Apéndice sobre tratamiento de datos (APD)

El presente Anexo de Tratamiento de Datos ("APD") se incorpora por referencia a las Condiciones de Serviciode CurbCutOS u otro acuerdo que rija el uso de los servicios de CurbCutOS ("Acuerdo") celebrado por y entre usted, el Cliente (tal y como se define en el Acuerdo) (colectivamente, "usted", "su", "Cliente"), y CurbCutOS Inc. ("CurbCutOS", "nosotros", "nos", "nuestro") para reflejar el acuerdo de las partes con respecto al Tratamiento de Datos Personales por parte de CurbCutOS únicamente en nombre del Cliente. Ambas partes se denominarán las "Partes"y cada una de ellas, una "Parte".

Los términos en mayúsculas no definidos en el presente documento tendrán el significado que se les atribuye en el Acuerdo. 

Al utilizar los Servicios, el Cliente acepta esta DPA y usted declara y garantiza que tiene plena autoridad para vincular al Cliente a esta DPA. Si no puede o no está de acuerdo en cumplir y quedar vinculado por esta DPA, o no tiene autoridad para vincular al Cliente o a cualquier otra entidad, por favor, no nos proporcione Datos Personales.

En caso de conflicto entre determinadas disposiciones del presente APD y las disposiciones del Acuerdo, las disposiciones del presente APD prevalecerán sobre las disposiciones contradictorias del Acuerdo, únicamente con respecto al Tratamiento de Datos Personales. 

1.Definiciones

(a) "Afiliada" significa cualquier entidad que directa o indirectamente controle, sea controlada por, o esté bajo control común con la entidad sujeta. "Control", a efectos de esta definición, significa la propiedad o el control directo o indirecto de más del 50% de las participaciones con derecho a voto de la entidad sujeta.

(b) "Afiliado Autorizado" significa cualquier Afiliado(s) del Cliente que esté explícitamente autorizado a utilizar los Servicios de conformidad con el Acuerdo entre el Cliente y CurbCutOS pero que no haya firmado su propio acuerdo con CurbCutOS y no sea un "Cliente" tal y como se define en el Acuerdo.

(c) "CCPA" significa la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Code §§ 1798.100 et. Seq, y sus reglamentos de aplicación, según se modifiquen ocasionalmente.

(d) Los términos "Responsable del tratamiento", "Estado miembro", "Encargado del tratamiento", "Tratamiento" y "Autoridad de control" tendrán el mismo significado que en el RGPD. Los términos "Empresa", "Objetivo comercial", "Consumidor" y "Proveedor de servicios" tendrán el mismo significado que en la CCPA. 

En aras de la claridad, en el presente APD "Responsable del tratamiento" significará también "Empresa", y "Encargado del tratamiento" significará también "Prestador de servicios", en la medida en que sea aplicable la LCPC. Del mismo modo, "subencargado del tratamiento" se referirá también al concepto de "proveedor de servicios". 

(e) "Leyes de protección de datos" se refiere a todas las leyes y normativas de privacidad y protección de datos aplicables y vinculantes, incluidas las de la Unión Europea, el Espacio Económico Europeo y sus Estados miembros, Suiza, el Reino Unido, Canadá, Israel y los Estados Unidos de América, incluidos el GDPR, el GDPR del Reino Unido y la CCPA, aplicables y vigentes en el momento del Tratamiento de Datos Personales en virtud del presente documento.

(f) "Interesado": la persona identificada o identificable a la que se refieren los Datos Personales.

(g) "GDPR": el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

(h) "Datos Personales" o "Información Personal" significa cualquier información que identifique, se relacione con, describa, sea capaz de ser asociada con, o pueda ser razonablemente vinculada, directa o indirectamente, a o con una persona física identificada o identificable o Consumidor, que es procesada por CurbCutOS únicamente en nombre del Cliente bajo esta DPA y el Acuerdo.

(i) "Servicios" hace referencia a los servicios basados en la nube de CurbCutOS, incluidas nuestras plataformas, productos, servicios, aplicaciones, interfaz de programación de aplicaciones ("API"), herramientas y cualquier producto y servicio auxiliar o complementario de CurbCutOS (incluidas las Actualizaciones (tal y como se definen en el Acuerdo)), ofrecidos en línea y a través de la aplicación móvil ("Plataforma"), así como cualquier otro servicio prestado al Cliente por CurbCutOS en virtud del Acuerdo.   

