Cláusulas Contractuales Tipo (CCC) del cliente (Responsable del tratamiento a encargados del tratamiento)

Las presentes Cláusulas Contractuales Tipo se adjuntan y forman parte del Anexo de Procesamiento de Datos de CurbCutOS, Inc. ("CurbCutOS"), u otros acuerdos entre el Cliente y CurbCutOS que rijan el procesamiento de los Datos Personales contenidos en los Datos del Cliente (el "DPA"). A menos que se definan de otro modo en este anexo, los términos en mayúscula utilizados en estas Cláusulas Contractuales Tipo tienen el significado que se les atribuye en la DPA.

SECCIÓN I

Artículo 1

Objetivo y ámbito de aplicación

(a) El objeto de las presentes cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) para la transferencia de datos personales a un tercer país.

(b) Las Partes:

i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en lo sucesivo, "entidad(es)") que transfiere(n) los datos personales, enumerados en el anexo I.A (en lo sucesivo, "exportador(es) de datos"), y

ii) la(s) entidad(es) de un tercer país que reciba(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte en las presentes cláusulas, según se enumera en el anexo I.A (en lo sucesivo, "importador de datos")

han aceptado las presentes cláusulas contractuales tipo (en adelante: "Cláusulas").

(c) Las presentes Cláusulas se aplican a la transferencia de datos personales tal y como se especifica en el Anexo I.B.

(d) El Apéndice de estas Cláusulas que contiene los Anexos a los que se hace referencia en el mismo forma parte integrante de estas Cláusulas.

Artículo 2

Efecto e invariabilidad de las cláusulas

(a) Las presentes Cláusulas establecen garantías adecuadas, incluidos derechos exigibles de los interesados y recursos jurídicos efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados y/o encargados a encargados, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el Módulo o Módulos adecuados o para añadir o actualizar información en el Apéndice. Ello no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

(b) Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Artículo 3

Terceros beneficiarios

(a) Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8.1(b), y 8.9(a), (c), (d), (e);

(iii) Cláusula 9(a), (c), (d) y (e);

(iv) Cláusula 12(a), (d) y (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) y (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18(a) y (b).

(b) El apartado a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Artículo 4

Interpretación

(a) Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

(b) Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.

(c) Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Artículo 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.

Artículo 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

Artículo 7 - Facultativo

No utilizados.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Artículo 8

Protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes cláusulas.

8.1 Instrucciones

(a) El importador de datos tratará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la vigencia del contrato.

(b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.

8.2 Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia de las presentes cláusulas, incluido el apéndice completado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del apéndice de las presentes cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el interesado no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Precisión

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora injustificada. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos sólo tendrá lugar durante el período especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados por cuenta del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados por cuenta suya y suprimirá las copias existentes. Hasta que se supriman o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo los tratará en la medida y durante el tiempo que exija dicha legislación local. Esto se entiende sin perjuicio de la Cláusula 14, en particular del requisito de que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).

8.6 Seguridad del tratamiento

(a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra quebrantamientos de la seguridad que provoquen la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de dichos datos (en lo sucesivo, "violación de datos personales"). Al evaluar el nivel adecuado de seguridad, Las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad o finalidades del tratamiento, así como los riesgos que entrañe el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado concreto permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que dichas medidas siguen proporcionando un nivel de seguridad adecuado.

(b) El importador de datos sólo concederá acceso a los datos a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.

(c) En caso de violación de datos personales relativos a datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora injustificada tras haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información de que se disponga en ese momento y, posteriormente, a medida que se vaya disponiendo de ella, se facilitará más información sin dilaciones indebidas.

(d) El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir las obligaciones que le incumben en virtud del Reglamento (UE) 2016/679, en particular la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles

Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, "datos sensibles"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8 Transferencias ulteriores

El importador de datos sólo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán comunicarse a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo "transferencia ulterior") si el tercero está o acepta estar vinculado por las presentes Cláusulas, en virtud del Módulo correspondiente, o si:

(i) la transferencia ulterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;

(ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

(iii) la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

(iv) la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Toda transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en las presentes cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y conformidad

(a) El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento previsto en las presentes cláusulas.

