CLÁUSULAS CONTRACTUALES TIPO

CLÁUSULAS CONTRACTUALES TIPO

SECCIÓN I

Cláusula 1

Objetivo y ámbito de aplicación

  1. El objetivo de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)1 para la transferencia de datos personales a un tercer país.
  2. Las Partes:
    1. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), organismo(s) u otra(s) entidad(es) (en lo sucesivo, «entidad/es») que transfieren los datos personales, según se enumeran en el anexo I.A (en lo sucesivo, cada una de ellas, el «exportador de datos»), y
    2. la(s) entidad(es) de un tercer país que recibe(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte de estas Cláusulas, según se enumeran en el anexo I.A (en lo sucesivo, cada una de ellas, el «importador de datos»),
    han acordado las presentes cláusulas contractuales tipo (en lo sucesivo, las «Cláusulas»).
  3. Estas Cláusulas se aplican con respecto a la transferencia de datos personales según se especifica en el anexo I.B.
  4. El Apéndice de estas Cláusulas, que contiene los anexos a los que se hace referencia en ellas, forma parte integrante de las mismas.

Cláusula 2

Efecto e invariabilidad de las Cláusulas

  1. Estas Cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y las vías de recurso legales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados o de encargados a encargados, las cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el módulo o módulos pertinentes o para añadir o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales tipo establecidas en estas Cláusulas en un contrato más amplio o que añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
  2. Estas Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

1 Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe en nombre de una institución u organismo de la Unión como responsable del tratamiento, el recurso a estas Cláusulas al contratar a otro encargado (subencargo) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el responsable y el encargado de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725 estén alineadas. Este será el caso, en particular, cuando el responsable y el encargado recurran a las cláusulas contractuales tipo incluidas en la Decisión […].

Cláusula 3

Terceros beneficiarios

  1. Los interesados podrán invocar y exigir el cumplimiento de estas Cláusulas, en calidad de terceros beneficiarios, frente al exportador de datos o al importador de datos, con las siguientes excepciones:
    1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Módulo dos: Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
    3. Cláusula 9 – Módulo dos: Cláusula 9(a), (c), (d) y (e);
    4. Módulo dos: Cláusula 12(a), (d) y (f);
    5. Cláusula 13;
    6. Cláusula 15.1(c), (d) y (e);
    7. Cláusula 16(e);
    8. Cláusula 18 – Módulo dos: Cláusula 18(a) y (b).
  2. El apartado (a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Cláusula 4

Interpretación

  1. Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
  2. Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
  3. Estas Cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de acuerdos relacionados entre las Partes, existentes en el momento en que se acuerden estas Cláusulas o celebrados posteriormente, prevalecerán estas Cláusulas.

Cláusula 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren, se especifican en el anexo I.B.

Cláusula 7 – Opcional

Cláusula de adhesión

  1. Una entidad que no sea Parte de estas Cláusulas podrá, con el acuerdo de las Partes, adherirse a ellas en cualquier momento, ya sea como exportador o como importador de datos, completando el Apéndice y firmando el anexo I.A.
  2. Una vez completado el Apéndice y firmado el anexo I.A, la entidad adherente pasará a ser Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de acuerdo con su designación en el anexo I.A.
  3. La entidad adherente no tendrá derechos ni obligaciones derivados de estas Cláusulas por el período anterior a su conversión en Parte.

SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir sus obligaciones en virtud de estas Cláusulas.

MÓDULO DOS: Transferencia de responsable a encargado

8.1 Instrucciones

  1. El importador de datos tratará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar tales instrucciones durante toda la vigencia del contrato.
  2. El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.

8.2 Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para la(s) finalidad(es) específica(s) de la transferencia, según se establece en el anexo I.B, a menos que reciba nuevas instrucciones del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá a disposición del interesado, de forma gratuita, una copia de estas Cláusulas, incluido el Apéndice completado por las Partes. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá omitir parte del texto del Apéndice de estas Cláusulas antes de compartir una copia, pero deberá proporcionar un resumen significativo cuando, de lo contrario, el interesado no pudiera comprender el contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las omisiones, en la medida de lo posible sin revelar la información omitida. Esta Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado desactualizados, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para suprimir o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo tendrá lugar durante el tiempo especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados en nombre del exportador de datos y certificará a este que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y suprimirá las copias existentes. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o supresión de los datos personales, el importador de datos garantiza que seguirá asegurando el cumplimiento de estas Cláusulas y que solo los tratará en la medida y durante el tiempo que exija dicha ley local. Esto se entiende sin perjuicio de la Cláusula 14, en particular el requisito para el importador de datos en virtud de la Cláusula 14(e) de notificar al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).

8.6 Seguridad del tratamiento

  1. El importador de datos y, durante la transmisión, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, pérdida, alteración, comunicación o acceso no autorizados, ya sean accidentales o ilícitos, a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). Al evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la(s) finalidad(es) del tratamiento, así como los riesgos que el tratamiento conlleva para los interesados. Las Partes considerarán, en particular, el recurso al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, cuando sea posible, bajo el control exclusivo del exportador de datos. En el cumplimiento de sus obligaciones en virtud de este apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos realizará comprobaciones periódicas para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
  2. El importador de datos concederá acceso a los datos personales a los miembros de su personal únicamente en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
  3. En caso de violación de la seguridad de los datos personales que afecte a datos tratados por el importador de datos en virtud de estas Cláusulas, el importador de datos tomará las medidas adecuadas para subsanar la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida tras haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto donde se pueda obtener más información, una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos personales afectados), sus posibles consecuencias y las medidas adoptadas o propuestas para subsanar la violación, incluidas, cuando proceda, las medidas para mitigar sus posibles efectos adversos. Cuando no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, se facilitará la información restante sin demora indebida a medida que esté disponible.
  4. El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles

Cuando la transferencia afecte a datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, datos genéticos o datos biométricos con el fin de identificar de manera única a una persona física, datos relativos a la salud o a la vida sexual o la orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará las restricciones específicas o garantías adicionales descritas en el anexo I.B.

8.8 Transferencias ulteriores

El importador de datos solo comunicará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo podrán comunicarse a un tercero situado fuera de la Unión Europea2 (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo, «transferencia ulterior») si el tercero está vinculado o acepta quedar vinculado por estas Cláusulas, bajo el módulo correspondiente, o si:

  1. la transferencia ulterior se realiza a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubra la transferencia ulterior;
  2. el tercero garantiza de otro modo las salvaguardias adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
  3. la transferencia ulterior sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones judiciales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
  4. la transferencia ulterior sea necesaria para proteger los intereses vitales del interesado o de otra persona física.