(j) "Documentación de seguridad" se refiere a la documentación de seguridad, actualizada periódicamente, que establece las medidas técnicas y organizativas adoptadas por CurbCutOS que son aplicables al Tratamiento de Datos Personales por CurbCutOS en virtud del Acuerdo y de la presente DPA, tal y como CurbCutOS ponga razonablemente a disposición del Cliente.

(k) "Datos sensibles" son aquellos Datos Personales que están protegidos por una legislación especial y requieren un tratamiento único, como "categorías especiales de datos", "datos sensibles" u otros términos materialmente similares en virtud de las Leyes de Protección de Datos aplicables, que pueden incluir cualquiera de los siguientes datos (a) número de seguridad social, número de identificación fiscal, número de pasaporte, número de permiso de conducir o identificador similar (o cualquier parte del mismo); (b) información financiera o crediticia, número de tarjeta de crédito o débito; (c) información que revele el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos genéticos o biométricos con el fin de identificar de manera exclusiva a una persona física, los datos relativos a la salud, la vida sexual o la orientación sexual de una persona, o los datos relativos a condenas e infracciones penales; (d) datos personales relativos a niños; y/o (e) contraseñas de cuentas en forma no cifrada.

(l) "Cláusulas ContractualesTipo" significa (a) con respecto a las transferencias de Datos Personales sujetas al GDPR, las Cláusulas Contractuales Tipo entre responsables y encargados del tratamiento (ubicadasaquí), y entre encargados y encargados del tratamiento (ubicadasaquí) aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, incluidos todos sus anexos I, II y V, ("cláusulas contractuales tipode la UE"); b) con respecto a las transferencias de datos personales sujetas al GDPR del Reino Unido, la Adenda sobre transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión Europea de 21 de marzo de 2022 (versión B.1.0) ("IDTA"), incorporada a las CEC de la UE a través de su anexo III ("Adendadel Reino Unido"); y (c) con respecto a las transferencias sujetas a la Ley Federal de Protección de Datos (revisada el 25 de septiembre de 2020), los términos establecidos en el anexo IV de las CEC de la UE ("Adenda de Suiza").

(m) "Subencargado del Tratamiento" significa cualquier tercero que lleve a cabo actividades específicas de Tratamiento de Datos Personales bajo las instrucciones de CurbCutOS.

(n) "GDPR del Reino Unido" significa la Ley de Protección de Datos de 2018, así como el GDPR tal como forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 y modificado por el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019 (SI 2019/419).

2.Tratamiento de datos personales

2.1.Funciones de las Partes.Las Partes reconocen y acuerdan que con respecto al Tratamiento de Datos Personales únicamente por CurbCutOS en nombre del Cliente: (a) el Cliente es el Controlador de los Datos Personales, y (b) CurbCutOS es el Procesador de dichos Datos Personales. Los términos "Responsable del tratamiento" y "Encargado del tratamiento" que figuran a continuación hacen referencia al Cliente y a CurbCutOS, respectivamente.

2.2.Obligaciones del Cliente. El Cliente, en su uso de los Servicios, y las instrucciones del Cliente al Procesador, deberán cumplir con las Leyes de Protección de Datos, el Acuerdo y esta DPA. El Cliente establecerá y dispondrá de todas y cada una de las bases legales necesarias para recopilar, procesar y transferir al Procesador los Datos Personales, y para autorizar las actividades de Procesamiento llevadas a cabo por el Procesador en nombre del Cliente de conformidad con el Acuerdo y el presente APD, incluida la persecución de un Objetivo Comercial.

2.3.Tratamiento de Datos Personales por parte del Procesador. El Procesador procesará los Datos personales para los siguientes fines: (a) de conformidad con el Acuerdo y el presente APD; (b) en relación con la prestación de los Servicios; (c) para cumplir con las instrucciones razonables y documentadas del Cliente, siempre que dichas instrucciones sean coherentes con los términos del Acuerdo y el presente APD, y con respecto a la forma en que se llevará a cabo el Procesamiento; (d) para compartir Datos personales con terceros o recibir Datos personales de terceros de conformidad con las instrucciones del Cliente y/o en virtud del uso de los Servicios por parte del Cliente (por ejemplo, integraciones entre los Servicios y cualquier servicio proporcionado por terceros según lo configurado por el Cliente o en su nombre); (e) para hacer que los Datos personales sean Información anónima (según lo configurado por el Cliente o en su nombre); (f) para hacer que los Datos personales sean Información anónima.p. ej. integraciones entre los Servicios y cualquier servicio prestado por terceros según lo configurado por el Cliente o en su nombre); (e) hacer que los Datos personales sean Información anónima (según se define en el Acuerdo); y (f) según lo exijan las leyes aplicables al Procesador, y/o según lo exija un tribunal de jurisdicción competente u otra autoridad gubernamental o semigubernamental competente, siempre que el Procesador informe al Cliente del requisito legal antes del Procesamiento, a menos que dicha ley u orden prohíba revelar dicha información.