(b) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas en nombre del exportador de datos.

(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si existen indicios de incumplimiento. A la hora de decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.

(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.

(e) Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en las letras b) y c), incluidos los resultados de cualquier auditoría.

Artículo 9

Uso de subprocesadores

(a) El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargados del tratamiento de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con una antelación mínima de diez (10) días laborables, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados del tratamiento. El importador de datos facilitará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.

(b) Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades específicas de tratamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de las presentes cláusulas, incluso en lo que respecta a los derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, mediante el cumplimiento de esta Cláusula, el importador de datos cumple sus obligaciones en virtud de la Cláusula 8.8. El importador de datos velará por que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.

(c) El importador de datos facilitará, a petición del exportador de datos, una copia de dicho acuerdo de subencargado del tratamiento y de cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho contrato.

(e) El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado del tratamiento que borre o devuelva los datos personales.

Artículo 10

Derechos del interesado

(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá por sí mismo a dicha solicitud a menos que haya sido autorizado para ello por el exportador de datos.

(b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos con arreglo al Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.

(c) En el cumplimiento de sus obligaciones en virtud de los apartados (a) y (b), el importador de datos deberá atenerse a las instrucciones del exportador de datos.

Artículo 11

Reparación

(a) El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tratará sin demora las reclamaciones que reciba de un interesado.

(b) En caso de litigio entre un interesado y una de las Partes en relación con el cumplimiento de las presentes Cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y en el momento oportuno. Las Partes se mantendrán mutuamente informadas sobre dichos litigios y, en su caso, cooperarán para resolverlos.

(c) Cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, el importador de datos aceptará la decisión del interesado de:

(i) presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o de su lugar de trabajo, o ante la autoridad de control competente con arreglo a la cláusula 13;

(ii) remitir el litigio a los tribunales competentes en el sentido de la cláusula 18.

(d) Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

(e) El importador de datos acatará una decisión que sea vinculante con arreglo a la legislación aplicable de la UE o de los Estados miembros.

(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación aplicable.

Artículo 12

Responsabilidad

(a) Cada una de las Partes será responsable ante la/s otra/s de los daños y perjuicios que cause a la/s otra/s por cualquier incumplimiento de estas Cláusulas.

(b) El importador de datos será responsable ante el interesado, y éste tendrá derecho a ser indemnizado, por cualquier daño material o inmaterial que el importador de datos o su subencargado causen al interesado por vulnerar los derechos de terceros beneficiarios previstos en las presentes cláusulas.

(c) No obstante lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado, y este tendrá derecho a ser indemnizado, por cualquier daño material o moral que el exportador de datos o el importador de datos (o su subencargado del tratamiento) cause al interesado por vulnerar los derechos de terceros beneficiarios en virtud de las presentes cláusulas. Ello se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe por cuenta de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.

(d) Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del apartado (c) de los daños causados por el importador de datos (o su subencargado del tratamiento), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.

(e) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia del incumplimiento de las presentes Cláusulas, todas las Partes responsables lo serán solidariamente y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.

(f) Las Partes acuerdan que si una de las Partes es considerada responsable en virtud del apartado (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su responsabilidad por el daño.

(g) El importador de datos no podrá invocar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Artículo 13

Supervisión
a) Cuando el exportador de datos esté establecido en un Estado miembro de la UE: Actuará como autoridad de control competente la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C.

Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679: La autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de supervisión competente.

Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin que, no obstante, tenga que designar a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679: Actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle, tal como se indica en el anexo I.C.

(b) El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes cláusulas. En particular, el importador de datos acepta responder a las investigaciones, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han adoptado las medidas necesarias.

SECCIÓN III - LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

Artículo 14

Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas

(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluido cualquier requisito de revelación de datos personales o medidas que autoricen el acceso de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le incumben en virtud de las presentes cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con las presentes Cláusulas.

