido por el Exportador: el Exportador debe asegurarse de que, en la Fecha de Inicio o antes y durante la Vigencia, exista un Acuerdo Vinculado que sea exigible entre las Partes y que cumpla con el artículo 28 del RGPD del Reino Unido (y que se asegurarán de que siga cumpliendo con el artículo 28 del RGPD del Reino Unido).

1.5 Las referencias al Acuerdo Vinculado o a las Cláusulas Comerciales se refieren a ese Acuerdo Vinculado o a esas Cláusulas Comerciales solo en la medida en que sean coherentes con las Cláusulas Obligatorias.

2. Significado legal de las palabras

2.1 Si una palabra comienza con una letra mayúscula, tiene el significado específico establecido en el Glosario Jurídico del Apartado 36.

2.2 Para facilitar la lectura y la comprensión, este ADIT contiene títulos y notas orientativas. Estos no forman parte del contrato vinculante que constituye el ADIT.

3. Se ha proporcionado toda la información requerida

3.1 Las Partes deben asegurarse de que la información contenida en la Primera Parte: Cuadros es correcta y completa en la Fecha de Inicio y durante el Plazo.

3.2 En la Tabla 2: Detalles de la Transferencia, si la selección de que las Partes son Controladores, Procesadores o Subcontratistas es incorrecta (ya sea por una cuestión de hecho o como resultado de la aplicación de las Leyes de Protección de Datos del Reino Unido) entonces

3.2.1 se aplicarán los términos y condiciones del ADIT aprobado que se aplican a la opción correcta que no se seleccionó; y

3.2.2 las Partes y los Titulares de Datos Relevantes tienen derecho de aplicar los términos y condiciones del ADIT Aprobado que se aplican a esa opción correcta.

3.3 En la Tabla 2: Detalles de la transferencia, si la selección de que se aplica el RGPD del Reino Unido es incorrecta (ya sea por una cuestión de hecho o como resultado de la aplicación de las leyes de protección de datos del Reino Unido), entonces los términos y condiciones del ADIT seguirán aplicándose en la mayor medida posible.

4. Cómo firmar el ADIT

4.1 Las Partes pueden optar por firmar (o ejecutar) cada una de ellas

4.1.1 la misma copia de este ADIT;

4.1.2 dos copias del ADIT. En ese caso, cada copia idéntica sigue siendo un original de este ADIT, y en conjunto todas esas copias forman un acuerdo;

4.1.3 una copia separada e idéntica del ADIT. En ese caso, cada copia idéntica sigue siendo un original de este ADIT, y juntas todas esas copias forman un acuerdo,

a menos que firmar (o ejecutar) de esta manera signifique que el ADIT no sea vinculante para las Partes según las Leyes Locales.

5.  Modificación del ADIT

5.1 Cada una de las Partes no debe modificar las Cláusulas Obligatorias establecidas en el ADIT aprobado, excepto:

5.1.1 para asegurar una correcta referencia cruzada: las referencias cruzadas de la Primera Parte: Tablas (o cualquier Tabla), Parte dos: Protecciones adicionales, y/o la Parte tres: Cláusulas Comerciales pueden ser modificadas cuando las Partes hayan establecido la información en un formato diferente, de manera que la referencia cruzada sea a la ubicación correcta de la misma información, o cuando las cláusulas hayan sido eliminadas por no ser aplicables, como se establece a continuación;

5.1.2 suprimir las secciones que se declaran expresamente no aplicables a las selecciones realizadas por las Partes en el Tabla 2: Detalles de la transferencia, que las Partes son Responsables del tratamiento, Encargados del tratamiento o Subcontratistas del tratamiento y/o que el Importador está sujeto o no al RGPD del Reino Unido. El Exportador y el Importador entienden y reconocen que cualquier Apartado eliminada puede seguir siendo aplicable y formar parte de este ADIT si se ha eliminado de forma incorrecta, incluso porque se ha hecho una selección errónea en la Tabla 2: Detalles de la transferencia;

5.1.3 para que el ADIT funcione como un acuerdo multipartito si hay más de dos Partes en el ADIT. Esto puede incluir la designación de una o varias Partes principales que puedan tomar decisiones en nombre de algunas o todas las demás Partes relacionadas con este ADIT (incluyendo la revisión de la Tabla 4: Requisitos de Seguridad y la Parte dos: Cláusulas de protección adicional, y la realización de actualizaciones de la Parte primera: Tablas (o cualquier Tabla), Parte dos: Cláusulas de Protección Extra, y/o la Parte tres: Cláusulas comerciales); y/o

5.1.4 actualizar el ADIT para establecer por escrito cualquier cambio realizado en el ADIT aprobado en virtud de el Apartado 5.4, si las Partes lo desean. Los cambios se aplicarán automáticamente sin necesidad de actualizarlos como se describe en el Apartado 5.4;

siempre que los cambios no reduzcan las Salvaguardas Adecuadas.

5.2 Si las Partes desean cambiar el formato de la información incluida en la Primera Parte: Tablas, en la Segunda Parte: Cláusulas de Protección Adicional o la Parte tres: Cláusulas Comerciales del ADIT Aprobado, podrán hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las Salvaguardas Adecuadas.

5.3 Si las Partes desean cambiar la información incluida en la Primera Parte: Tablas, la Segunda Parte: Cláusulas de Protección Adicional o en la Parte tres: Cláusulas Comerciales de este ADIT (o la información equivalente), podrán hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las Salvaguardas Adecuadas.

5.4 De vez en cuando, el ICO podrá publicar una ADIT revisada que

5.4.1 introduzca cambios razonables y proporcionados en el ADIT aprobado, incluida la corrección de errores en el ADIT aprobado; y/o

5.4.2 refleje los cambios en las leyes de protección de datos del Reino Unido.

El ADIT aprobado revisado especificará la fecha de inicio a partir de la cual los cambios en el ADIT aprobado son efectivos y si se requiere una fecha de revisión adicional como resultado de los cambios.

Este ADIT se modifica automáticamente según lo establecido en el ADIT aprobado revisado a partir de la fecha de inicio especificada.

6. Comprensión de este ADIT

6.1 Este ADIT debe interpretarse siempre de forma coherente con las leyes de protección de datos del Reino Unido y de forma que cumpla con la obligación de las Partes de proporcionar las garantías adecuadas.

6.2 Si hay alguna incoherencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y este ADIT, se aplicarán las Leyes de Protección de Datos del Reino Unido.

6.3 Si el significado del ADIT no está claro o hay más de un significado, se aplicará el que más se ajuste a las Leyes de Protección de Datos del Reino Unido.

6.4 Ninguna de las disposiciones del ADIT (incluidas las Cláusulas Comerciales o el Acuerdo Vinculado) limita o excluye la responsabilidad de cualquiera de las Partes ante los Sujetos de Datos Relevantes o ante la ICO en virtud de el presente ADIT o de las Leyes de Protección de Datos del Reino Unido.

6.5 Si algún texto de las Partes primera, segunda o tercera contradice las Cláusulas Obligatorias, y/o pretende limitar o excluir cualquier responsabilidad ante los Sujetos de Datos Relevantes o ante la OIC, dicho texto no será aplicable.

6.6 Las Partes podrán incluir disposiciones en el Acuerdo Vinculado que proporcionen a las Partes derechos ampliados que de otro modo estarían cubiertos por el presente ADIT. Estos derechos ampliados podrán estar sujetos a condiciones comerciales, incluido el pago, en virtud del Acuerdo Vinculado, pero ello no afectará a los derechos concedidos en virtud del presente ADIT.