El Procesador informará al Cliente sin demora indebida si, en opinión razonable del Procesador, una instrucción para el Procesamiento de Datos Personales dada por el Cliente infringe las Leyes de Protección de Datos aplicables, a menos que el Procesador tenga prohibido notificar al Cliente en virtud de las Leyes de Protección de Datos aplicables. Por la presente se aclara que el Procesador no tiene obligación de evaluar si las instrucciones del Cliente infringen alguna Ley de Protección de Datos.

2.4.Detalles del tratamiento. El objeto del Tratamiento de Datos Personales por parte del Procesador es la prestación de los Servicios de conformidad con el Acuerdo y el presente APD. Los detalles relativos a la duración, naturaleza y finalidad, tipos de Datos Personales y categorías de Sujetos de Datos Tratados en virtud del presente APD se especifican con más detalle en el Anexo 1 (Detalles del Tratamiento) del presente APD.

2.5.2.5.Datos sensibles. Las Partes acuerdan que los Servicios no están destinados al Tratamiento de Datos Sensibles, y que si el Cliente desea utilizar los Servicios para el Tratamiento de Datos Sensibles, deberá obtener previamente el consentimiento explícito por escrito de CurbCutOS y suscribir los acuerdos adicionales que CurbCutOS pueda requerir.

2.6.Estándar de cuidado de la CCPA; no venta ni intercambio de información personal. El Procesador reconoce y confirma que no recibe ni procesa ninguna Información personal como contraprestación por ningún servicio u otros elementos que el Procesador proporcione al Cliente en virtud del Acuerdo o de este DPA. El Procesador certifica que comprende las normas, requisitos y definiciones de la CCPA y se compromete a abstenerse de vender o compartir (tal y como se definen dichos términos en la CCPA) cualquier Información personal procesada en virtud del presente documento, sin el previo consentimiento o instrucción por escrito del Cliente, así como a no realizar ninguna acción que pudiera provocar que cualquier transferencia de Información personal hacia o desde el Procesador en virtud del Acuerdo o del presente DPA se calificara como "vender" y/o "compartir" dicha Información personal en virtud de la CCPA. El Procesador reconoce que el Cliente revela Información Personal al Procesador sólo para fines limitados y especificados establecidos en esta DPA y en el Acuerdo. El Procesador procesará toda la Información Personal únicamente (a) para dichos fines limitados y específicos, y (b) de conformidad con las secciones aplicables de la CCPA. El procesador no (i) retendrá, utilizará o divulgará la información personal fuera de la relación comercial directa de las partes, según lo descrito en el acuerdo, o para cualquier negocio o propósito comercial con excepción del propósito comercial específico de realizar los servicios o según lo permitido de otra manera por el CCPA, el acuerdo y/o este DPA; ni (ii) combinará - a través de la separación lógica - la información personal que el procesador procesa en nombre de otras partes con la información personal del cliente, a menos que esté expresamente permitido conforme al CCPA, a sus regulaciones de aplicación, al acuerdo y/o a este DPA entre las partes. El Procesador reconoce además que el Cliente tiene derecho, previa notificación, a tomar medidas razonables y apropiadas diseñadas para detener y remediar cualquier uso no autorizado de Información Personal por parte del Procesador. El Procesador notificará al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA.

3.Solicitudes del interesado

Si el responsable del tratamiento recibe una solicitud de un interesado o consumidor para ejercer sus derechos (en la medida en que les asistan en virtud de la legislación aplicable en materia de protección de datos), incluidos los de acceso, rectificación, limitación del tratamiento, supresión, portabilidad de los datos, oposición al tratamiento, no ser objeto de decisiones individuales automatizadas, exclusión voluntaria de la venta de datos personales o no ser discriminado ("solicitud del interesado"), el responsable del tratamiento lo notificará al cliente o remitirá al interesado o consumidor al cliente. Teniendo en cuenta la naturaleza del tratamiento, el responsable del tratamiento ayudará al cliente, en la medida en que sea posible y razonable, a responder a la solicitud del interesado. El Encargado del Tratamiento podrá remitir a los Interesados o Consumidores al Administrador del Cliente - para el tratamiento de dicha solicitud o asesorarles sobre el uso de las funciones de auto-ejercicio disponibles dentro de la Plataforma.

