Sección I
Cláusula 1: Propósito y alcance
(a) El propósito de estas cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos, RGPD) para la transferencia de datos personales a un tercer país.
(b) Las Partes: (i) las personas físicas o jurídicas, autoridades públicas, agencias u otros organismos (en adelante, “entidad(es)”) que transfieren los datos personales, tal como se indica en el Anexo I.A. (en adelante, cada uno “exportador de datos”), y (ii) las entidades en un tercer país que reciben los datos personales del exportador de datos, directa o indirectamente a través de otra entidad también Parte de estas Cláusulas, tal como se indica en el Anexo I.A. (en adelante, cada uno “importador de datos”), han acordado estas cláusulas contractuales estándar (en adelante, “Cláusulas”).
(c) Estas Cláusulas se aplican con respecto a la transferencia de datos personales especificada en el Anexo I.B.
(d) El Apéndice de estas Cláusulas, que contiene los Anexos mencionados en ellas, forma parte integrante de las Cláusulas.
Cláusula 2: Efecto e invariabilidad de las Cláusulas
(a) Estas Cláusulas establecen salvaguardas adecuadas, incluyendo derechos ejecutables para los interesados y recursos legales efectivos, de conformidad con el artículo 46(1) y el artículo 46(2)(c) del Reglamento (UE) 2016/679 y, respecto a transferencias de controladores a procesadores y/o de procesadores a procesadores, cláusulas contractuales estándar conforme al artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el/los Módulo(s) apropiados o para agregar o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales estándar en un contrato más amplio y/o agreguen otras cláusulas o salvaguardas adicionales, siempre que no contradigan directa o indirectamente estas Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
(b) Estas Cláusulas no afectan las obligaciones que correspondan al exportador de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3: Beneficiarios terceros
(a) Los interesados pueden invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador y/o el importador de datos, con las siguientes excepciones: (i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7; (ii) Cláusula 8 - Cláusula 8.1(b) y Cláusula 8.3(b); (iii) Cláusula 13; (iv) Cláusula 15.1(c), (d) y (e); (v) Cláusula 16(e).
(b) El apartado (a) se entiende sin perjuicio de los derechos de los interesados conforme al Reglamento (UE) 2016/679.
Cláusula 4: Interpretación
(a) Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, esos términos tendrán el mismo significado que en dicho Reglamento.
(b) Estas Cláusulas se interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
(c) Estas Cláusulas no se interpretarán de manera que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.
Cláusula 5: Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de acuerdos relacionados entre las Partes, existentes en el momento en que se acuerden estas Cláusulas o posteriormente, prevalecerán estas Cláusulas.
Cláusula 6: Descripción de las transferencias
Los detalles de las transferencias, en particular las categorías de datos personales transferidos y los propósitos para los cuales se transfieren, se especifican en el Anexo I.B.
Cláusula 7: Cláusula opcional de adhesión
(a) Una entidad que no sea Parte de estas Cláusulas puede, con el acuerdo de las Partes, adherirse a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.
(b) Una vez que haya completado el Apéndice y firmado el Anexo I.A., la entidad adherente se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos según se indique en el Anexo I.A.
(c) La entidad adherente no tendrá derechos ni obligaciones derivados de estas Cláusulas por el período anterior a convertirse en Parte.
Sección II – Obligaciones de las partes
Cláusula 8: Salvaguardias de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos puede, mediante la implementación de medidas técnicas y organizativas adecuadas, cumplir con sus obligaciones bajo estas Cláusulas.
8.1 Instrucciones
(a) El exportador de datos solo procesará los datos personales según las instrucciones documentadas del importador de datos que actúe como su controlador.
(b) El exportador de datos informará de inmediato al importador de datos si no puede seguir dichas instrucciones, incluyendo si tales instrucciones infringen el Reglamento (UE) 2016/679 u otras leyes de protección de datos de la Unión o de un Estado Miembro.
(c) El importador de datos se abstendrá de cualquier acción que impida al exportador de datos cumplir con sus obligaciones bajo el Reglamento (UE) 2016/679, incluso en el contexto del subprocesamiento o en relación con la cooperación con las autoridades de supervisión competentes.
(d) Una vez finalizada la prestación de los servicios de procesamiento, el exportador de datos, a elección del importador, eliminará todos los datos personales procesados en nombre del importador y certificará que lo ha hecho, o devolverá al importador todos los datos personales procesados en su nombre y eliminará las copias existentes.