(b) Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:

(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;

(ii) las leyes y prácticas del tercer país de destino -incluidas las que exigen la revelación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardias aplicables;

(iii) todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

(c) El importador de datos garantiza que, al llevar a cabo la evaluación prevista en el apartado (b), ha hecho todo lo posible para proporcionar al exportador de datos la información pertinente y acuerda que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.

(d) Las Partes acuerdan documentar la evaluación prevista en el apartado (b) y ponerla a disposición de la autoridad de control competente a petición de ésta.

(e) El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos de la letra a).

(f) Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda en virtud de la presente Cláusula, se aplicarán las letras d) y e) de la Cláusula 16.

Artículo 15

Obligaciones del importador de datos en caso de acceso de las autoridades públicas

15.1 Notificación

(a) El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario con la ayuda del exportador de datos) si:

(i) reciba una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de datos personales transferidos en virtud de las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, la base jurídica de la solicitud y la respuesta proporcionada; o bien

(ii) tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.

(b) Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos acuerda hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar toda la información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.

(c) Cuando la legislación del país de destino lo permita, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.).

(d) El importador de datos se compromete a conservar la información con arreglo a las letras a) a c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente a petición de ésta.

(e) Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 14(e) y la Cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir estas Cláusulas.

15.2 Revisión de la legalidad y minimización de datos

(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo a la legislación del país de destino, a las obligaciones aplicables en virtud del Derecho internacional y a los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que se le requiera para ello con arreglo a las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos con arreglo a la letra e) de la cláusula 14.

(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente a petición de ésta.

(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Artículo 16

Incumplimiento de las cláusulas y rescisión

(a) El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes cláusulas.

(b) En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Todo ello sin perjuicio de lo dispuesto en la letra f) de la cláusula 14.

(c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas, cuando:

(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y no se restablezca el cumplimiento de las presentes Cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;

(ii) el importador de datos incumple de forma sustancial o persistente las presentes Cláusulas; o

(iii) el importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes cláusulas.

En estos casos, informará de dicho incumplimiento a la autoridad de control competente. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, salvo que las Partes hayan acordado otra cosa.

(d) Los datos personales que se hayan transferido antes de la terminación del contrato con arreglo a la letra c) se devolverán inmediatamente al exportador de datos, a elección de éste, o se suprimirán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales transferidos, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes cláusulas y que sólo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.

(e) Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Artículo 17

Legislación aplicable

Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación de la República de Irlanda.

Artículo 18

Elección de foro y jurisdicción

(a) Cualquier litigio derivado de las presentes cláusulas será resuelto por los tribunales de un Estado miembro de la UE.

(b) Las Partes acuerdan que serán los tribunales de la República de Irlanda.

(c) El interesado también podrá emprender acciones legales contra el exportador o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

ANEXO I

A. LISTA DE LAS PARTES

Exportador(es) de datos:

Nombre: La entidad identificada como "Cliente" en el APD o en el Acuerdo.

Dirección: La dirección del Cliente especificada en el APD o en el Acuerdo.

Nombre, cargo y datos de contacto de la persona de contacto: Los datos de contacto asociados al Cliente, tal y como se especifica en la DPA o en el Acuerdo.

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Las actividades especificadas en la Sección 2.3 y el Anexo 1 de la DPA.

Firma y fecha: Al suscribir el Acuerdo y la DPA, y utilizar los Servicios para Transferencias EEE, se considera que el exportador de datos ha firmado las presentes Cláusulas Contractuales Tipo y sus respectivos Anexos.

Rol (controlador/procesador): Controlador.

Importador(es) de datos:

Nombre: CurbCutOS como se identifica en la DPA.

Dirección: la dirección de CurbCutOS especificada en el Acuerdo.

Nombre, cargo y datos de contacto de la persona de contacto: Los datos de contacto de CurbCutOS especificados en el Acuerdo.

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas:

Las actividades especificadas en la Sección 2.3 y el Anexo 1 del APD.