4.Confidencialidad

El Encargado del Tratamiento se asegurará de que su personal y los contratistas que participen en el Tratamiento de Datos Personales se hayan comprometido a mantener la confidencialidad o estén sujetos de otro modo a una obligación legal de confidencialidad.

5. Subprocesadores

5.1.Nombramiento de Subprocesadores
El Cliente reconoce y acepta que (a) las Filiales del Procesador podrán ser contratadas como Subprocesadores; y (b) el Procesador y las Filiales del Procesador podrán contratar cada uno a terceros Subprocesadores en relación con la prestación de los Servicios.

5.2.Lista de subencargados del tratamiento actuales y notificación de nuevos subencargados del tratamiento

5.2.1. A partir de la Fecha de Entrada en Vigor, el Cliente otorga al Procesador autorización general por escrito para contratar a los Subprocesadores indicados enSubprocesadores("Página del Subprocesador"), que el Procesador utiliza actualmente para procesar Datos Personales.

5.2.2.La Página del Subencargado del Tratamiento ofrece un mecanismo para suscribirse a las notificaciones de contratación de nuevos Subencargados del Tratamiento y de sustitución de los existentes ("Notificación del Subencargado del Tratamiento") y el Cliente reconoce que se suscribirá a este mecanismo al suscribir el presente APD y que las notificaciones enviadas a través de este mecanismo cumplen las obligaciones del Encargado del Tratamiento de notificar al Cliente la designación de un nuevo Subencargado del Tratamiento o la sustitución de uno existente.

5.3.Objeción a nuevos Subencargados del tratamiento. En virtud de la publicación de un nuevo Aviso de Subencargado del Tratamiento, el Cliente podrá oponerse razonablemente a que el Encargado del Tratamiento recurra a un nuevo Encargado o a la sustitución de un Encargado, por motivos relacionados con la protección de los Datos Personales destinados a ser Tratados por dicho Encargado. Dicha objeción deberá presentarse sin demora mediante notificación por escrito al Procesador aprivacy@curbcutos.comen un plazo de siete (7) días tras la publicación de un nuevo Aviso de Subencargado del Tratamiento, en el que el Cliente detallará los motivos de la objeción al uso de dicho nuevo Subencargado del Tratamiento. En caso de que el Cliente no se haya opuesto en dicho plazo de siete (7) días en la forma descrita anteriormente, el uso del nuevo Subencargado del tratamiento se considerará aceptado por el Cliente. En caso de que el Cliente se oponga razonablemente a un nuevo Subencargado del tratamiento, tal y como se permite en las frases anteriores, el Procesador hará todo lo razonablemente posible para poner a disposición del Cliente un cambio en los Servicios o recomendar un cambio comercialmente razonable en la configuración o el uso de los Servicios por parte del Cliente para evitar el Tratamiento de Datos Personales por parte del nuevo Subencargado del tratamiento objetado, sin que ello suponga una carga excesiva para el Cliente. Si el Procesador no puede realizar dicho cambio en un plazo de treinta (30) días tras la recepción de la objeción, el Cliente podrá, como único recurso, rescindir el Acuerdo y el presente DPA con respecto únicamente a dichos Servicios y/o a aquellos componentes de los Servicios que el Procesador no pueda prestar sin recurrir al nuevo Subencargado objetado, mediante notificación por escrito al Procesador. Todas las cantidades pendientes en virtud del Acuerdo antes de la fecha de rescisión con respecto al Procesamiento en cuestión se abonarán debidamente al Procesador. Hasta que se tome una decisión con respecto al nuevo Subencargado del Tratamiento, el Procesador podrá evitar o cesar temporalmente el Tratamiento de los Datos Personales afectados y/o suspender el acceso a los Servicios respectivos. El Cliente no tendrá más reclamaciones contra el Procesador debido a la rescisión del Acuerdo (incluyendo, sin limitación, la solicitud de reembolsos) y/o el APD en la situación descrita en este párrafo.