8.2 Seguridad del procesamiento
(a) Las Partes implementarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluyendo durante la transmisión, y la protección contra violaciones de seguridad que resulten en la destrucción, pérdida, alteración, divulgación o acceso accidental o ilegal (en adelante, “violación de datos personales”). Al evaluar el nivel adecuado de seguridad, deberán tener en cuenta el estado de la técnica, los costos de implementación, la naturaleza de los datos personales, el alcance, el contexto y el propósito del procesamiento, así como los riesgos involucrados para los interesados, considerando particularmente el uso de encriptación o seudonimización, cuando el propósito del procesamiento pueda cumplirse de esa manera.
(b) El exportador de datos asistirá al importador en garantizar la seguridad adecuada de los datos conforme al apartado (a). En caso de una violación de datos personales relativa a los datos procesados por el exportador bajo estas Cláusulas, este notificará al importador sin demora indebida después de haber tomado conocimiento de ello y ayudará al importador a abordar la violación.
(c) El exportador de datos garantizará que las personas autorizadas para procesar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación estatutaria adecuada de confidencialidad.
8.3 Documentación y cumplimiento
(a) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas.
(b) El exportador de datos pondrá a disposición del importador toda la información necesaria para demostrar el cumplimiento de sus obligaciones bajo estas Cláusulas y permitirá y contribuirá a auditorías.
Cláusula 9: Uso de subprocesadores
No aplica.
Cláusula 10: Derechos de los interesados
Esto incluye si la transferencia y el procesamiento posterior involucran datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos o biométricos para identificar de manera única a una persona física, datos relacionados con la salud o la vida sexual u orientación sexual, o datos relacionados con condenas o delitos penales.
Las Partes se ayudarán mutuamente en responder consultas y solicitudes realizadas por los interesados bajo la ley local aplicable al importador o, para el procesamiento por el exportador en la UE, bajo el Reglamento (UE) 2016/679.
Cláusula 11: Reparación
(a) El importador de datos informará a los interesados, de manera transparente y accesible, mediante un aviso individual o en su sitio web, de un punto de contacto autorizado para manejar quejas. Deberá tratar de manera rápida cualquier queja recibida de un interesado.
Cláusula 12: Responsabilidad
(a) Cada Parte será responsable frente a la otra por cualquier daño que cause debido al incumplimiento de estas Cláusulas.
(b) Cada Parte será responsable frente al interesado, y el interesado tendrá derecho a recibir una compensación, por cualquier daño material o inmaterial que la Parte cause al interesado al infringir los derechos de terceros beneficiarios bajo estas Cláusulas.
(c) Si más de una Parte es responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables, y el interesado tendrá derecho a entablar una acción judicial contra cualquiera de estas Partes.
(d) Las Partes acuerdan que, si una Parte es considerada responsable bajo el apartado (c), tendrá derecho a reclamar de las otras Partes la parte de la compensación correspondiente a su responsabilidad por el daño.
(e) El importador de datos no puede invocar la conducta de un procesador o subprocesador para evitar su propia responsabilidad.
Sección III – Leyes locales y obligaciones en caso de acceso por parte de autoridades públicas
Cláusula 14: Leyes locales y prácticas que afectan el cumplimiento de las Cláusulas
No aplica.
Sección IV – Disposiciones finales
Cláusula 16: Incumplimiento de las Cláusulas y terminación
(a) El importador de datos informará de inmediato al exportador si no puede cumplir con estas Cláusulas, por cualquier motivo.
(b) En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplirlas, el exportador deberá suspender la transferencia de datos personales al importador hasta que se garantice nuevamente el cumplimiento o se termine el contrato. Esto no afecta lo dispuesto en la Cláusula 14(f).
(c) El exportador de datos tendrá derecho a terminar el contrato, en lo que respecta al procesamiento de datos personales bajo estas Cláusulas, cuando:
(i) el exportador de datos haya suspendido la transferencia de datos personales al importador conforme al párrafo (b) y el cumplimiento de estas Cláusulas no se restaure dentro de un plazo razonable, y en todo caso dentro de un mes desde la suspensión; (ii) el importador de datos incurra en un incumplimiento sustancial o persistente de estas Cláusulas; o (iii) el importador de datos no cumpla con una decisión vinculante de un tribunal competente o una autoridad de supervisión respecto a sus obligaciones bajo estas Cláusulas.