Cualquier transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías previstas en estas Cláusulas, en particular la limitación de la finalidad.

2 El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la extensión del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de la Unión en materia de protección de datos, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado a su anexo XI. Por lo tanto, cualquier comunicación por parte del importador de datos a un tercero situado en el EEE no se considera una transferencia ulterior a efectos de estas Cláusulas.

8.9 Documentación y cumplimiento

  1. El importador de datos atenderá con prontitud y de forma adecuada las consultas del exportador de datos relacionadas con el tratamiento en virtud de estas Cláusulas.
  2. Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos mantendrá la documentación adecuada sobre las actividades de tratamiento realizadas en nombre del exportador de datos.
  3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a petición del exportador de datos, permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por estas Cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
  4. El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y se llevarán a cabo, cuando proceda, con un preaviso razonable.
  5. Las Partes pondrán la información a que se refieren los apartados (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad de control competente previa solicitud.

Cláusula 9

Uso de subencargados

MÓDULO DOS: Transferencia de responsable a encargado

  1. El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargado(s) de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados con al menos 10 días hábiles de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a tales cambios antes de la contratación del subencargado o subencargados. El importador de datos facilitará al exportador de datos la información necesaria para que este pueda ejercer su derecho de oposición.
  2. Cuando el importador de datos contrate a un subencargado para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato por escrito que prevea, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas Cláusulas, incluso en lo que respecta a los derechos de terceros beneficiarios para los interesados.3 Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos garantizará que el subencargado cumpla con las obligaciones a las que el importador de datos está sujeto de conformidad con estas Cláusulas.
  3. El importador de datos facilitará, a petición del exportador de datos, una copia de dicho acuerdo de subencargo y de cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá omitir parte del texto del acuerdo antes de compartir una copia.
  4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado de sus obligaciones en virtud de dicho contrato.
  5. El importador de datos acordará una cláusula de tercero beneficiario con el subencargado por la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir legalmente o haya pasado a ser insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado y a darle instrucciones para que suprima o devuelva los datos personales.

3 Este requisito puede cumplirse mediante la adhesión del subencargado a estas Cláusulas bajo el módulo correspondiente, de conformidad con la Cláusula 7.

Cláusula 10

Derechos de los interesados

MÓDULO DOS: Transferencia de responsable a encargado

  1. El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí mismo a menos que haya sido autorizado para ello por el exportador de datos.
  2. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la amplitud de la asistencia requerida.
  3. En el cumplimiento de sus obligaciones en virtud de los apartados (a) y (b), el importador de datos cumplirá las instrucciones del exportador de datos.

Cláusula 11

Vías de recurso

  1. El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para gestionar las reclamaciones. Atenderá con prontitud cualquier reclamación que reciba de un interesado.

MÓDULO DOS: Transferencia de responsable a encargado

  1. En caso de litigio entre un interesado y una de las Partes en lo que respecta al cumplimiento de estas Cláusulas, dicha Parte hará todo lo posible para resolver la cuestión de forma amistosa y oportuna. Las Partes se mantendrán informadas mutuamente sobre tales litigios y, cuando proceda, cooperarán para resolverlos.
  2. Cuando el interesado invoque un derecho de tercero beneficiario de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del interesado de:
    1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente de conformidad con la Cláusula 13;
    2. remitir el litigio a los tribunales competentes en el sentido de la Cláusula 18.
  3. Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
  4. El importador de datos acatará cualquier decisión que sea vinculante en virtud de la legislación aplicable de la UE o de un Estado miembro.
  5. El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a interponer recursos de conformidad con las leyes aplicables.

Cláusula 12

Responsabilidad

MÓDULO DOS: Transferencia de responsable a encargado

  1. Cada Parte será responsable ante la(s) otra(s) Parte(s) de cualquier daño que le(s) cause por cualquier incumplimiento de estas Cláusulas.
  2. El importador de datos será responsable ante el interesado, y este tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el importador de datos o su subencargado causen al interesado al infringir los derechos de terceros beneficiarios en virtud de estas Cláusulas.
  3. No obstante lo dispuesto en el apartado (b), el exportador de datos será responsable ante el interesado, y este tendrá derecho a recibir una indemnización, por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subencargado) causen al interesado al infringir los derechos de terceros beneficiarios en virtud de estas Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado que actúe en nombre de un responsable, de la responsabilidad del responsable en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.
  4. Las Partes acuerdan que si el exportador de datos es declarado responsable en virtud del apartado (c) por daños causados por el importador de datos (o su subencargado), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por el daño.
  5. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia de un incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a emprender acciones judiciales contra cualquiera de estas Partes.
  6. Las Partes acuerdan que si una Parte es declarada responsable en virtud del apartado (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su(s) responsabilidad(es) por el daño.
  7. El importador de datos no podrá invocar la conducta de un subencargado para eludir su propia responsabilidad.

Cláusula 13

Supervisión

MÓDULO DOS: Transferencia de responsable a encargado

  1. Cuando el exportador de datos esté establecido en un Estado miembro de la UE: La autoridad de control encargada de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, según se indica en el anexo I.C, actuará como autoridad de control competente.

    Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya nombrado un representante de conformidad con el artículo 27, apartado 1, del Reglamento (UE) 2016/679: La autoridad de control del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, según se indica en el anexo I.C, actuará como autoridad de control competente.

    Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito de aplicación territorial del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin tener que nombrar un representante de conformidad con el artículo 27, apartado 2, del Reglamento (UE) 2016/679: La autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de estas Cláusulas en relación con la oferta de bienes o servicios, o cuyo comportamiento sea objeto de seguimiento, según se indica en el anexo I.C, actuará como autoridad de control competente.

  2. El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento encaminado a garantizar el cumplimiento de estas Cláusulas. En particular, el importador de datos acepta responder a las consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad de control, incluidas las medidas correctoras y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III – LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas

MÓDULO DOS: Transferencia de responsable a encargado

  1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos para revelar datos personales o las medidas que autorizan el acceso de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no contradicen estas Cláusulas.
  2. Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
    1. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de actores implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
    2. las leyes y prácticas del tercer país de destino —incluidas las que exigen la revelación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades— pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables4;
    3. cualquier garantía contractual, técnica u organizativa pertinente establecida para complementar las garantías de estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y al tratamiento de los datos personales en el país de destino.
  3. El importador de datos garantiza que, al llevar a cabo la evaluación en virtud del apartado (b), ha hecho todo lo posible para facilitar al exportador de datos la información pertinente y acepta que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.
  4. Las Partes acuerdan documentar la evaluación en virtud del apartado (b) y ponerla a disposición de la autoridad de control competente previa solicitud.
  5. El importador de datos acepta notificar al exportador de datos sin demora si, tras haber aceptado estas Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos del apartado (a), incluso tras un cambio en las leyes del tercer país o una medida (como una solicitud de revelación) que indique una aplicación de dichas leyes en la práctica que no se ajuste a los requisitos del apartado (a).
  6. Tras una notificación de conformidad con el apartado (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deban adoptar el exportador o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar salvaguardias adecuadas para dicha transferencia, o si así lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de estas Cláusulas. Si el contrato afecta a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicará la Cláusula 16(d) y (e).