5.4.Acuerdos con los subprocesadores. El Procesador o un Afiliado del Procesador ha celebrado un acuerdo por escrito con cada Subprocesador existente, y celebrará un acuerdo por escrito con cada nuevo Subprocesador, que contenga las mismas obligaciones de protección de datos o materialmente similares a las establecidas en este DPA, en particular las obligaciones de implementar medidas técnicas y organizativas apropiadas de tal manera que el Procesamiento cumpla con los requisitos del GDPR. Cuando un Subencargado del Tratamiento incumpla sus obligaciones de protección de datos en relación con su Tratamiento de Datos Personales, el Encargado del Tratamiento seguirá siendo responsable ante el Cliente del cumplimiento de las obligaciones del Subencargado del Tratamiento.

6.Seguridad y auditorías

6.1.Controles para la protección de datos personales. El Procesador mantendrá las medidas técnicas y organizativas estándar del sector adecuadas para la protección de los Datos Personales Procesados en virtud del presente (incluidas las medidas contra el Procesamiento no autorizado o ilegal y contra la destrucción, pérdida o alteración o daño accidental o ilegal, la divulgación no autorizada o el acceso a los Datos Personales, la confidencialidad y la integridad de los Datos Personales). A petición razonable del Cliente, el Procesador ayudará razonablemente al Cliente, a su costa y sujeto a las disposiciones de la Sección 11.1 a continuación, a garantizar el cumplimiento de las obligaciones de conformidad con los Artículos 32 a 36 del GDPR teniendo en cuenta la naturaleza del Procesamiento y la información disponible para el Procesador.

6.2.Auditorías e inspecciones. Previa solicitud por escrito del Cliente con 14 días de antelación a intervalos razonables (pero no más de una vez cada 12 meses), y sujeto a estrictos compromisos de confidencialidad por parte del Cliente, el Procesador pondrá a disposición del Cliente que no sea competidor del Procesador (o del auditor independiente, acreditado y tercero del Cliente que no sea competidor del Procesador y no esté en conflicto con el Procesador, sujeto a sus compromisos de confidencialidad y no competencia) la información necesaria para demostrar el cumplimiento de este APD, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por ellos. El procesador podrá satisfacer sus obligaciones en virtud de esta sección respondiendo a las auditorías basadas en cuestionarios del Cliente y/o proporcionando al Cliente atestados, certificaciones y resúmenes de informes de auditoría realizados por auditores externos acreditados relacionados únicamente con el cumplimiento de la presente DPA por parte del procesador. Toda información relativa a auditorías, inspecciones y sus resultados, incluidos los documentos que reflejen el resultado de las mismas, sólo será utilizada por el Cliente para evaluar el cumplimiento del presente APD por parte del Procesador, y no se utilizará para ningún otro fin ni se revelará a terceros sin la aprobación previa por escrito del Procesador. A la primera solicitud del Procesador, el Cliente transferirá al Procesador todos los registros o documentación facilitados por el Procesador o recopilados y/o generados por el Cliente (o cada uno de sus auditores autorizados) en el contexto de la auditoría y/o la inspección. 

6.3.En caso de auditoría o inspecciones según lo establecido anteriormente, el Cliente se asegurará de que él (y cada uno de sus auditores encargados) no causará (o, si no puede evitarlo, minimizará) ningún daño, lesión o interrupción de las operaciones, instalaciones, equipos, personal y negocios del Procesador, según corresponda, mientras se lleva a cabo dicha auditoría o inspección.

6.4.Los derechos de auditoría establecidos en el punto 6.2 anterior, solo se aplicarán en la medida en que el Acuerdo no proporcione al Cliente de otro modo derechos de auditoría que cumplan con los requisitos pertinentes de las Leyes de Protección de Datos (incluido, cuando corresponda, el artículo 28(3)(h) del GDPR o el GDPR del Reino Unido). Si y en la medida en que se apliquen las Cláusulas Contractuales Tipo, nada de lo dispuesto en esta Sección 6 varía o modifica las Cláusulas Contractuales Tipo ni afecta a los derechos de cualquier Autoridad de Control o Sujeto de Datos en virtud de las Cláusulas Contractuales Tipo.