6.7 En caso de incoherencia o conflicto entre el presente ADIT y un Acuerdo Vinculado o cualquier otro acuerdo, el presente ADIT prevalece sobre dicho Acuerdo Vinculado o cualquier otro acuerdo, incluso si dichos acuerdos han sido negociados por las Partes. Las excepciones a esto son cuando (y en la medida en que)

6.7.1 los términos inconsistentes o conflictivos del Acuerdo Vinculado u otro acuerdo proporcionen una mayor protección de los derechos del Interesado relevante, en cuyo caso dichos términos prevalecerán sobre el ADIT; y

6.7.2 una Parte actúa como Encargado del Tratamiento y las condiciones incoherentes o contradictorias del Acuerdo Vinculado son obligaciones de esa Parte exigidas expresamente por el artículo 28 del RGPD del Reino Unido, en cuyo caso dichas condiciones prevalecerán sobre las condiciones incoherentes o contradictorias del ADIT en relación con el Tratamiento realizado por esa Parte como Encargado del Tratamiento.

6.8 Las palabras "incluye", "incluye", "incluyendo", "en particular" se utilizan para establecer ejemplos y no para establecer una lista finita.

6.9 Las referencias a:

6.9.1 palabras o personas en singular o plural, también incluyen el plural o el singular de esas palabras o personas;

6.9.2 legislación (o disposiciones específicas de la legislación) significa esa legislación (o disposición específica) tal y como puede cambiar con el tiempo. Esto incluye cuando esa legislación (o disposición específica) ha sido consolidada, promulgada de nuevo y/o sustituida después de la firma de este ADIT; y

6.9.3 cualquier obligación de no hacer algo, incluye la obligación de no permitir o hacer que esa cosa sea hecha por otra persona.

7. Qué leyes se aplican a este ADIT

7.1 Este ADIT se rige por las leyes del país del Reino Unido que figuran en la Tabla 2: Detalles de la transferencia. Si no se ha hecho ninguna selección, se trata de las leyes de Inglaterra y Gales. Esto no se aplica a el Apartado 35, que siempre se rige por las leyes de Inglaterra y Gales.

Cómo proporciona este ADIT las salvaguardias adecuadas

8. Las salvaguardias apropiadas

8.1 El objetivo de este ADIT es garantizar que los datos transferidos tengan las salvaguardas adecuadas cuando sean procesados por el importador durante el plazo de vigencia. Esta norma se cumple cuando y mientras:

8.1.1 ambas partes cumplan con el ADIT, incluyendo los Requisitos de Seguridad y cualquier Cláusula de Protección Extra; y

8.1.2 los Requisitos de Seguridad y cualquier Cláusula de Protección Extra proporcionen un nivel de seguridad adecuado al riesgo de que se produzca una Violación de Datos Personales y al impacto de dicha Violación de Datos Personales en los Sujetos de Datos Relevantes, incluyendo la consideración de cualquier Dato de Categoría Especial dentro de los Datos Transferidos.

8.2 El exportador debe

8.2.1 garantizar y demostrar que este ADIT (incluyendo cualquier requisito de seguridad y cláusulas de protección adicional) proporciona las salvaguardias adecuadas; y

8.2.2 (si el importador lo solicita razonablemente) proporcionarle una copia de cualquier TRA.

8.3 El Importador deberá

8.3.1 antes de recibir cualquier Dato Transferido, proporcionar al Exportador toda la información pertinente sobre las Leyes y prácticas locales y las protecciones y riesgos que se aplican a los Datos Transferidos cuando son procesados por el Importador, incluyendo cualquier información que pueda ser razonablemente requerida para que el Exportador lleve a cabo cualquier TRA (la "Información del Importador");

8.3.2 cooperar con el exportador para garantizar el cumplimiento de las obligaciones del exportador en virtud de las leyes de protección de datos del Reino Unido;

8.3.3 revisar si la Información del Importador ha cambiado, y si las Leyes Locales contradicen sus obligaciones en este ADIT y tomar medidas razonables para verificar esto, de forma regular. Estas revisiones deben ser al menos tan frecuentes como las Fechas de Revisión; y

8.3.4 informar al Exportador tan pronto como tenga conocimiento de cualquier cambio en la Información del Importador, y/o de cualquier ley local que pueda impedir o limitar el cumplimiento de las obligaciones del Importador en este ADIT. Esta información forma entonces parte de la Información del Importador.

8.4 El Importador debe garantizar que en la Fecha de Inicio y durante la Vigencia

8.4.1 la Información del Importador es exacta;

8.4.2 ha tomado medidas razonables para verificar si existe alguna Ley Local que contradiga sus obligaciones en este ADIT o cualquier información adicional relativa a las Leyes Locales que pueda ser relevante para este ADIT.

8.5 Cada una de las Partes debe garantizar que los Requisitos de Seguridad y las Cláusulas de Protección Adicional proporcionen un nivel de seguridad adecuado al riesgo de que se produzca una violación de los datos personales y al impacto de dicha violación en los Sujetos de Datos Relevantes.

9.       Revisiones para garantizar la continuidad de las Salvaguardias Adecuadas

9.1 Cada parte debe:

9.1.1 revisar este ADIT (incluyendo los Requisitos de Seguridad y las Cláusulas de Protección Adicional y la Información del Importador) a intervalos regulares, para garantizar que el ADIT sigue siendo precisa y está actualizada y continúa proporcionando las Salvaguardias Adecuadas. Cada Parte llevará a cabo estas revisiones con la misma frecuencia que las Fechas de Revisión pertinentes o antes; e

9.1.2 informará a la otra parte por escrito tan pronto como tenga conocimiento de que cualquier información contenida en este ADIT, en cualquier TRA o en la Información del Importador ha dejado de ser exacta y actualizada.

9.2 Si, en cualquier momento, el ADIT ya no proporciona las Salvaguardas Adecuadas, las Partes deberán Sin Demora Indebida

9.2.1 Detener las transferencias y el Procesamiento de los Datos Transferidos mientras se acuerda un cambio en las Tablas. El Importador podrá conservar una copia de los Datos Transferidos durante esta pausa, en cuyo caso el Importador deberá llevar a cabo cualquier Tratamiento necesario para mantener, en la medida de lo posible, las medidas que estaba tomando para lograr las Salvaguardias Adecuadas antes del momento en que el ADIT dejara de proporcionar las Salvaguardias Adecuadas, pero ningún otro Tratamiento;

9.2.2 acordar un cambio en la primera parte: Cuadros o Parte dos: Cláusulas de Protección Adicional que mantendrán las Salvaguardas Adecuadas (de acuerdo con el Apartado 5); y

9.2.3 cuando un cambio en la Parte uno: Cuadros o Parte dos: Cláusulas de Protección Extra que mantenga las Salvaguardias Adecuadas no se pueda acordar, el Exportador deberá poner fin a este ADIT mediante notificación por escrito al Importador.

10.   10. La OIC

10.1 Cada una de las partes se compromete a cumplir con cualquier solicitud razonable realizada por el ICO en relación con este ADIT o su tratamiento de los datos transferidos.

10.2 El exportador proporcionará una copia de cualquier TRA, de la información del importador y de este ADIT al ICO, si éste lo solicita.

10.3 El importador proporcionará una copia de cualquier información del importador y de este ADIT al ICO, si éste lo solicita.

El Exportador

11.   Obligaciones del exportador

11.1 El exportador acepta que las leyes de protección de datos del Reino Unido se aplican al tratamiento de los datos transferidos, incluida su transferencia al importador.