4 En lo que respecta al impacto de tales leyes y prácticas en el cumplimiento de estas Cláusulas, pueden considerarse diferentes elementos como parte de una evaluación global. Tales elementos pueden incluir la experiencia práctica pertinente y documentada con casos anteriores de solicitudes de revelación de autoridades públicas, o la ausencia de tales solicitudes, que cubran un período de tiempo suficientemente representativo. Esto se refiere, en particular, a los registros internos u otra documentación, elaborada de forma continua de acuerdo con la diligencia debida y certificada a nivel de la alta dirección, siempre que esta información pueda compartirse legalmente con terceros. Cuando se recurra a esta experiencia práctica para concluir que el importador de datos no se verá impedido de cumplir estas Cláusulas, deberá estar respaldada por otros elementos objetivos y pertinentes, y corresponde a las Partes considerar cuidadosamente si estos elementos en su conjunto tienen peso suficiente, en términos de su fiabilidad y representatividad, para respaldar esta conclusión. En particular, las Partes tienen que tener en cuenta si su experiencia práctica está corroborada y no contradicha por información fiable, disponible públicamente o accesible de otro modo, sobre la existencia o ausencia de solicitudes dentro del mismo sector o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de organismos de supervisión independientes.

Cláusula 15

Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

MÓDULO DOS: Transferencia de responsable a encargado

15.1 Notificación

  1. El importador de datos acepta notificar al exportador de datos y, cuando sea posible, al interesado sin demora (si es necesario con la ayuda del exportador de datos) si:
    1. recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de las leyes del país de destino para la revelación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta facilitada; o
    2. tiene conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con estas Cláusulas de acuerdo con las leyes del país de destino; dicha notificación incluirá toda la información de que disponga el importador.
  2. Si el importador de datos tiene prohibido notificar al exportador de datos o al interesado en virtud de las leyes del país de destino, el importador de datos acepta hacer todo lo posible para obtener una exención de la prohibición, con el fin de comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
  3. Cuando lo permitan las leyes del país de destino, el importador de datos acepta facilitar al exportador de datos, a intervalos periódicos durante la vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la(s) autoridad(es) solicitante(s), si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).
  4. El importador de datos acepta conservar la información de conformidad con los apartados (a) a (c) durante la vigencia del contrato y ponerla a disposición de la autoridad de control competente previa solicitud.
  5. Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 14(e) y la Cláusula 16, de informar al exportador de datos sin demora cuando no pueda cumplir con estas Cláusulas.

15.2 Revisión de la legalidad y minimización de datos

  1. El importador de datos acepta revisar la legalidad de la solicitud de revelación, en particular si se mantiene dentro de las facultades otorgadas a la autoridad pública solicitante, e impugnar la solicitud si, tras una evaluación cuidadosa, concluye que existen motivos razonables para considerar que la solicitud es ilegal en virtud de las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. El importador de datos, en las mismas condiciones, agotará las posibilidades de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente haya decidido sobre el fondo del asunto. No revelará los datos personales solicitados hasta que así lo exijan las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).
  2. El importador de datos acepta documentar su evaluación jurídica y cualquier impugnación de la solicitud de revelación y, en la medida en que lo permitan las leyes del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente previa solicitud.
  3. El importador de datos acepta facilitar la cantidad mínima de información permitida al responder a una solicitud de revelación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las Cláusulas y rescisión

  1. El importador de datos informará sin demora al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.
  2. En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Esto se entenderá sin perjuicio de la Cláusula 14(f).
  3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de estas Cláusulas, cuando:
    1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y el cumplimiento de estas Cláusulas no se restablezca en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión;
    2. el importador de datos incumpla de forma sustancial o persistente estas Cláusulas; o
    3. el importador de datos no cumpla una decisión vinculante de un tribunal competente o de una autoridad de control en relación con sus obligaciones en virtud de estas Cláusulas.
    En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato afecte a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado lo contrario.
  4. Para el Módulo Dos: Los datos personales que hayan sido transferidos antes de la rescisión del contrato de conformidad con el apartado (c) serán, a elección del exportador de datos, devueltos inmediatamente al exportador de datos o eliminados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos.

    El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que seguirá asegurando el cumplimiento de estas Cláusulas y que solo tratará los datos en la medida y durante el tiempo que exija dicha ley local.

  5. Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entenderá sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Ley aplicable

MÓDULO DOS: Transferencia de responsable a encargado del tratamiento

Estas Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta será la legislación de España.

Cláusula 18

Elección de foro y jurisdicción

MÓDULO DOS: Transferencia de responsable a encargado del tratamiento

  1. Cualquier controversia derivada de estas Cláusulas será resuelta por los tribunales de un Estado miembro de la UE.
  2. Las Partes acuerdan que estos serán los tribunales de España.
  3. Un interesado también podrá entablar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
  4. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

APÉNDICE

ANEXO I

MÓDULO DOS: Transferencia de responsable a encargado del tratamiento

A. LISTA DE LAS PARTES

Exportador(es) de datos: El exportador de datos es el responsable del tratamiento que ha suscrito un acuerdo de servicios con el importador de datos. La identidad y los datos de contacto del exportador de datos se detallan en el acuerdo de servicios del que estas Cláusulas forman parte vinculante.

Importador(es) de datos:

Nombre: PEGASUS BUSINESS INTELLIGENCE LLP
Dirección: Two Lincoln Centre
5420 LBJ Freeway, Suite 900
Dallas, TX 75240
Estados Unidos

El importador de datos es un proveedor global líder de soluciones de pagos B2B e inteligencia de negocios para la industria hotelera ubicado en los EE. UU.; los datos de contacto del importador de datos se detallan en el acuerdo de servicios del cual estas Cláusulas forman parte vinculante.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

MÓDULO DOS: Transferencia de responsable a encargado del tratamiento

Categorías de interesados cuyos datos personales se transfieren

Huéspedes del hotel y personal de contacto del exportador de datos.

Categorías de datos personales transferidos

Nombre, apellidos y datos de reserva de los huéspedes del hotel.

Datos de contacto (dirección de correo electrónico, número de teléfono) del personal de contacto del exportador de datos.