En estos casos, deberá informar a la autoridad de supervisión competente [para el Módulo Tres: y al controlador] sobre dicho incumplimiento. Cuando el contrato implique a más de dos Partes, el exportador podrá ejercer este derecho de terminación solo respecto a la Parte correspondiente, salvo que las Partes acuerden lo contrario.
(d) [Para los Módulos Uno, Dos y Tres: Los datos personales transferidos antes de la terminación del contrato conforme al párrafo (c) deberán, a elección del exportador, ser devueltos al exportador o eliminados en su totalidad. Lo mismo aplicará a cualquier copia de los datos.] [Para el Módulo Cuatro: Los datos personales recogidos por el exportador en la UE que hayan sido transferidos antes de la terminación del contrato conforme al párrafo (c) deberán eliminarse en su totalidad, incluyendo cualquier copia.] El importador de datos certificará la eliminación de los datos al exportador. Hasta que los datos sean eliminados o devueltos, el importador continuará garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador prohíban la devolución o eliminación de los datos transferidos, el importador garantizará que continuará cumpliendo estas Cláusulas y solo procesará los datos en la medida y por el tiempo requerido por dichas leyes locales.
(e) Cualquiera de las Partes puede revocar su acuerdo para estar obligada por estas Cláusulas si:
(i) la Comisión Europea adopta una decisión conforme al Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican estas Cláusulas; o
(ii) el Reglamento (UE) 2016/679 pase a formar parte del marco legal del país al que se transfieren los datos personales. Esto no afecta otras obligaciones aplicables al procesamiento en cuestión bajo el Reglamento (UE) 2016/679.
Cláusula 17: Ley aplicable
Estas Cláusulas estarán regidas por la ley de un país que permita derechos de terceros beneficiarios. Las Partes acuerdan que será la ley de España.
Cláusula 18: Elección de foro y jurisdicción
Cualquier disputa que surja de estas Cláusulas se resolverá en los tribunales de España.
Apéndice
Notas explicativas
Debe ser posible distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, a este respecto, determinar el/los rol(es) respectivos de las Partes como exportador(es) y/o importador(es) de datos. Esto no necesariamente requiere completar y firmar apéndices separados para cada transferencia/categoría de transferencias y/o relación contractual, siempre que esta transparencia pueda lograrse a través de un solo apéndice. Sin embargo, cuando sea necesario para garantizar suficiente claridad, deben utilizarse apéndices separados.
Anexo I
A. Lista de Partes
Exportador(es) de datos:
- Nombre: Marfeel Solutions, S.L
Dirección: 08029, Barcelona, España, Josep Tarradellas 20-30, 6º piso.
Persona de contacto: Juan José Nugué Oneto, DPO, dpo@marfeel.com
Actividades relevantes para los datos transferidos: prestación de servicios según GTOS y permitir acceso remoto a los datos procesados por MARFEEL.
Firma y fecha: Juan Ignacio Margenat Trias COO
Rol: Procesador.
Importador(es) de datos:
- Nombre: … Cliente sujeto a GTOS ejecutados con Marfeel
Dirección: … Información indicada en el Formulario de Pedido respectivo
Persona de contacto: … Información indicada en el Formulario de Pedido respectivo
Actividades relevantes: …
Firma y fecha: …
Rol: Controlador.
B. Descripción de la transferencia
Categorías de interesados cuyos datos se transfieren:
Visitantes de sitios web.
Categorías de datos personales transferidos:
- Información del dispositivo: dirección IP, versión del sistema operativo, dispositivo, país, nivel de navegación, agente de usuario, ID de usuario.
- Información de navegación del usuario: frecuencia de uso, secciones visitadas, tiempo de permanencia, etc.
- Información de ubicación: dirección IP, zona horaria y proveedor de servicios móviles.
- Información proporcionada por el editor: ID de usuario.
- Información deducida: intereses del visitante, interacción con contenido, etc.
Frecuencia de la transferencia: Base continua.
Naturaleza del procesamiento: Permitir acceso remoto a los datos procesados según los SERVICIOS.
Finalidad de la transferencia: Divulgar datos al controlador y, cuando corresponda, transferirlos.
Periodo de retención: Los datos se conservarán mientras sea necesario para la prestación de los SERVICIOS y, si aplica, se mantendrán bloqueados mientras puedan surgir responsabilidades legales.
C. Autoridad de supervisión competente
No aplica.
Anexo II: Medidas técnicas y organizativas
No aplica.
Anexo III: Subprocesadores aprobados
No aplica.