Firma y fecha: Al suscribir el Acuerdo y el APD, y participar en Transferencias EEE como importador de datos en nombre del exportador de datos, se considera que el importador de datos ha firmado las presentes Cláusulas Contractuales Tipo y sus respectivos Anexos.

Función (controlador/procesador): Procesador.

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren

Las categorías de interesados se describen en el Anexo 1 (Detalles del tratamiento) de la DPA.

Categorías de datos personales transferidos

Las categorías de datos personales se describen en el Anexo 1 (Detalles del tratamiento) de la DPA.

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales.

Las Partes no tienen intención de transferir Datos Sensibles, salvo de conformidad con la Sección 2.5 de la DPA.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

Los Datos Personales se transfieren de forma continua de acuerdo con el uso de los Servicios por parte del Cliente y el envío de Datos Personales a los mismos.

Naturaleza del tratamiento

La naturaleza del tratamiento se describe en el Anexo 1 (Detalles del tratamiento) de la DPA.

Finalidad o finalidades de la transferencia y el tratamiento posterior de los datos

La finalidad del tratamiento se describe en el Anexo 1 (Detalles del tratamiento) de la DPA.

El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo.

El periodo durante el cual se conservarán los Datos Personales será la duración del Acuerdo, a menos que se acuerde otra cosa en el Acuerdo y/o en la DPA.

Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento

En relación con las transferencias a subencargados del tratamiento, el objeto y la naturaleza del tratamiento se exponen en el enlace detallado en la sección 5.2.1 del APD. La duración del tratamiento por parte de los subencargados será la duración del acuerdo, salvo que se acuerde otra cosa en el acuerdo o en la APD.

C. AUTORIDAD DE CONTROL COMPETENTE

Identifique a la autoridad o autoridades de control competentes de conformidad con la cláusula 13.

La autoridad de control competente del exportador de datos se determinará de conformidad con el RGPD.

ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Las medidas técnicas y organizativas (incluidas las certificaciones que posee el importador de datos), así como el ámbito y el alcance de la asistencia necesaria para responder a las solicitudes de los interesados, se describen en la DPA y en la Documentación de Seguridad.

Para las transferencias a (sub)encargados del tratamiento, describa también las medidas técnicas y organizativas específicas que deberá adoptar el (sub)encargado del tratamiento para poder prestar asistencia al responsable del tratamiento y, para las transferencias de un encargado del tratamiento a un subencargado, al exportador de datos.

Las medidas técnicas y organizativas que el importador de datos impondrá a los subencargados del tratamiento se describen en la DPA.

ANEXO III

TRANSFERENCIAS TRANSFRONTERIZAS EN EL REINO UNIDO

Cuadro 1: Las Partes: según lo estipulado en el Anexo I.A.

Cuadro 2: SCC, módulos y cláusulas seleccionados: según lo estipulado en el anexo I.

Cuadro 3: Información del apéndice: la información que debe facilitarse para los módulos seleccionados según lo establecido en el apéndice de las CEC de la UE (distintas de las Partes), y que para el presente anexo III se establece en el anexo I.

Incorporación al presente Anexo III:

1. Cada Parte acepta quedar vinculada por los términos y condiciones establecidos en el presente Anexo III, a cambio de que la otra Parte también acepte quedar vinculada por el presente Anexo III.

2. Aunque el anexo I.A y la cláusula 7 de las CEC de la UE requieren la firma de las Partes, a efectos de realizar transferencias al Reino Unido, las Partes podrán suscribir el presente anexo III de cualquier forma que las haga jurídicamente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo dispuesto en el presente anexo III. La suscripción del presente Anexo III tendrá el mismo efecto que la firma de los CEC de la UE y de cualquier parte de los CEC de la UE.

Interpretación del presente Anexo III:

3. Cuando en el presente anexo III se utilicen términos definidos en las CEC de la UE, dichos términos tendrán el mismo significado que en las CEC de la UE. Además, los siguientes términos tendrán el significado que se indica a continuación:

4. El presente Anexo III debe interpretarse siempre de forma coherente con la legislación británica en materia de protección de datos y de modo que cumpla la obligación de las Partes de proporcionar las garantías adecuadas.