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados, como por ejemplo la limitación estricta de la finalidad, restricciones de acceso (incluido el acceso solo para el personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Los datos se transfieren de forma continua.

Naturaleza del tratamiento y finalidad de la transferencia de datos y del tratamiento posterior

En el contexto de las actividades que el encargado del tratamiento desarrolla a favor de sus clientes, este podrá acceder a determinados datos personales dado que el acceso es necesario para prestar los servicios contratados.

El alcance de los servicios se establece en el acuerdo de servicios formalizado entre el importador de datos y el exportador de datos, y los datos personales serán tratados por el importador de datos como encargado del tratamiento para prestar dichos servicios y cumplir con los términos del acuerdo de servicios y de estas Cláusulas.

El periodo durante el cual se conservarán los datos personales o, si ello no fuera posible, los criterios utilizados para determinar dicho periodo

Los datos personales se eliminarán o devolverán a petición por escrito del exportador de datos, tras la finalización de la prestación de los servicios pertinentes relacionados con el tratamiento o, si es antes, tan pronto como el tratamiento de cualquier dato personal por parte del encargado del tratamiento ya no sea necesario para el cumplimiento de las obligaciones de las partes en virtud del acuerdo de servicios formalizado entre el responsable del tratamiento y el encargado del tratamiento, y se eliminarán de forma segura las copias existentes.

Para las transferencias a (sub)encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del tratamiento

Para los datos utilizados para emitir facturas en Italia e India, el encargado del tratamiento interactúa con Sovos para garantizar que se cumplan todos los requisitos reglamentarios locales.

Flexential proporciona la plataforma del centro de datos, ofreciendo servicios de recuperación de desastres por colocación para los servicios de Onyx que no forman parte de una infraestructura basada en la nube. Las operaciones y los centros de datos de EE. UU. son operados íntegramente por Flexential, mientras que las instalaciones de los centros de datos con sede en la UE son operadas por Equinix.

Amazon Web Services (AWS) es la plataforma preferida para los servicios habilitados en la nube proporcionados por Onyx en un entorno de nube privada (VPC). Microsoft Azure también proporciona servicios en la nube, pero se limita a los servicios de InvoicePro.

Para el objeto, la naturaleza y la duración referidos anteriormente.

C. AUTORIDAD DE CONTROL COMPETENTE

MÓDULO DOS: Transferencia de responsable a encargado del tratamiento

Identificar la(s) autoridad(es) de control competente(s) de conformidad con la Cláusula 13

La Agencia Española de Protección de Datos

ANEXO II – MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Control de acceso a las áreas de tratamiento

El importador de datos implementa medidas adecuadas para evitar que personas no autorizadas accedan a los equipos de tratamiento de datos (servidores de equipos de red y hardware relacionado) donde se tratan o utilizan los datos personales, incluyendo:

  • Establecimiento de áreas de seguridad;
  • Protección y restricción de las vías de acceso;
  • Establecimiento de autorizaciones de acceso para empleados y terceros, incluida la documentación respectiva;
  • Todo acceso al centro de datos donde se alojan los datos personales se registra, supervisa y rastrea; y
  • El centro de datos donde se alojan los datos personales está protegido por un sistema de alarma de seguridad y otras medidas de seguridad adecuadas

Control de acceso a los sistemas de tratamiento de datos

  • El importador de datos implementa medidas adecuadas para evitar que sus sistemas de tratamiento de datos sean utilizados por personas no autorizadas, incluyendo:
  • Uso de tecnologías de cifrado adecuadas;
  • Identificación del terminal y/o del usuario del terminal ante el importador de datos/subencargado y los sistemas de tratamiento;
  • Bloqueo temporal automático del terminal del usuario si se deja inactivo, requiriendo identificación y contraseña para reabrirlo;
  • Bloqueo temporal automático del ID de usuario cuando se introducen varias contraseñas erróneas, archivo de registro de eventos, supervisión de intentos de intrusión (alertas).

Control de acceso para utilizar áreas específicas de los sistemas de tratamiento de datos

El importador de datos/subencargado se compromete a que las personas autorizadas a utilizar su sistema de tratamiento de datos solo puedan acceder a los datos dentro del alcance y en la medida en que lo cubra su respectivo permiso de acceso (autorización) y a que los datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización. Esto se logrará mediante diversas medidas, entre ellas:

  • Políticas y formación de los empleados con respecto a los derechos de acceso de cada empleado a los datos personales;
  • Capacidad de supervisión con respecto a las personas que eliminan, añaden o modifican los datos personales;
  • Entrega de datos únicamente a personas autorizadas, incluida la asignación de roles y derechos de acceso diferenciados; y
  • Uso de tecnologías de cifrado adecuadas; y control de archivos, destrucción controlada y documentada de datos

Control de disponibilidad

El importador de datos implementa medidas adecuadas para garantizar que los datos personales estén protegidos contra la destrucción o pérdida accidental, incluyendo:

  • Redundancia de infraestructura; y
  • La copia de seguridad se almacena en un sitio alternativo y está disponible para su restauración en caso de fallo del sistema principal;
  • Sitios principales y secundarios para la conmutación por error del servicio completo.

Control de transmisión

El importador de datos implementa medidas adecuadas para evitar que los datos personales sean leídos, copiados, alterados o eliminados por partes no autorizadas durante la transmisión de los mismos o durante el transporte de los soportes de datos. Esto se logra mediante diversas medidas, entre ellas:

  • Uso de cortafuegos, VPN y tecnologías de cifrado adecuadas para proteger las puertas de enlace y los conductos a través de los cuales viajan los datos; y
  • En la medida de lo posible, todas las transmisiones de datos se registran, supervisan y rastrean.

Evaluaciones de subencargados y proveedores

El importador de datos evalúa a todos los subencargados y proveedores para garantizar que todos los datos personales estén protegidos de acuerdo con las políticas de seguridad del importador de datos y cumplan con el programa de seguridad de la información del importador de datos, incluyendo:

  • Evaluaciones anuales de proveedores para determinar el riesgo; y
  • Medidas de protección de datos, incluidas certificaciones.