11.2 El Exportador debe:

11.2.1 cumplir con las Leyes de Protección de Datos del Reino Unido al transferir los Datos Transferidos al Importador;

11.2.2 cumplir con el Acuerdo Vinculado en lo que respecta a la transferencia de los Datos Transferidos al Importador; y

11.2.3 llevar a cabo comprobaciones razonables sobre la capacidad del importador para cumplir con este ADIT, y tomar las medidas oportunas, incluso en virtud de el Apartado 9.2, el Apartado 29 o el Apartado 30, si en algún momento considera que el importador ya no puede cumplir con este ADIT o proporcionar las Salvaguardas Adecuadas.

11.3 El Exportador debe cumplir con todas sus obligaciones en el ADIT, incluyendo las de los Requisitos de Seguridad, y cualquier Cláusula de Protección Extra y cualquier Cláusula Comercial.

11.4 El exportador debe cooperar con las solicitudes razonables del importador para transmitir notificaciones u otra información a y de los sujetos de datos relevantes o cualquier controlador de terceros cuando no sea razonablemente práctico para el importador hacerlo. El exportador podrá transmitirlos a través de un tercero si es razonable hacerlo.

11.5 El exportador deberá cooperar con el importador y prestarle una asistencia razonable para que éste pueda cumplir sus obligaciones con los sujetos de datos pertinentes en virtud de la legislación local y de el presente ADIT.

El importador

12.   Obligaciones generales del importador

12.1 El importador deberá

12.1.1 Tratar los datos transferidos únicamente para los fines previstos;

12.1.2 cumplir con todas sus obligaciones en el ADIT, incluyendo los Requisitos de Seguridad, cualquier Cláusula de Protección Extra y cualquier Cláusula Comercial;

12.1.3 cumplir con todas sus obligaciones en el Acuerdo Vinculado relacionadas con el Tratamiento de los Datos Transferidos;

12.1.4 mantener un registro escrito de su tratamiento de los datos transferidos, que demuestre su cumplimiento de este ADIT, y proporcionar este registro escrito si se lo pide el exportador

12.1.5 si el Acuerdo Vinculado incluye derechos para que el Exportador obtenga información o lleve a cabo una auditoría, proporcionar al Exportador los mismos derechos en relación con este ADIT; y

12.1.6 si el ICO lo solicita, proporcionar al ICO la información que se le pediría al exportador en virtud de este Apartado 12.1 (incluido el registro escrito de su tratamiento y los resultados de las auditorías e inspecciones).

12.2 El Importador deberá cooperar y prestar una asistencia razonable al Exportador y a cualquier Tercero Controlador, de modo que el Exportador y cualquier Tercero Controlador puedan cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos del Reino Unido y de este ADIT.

13.   Obligaciones del importador si está sujeto a las leyes de protección de datos del Reino Unido

13.1 Si el Procesamiento de los Datos Transferidos por parte del Importador está sujeto a las Leyes de Protección de Datos del Reino Unido, éste acepta que:

13.1.1 Las leyes de protección de datos del Reino Unido se aplican a su tratamiento de los datos transferidos, y la ICO tiene jurisdicción sobre él a ese respecto; y

13.1.2 ha cumplido y cumplirá las leyes de protección de datos del Reino Unido en relación con el tratamiento de los datos transferidos.

13.2 Si se aplica el Apartado 13.1 y el importador cumple con el Apartado 13.1, no es necesario que cumpla con:

- El Apartado 14 (Obligaciones del importador de cumplir con los principios clave de protección de datos);

- el Apartado 15 (Qué ocurre si se produce una violación de los datos personales del importador);

- el Apartado 15 (Cómo pueden los interesados ejercer sus derechos como interesados); y

- Apartado 21 (Cómo pueden los interesados ejercer sus derechos como interesados - si el importador es el procesador o subprocesador del exportador).

14.   Obligaciones del importador de cumplir con los principios clave de la protección de datos

14.1 El importador no necesita cumplir con este Apartado 14 si es el procesador o subprocesador del exportador. 

14.2 El importador deberá

14.2.1 asegurarse de que los datos transferidos que procesa son adecuados, relevantes y se limitan a lo necesario para el propósito;

14.2.2 garantizar que los Datos Transferidos que trata son exactos y (cuando sea necesario) se mantienen actualizados, y (cuando sea apropiado teniendo en cuenta los Fines) corregir o eliminar cualquier Dato Transferido inexacto del que tenga conocimiento sin demora indebida; y

14.2.3 garantizar que el tratamiento de los datos transferidos no se prolongue más de lo razonablemente necesario para la finalidad.

15.   Qué ocurre si se produce una violación de los datos personales del importador

15.1 Si se produce una violación de los datos personales del importador, éste deberá

15.1.1 tomar medidas razonables para solucionarlo, incluso para minimizar los efectos perjudiciales para los Sujetos de Datos Relevantes, impedir que continúe y evitar que se repita. Si el importador es el encargado o Subcontratista del tratamiento del exportador: estas medidas deben cumplir las instrucciones del exportador y el acuerdo vinculado y cooperar con el exportador y cualquier tercero encargado del tratamiento; y

15.1.2 garantizar que los requisitos de seguridad sigan proporcionando (o se modifiquen de acuerdo con el presente ADIT para que proporcionen) un nivel de seguridad adecuado al riesgo de que se produzca una violación de los datos personales y al impacto de dicha violación en los interesados.

15.2 Si el importador es un procesador o subprocesador: si se produce una violación de los datos personales del importador, éste deberá

15.2.1 notificar al Exportador sin demora indebida después de tener conocimiento de la violación, proporcionando la siguiente información:

15.2.1.1 una descripción de la naturaleza de la violación de los datos personales del importador;

15.2.1.2 (siempre y cuando sea posible) las categorías y el número aproximado de los interesados y de los registros de datos transferidos afectados;

15.2.1.3 consecuencias probables de la violación de los datos personales del importador;

15.2.1.4 las medidas adoptadas (o que se proponen adoptar) para solucionar la violación de los datos personales del importador (incluidas las destinadas a minimizar los efectos perjudiciales para los interesados pertinentes, impedir que continúe y evitar que se repita) y garantizar que se apliquen las salvaguardias adecuadas;

15.2.1.5 punto de contacto para obtener más información; y

15.2.1.6 cualquier otra información razonablemente solicitada por el Exportador,

15.2.2 si no es posible que el Importador proporcione toda la información mencionada al mismo tiempo, podrá hacerlo por fases, sin demora indebida; y

15.2.3 ayudar al exportador (y a cualquier tercero responsable del tratamiento) para que el exportador (o cualquier tercero responsable del tratamiento) pueda informar a los interesados pertinentes o a la OIC o a cualquier otro regulador o autoridad pertinente sobre la violación de los datos personales del importador sin demora indebida.

15.3 Si el importador es un responsable del tratamiento: si es probable que la violación de los datos personales por parte del importador suponga un riesgo para los derechos o las libertades de cualquier sujeto de datos relevante, el importador deberá notificar al exportador sin demora indebida tras tener conocimiento de la violación, proporcionando la siguiente información:

15.3.1 una descripción de la naturaleza de la violación de los datos personales del importador;

15.3.2 (siempre y cuando sea posible) las categorías y el número aproximado de los interesados y de los registros de datos transferidos afectados;

15.3.3 las consecuencias probables de la violación de los datos personales del importador

15.3.4 las medidas adoptadas (o que se proponen adoptar) para solucionar la violación de los datos personales del importador (incluidas las destinadas a minimizar los efectos perjudiciales para los sujetos de los datos pertinentes, impedir que continúe y evitar que se repita) y garantizar que se apliquen las salvaguardias adecuadas;

15.3.5 punto de contacto para obtener más información; y

15.3.6 cualquier otra información razonablemente solicitada por el Exportador.