5. Si las disposiciones incluidas en el apéndice de las CEC de la UE modifican las CEC de la UE de alguna manera que no esté permitida en virtud de las CEC de la UE o del presente anexo III, el presente anexo III no incorporará dicha(s) modificación(es) y la disposición equivalente de las CEC de la UE ocupará su lugar.

6. En caso de incoherencia o conflicto entre las leyes de protección de datos del Reino Unido y el presente Anexo III, se aplicarán las leyes de protección de datos del Reino Unido.

7. Si el significado de este Anexo III no está claro o hay más de un significado, se aplicará el que más se ajuste a las leyes de protección de datos del Reino Unido.

8. Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa que la legislación (o disposición específica), ya que puede cambiar con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) se haya consolidado, promulgado de nuevo o sustituido después de la celebración del presente APD.

Jerarquía:

9. Aunque la Cláusula 5 de las CEC de la UE establece que las CEC de la UE prevalecen sobre todos los acuerdos relacionados entre las Partes, éstas acuerdan que, para una Transferencia al Reino Unido, prevalecerá la jerarquía de la Sección 10 siguiente.

10. En caso de incoherencia o conflicto entre el presente Anexo III y el Addendum CCE UE (según proceda), el presente Anexo III prevalecerá sobre el Addendum CCE UE, excepto cuando (y en la medida en que) los términos incoherentes o conflictivos del Addendum CCE UE proporcionen una mayor protección a los interesados, en cuyo caso dichos términos prevalecerán sobre las disposiciones del presente Anexo III.

11. En caso de que el presente anexo III incorpore cláusulas adicionales de CCE de la UE que se hayan suscrito para proteger transferencias sujetas al Reglamento general de protección de datos (UE) 2016/679, las Partes reconocen que nada de lo dispuesto en el presente anexo III afectará a dichas cláusulas adicionales de CCE de la UE.

Incorporación y cambios en las CEC de la UE:

12. Este Anexo III incorpora el Addendum CCE UE que se modifica en la medida necesaria para que:

a. Se aplican conjuntamente a las transferencias de datos efectuadas por el exportador de datos al importador de datos, en la medida en que la legislación británica sobre protección de datos se aplique al tratamiento efectuado por el exportador de datos al realizar esa transferencia de datos, y ofrecen garantías adecuadas para esas transferencias de datos;

b. Las Secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) de las CEC de la UE; y

c. Este Anexo III (incluyendo el Addendum CCE de la UE incorporado al mismo) (1) se rige por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja del mismo será resuelta por los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.

13. A menos que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos de la Sección 12 anterior, se aplicarán las disposiciones de la Sección 15 siguiente.

14. No podrán introducirse modificaciones en las CEC de la UE que no sean para cumplir los requisitos de la sección 12 anterior.

15. Se introducen las siguientes modificaciones en el Addendum CCE UE (a efectos de la sección 12 anterior):

a. Las referencias a las "Cláusulas" significan este Anexo III, incorporando el Addendum CCE de la UE;

b. En la cláusula 2, suprimir las palabras:

" y, con respecto a las transferencias de datos de responsables a encargados del tratamiento y/o de encargados a encargados del tratamiento, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, de la

Reglamento (UE) 2016/679";

c. La cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por:

"Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren) son los que se especifican en el Anexo I.B, cuando las Leyes de Protección de Datos del Reino Unido se aplican al tratamiento del exportador de datos al realizar dicha transferencia";

d. La cláusula 8.8 se sustituye por:

"la transferencia ulterior es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del GDPR del Reino Unido que cubre la transferencia ulterior;"

e. Las referencias al "Reglamento (UE) 2016/679", "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)" y "dicho Reglamento" se sustituyen por "Leyes de protección de datos del Reino Unido". Las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o sección equivalente de la legislación británica sobre protección de datos;

f. Se eliminan las referencias al Reglamento (UE) 2018/1725;

g. Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se sustituyen por "Reino Unido";

h. La letra a) de la cláusula 13 y la parte C del anexo I no se utilizan;

i. Tanto la "autoridad de control competente" como la "autoridad de control" se sustituyen por el "Comisario de Información";

j. En la cláusula 16(e), la subsección (i) se sustituye por:

"el Secretario de Estado elabora reglamentos de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;";

k. La cláusula 17 se sustituye por:

"Estas Cláusulas se rigen por las leyes de Inglaterra y Gales";

l. La cláusula 18 se sustituye por:

"Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de Inglaterra y Gales. El interesado también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales"; y

m. Las notas a pie de página de los CEC de la UE no forman parte del presente anexo III, salvo las notas 8, 9, 10 y 11.

Modificaciones del presente Anexo III:

16. Las Partes podrán acordar modificar la Cláusula 17 y/o 18 del presente Anexo III para hacer referencia a las leyes y/o tribunales de Escocia o Irlanda del Norte.

17. Si las Partes desean cambiar el formato de la información incluida en los Cuadros 1, 2 ó 3 del presente Anexo III, podrán hacerlo acordando el cambio por escrito, siempre que éste no reduzca las Salvaguardias Adecuadas.

18. De vez en cuando, el ICO puede publicar un Apéndice revisado del Reino Unido que:

a. Introduce cambios razonables y proporcionados en el Apéndice del Reino Unido, incluida la corrección de errores en el Apéndice del Reino Unido; y/o

b. Refleja los cambios en la legislación británica sobre protección de datos;

El Addendum revisado del Reino Unido especificará la fecha a partir de la cual entrarán en vigor los cambios del Addendum del Reino Unido y si las Partes necesitan revisar este Anexo III, incluido el Apéndice de Información. El presente Anexo III se modificará automáticamente según lo establecido en el Addendum revisado del Reino Unido a partir de la fecha de inicio especificada.

19. Si el ICO emite una Adenda revisada del Reino Unido en virtud de la Sección 18, si alguna de las Partes, como resultado directo de los cambios en la Adenda del Reino Unido tendrá un aumento sustancial, desproporcionado y demostrable en:

a. Los costes directos derivados del cumplimiento de sus obligaciones en virtud del presente Anexo III; y/o

b. Su riesgo con arreglo al presente anexo III,

y, en cualquier caso, haya adoptado previamente medidas razonables para reducir dichos costes o riesgos de modo que no sean sustanciales y desproporcionados, entonces dicha Parte podrá poner fin al presente Anexo III al término de un plazo de preaviso razonable, notificándolo por escrito a la otra Parte antes de la fecha de inicio del Addendum revisado del Reino Unido.

20. Las Partes no necesitan el consentimiento de terceros para introducir cambios en el presente Anexo III, pero cualquier cambio deberá realizarse de conformidad con sus términos.

ANEXO IV

SUIZA TRANSFERENCIAS TRANSFRONTERIZAS

Las Partes acuerdan que los CEC de la UE, modificados por el Anexo I, se ajustarán como se indica a continuación cuando la Ley Federal de Protección de Datos de 19 de junio de 1992 (la "LFPD", y revisada a partir del 25 de septiembre de 2020, la "LFPD revisada") se aplique a las transferencias de Suiza:

1. Por referencias a las CEC de la UE se entienden las CEC de la UE modificadas por el anexo IV;

2. El Comisario Federal Suizo de Protección de Datos e Información ("FDPIC") será la única Autoridad de Supervisión para las transferencias a Suiza sujetas exclusivamente al FADP;

3. Se interpretará que los términos "Reglamento general de protección de datos" o "Reglamento (UE) 2016/679", tal como se utilizan en los CEC de la UE, incluyen el FADP con respecto a las transferencias a Suiza.