1. SEGURIDAD DEL CENTRO DE DATOS Y DE LA RED

(a) Centros de datos

  • Colocación (colo): El importador de datos utiliza a un tercero para alojar las instalaciones del centro de datos; los servicios de colocación proporcionan un alojamiento físico seguro del servidor y conexiones de red, además de recursos redundantes de energía y refrigeración para proteger la infraestructura.
  • Infraestructura: El importador de datos mantiene centros de datos distribuidos geográficamente. El importador de datos almacena todos los datos de producción en centros de datos físicamente seguros.
  • Redundancia: Los sistemas de infraestructura se han diseñado para eliminar puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Los circuitos duales, conmutadores, redes u otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios están diseñados para permitir que el importador de datos realice ciertos tipos de mantenimiento preventivo y correctivo sin interrupciones. Todos los equipos e instalaciones ambientales cuentan con procedimientos documentados de mantenimiento preventivo que detallan el proceso y la frecuencia de ejecución de acuerdo con las especificaciones del fabricante o internas.
  • Energía: Los sistemas de energía eléctrica del centro de datos están diseñados para ser redundantes y mantenibles sin impacto en las operaciones continuas, las 24 horas del día, los 7 días de la semana. En la mayoría de los casos, se proporciona una fuente de energía principal y otra alternativa, cada una con la misma capacidad, para los componentes críticos de la infraestructura en el centro de datos. La energía de reserva se proporciona mediante diversos mecanismos, como baterías de sistemas de alimentación ininterrumpida (SAI), que suministran una protección de energía consistentemente fiable durante caídas de tensión, apagones, sobretensiones, subtensiones y condiciones de frecuencia fuera de tolerancia. Si se interrumpe el suministro eléctrico, la energía de reserva está diseñada para proporcionar energía transitoria al centro de datos, a plena capacidad, hasta que los sistemas de generadores diésel tomen el relevo. Los generadores diésel son capaces de ponerse en marcha automáticamente en cuestión de segundos para proporcionar suficiente energía eléctrica de emergencia para hacer funcionar el centro de datos a plena capacidad, normalmente durante un periodo de días.
  • Continuidad del negocio: El importador de datos replica los datos en múltiples sistemas para ayudar a proteger contra la destrucción o pérdida accidental. El importador de datos ha diseñado y planifica y prueba regularmente sus programas de planificación de continuidad del negocio/recuperación de desastres.

(b) Redes y transmisión

  • Transmisión de datos: Los centros de datos suelen estar conectados a través de enlaces privados de alta velocidad para proporcionar una transferencia de datos segura y rápida entre ellos. Esto está diseñado para evitar que los datos sean leídos, copiados, alterados o eliminados sin autorización durante la transferencia o el transporte electrónico. Los enlaces dedicados entre las ubicaciones de las oficinas y los centros de datos se proporcionan mediante SD-WAN. El importador de datos transfiere los datos a través de protocolos estándar de Internet.
  • Superficie de ataque externa: El importador de datos emplea múltiples capas de dispositivos de red y detección de intrusiones para proteger su superficie de ataque externa. El importador de datos considera los posibles vectores de ataque e incorpora tecnologías adecuadas diseñadas específicamente en los sistemas orientados al exterior.
  • Detección de intrusiones: La detección de intrusiones tiene como objetivo proporcionar información sobre las actividades de ataque en curso y ofrecer información adecuada para responder a los incidentes. La detección de intrusiones del importador de datos implica controlar estrechamente el tamaño y la composición de la superficie de ataque del importador de datos mediante medidas preventivas y el empleo de controles de detección inteligentes en los puntos de entrada de datos.
  • Respuesta a incidentes: El importador de datos supervisa diversos canales de comunicación en busca de incidentes de seguridad, y el personal de seguridad del importador de datos reaccionará con prontitud ante los incidentes conocidos.
  • Tecnologías de cifrado: El importador de datos pone a disposición el cifrado HTTPS (también conocido como conexión TLS) para el cifrado de datos en tránsito; se utilizan y configuran según corresponda protocolos y configuraciones (cifrados) de las mejores prácticas de la industria. Cuando los datos se transfieren mediante FTP, se utiliza un canal seguro (SFTP o FTPS).
  • Seguridad de las aplicaciones: El importador de datos ha desarrollado e implementado un programa de desarrollo seguro, basado en el Open Web Application Security Project (OWASP) y el Microsoft Security Development Lifecycle. Tras su finalización, los desarrollos de productos sensibles se prueban para garantizar que la seguridad de las aplicaciones se ha abordado de forma exhaustiva y adecuada.
  • Supervisión de vulnerabilidades mediante pruebas de penetración: El importador de datos realiza al menos dos pruebas anuales de penetración de seguridad de la información, que son llevadas a cabo por empresas de seguridad de la información acreditadas y completamente independientes. El importador de datos realiza escaneos de evaluación de vulnerabilidades utilizando herramientas de terceros al menos una vez al mes, y después de cualquier cambio importante en la infraestructura de nuestro entorno de producción.

2. CONTROLES DE ACCESO Y DEL SITIO

(a) Controles del sitio

  • Operación de seguridad del centro de datos in situ: Los centros de datos del importador de datos mantienen una operación de seguridad in situ responsable de todas las funciones de seguridad física del centro de datos las 24 horas del día, los 7 días de la semana. El personal de la operación de seguridad in situ supervisa las cámaras de televisión de circuito cerrado (CCTV) y todos los sistemas de alarma. El personal de la operación de seguridad in situ realiza patrullas internas y externas del centro de datos con regularidad.
  • Procedimientos de acceso al centro de datos: El importador de datos mantiene procedimientos formales de acceso para permitir el acceso físico a los centros de datos. Los centros de datos se encuentran en instalaciones que requieren acceso mediante tarjeta electrónica, con alarmas vinculadas a la operación de seguridad in situ. Todos los que entren en el centro de datos deben identificarse y mostrar una prueba de identidad a las operaciones de seguridad in situ. Solo los empleados, contratistas y visitantes autorizados pueden entrar en los centros de datos. Solo los empleados y contratistas autorizados pueden solicitar el acceso mediante tarjeta electrónica a estas instalaciones. Las solicitudes de acceso mediante tarjeta electrónica al centro de datos deben realizarse por correo electrónico y requieren la aprobación de los directores del centro de datos. Todos los demás entrantes que requieran acceso temporal al centro de datos deben: (i) obtener la aprobación previa de los directores del centro de datos para el centro de datos específico y las áreas internas que deseen visitar; (ii) registrarse en las operaciones de seguridad in situ; y (iii) hacer referencia a un registro de acceso al centro de datos aprobado que identifique a la persona como autorizada.
  • Dispositivos de seguridad del centro de datos in situ: Los centros de datos del importador de datos emplean una tarjeta electrónica y un sistema de control de acceso biométrico que está vinculado a una alarma del sistema. El sistema de control de acceso supervisa y registra la tarjeta electrónica de cada individuo y cuándo accede a las puertas perimetrales, expedición y recepción, y otras áreas críticas. La actividad no autorizada y los intentos de acceso fallidos son registrados por el sistema de control de acceso e investigados, según corresponda. El acceso autorizado a través de las operaciones comerciales y los centros de datos está restringido en función de las zonas y las responsabilidades laborales del individuo. Las puertas cortafuegos de los centros de datos tienen alarma. Las cámaras de CCTV están en funcionamiento tanto dentro como fuera de los centros de datos. El posicionamiento de las cámaras se ha diseñado para cubrir áreas estratégicas que incluyen, entre otras, el perímetro, las puertas del edificio del centro de datos y la expedición/recepción. El personal de operaciones de seguridad in situ gestiona el equipo de supervisión, grabación y control de CCTV. Cables seguros en todos los centros de datos conectan el equipo de CCTV. Las cámaras graban in situ a través de grabadores de vídeo digital las 24 horas del día, los 7 días de la semana. Los registros de vigilancia se conservan un mínimo de 30 días en función de la actividad y los requisitos de cumplimiento.