Si no es posible que el Importador proporcione toda la información anterior al mismo tiempo, podrá hacerlo por fases, sin demora injustificada.

15.4 Si el importador es un responsable del tratamiento: si es probable que la violación de los datos personales por parte del importador dé lugar a un alto riesgo para los derechos o libertades de cualquier sujeto de datos relevante, el importador deberá informar a esos sujetos de datos relevantes sin demora indebida, excepto en la medida en que requiera un esfuerzo desproporcionado, y siempre que el importador se asegure de que existe una comunicación pública o medidas similares por las que se informa a los sujetos de datos relevantes de manera igualmente eficaz.

15.5 El importador deberá llevar un registro escrito de todos los hechos relevantes relacionados con la violación de los datos personales del importador, que facilitará al exportador y a la OIC cuando éstos lo soliciten.

Este registro deberá incluir las medidas que adopte para solucionar la violación de los datos personales del importador (incluso para minimizar los efectos perjudiciales sobre los sujetos de datos pertinentes, impedir que continúe y evitar que se repita) y para garantizar que los requisitos de seguridad sigan proporcionando un nivel de seguridad adecuado al riesgo de que se produzca una violación de los datos personales y al impacto de dicha violación sobre los sujetos de datos pertinentes.

16.Transmisión de los datos transferidos

16.1 El Importador sólo podrá transferir los Datos Transferidos a un tercero si está autorizado a hacerlo en la Tabla 2: Tabla de Detalles de la Transferencia, la transferencia es para la Finalidad, la transferencia no incumple el Acuerdo Vinculado, y se aplican una o más de las siguientes condiciones

16.1.1 que el tercero haya celebrado un contrato escrito con el importador que contenga el mismo nivel de protección de los interesados que el recogido en este ADIT (basado en el papel del receptor como responsable o encargado del tratamiento), y que el importador haya llevado a cabo una evaluación de riesgos para garantizar que las Salvaguardias Adecuadas estarán protegidas por ese contrato; o

16.1.2 el tercero ha sido añadido a este ADIT como Parte; o

16.1.3 si el Importador estuviera en el Reino Unido, la transferencia de los Datos Transferidos cumpliría con el artículo 46 del RGPD del Reino Unido; o

16.1.4 si el importador estuviera en el Reino Unido, la transferencia de los datos transferidos cumpliría con una de las excepciones del artículo 49 del RGPD del Reino Unido; o

16.1.5 la transferencia es al Reino Unido o a un País Adecuado.

16.2 El Importador no necesita cumplir con el Apartado 16.1 si está transfiriendo sobre los Datos Transferidos y/o permitiendo el acceso a los Datos Transferidos de acuerdo con el Apartado 23 (Solicitudes de Acceso y Acceso Directo).

17.   Responsabilidad del importador si autoriza a otros a cumplir sus obligaciones

17.1 El importador puede subcontratar sus obligaciones en este ADIT a un procesador o subprocesador (siempre que cumpla con el Apartado 16).

17.2 Si el Importador es el Procesador o Subprocesador del Exportador: también debe cumplir con el Acuerdo Vinculado o contar con el consentimiento por escrito del Exportador.

17.3 El importador debe asegurarse de que cualquier persona o tercero que actúe bajo su autoridad, incluido un procesador o subprocesador, sólo debe procesar los datos transferidos siguiendo sus instrucciones.

17.4 El importador sigue siendo plenamente responsable ante el exportador, la OIC y los interesados pertinentes de sus obligaciones en virtud de este ADIT cuando haya subcontratado cualquier obligación a sus encargados y Subcontratistas del tratamiento, o haya autorizado a un empleado u otra persona a cumplirlas (y las referencias al importador en este contexto incluirán las referencias a sus encargados, Subcontratistas del tratamiento o personas autorizadas).

¿Qué derechos tienen los particulares?

18.   Derecho a una copia del ADIT

18.1 Si una de las Partes recibe una solicitud de un Titular de Datos Relevante para obtener una copia de este ADIT

18.1.1 proporcionará el ADIT al Sujeto de Datos Relevante e informará a la otra Parte, tan pronto como sea razonablemente posible;

18.1.2 no necesita proporcionar copias del Acuerdo Vinculado, pero debe proporcionar toda la información de los Acuerdos Vinculados a los que se hace referencia en las Tablas;

18.1.3 podrá redactar la información de las Tablas o la información facilitada del Acuerdo Vinculado si es razonablemente necesario para proteger los secretos comerciales o la información confidencial, siempre que facilite al Sujeto de los Datos Relevantes un resumen de dichas redacciones para que éste pueda comprender el contenido de las Tablas o la información facilitada del Acuerdo Vinculado.

19. Derecho a la información sobre el importador y su tratamiento

19.1 El importador no tiene que cumplir con este Apartado 19 si es el procesador o subprocesador del exportador.

19.2 El importador deberá garantizar que cada interesado pertinente reciba información sobre

- el Importador (incluyendo los datos de contacto y el Contacto del Sujeto de Datos del Importador);

- las finalidades; y

- los destinatarios (o categorías de destinatarios) de los datos transferidos;

El importador puede demostrar que ha cumplido con este Apartado 19.2 si la información es proporcionada (o ya ha sido proporcionada) a los sujetos de datos relevantes por el exportador o por otra parte.

El importador no necesita cumplir con este Apartado 19.2 en la medida en que hacerlo sería imposible o implicaría un esfuerzo desproporcionado, en cuyo caso, el importador debe poner la información a disposición del público.

19.3 El importador deberá mantener actualizados y a disposición del público los datos de la persona de contacto del importador. Esto incluye la notificación por escrito al exportador de cualquier cambio.

19.4 El importador debe asegurarse de que esos datos de contacto sean siempre de fácil acceso para todos los Sujetos de Datos Relevantes y poder comunicarse fácilmente con los Sujetos de Datos en el idioma inglés sin demoras indebidas.

20.   Cómo pueden los interesados ejercer sus derechos como tales

20.1 El importador no necesita cumplir con este Apartado 20 si es el procesador o subprocesador del exportador.

20.2 Si una persona lo solicita, el importador debe confirmar si está tratando sus datos personales como parte de los datos transferidos.

20.3 Los siguientes apartados de este Apartado 20 se refieren a los Datos Personales de un Sujeto Relevante que forman parte de los Datos Transferidos que el Importador está tratando.

20.4 Si el Sujeto de Datos Relevante lo solicita, el Importador deberá proporcionarle una copia de sus Datos Transferidos:

20.4.1 sin demora indebida (y en todo caso en el plazo de un mes)

20.4.2 sin mayor coste para el Sujeto de Datos Relevante que el que podría cobrar si estuviera sujeto a las Leyes de Protección de Datos del Reino Unido;

20.4.3 en un inglés claro y sencillo que sea fácil de entender; y

20.4.4 en una forma fácilmente accesible 

junto con

20.4.5 (si es necesario) una explicación en inglés claro y sencillo de los Datos Transferidos de manera que sea comprensible para el Sujeto de Datos Relevante; y

20.4.6 información de que el Interesado tiene derecho a reclamar una indemnización en virtud de este ADIT.