4. Se suprimen las referencias al Reglamento (UE) 2018/1725.

5. Suiza Las transferencias sujetas tanto al FADP como al GDPR, serán tratadas por la Autoridad de Supervisión de la UE mencionada en el Anexo I;

6. las referencias a la "Unión", la "UE" y el "Estado miembro de la UE" no se interpretarán de forma que excluyan a los Sujetos de Datos en Suiza de la posibilidad de ejercer sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la Cláusula 18(c) de las CEC de la UE;

7. Cuando las transferencias a Suiza estén sujetas exclusivamente al RGPD, todas las referencias al RGPD en los CEC de la UE se entenderán hechas al RGPD;

8. Cuando las transferencias a Suiza estén sujetas tanto a la FADA como al GDPR de la UE, todas las referencias al GDPR en los CEC de la UE se entenderán como referencias a la FDPA en la medida en que las transferencias a Suiza estén sujetas al FADP;

9. Los SCC suizos también protegen los datos personales de las personas jurídicas hasta la entrada en vigor del FADP revisado.

ANEXO V

SALVAGUARDIAS ADICIONALES

1. En caso de transferencia en la que se apliquen las Cláusulas Contractuales Tipo, las Partes acuerdan complementarlas con las siguientes garantías y declaraciones, cuando proceda:

(a) El importador de datos adoptará y mantendrá, de conformidad con las buenas prácticas del sector, medidas para proteger los datos personales de la interceptación (incluso en tránsito desde el exportador de datos al importador de datos y entre diferentes sistemas y servicios). Esto incluye el establecimiento y mantenimiento de una protección de red destinada a impedir que los atacantes puedan interceptar los datos, así como el cifrado de los datos personales en tránsito y en reposo para impedir que los atacantes puedan leerlos.

(b) El importador de datos hará esfuerzos comercialmente razonables para resistir, sujeto a las leyes aplicables, cualquier solicitud de vigilancia masiva relacionada con los Datos Personales protegidos en virtud del GDPR, el GDPR del Reino Unido o el FADP, incluida la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera de los Estados Unidos ("FISA");

(c) Si el importador de datos tiene conocimiento de que alguna autoridad gubernamental (incluidas las fuerzas y cuerpos de seguridad) desea obtener acceso o una copia de algunos o todos los Datos Personales, ya sea de forma voluntaria u obligatoria, entonces, a menos que esté legalmente prohibido o bajo una obligación legal imperativa que exija lo contrario:

(i) El importador de datos informará a la autoridad gubernamental pertinente de que el importador de datos es un procesador de los Datos Personales y que el exportador de datos no ha autorizado al importador de datos a revelar los Datos Personales a la autoridad gubernamental, e informará a la autoridad gubernamental pertinente de que todas y cada una de las solicitudes o demandas de acceso a los Datos Personales deberán, por lo tanto, notificarse o entregarse por escrito al exportador de datos;

(ii) El importador de datos utilizará mecanismos legales comercialmente razonables para impugnar cualquier solicitud de acceso a los datos personales que estén bajo el control del importador de datos. No obstante lo anterior, (a) el exportador de datos reconoce que dicha impugnación puede no ser siempre razonable o posible a la luz de la naturaleza, el alcance, el contexto y los fines del acceso previsto de la autoridad gubernamental, y (b) si, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del acceso previsto de la autoridad gubernamental a los Datos Personales, el importador de datos tiene la creencia razonable y de buena fe de que el acceso urgente es necesario para prevenir un riesgo inminente de daño grave a cualquier persona o entidad, no se aplicará la presente subsección (e)(II). En tal caso, el importador de datos notificará al exportador de datos, tan pronto como sea posible, tras el acceso por parte de la autoridad gubernamental, y proporcionará al exportador de datos los detalles pertinentes del mismo, a menos y en la medida en que esté legalmente prohibido hacerlo.

2. Una vez cada 12 meses, el importador de datos informará al exportador de datos, a petición escrita de éste, de los tipos de demandas legales vinculantes de Datos Personales que haya recibido y únicamente en la medida en que se hayan recibido dichas demandas, incluidas las órdenes y directivas de seguridad nacional, que incluirán cualquier proceso emitido en virtud de la sección 702 de la FISA.