(b) Controles de acceso

  • Personal de seguridad de la infraestructura: El importador de datos tiene y mantiene una política de seguridad para su personal, y exige formación en seguridad como parte del paquete de formación para su personal. El personal de infraestructura y seguridad del importador de datos es responsable de la supervisión continua de la infraestructura de seguridad del importador de datos, la revisión de los Servicios y la respuesta a los incidentes de seguridad.
  • Control de acceso y gestión de privilegios: Los administradores del exportador de datos deben autenticarse a través de un sistema de autenticación central o a través de un sistema de inicio de sesión único para administrar los Servicios.
  • Políticas y procesos internos de acceso a datos: Las políticas y procesos internos de acceso a datos del importador de datos están diseñados para evitar que personas y/o sistemas no autorizados accedan a los sistemas utilizados para tratar datos personales. El importador de datos diseña sus sistemas para: (i) permitir únicamente que las personas autorizadas accedan a los datos para los que tienen autorización; y (ii) garantizar que los datos personales no puedan ser leídos, copiados, alterados o eliminados sin autorización durante el tratamiento, el uso y después del registro. Los sistemas están diseñados para detectar cualquier acceso inapropiado. El importador de datos emplea un sistema de gestión de acceso centralizado para controlar el acceso del personal a los servidores de producción, y solo proporciona acceso a un número limitado de personal autorizado. Active Directory, LDAP y Kerberos están diseñados para proporcionar al importador de datos mecanismos de acceso seguros y flexibles. Estos mecanismos están diseñados para conceder únicamente derechos de acceso aprobados a los hosts del sitio, los registros, los datos y la información de configuración. El importador de datos requiere el uso de ID de usuario únicos, contraseñas seguras y autenticación de dos factores cuando sea apropiado para minimizar la posibilidad de uso no autorizado de la cuenta. La concesión o modificación de los derechos de acceso se basa en las responsabilidades laborales del personal autorizado, los requisitos de las tareas laborales necesarios para realizar las funciones autorizadas y la necesidad de conocer la información. La concesión o modificación de los derechos de acceso también debe realizarse de acuerdo con las políticas de acceso a datos internos y la formación del importador de datos. Las aprobaciones se gestionan mediante herramientas de flujo de trabajo que mantienen registros de auditoría de todos los cambios. El acceso a los sistemas se registra para crear un rastro de auditoría para la rendición de cuentas. Cuando se emplean contraseñas para la autenticación (por ejemplo, inicio de sesión en estaciones de trabajo), se implementan políticas de contraseñas que siguen al menos las prácticas estándar de la industria. Estos estándares incluyen restricciones sobre la reutilización de contraseñas y una solidez de contraseña suficiente.

3. ALMACENAMIENTO Y ELIMINACIÓN DE DATOS

(a) Almacenamiento de datos

El importador de datos almacena los datos en un entorno multiinquilino en los servidores gestionados/privados del importador de datos. La arquitectura de los datos y del sistema de archivos se replica entre múltiples centros de datos distribuidos geográficamente. El importador de datos cifra todos los datos en reposo, el importador de datos también aísla lógicamente los datos del exportador de datos, y al exportador de datos se le dará el control sobre las políticas específicas de intercambio de datos.

(b) Eliminación de datos

Los discos que contienen datos pueden experimentar problemas de rendimiento, errores o fallos de hardware que lleven a su desmantelamiento. Cada disco desmantelado está sujeto a una serie de procesos de destrucción de datos antes de salir de las instalaciones del importador de datos, ya sea para su reutilización o destrucción. Los discos desmantelados se borran en un proceso de varios pasos y se verifica su finalización. Los resultados del borrado se registran mediante el número de serie del disco desmantelado para su seguimiento.

4. SEGURIDAD DEL PERSONAL

Se requiere que el personal del importador de datos se comporte de manera consistente con las directrices de la empresa en materia de confidencialidad, ética empresarial, uso apropiado y estándares profesionales. El importador de datos realiza comprobaciones de antecedentes razonablemente adecuadas en la medida en que sea legalmente permisible y de acuerdo con la legislación laboral local y las normativas legales aplicables.

El personal debe firmar un acuerdo de confidencialidad y debe acusar recibo y cumplimiento de las políticas de seguridad y privacidad del importador de datos. Al personal se le proporciona formación en seguridad. El personal que maneja datos de clientes debe cumplir con requisitos adicionales adecuados a su función. El personal del importador de datos no tratará los datos de los clientes sin autorización.

5. SEGURIDAD DE LOS SUBENCARGADOS

Antes de incorporar subencargados, el importador de datos realiza una auditoría de las prácticas de seguridad y privacidad de los mismos para garantizar que proporcionen un nivel de seguridad y privacidad adecuado a su acceso a los datos y al alcance de los servicios para los que han sido contratados.

ANEXO III – LISTA DE SUBENCARGADOS DEL TRATAMIENTO

Sovos: Sovos permite la emisión de facturas del proceso Onyx InvoicePro CTC para Italia e India.

Kurt D. Ring
Global Alliances Manager | Sovos Compliance
O: 978.527.1276 | M: 617.877.2115
200 Ballardvale Street, Building 1, 4th Floor, Wilmington MA 01887

Flexential: Flexential proporciona la plataforma del centro de datos, ofreciendo servicios de recuperación de desastres por colocación.

Derek Sieburg | Sr. Customer Success Manager | Flexential
O:720.354.3758|[email protected]|www.flexential.com [email protected]
A la atención de: Privacy & Security Officer, Flexential Corp., 8809 Lenox Pointe Drive, Suite G, Charlotte, NC 28273
https://www.flexential.com/flexential-gdpr-policy-statement

Equinix: Equinix proporciona instalaciones e infraestructura de centros de datos para los servicios ubicados en la UE proporcionados por Flexential

[email protected] +1.866.977.3749
https://www.equinix.nl/about/legal/privacy

Amazon Web Services (AWS): AWS es la plataforma preferida para los servicios habilitados en la nube proporcionados por Onyx. Para más detalles, consulte el DPA del RGPD de AWS que está incorporado en los Términos de Servicio de AWS

https://aws.amazon.com/privacy/

Microsoft Azure: Azure proporciona servicios en la nube para alojar el frontend de Onyx InvoicePro. Consulte el Addendum de Protección de Datos de Microsoft Online Services para obtener más información.