7.Gestión y notificación de incidentes con datos

7.1. El Procesador mantiene políticas y procedimientos internos de gestión de incidentes de seguridad y, en la medida en que lo exijan las Leyes de Protección de Datos aplicables, notificará al Cliente sin demora indebida tras tener conocimiento de la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales Procesados por el Procesador en nombre del Cliente ("Incidente de Datos"). El Procesador hará esfuerzos razonables para identificar y tomar las medidas que considere necesarias y razonables para remediar y/o mitigar la causa de dicho Incidente de Datos en la medida en que el remedio y/o la mitigación estén dentro del control razonable del Procesador. Las presentes obligaciones no se aplicarán a las Incidencias de Datos causadas por el Cliente, sus Usuarios o cualquier persona que utilice los Servicios en nombre del Cliente.

7.2. El Cliente no realizará, revelará, divulgará ni publicará ninguna conclusión, admisión de responsabilidad, comunicación, notificación, comunicado de prensa o informe relativo a cualquier Incidente de Datos que identifique directa o indirectamente al Procesador (incluido en cualquier procedimiento legal o en cualquier notificación a las autoridades reguladoras o supervisoras o a los individuos afectados) sin la aprobación previa por escrito del Procesador, a menos que, y únicamente en la medida en que, el Cliente se vea obligado a hacerlo en virtud de las Leyes de Protección de Datos aplicables. En este último caso, a menos que dichas leyes lo prohíban, el Cliente proporcionará al Procesador una notificación previa razonable por escrito para darle la oportunidad de oponerse a dicha divulgación y, en cualquier caso, el Cliente limitará la divulgación al alcance mínimo exigido por dichas leyes.

8.Devolución y supresión de datos personales

Tras la rescisión del Contrato y el cese de los Servicios, a elección del Cliente (indicada a través de la Plataforma o mediante notificación por escrito al Procesador), el Procesador, previa notificación del Cliente, eliminará o devolverá al Cliente todos los Datos Personales que Procese en nombre del Cliente de la forma descrita en el Contrato, a menos que la legislación aplicable al Procesador exija o permita otra cosa.

9.Transferencias transfronterizas de datos

9.1.Transferencias desde el EEE, Suiza y el Reino Unido a países que ofrecen un nivel adecuado de protección de datos. Los Datos Personales pueden transferirse desde los Estados miembros de la UE y Noruega, Islandia y Liechtenstein (colectivamente, "EEE"), Suiza y el Reino Unido ("RU") a países que ofrezcan un nivel adecuado de protección de datos en virtud o de conformidad con las decisiones de adecuación publicadas por las autoridades competentes del EEE, Suiza y/o el RU, según proceda, incluidos los mecanismos y marcos aprobados de forma similar ("Decisiones de Adecuación"), según proceda, sin que sea necesaria ninguna otra salvaguardia. Para evitar dudas, las "Decisiones de Adecuación" incluyen la Decisión de Adecuación de la Comisión Europea de 10 de julio de 2023, por la que se establece el Marco de Privacidad de Datos UE-EE.UU..

9.2.Transferencias directas desde el EEE, Suiza y el Reino Unido a otros países. Si el Procesamiento de Datos Personales por parte del Procesador incluye una transferencia directa del Cliente a CurbCutOS:

(i) desde el EEE a otros países que no hayan sido objeto de una Decisión de Adecuación pertinente, y dichas transferencias no se realicen a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (según pueda adoptar el Procesador a su propia discreción) ("Transferencia EEE"), se aplicarán los términos establecidos en los CEC de la UE;

(ii) desde el Reino Unido a otros países que no hayan sido objeto de una Decisión de Adecuación pertinente, y dichas transferencias no se realicen a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (según pueda adoptar el Procesador a su propia discreción) ("Transferencia al Reino Unido"), se aplicarán los términos establecidos en el Anexo del Reino Unido;

(iii) desde Suiza a otros países que no hayan sido objeto de una Decisión de Adecuación pertinente, y dichas transferencias no se realicen a través de un mecanismo de cumplimiento alternativo reconocido por las Leyes de Protección de Datos (según pueda adoptar el Procesador a su propia discreción) ("Transferenciaa Suiza"), se aplicarán los términos establecidos en la Adenda a Suiza;

(iv) los términos establecidos en el Anexo V de las CEC de la UE (Garantías Adicionales) se aplicarán a cualquier Transferencia EEE, Transferencia Reino Unido y Transferencia Suiza, cuando se apliquen las Cláusulas Contractuales Tipo.