20.5 Si un Sujeto de Datos Relevante lo solicita, el Importador deberá:

20.5.1 rectificar los Datos Transferidos inexactos o incompletos;

20.5.2 borrar los Datos Transferidos si están siendo procesados infringiendo este ADIT

20.5.3 dejar de utilizarlos para fines de marketing directo; y

20.5.4 cumplir con cualquier otra solicitud razonable del Titular de los Datos pertinentes, que el Importador estaría obligado a cumplir si estuviera sujeto a las leyes de protección de datos del Reino Unido.

20.6 El Importador no deberá utilizar los Datos Transferidos para tomar decisiones sobre el Sujeto de Datos Relevante basadas únicamente en el tratamiento automatizado, incluyendo la elaboración de perfiles (la "Toma de Decisiones"), que produzcan efectos legales sobre el Sujeto de Datos Relevante o que le afecten significativamente de manera similar, excepto si lo permite la Legislación Local y:

20.6.1 el Sujeto de Datos Relevante ha dado su consentimiento explícito a dicha Toma de Decisiones; o

20.6.2 la legislación local cuenta con salvaguardias que proporcionan una protección suficientemente similar a los sujetos de datos pertinentes en relación con dicha toma de decisiones, en relación con la protección pertinente que tendría el sujeto de datos pertinente si dicha toma de decisiones se realizara en el Reino Unido; o

20.6.3 las Cláusulas de Protección Adicional ofrecen garantías para la Toma de Decisiones que proporcionan una protección suficientemente similar para los Sujetos de Datos Relevantes en relación con dicha Toma de Decisiones, en relación con la protección relevante que el Sujeto de Datos Relevante tendría si dicha Toma de Decisiones estuviera en el Reino Unido.

21. Cómo pueden los interesados ejercer sus derechos como interesados - si el importador es el procesador o subprocesador del exportador

21.1 Cuando el importador es el encargado o Subcontratista del tratamiento del exportador: Si el importador recibe una solicitud directamente de un individuo que se relaciona con los datos transferidos, debe transmitir esa solicitud al exportador sin demora indebida. El Importador sólo debe responder a ese individuo según lo autorizado por el Exportador o cualquier Tercero Controlador.

22.Los derechos de los interesados están sujetos a las exenciones de las leyes de protección de datos del Reino Unido

22.1 El importador no está obligado a responder a las solicitudes o a proporcionar información o notificaciones en virtud de las secciones 18, 19, 20, 21 y 23 si

22.1.1 no puede verificar razonablemente la identidad de la persona que hace la solicitud; o

22.1.2 las solicitudes son manifiestamente infundadas o excesivas, incluso cuando las solicitudes son repetitivas. En ese caso, el importador podrá rechazar la solicitud o cobrar al interesado una tasa razonable; o

22.1.3 si el importador estuviera sujeto a la legislación británica de protección de datos, se le aplicaría una exención.

Si el importador rechaza la solicitud de un individuo o cobra una tasa en virtud de el Apartado 22.1.2, expondrá por escrito las razones de su rechazo o cobro, e informará al interesado pertinente de que tiene derecho a presentar una reclamación de indemnización en virtud de este ADIT en caso de incumplimiento de la misma.

Cómo dar acceso a terceros a los datos transferidos en virtud de la legislación local

23.   23. Solicitudes de acceso y acceso directo

23.1 En este Apartado 23, una "solicitud de acceso" es una solicitud legalmente vinculante (excepto las solicitudes que sólo son vinculantes en virtud del derecho contractual) para acceder a cualquier Dato Transferido y "acceso directo" significa el acceso directo a cualquier Dato Transferido por parte de las autoridades públicas de las que el Importador tiene conocimiento.

23.2 El importador podrá revelar los Datos Transferidos solicitados en la medida en que reciba una Solicitud de Acceso, a menos que, dadas las circunstancias, sea razonable que impugne esa Solicitud de Acceso por existir motivos importantes para creer que es ilegal.

23.3 En la medida en que las leyes locales lo permitan y sea razonable hacerlo, el importador proporcionará sin demora indebida la información pertinente sobre cualquier solicitud de acceso o acceso directo a las siguientes personas: el exportador, los terceros responsables del tratamiento y, cuando el importador sea un responsable del tratamiento, los interesados pertinentes.

23.4 En la medida en que la legislación local lo permita, el importador deberá

23.4.1 hacer y mantener un registro escrito de las solicitudes de acceso y del acceso directo, que incluya (si se conoce): las fechas, la identidad del solicitante/accesor, el objetivo de la solicitud de acceso o del acceso directo, el tipo de datos solicitados o a los que se ha accedido, si se ha impugnado o apelado y el resultado; y los datos transferidos que se han facilitado o a los que se ha accedido; y

23.4.2 proporcionar una copia de este registro escrito al exportador en cada fecha de revisión y en cualquier momento en que el exportador o la OIC lo soliciten razonablemente.

24.   Notificación

24.1 Si una Parte debe notificar a cualquier otra Parte en este ADIT, se marcará a la atención del Contacto Clave correspondiente y se enviará por correo electrónico a la dirección de correo electrónico proporcionada para el Contacto Clave.

24.2 Si la notificación se envía de acuerdo con el Apartado 24.1, se considerará entregada en el momento en que se envió el correo electrónico, o si ese momento está fuera del horario comercial normal de la Parte receptora, el siguiente día hábil normal de la Parte receptora, y siempre que no se reciba ninguna notificación de no entrega o devolución.

24.3 Las Partes acuerdan que cualquiera de ellas puede actualizar sus datos de contacto clave notificándolo por escrito a la otra Parte con 14 días (o más) de antelación.

25.   Cláusulas generales

25.1 En relación con la transferencia de los Datos Transferidos al Importador y el Tratamiento de los Datos Transferidos por parte del Importador, este ADIT y cualquier Acuerdo Vinculado

25.1.1 contienen todos los términos y condiciones acordados por las Partes; y

25.1.2 anulan todos los contactos y acuerdos anteriores, ya sean verbales o escritos.

25.2 Si una de las Partes hizo alguna declaración oral o escrita a la otra antes de celebrar este ADIT (que no esté escrita en este ADIT), la otra Parte confirma que no se ha basado en esas declaraciones y que no tendrá ningún recurso legal si esas declaraciones son falsas o incorrectas, a menos que la declaración se haya hecho de forma fraudulenta.

25.3 Ninguna de las Partes podrá novar, ceder u obtener una carga legal sobre este ADIT (en su totalidad o en parte) sin el consentimiento por escrito de la otra Parte, que podrá establecerse en el Acuerdo Vinculado.

25.4 Salvo lo dispuesto en el Apartado 17.1, ninguna de las Partes podrá subcontratar sus obligaciones en virtud del presente ADIT sin el consentimiento escrito de la otra Parte, que podrá establecerse en el Acuerdo Vinculado.

25.5 Este ADIT no convierte a las Partes en una sociedad, ni designa a una de ellas para que actúe como agente de la otra.

25.6 Si alguna Apartado (o parte de una Apartado) de este ADIT es o se convierte en ilegal, inválida o inaplicable, ello no afectará a la legalidad, validez y aplicabilidad de cualquier otra Apartado (o del resto de esa Apartado) de este ADIT.

25.7 Si una Parte no ejecuta, o retrasa la ejecución, de sus derechos o recursos en virtud de este ADIT o en relación con ella, ello no supondrá una renuncia a dichos derechos o recursos. Además, no restringirá la capacidad de esa Parte para hacer valer esos o cualquier otro derecho o recurso en el futuro.