Microsoft Corporation
A la atención de: Chief Privacy Officer
1 Microsoft Way
Redmond, WA 98052 EE. UU.

ADENDA DE TRANSFERENCIA INTERNACIONAL DE DATOS A LAS CLÁUSULAS CONTRACTUALES TIPO DE LA COMISIÓN DE LA UE

PARTE 1: TABLAS

Tabla 1: Partes

Fecha de inicio Fecha de entrada en vigor de la Adenda de Tratamiento de Datos
Las Partes Exportador (quien envía la Transferencia Restringida) Importador (quien recibe la Transferencia Restringida)
Datos de las Partes Véase el Apéndice 1, Anexo 1, Sección A Véase el Apéndice 1, Anexo 1, Sección A
Contacto principal Véase el Apéndice 1, Anexo 1, Sección A Véase el Apéndice 1, Anexo 1, Sección A
Firma (si se requiere a los efectos de la Sección 2) La formalización de la Adenda de Tratamiento de Datos en la Fecha de Entrada en Vigor se considera la formalización de esta Adenda La formalización de la Adenda de Tratamiento de Datos en la Fecha de Entrada en Vigor se considera la formalización de esta Adenda

Tabla 2: CCT seleccionadas, Módulos y Cláusulas seleccionadas

CCT de la UE de la Adenda La versión de las CCT de la UE aprobadas a las que se adjunta esta Adenda, detallada a continuación, incluida la Información del Apéndice:

Fecha: Fecha de entrada en vigor de la Adenda de Tratamiento de Datos
Referencia (si la hubiera): Ninguna
Otro identificador (si lo hubiera): Ninguno

Tabla 3: Información del Apéndice

Información del Apéndice” significa la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de las CCT de la UE aprobadas (distintas de las Partes), y que para esta Adenda se establece en:

Anexo 1A: Lista de las Partes: Véase el Apéndice 1, Anexo 1, Sección A

Anexo 1B: Descripción de la transferencia: Véase el Apéndice 1, Anexo 1, Sección B

Anexo II: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos: Véase el Apéndice 1, Anexo II

Anexo III: Lista de subencargados del tratamiento (solo módulos 2 y 3): Véase el Apéndice 1, Anexo III

Tabla 4: Finalización de esta Adenda cuando cambie la Adenda aprobada

Finalización de esta Adenda cuando cambie la Adenda aprobada Qué Partes pueden finalizar esta Adenda según lo establecido en la Sección 19:

☐ Importador
☐ Exportador
☐ Ninguna de las Partes

PARTE 2: CLÁUSULAS OBLIGATORIAS

Suscripción de esta Adenda

  1. Cada Parte acuerda quedar vinculada por los términos y condiciones establecidos en esta Adenda, a cambio de que la otra Parte también acuerde quedar vinculada por esta Adenda.
  2. Aunque el Anexo 1A y la Cláusula 7 de las CCT de la UE aprobadas requieren la firma de las Partes, a efectos de realizar Transferencias Restringidas, las Partes pueden suscribir esta Adenda de cualquier forma que las haga legalmente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo establecido en esta Adenda. La suscripción de esta Adenda tendrá el mismo efecto que la firma de las CCT de la UE aprobadas y de cualquier parte de las mismas.

Interpretación de esta Adenda

  1. Cuando esta Adenda utilice términos que estén definidos en las CCT de la UE aprobadas, dichos términos tendrán el mismo significado que en las CCT de la UE aprobadas. Además, los siguientes términos tienen los siguientes significados:
Adenda Esta Adenda de Transferencia Internacional de Datos que se compone de esta Adenda incorporando las CCT de la UE de la Adenda.
CCT de la UE de la Adenda La(s) versión(es) de las CCT de la UE aprobadas a las que se adjunta esta Adenda, según lo establecido en la Tabla 2, incluida la Información del Apéndice.

Las CCT de la UE de la Adenda se incluyen en el Apéndice 1 de la Adenda de Tratamiento de Datos.
Información del Apéndice Según lo establecido en la Tabla 3.
Salvaguardias adecuadas El estándar de protección sobre los datos personales y de los derechos de los interesados, que es requerido por las Leyes de Protección de Datos del Reino Unido cuando se realiza una Transferencia Restringida basándose en cláusulas tipo de protección de datos en virtud del Artículo 46(2)(d) del RGPD del Reino Unido.
Adenda aprobada La plantilla de Adenda emitida por la ICO y presentada ante el Parlamento de conformidad con la sección 119A de la Ley de Protección de Datos de 2018 el 28 de enero de 2022, según se revise en virtud de la Sección 18.
CCT de la UE aprobadas Las Cláusulas Contractuales Tipo establecidas en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
ICO El Comisionado de Información (Information Commissioner).
Transferencia restringida Una transferencia que está cubierta por el Capítulo V del RGPD del Reino Unido.
Reino Unido El Reino Unido de Gran Bretaña e Irlanda del Norte.
Leyes de protección de datos del Reino Unido Todas las leyes relativas a la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluidos el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.
RGPD del Reino Unido Según se define en la sección 3 de la Ley de Protección de Datos de 2018.
  1. Esta Adenda debe interpretarse siempre de manera coherente con las Leyes de Protección de Datos del Reino Unido y de modo que cumpla con la obligación de las Partes de proporcionar las Salvaguardias Adecuadas.
  2. Si las disposiciones incluidas en las CCT de la UE de la Adenda modifican las CCT aprobadas de cualquier forma que no esté permitida por las CCT de la UE aprobadas o la Adenda aprobada, dicha(s) modificación(es) no se incorporará(n) a esta Adenda y la disposición equivalente de las CCT de la UE aprobadas ocupará su lugar.
  3. Si existe alguna incoherencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y esta Adenda, prevalecerán las Leyes de Protección de Datos del Reino Unido.
  4. Si el significado de esta Adenda no está claro o hay más de un significado, se aplicará el significado que más se ajuste a las Leyes de Protección de Datos del Reino Unido.
  5. Cualquier referencia a la legislación (o a disposiciones específicas de la legislación) se refiere a dicha legislación (o disposición específica) tal como pueda cambiar con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, refundida y/o sustituida después de la suscripción de esta Adenda.

Jerarquía

  1. Aunque la Cláusula 5 de las CCT de la UE aprobadas establece que estas prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para las Transferencias Restringidas, prevalecerá la jerarquía de la Sección 10.
  2. Cuando exista alguna incoherencia o conflicto entre la Adenda aprobada y las CCT de la UE de la Adenda (según corresponda), la Adenda aprobada prevalecerá sobre las CCT de la UE de la Adenda, excepto cuando (y en la medida en que) los términos incoherentes o en conflicto de las CCT de la UE de la Adenda proporcionen una mayor protección para los interesados, en cuyo caso dichos términos prevalecerán sobre la Adenda aprobada.
  3. Cuando esta Adenda incorpore CCT de la UE de la Adenda que hayan sido suscritas para proteger transferencias sujetas al Reglamento General de Protección de Datos (UE) 2016/679, las Partes reconocen que nada en esta Adenda afecta a dichas CCT de la UE de la Adenda.

Incorporación de cambios a las CCT de la UE

  1. Esta Adenda incorpora las CCT de la UE de la Adenda, las cuales se modifican en la medida necesaria para que:
    1. juntas operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se apliquen al tratamiento del exportador de datos al realizar dicha transferencia de datos, y proporcionen Salvaguardias Adecuadas para dichas transferencias de datos;
    2. las Secciones 9 a 11 prevalezcan sobre la Cláusula 5 (Jerarquía) de las CCT de la UE de la Adenda; y
    3. esta Adenda (incluidas las CCT de la UE de la Adenda incorporadas a ella) se rija (1) por las leyes de Inglaterra y Gales y (2) cualquier controversia derivada de ella sea resuelta por los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o los tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.
  2. A menos que las Partes hayan acordado enmiendas alternativas que cumplan con los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.
  3. No se podrán realizar enmiendas a las CCE de la UE aprobadas que no sean para cumplir con los requisitos de la Sección 12.
  4. Se realizan las siguientes enmiendas a las CCE de la UE del Apéndice (a efectos de la Sección 12):
    1. Las referencias a las «Cláusulas» se refieren a este Apéndice, que incorpora las CCE de la UE del Apéndice;
    En la Cláusula 2, elimínense las palabras:

    «y, con respecto a las transferencias de datos de responsables a encargados y/o de encargados a encargados, las cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679»;

    1. La Cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por:

    «Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren son los especificados en el Anexo I.B cuando las leyes de protección de datos del Reino Unido se apliquen al tratamiento del exportador de datos al realizar dicha transferencia».

    1. La Cláusula 8.7(i) del Módulo 1 se sustituye por:

    «se trata de un país que se beneficia de reglamentos de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubra la transferencia ulterior»;

    1. La Cláusula 8.8(i) de los Módulos 2 y 3 se sustituye por:

    «la transferencia ulterior se realiza a un país que se beneficia de reglamentos de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubra la transferencia ulterior;»

    1. Las referencias al «Reglamento (UE) 2016/679», al «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)» y a «dicho Reglamento» se sustituyen todas por «Leyes de protección de datos del Reino Unido». Las referencias a artículos específicos del «Reglamento (UE) 2016/679» se sustituyen por el artículo o sección equivalente de las leyes de protección de datos del Reino Unido;
    2. Se eliminan las referencias al Reglamento (UE) 2018/1725;
    3. Las referencias a la «Unión Europea», «Unión», «UE», «Estado miembro de la UE», «Estado miembro» y «UE o Estado miembro» se sustituyen todas por el «Reino Unido»;
    4. La referencia a la «Cláusula 12(c)(i)» en la Cláusula 10(b)(i) del Módulo uno, se sustituye por «Cláusula 11(c)(i)»;
    5. La Cláusula 13(a) y la Parte C del Anexo I no se utilizan;
    6. La «autoridad de control competente» y la «autoridad de control» se sustituyen ambas por el «Information Commissioner»;
    7. En la Cláusula 16(e), la subsección (i) se sustituye por:

    «el Secretario de Estado dicta reglamentos de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;»;

    1. La Cláusula 17 se sustituye por:

    «Estas Cláusulas se rigen por las leyes de Inglaterra y Gales».

    1. La Cláusula 18 se sustituye por:

    «Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. Un interesado también puede entablar procedimientos legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales»; y

    1. Las notas a pie de página de las CCE de la UE aprobadas no forman parte del Apéndice, a excepción de las notas a pie de página 8, 9, 10 y 11.

Enmiendas a este Apéndice

  1. Las Partes pueden acordar cambiar las Cláusulas 17 y/o 18 de las CCE de la UE del Apéndice para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.
  2. Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Apéndice aprobado, pueden hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las garantías adecuadas.
  3. De vez en cuando, la ICO puede emitir un Apéndice aprobado revisado que:
    1. realice cambios razonables y proporcionados en el Apéndice aprobado, incluida la corrección de errores en el mismo; y/o
    2. refleje cambios en las leyes de protección de datos del Reino Unido;
    El Apéndice aprobado revisado especificará la fecha de inicio a partir de la cual los cambios en el Apéndice aprobado son efectivos y si las Partes necesitan revisar este Apéndice, incluida la información del anexo. Este Apéndice se modifica automáticamente según lo establecido en el Apéndice aprobado revisado a partir de la fecha de inicio especificada.
  4. Si la ICO emite un Apéndice aprobado revisado en virtud de la Sección 18, si alguna de las Partes seleccionadas en la Tabla 4 «Finalización del Apéndice cuando cambie el Apéndice aprobado», tendrá como resultado directo de los cambios en el Apéndice aprobado un aumento sustancial, desproporcionado y demostrable en:
    1. sus costes directos de cumplimiento de sus obligaciones en virtud del Apéndice; y/o
    2. su riesgo en virtud del Apéndice,
    y en cualquier caso, si primero ha tomado medidas razonables para reducir esos costes o riesgos de modo que no sean sustanciales y desproporcionados, entonces esa Parte puede finalizar este Apéndice al final de un período de notificación razonable, notificándolo por escrito durante dicho período a la otra Parte antes de la fecha de inicio del Apéndice aprobado revisado.
  5. Las Partes no necesitan el consentimiento de ningún tercero para realizar cambios en este Apéndice, pero cualquier cambio debe realizarse de acuerdo con sus términos.

PARTE 2 ALTERNATIVA CLÁUSULAS OBLIGATORIAS:

Cláusulas obligatorias Parte 2: Cláusulas obligatorias del Apéndice aprobado, siendo la plantilla del Apéndice B.1.0 emitida por la ICO y presentada ante el Parlamento de conformidad con el art. 119A de la Ley de Protección de Datos de 2018 el 28 de enero de 2022, según se revise en virtud de la Sección 18 de dichas Cláusulas obligatorias.