25.8 Si una Parte decide renunciar a hacer valer un derecho o recurso en virtud de este ADIT o en relación con el mismo, esta renuncia sólo será efectiva si se hace por escrito. Cuando una Parte proporciona tal renuncia por escrito

25.8.1 sólo se aplicará en la medida en que renuncie explícitamente a derechos o recursos específicos;

25.8.2 no impedirá que esa Parte ejerza esos derechos o recursos en el futuro (a menos que haya renunciado explícitamente a su capacidad de hacerlo); y

25.8.3 no impedirá a esa Parte ejercer cualquier otro derecho o recurso en el futuro.

¿Qué ocurre si se produce un incumplimiento de este ADIT?

26. Incumplimiento de este ADIT

26.1 Cada Parte debe notificar a la otra Parte por escrito (y con todos los detalles pertinentes) si

26.1.1 ha incumplido este ADIT; o

26.1.2 anticipa razonablemente que puede violar este ADIT, y proporcionar cualquier información al respecto que la otra Parte razonablemente solicite.

26.2 En este ADIT "Impacto perjudicial significativo" significa que existe más que un riesgo mínimo de que una infracción del ADIT cause (directa o indirectamente) un daño significativo a cualquier Sujeto de Datos Relevante o a la otra Parte.

27.   Incumplimiento del ADIT por parte del importador

27.1 Si el importador ha infringido este ADIT y esto tiene un impacto perjudicial significativo, el importador deberá tomar medidas sin demora indebida para poner fin al impacto perjudicial significativo y, si esto no es posible, para reducir el impacto perjudicial significativo en la medida de lo posible.

27.2 Hasta que no haya un impacto perjudicial significativo en curso sobre los sujetos de datos pertinentes

27.2.1 el Exportador deberá suspender el envío de Datos Transferidos al Importador;

27.2.2 Si el importador es el procesador o subprocesador del exportador: si el exportador lo solicita, el importador debe eliminar de forma segura todos los datos transferidos o devolverlos de forma segura al exportador (o a un tercero nombrado por el exportador); y

27.2.3 si el importador ha transferido los datos transferidos a un tercero receptor en virtud de el Apartado 16, y la infracción tiene un impacto perjudicial significativo en el sujeto de datos relevante cuando es tratado por o en nombre de ese tercero receptor, el importador deberá

27.2.3.1 notificar la infracción al tercero receptor y suspender el envío de los Datos transferidos; y

27.2.3.2 si el tercero receptor es el procesador o subprocesador del importador: hacer que el tercero receptor elimine de forma segura todos los datos transferidos que esté procesando o en su nombre, o devolverlos de forma segura al importador (o a un tercero nombrado por el importador).

27.3 Si el incumplimiento no puede ser corregido sin demora indebida, de modo que no haya un impacto perjudicial significativo en curso sobre los sujetos de datos relevantes, el exportador debe poner fin a este ADIT según el Apartado 30.1.

28.   Incumplimiento de este ADIT por parte del exportador

28.1 Si el exportador ha incumplido este ADIT, y esto tiene un impacto perjudicial significativo, el exportador debe tomar medidas sin demora indebida para poner fin al impacto perjudicial significativo y, si esto no es posible, para reducir el impacto perjudicial significativo en la medida de lo posible.

28.2 Hasta que no exista un riesgo continuado de impacto perjudicial significativo en los sujetos de datos relevantes, el exportador deberá suspender el envío de datos transferidos al importador.

28.3 Si la infracción no puede corregirse sin demora indebida, de modo que no exista un impacto perjudicial significativo en los sujetos de datos pertinentes, el importador deberá poner fin a este ADIT de acuerdo con el Apartado 30.1.

Finalización del ADIT

29.Cómo terminar este ADIT sin que haya un incumplimiento:

29.1 El ADIT finalizará:

29.1.1 al final del plazo indicado en la Tabla 2: Detalles de la transferencia; o

29.1.2 si en la Tabla 2: Detalles de la Transferencia, las Partes pueden terminar este ADIT notificando por escrito a la otra: al final del período de notificación indicado;

29.1.3 en cualquier momento en que las Partes acuerden por escrito su finalización; o

29.1.4 en el momento establecido en el Apartado 29.2.

29.2 Si el ICO emite un ADIT Aprobado revisado bajo el Apartado 5.4, si alguna de las Partes seleccionadas en la Tabla 2 "Finalización del ADIT cuando el ADIT Aprobado cambia", como resultado directo de los cambios en el ADIT Aprobado tendrá un incremento sustancial, desproporcionado y demostrable en

29.2.1 sus costes directos de cumplimiento de sus obligaciones en virtud del ADIT; y/o

29.2.2 su riesgo bajo el ADIT,

y en cualquiera de los casos ha tomado primero medidas razonables para reducir ese costo o riesgo de manera que no sea sustancial y desproporcionado, esa Parte podrá terminar el ADIT al final de un período de notificación razonable, proporcionando una notificación por escrito para ese período a la otra Parte antes de la fecha de inicio del ADIT Aprobado revisado.

30.   Cómo terminar este ADIT si hay un incumplimiento

30.1 Una Parte puede terminar este ADIT inmediatamente dando aviso por escrito a la otra Parte si

30.1.1 la otra Parte ha incumplido este ADIT y esto tiene un Impacto Perjudicial Significativo. Esto incluye repetidos incumplimientos menores que en conjunto tienen un Impacto Perjudicial Significativo, y

30.1.1.1 el incumplimiento puede ser corregido para que no haya un Impacto Perjudicial Significativo, y la otra Parte no lo ha hecho sin demora indebida (que no puede ser más de 14 días después de ser requerida por escrito); o

30.1.1.2 el incumplimiento y su Impacto Perjudicial Significativo no pueden ser corregidos;

30.1.2 el Importador ya no puede cumplir con el Apartado 8.3, ya que hay Leyes Locales que hacen que no pueda cumplir con este ADIT y esto tiene un Impacto Perjudicial Significativo.

31.   ¿Qué deben hacer las Partes cuando finaliza el ADIT?

31.1 Si las partes desean poner fin a este ADIT o este ADIT finaliza de acuerdo con cualquier disposición de este ADIT, pero el Importador debe cumplir con una Ley Local que le obliga a seguir conservando cualquier Dato Transferido, entonces este ADIT seguirá en vigor con respecto a cualquier Dato Transferido conservado durante todo el tiempo que se conserve el Dato Transferido, y el Importador deberá:

31.1.1 notificar al Exportador sin demora indebida, incluyendo los detalles de la Ley Local pertinente y el período de retención requerido;

31.1.2 retener sólo la cantidad mínima de Datos Transferidos que necesita para cumplir con esa Ley Local, y las Partes deben asegurarse de mantener las Salvaguardas Apropiadas, y cambiar las Tablas y las Cláusulas de Protección Extra, junto con cualquier TRA para reflejar esto; y

31.1.3 dejar de procesar los Datos Transferidos tan pronto como lo permita dicha Ley Local y el ADIT terminará entonces y se aplicará el resto de este Apartado 29.

31.2 Cuando este ADIT termine (sin importar el motivo)

31.2.1 el Exportador deberá dejar de enviar los Datos Transferidos al Importador; y

31.2.2 si el importador es el procesador o subprocesador del exportador: el importador deberá eliminar todos los datos transferidos o devolverlos de forma segura al exportador (o a un tercero nombrado por el exportador), según las instrucciones del exportador;

31.2.3 si el Importador es un Controlador y/o no es el Procesador o Subprocesador del Exportador: el Importador debe eliminar de forma segura todos los Datos Transferidos.

31.2.4 las siguientes disposiciones continuarán en vigor una vez finalizado este ADIT (sin importar el motivo):

- Apartado 1 (Este ADIT y Acuerdos Vinculados);

- Apartado 2 (Significado legal de las palabras);

- Apartado 6 (Comprensión de este ADIT);

- Apartado 7 (Qué leyes se aplican a este ADIT);

- Apartado 10 (El ICO);

- Secciones 11.1 y 11.4 (Obligaciones del exportador);

- Secciones 12.1.2, 12.1.3, 12.1.4, 12.1.5 y 12.1.6 (Obligaciones generales del importador);

- Apartado 13.1 (Obligaciones del importador si está sujeto a las leyes de protección de datos del Reino Unido);

- Artículo 17 (Responsabilidad del importador si ha autorizado a otros a cumplir sus obligaciones);

- Artículo 24 (Notificación);

- Apartado 25 (Cláusulas generales);

- Apartado 31 (Qué deben hacer las Partes cuando finaliza el ADIT);

- Apartado 32 (Su responsabilidad);

- Apartado 33 (Cómo pueden presentar reclamaciones legales los Interesados y la OIC);

- Apartado 34 (Tribunales ante los que se pueden presentar reclamaciones legales);

- Apartado 35 (Arbitraje); y

- Apartado 36 (Glosario jurídico).

Cómo presentar una reclamación legal en virtud de este ADIT

32.   Su responsabilidad

32.1 Las Partes siguen siendo plenamente responsables ante los Sujetos de Datos Relevantes del cumplimiento de sus obligaciones en virtud de este ADIT y (si son aplicables) de las Leyes de Protección de Datos del Reino Unido.

32.2 Cada una de las Partes (en este Apartado, "Parte Uno") acepta ser plenamente responsable ante los Sujetos de Datos Relevantes por la totalidad de los daños sufridos por el Sujeto de Datos Relevante, causados directa o indirectamente por:

32.2.1 El incumplimiento de este ADIT por parte de la Primera Parte; y/o

32.2.2 cuando la Parte Uno sea un Encargado del Tratamiento, el incumplimiento por parte de la Parte Uno de cualquier disposición relativa a su Tratamiento de los Datos Transferidos en el Acuerdo Vinculado;

32.2.3 cuando la Parte Uno es un Controlador, un incumplimiento de este ADIT por la otra Parte si implica el Tratamiento de los Datos Transferidos por la Parte Uno (sin importar cuán mínimo sea)

en cada caso, a menos que la Parte Uno pueda demostrar que no es en modo alguno responsable del hecho que da lugar al daño.

32.3 Si una Parte ha pagado una indemnización a un Sujeto de Datos Relevante en virtud de el Apartado 32.2, tiene derecho a reclamar a la otra Parte la parte de la indemnización correspondiente a la responsabilidad de la otra Parte por el daño, de modo que la indemnización se reparta equitativamente entre las Partes.

32.4 Las Partes no excluyen ni restringen su responsabilidad en virtud de el presente ADIT o de las Leyes de Protección de Datos del Reino Unido, por el hecho de que hayan autorizado a alguien que no sea una Parte (incluido un Encargado del Tratamiento) a cumplir cualquiera de sus obligaciones, y seguirán siendo responsables del cumplimiento de dichas obligaciones.

33.   Cómo los Interesados Relevantes y el ICO pueden presentar reclamaciones legales

33.1 Los Titulares de los Datos pertinentes tienen derecho a presentar reclamaciones contra el Exportador y/o el Importador por el incumplimiento de lo siguiente (incluso cuando el Tratamiento de los Datos Transferidos esté implicado en el incumplimiento de lo siguiente por cualquiera de las Partes):

- Apartado 1 (Este ADIT y los Acuerdos Vinculados);

- Apartado 3 (Ha proporcionado toda la información requerida por la Parte uno: Cuadros y Parte dos: Cláusulas de protección adicional);

- Apartado 8 (Las garantías adecuadas);

- Apartado 9 (Revisiones para garantizar la continuidad de las Salvaguardias Adecuadas);

- Apartado 11 (Obligaciones del exportador);

- Apartado 12 (Obligaciones generales del importador);

- Apartado 13 (Obligaciones del importador si está sujeto a las leyes de protección de datos del Reino Unido);

- Apartado 14 (Obligaciones del importador de cumplir las principales leyes de protección de datos);

- Apartado 15 (Qué ocurre si se produce una violación de los datos personales del importador);

- Apartado 16 (Transferencia de los datos transferidos);

- Apartado 17 (Responsabilidad del importador si autoriza a otros a cumplir sus obligaciones);

- Apartado 18 (Derecho a una copia del ADIT);

- Apartado 19 (Datos de contacto del importador para los interesados);

- Apartado 20 (Cómo pueden ejercer los interesados sus derechos);

- Apartado 21 (Cómo pueden ejercer sus derechos los interesados pertinentes, si el importador es el encargado o Subcontratista del tratamiento del exportador);

- Apartado 23 (Solicitudes de acceso y acceso directo);

- Apartado 26 (Infracciones de este ADIT);

- Apartado 27 (Incumplimiento de este ADIT por parte del importador);

- Apartado 28 (Incumplimiento de este ADIT por parte del exportador);

- Apartado 30 (Cómo terminar este ADIT si hay un incumplimiento);

- Apartado 31 (Qué deben hacer las Partes cuando finaliza el ADIT); y

- cualquier otra disposición del ADIT que beneficie expresa o implícitamente a los Interesados.

33.2 La ICO tiene derecho a presentar reclamaciones contra el Exportador y/o el Importador por el incumplimiento de las siguientes Secciones: Apartado 10 (La OIC), Secciones 11.1 y 11.2 (Obligaciones del exportador), Apartado 12.1.6 (Obligaciones generales del importador) y Apartado 13 (Obligaciones del importador si está sujeto a las leyes de protección de datos del Reino Unido).

33.3 Ninguna otra persona (que no sea una Parte) puede hacer valer ninguna parte de este ADIT (incluso en virtud de la Ley de Contratos (Derechos de Terceros) de 1999).

33.4 Las Partes no necesitan el consentimiento de ningún Sujeto de Datos Relevante o de la  para realizar cambios en este ADIT, pero cualquier cambio debe realizarse de acuerdo con sus términos.

33.5 Al presentar una reclamación en virtud de este ADIT, un Sujeto de Datos Relevante puede ser representado por un organismo, organización o asociación sin ánimo de lucro en las mismas condiciones establecidas en el artículo 80 (1) del RGPD del Reino Unido y en los artículos 187 a 190 de la Ley de Protección de Datos de 2018.

34.   Tribunales en los que se pueden presentar reclamaciones legales

34.1 Los tribunales del país del Reino Unido indicados en la Tabla 2: Detalles de la transferencia tienen jurisdicción no exclusiva sobre cualquier reclamación relacionada con este ADIT (incluidas las reclamaciones no contractuales).

34.2 El exportador puede presentar una reclamación contra el importador en relación con este ADIT (incluidas las reclamaciones no contractuales) en cualquier tribunal de cualquier país con jurisdicción para conocer la reclamación.

34.3 El importador sólo podrá presentar una reclamación contra el exportador en relación con este ADIT (incluidas las reclamaciones extracontractuales) en los tribunales del país del Reino Unido que figura en la Tabla 2: Detalles de la transferencia.

34.4 Los Sujetos de Datos Relevantes y la OIC podrán presentar una reclamación contra el Exportador y/o el Importador en relación con este ADIT (incluidas las reclamaciones extracontractuales) en cualquier tribunal de cualquier país con jurisdicción para conocer la reclamación.

34.5 Cada una de las Partes se compromete a proporcionar a la otra una información razonablemente actualizada sobre cualquier reclamación o queja presentada contra ella por un Sujeto de Datos Relevante o la OIC en relación con los Datos Transferidos (incluidas las reclamaciones en arbitraje).

35.   Arbitraje

35.1 En lugar de presentar una reclamación ante un tribunal en virtud de el Apartado 34, cualquiera de las Partes, o un Sujeto de Datos Relevante, podrá optar por remitir cualquier disputa que surja de este ADIT o en relación con el mismo (incluidas las reclamaciones no contractuales) a la resolución final mediante arbitraje en virtud del Reglamento de la Corte de Arbitraje Internacional de Londres, y dicho Reglamento se considera incorporado por referencia a este Apartado 35.

35.2 Las Partes acuerdan someterse a cualquier arbitraje iniciado por otra Parte o por un Sujeto de Datos Relevante de acuerdo con este Apartado 35.

35.3 Sólo debe haber un árbitro. El árbitro (1) deberá ser un abogado cualificado para ejercer la abogacía en una o más de las jurisdicciones de Inglaterra y Gales, o Escocia, o Irlanda del Norte y (2) deberá tener experiencia en la actuación o el asesoramiento en litigios relacionados con las Leyes de Protección de Datos del Reino Unido.

35.4 Londres será la sede o lugar legal del arbitraje. No importa si las Partes seleccionaron un país diferente del Reino Unido como "lugar principal para la presentación de reclamaciones legales" en la Tabla 2: Detalles de la transferencia.

35.5 El idioma inglés deberá utilizarse en el procedimiento arbitral.

35.6 La ley inglesa rige este Apartado 35. Esto se aplica independientemente de que las partes hayan seleccionado la ley de otro país del Reino Unido como la "ley del país del Reino Unido que rige el ADIT" en la Tabla 2: Detalles de la Transferencia.

36.   Glosario jurídico

Palabra o frase	Definición legal (así es como debe interpretarse esta palabra o frase en el ADIT)
Solicitud de acceso	Tal y como se define en la sección 23, como una solicitud legalmente vinculante (excepto las solicitudes que sólo son vinculantes por el derecho contractual) para acceder a cualquier dato transferido.
País adecuado	Un tercer país, o: - un territorio; - uno o varios sectores u organizaciones de un tercer país - una organización internacional; que el Secretario de Estado ha especificado mediante reglamentos que proporciona un nivel adecuado de protección de Datos Personales de acuerdo con la Sección 17A de la Ley de Protección de Datos de 2018.
Garantías adecuadas	El nivel de protección de los Datos Transferidos y de los derechos del Titular de los Datos pertinentes, que exige la Legislación de Protección de Datos del Reino Unido cuando usted realiza una Transferencia Restringida basándose en las cláusulas estándar de protección de datos en virtud del artículo 46(2)(d) del RGPD del Reino Unido.
Aprobación del ADIT	la plantilla ADIT A1.0 emitida por la ICO y presentada al Parlamento de conformidad con la s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se revisa en la sección 5.4.
Cláusulas comerciales	Las cláusulas comerciales establecidas por tercera parte.
Administrador	Como está definido en el RGPD del Reino Unido.
Daños	Todas las pérdidas y daños materiales y no materiales.
Titular de Datos	Como está definido en el RGPD del Reino Unido.
Toma de decisiones	Tal y como se define en el Apartado 20.6, como decisiones sobre los Sujetos de Datos Relevantes basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, utilizando los Datos Transferidos.
Acceso Directo	Tal y como se define en el Apartado 23, el acceso directo a cualquier dato transferido por parte de las autoridades públicas de las que el importador tiene conocimiento.
Exportador	El exportador identificado en la Tabla 1: Partes y Firma.
Cláusulas de protección adicional	Las cláusulas establecidas en la segunda parte: Cláusulas de protección adicional..
ICO	El Comisario de Información.
Importador	El importador identificado en la Tabla 1: Partes y Firma.
Contacto del importador	El contacto del importador identificado en la Tabla 1: Partes y Firma, que puede ser actualizado de acuerdo con el Apartado 19.
Información del importador	Según se define en la sección 8.3.1, como toda la información pertinente relativa a las leyes y prácticas locales y a las protecciones y riesgos que se aplican a los datos transferidos cuando son tratados por el importador, incluso para que el exportador lleve a cabo cualquier TRA.
Violación de los datos personales del importador	Una "violación de los datos personales", tal como se define en el RGPD del Reino Unido, en relación con los datos transferidos cuando son tratados por el importador.
Acuerdo vinculado	El acuerdo vinculado establecido en la Tabla 2: Detalles de la transferencia.
Leyes locales	Leyes que no son las del Reino Unido y que obligan al Importador.
Cláusulas obligatorias	Cuarta parte: Cláusulas obligatorias de este ADIT.
Período de notificación	Según lo establecido en el Cuadro 2: Detalles de la transferencia.
Parte/Partes	Las partes de este ADIT según lo establecido en la Tabla 1: Partes y Firma.
Datos personales	Según la definición del RGPD del Reino Unido..
Violación de datos personales	Según se define en el RGPD del Reino Unido.
Tratamiento	Según se define en el RGPD del Reino Unido.
Procesador	Como se define en el RGPD del Reino Unido.
Finalidad	La "finalidad" establecida en la Tabla 2: Detalles de la transferencia, incluida cualquier finalidad que no sea incompatible con las finalidades indicadas o referidas.
Sujeto de datos relevante	Un sujeto de datos de los datos transferidos.
Transferencia restringida	Una transferencia que está cubierta por el capítulo V del RGPD del Reino Unido
Fechas de revisión	Las fechas o el período de revisión de los requisitos de seguridad establecidos en el cuadro 2: Detalles de la transferencia, y cualquier fecha de revisión establecida en cualquier ADIT aprobado revisado.
Impacto perjudicial significativo	Tal y como se define en la sección 26.2 cuando existe más que un riesgo mínimo de que la infracción cause (directa o indirectamente) un daño significativo a cualquier Sujeto de Datos Relevante o a la otra Parte.
Datos de categoría especial	Tal y como se describe en el RGPD del Reino Unido, junto con los datos de condenas penales o delitos.
Fecha de inicio	Según lo establecido en la Tabla 1: Partes y firma.
Subcontratista	Subprocesador Un contratista designado por otro contratista para procesar datos personales en su nombre. Esto incluye a los subprocesadores de cualquier nivel, por ejemplo un sub-subcontratistas.
Tablas	Las tablas establecidas en la primera parte de este ADIT.
Tercero responsable del tratamiento	El responsable del tratamiento de los datos transferidos cuando el exportador es un contratista o subcontratista. Si no, hay tercero responsable, se puede obviar.
Evaluación de Riesgos de Transferencia o TRA	Una evaluación de riesgos en la medida en que es requerida por las Leyes de Protección de Datos del Reino Unido para demostrar que el ADIT proporciona las Salvaguardias Adecuada.
Datos transferidos	Todos los datos personales que las partes transfieren, o se proponen transferir en virtud del presente ADIT, tal como se describe en la Tabla 2: Detalles de la transferencia
Leyes de protección de datos del Reino Unido	Todas las leyes relacionadas con la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluyendo el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.
RGPD del Reino Unido	Según se define en el Apartado 3 de la Ley de Protección de Datos de 2018.
Sin demora indebida	según se interpreta esa fase en el RGPD del Reino Unido.