9.3.Transferencias ulteriores desde el EEE, Suiza y el Reino Unido a otros países.Cuando el Procesador transfiera posteriormente Datos Personales desde países del EEE, Reino Unido y Suiza a Subprocesadores autorizados, incluidas las Filiales del Procesador, en países que no estén sujetos a una Decisión de Adecuación (respectivamente, las Cláusulas Contractuales Tipo (Módulo 3) establecidas en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, y cualesquiera anexos aplicables a la misma ("CEC")), se aplicarán las IDTA y/o las CEC, ajustadas de conformidad con las orientaciones del Comisionado Federal Suizo de Protección de Datos e Información de 27 de agosto de 2021 entre el Procesador y sus respectivos Subprocesadores y Filiales.

9.4.Transferencias desde otros países: Si el Procesamiento de Datos Personales por parte del Procesador incluye una transferencia de Datos Personales por parte y/o por mandato del Cliente al Procesador desde cualquier otra jurisdicción que exija que se establezca un mecanismo de cumplimiento particular para la transferencia legal de dichos datos, el Cliente notificará al Procesador de dichos requisitos aplicables, y las Partes podrán tratar de realizar las modificaciones necesarias a este DPA de conformidad con las disposiciones de la Sección 11.2 a continuación.

10.Afiliados autorizados

10.1.10.1.Relación contractual. Las Partes reconocen y acuerdan que, mediante la ejecución del presente APD, el Cliente celebra el APD en su propio nombre y, según proceda, en nombre y por cuenta de sus Afiliados Autorizados, en cuyo caso cada Afiliado Autorizado acepta quedar vinculado por las obligaciones del Cliente en virtud del presente APD, siempre y cuando el Procesador Procese Datos Personales en nombre de dichos Afiliados Autorizados, calificándolos así como el "Controlador" con respecto a los Datos Personales Procesados en su nombre. Todo acceso y uso de los Servicios por parte de los Afiliados Autorizados deberá cumplir los términos y condiciones del Contrato y de la presente DPA, y cualquier infracción de los términos y condiciones de los mismos por parte de un Afiliado Autorizado se considerará una infracción por parte del Cliente.

10.2.Comunicación. El Cliente seguirá siendo responsable de coordinar todas las comunicaciones con el Procesador en virtud del Acuerdo y del presente APD y tendrá derecho a realizar y recibir cualquier comunicación en relación con el presente APD en nombre de sus Filiales Autorizadas.

11.11. Otras disposiciones

11.1.Evaluación del impacto de la protección de datos y consulta previa. A petición razonable del Cliente, el Procesador proporcionará al Cliente, a costa del Cliente, la cooperación y asistencia razonables necesarias para cumplir con la obligación del Cliente en virtud del GDPR o el GDPR del Reino Unido (según corresponda) para llevar a cabo una evaluación de impacto de protección de datos relacionada con el uso de los Servicios por parte del Cliente, en la medida en que el Cliente no tenga acceso de otro modo a la información relevante, y en la medida en que dicha información esté disponible para el Procesador. El Procesador proporcionará, a costa del Cliente, asistencia razonable al Cliente en la cooperación o consulta previa con la Autoridad de Supervisión en el desempeño de sus tareas relacionadas con esta Sección 11.1, en la medida requerida por el GDPR o el GDPR del Reino Unido, según corresponda.

11.2.11.2.Modificaciones. Cada una de las Partes podrá, mediante notificación por escrito a la otra Parte con una antelación mínima de cuarenta y cinco (45) días naturales, solicitar por escrito cualquier modificación del presente APD que resulte necesaria como consecuencia de cualquier cambio en las Leyes de Protección de Datos aplicables para permitir que el Tratamiento de los Datos Personales del Cliente se realice (o continúe realizándose) sin infringir dichas Leyes de Protección de Datos. En virtud de dicha notificación, las Partes realizarán esfuerzos comercialmente razonables para acomodar dicha modificación requerida, y negociarán de buena fe con vistas a acordar e implementar dichas variaciones o variaciones alternativas diseñadas para abordar los requisitos en virtud de la Ley de Protección de Datos aplicable, tal y como se identifica en la notificación del Cliente o del Procesador, tan pronto como sea razonablemente factible.Además, el procesador podrá modificar el presente APD de vez en cuando sin previo aviso, siempre que dichos cambios no sean adversos en ningún aspecto material con respecto a los derechos del cliente o las obligaciones del procesador (es decir, corrección de errores y erratas, realización de ajustes técnicos o por cualquier otro motivo que el procesador considere necesario). Para mayor claridad, si el Procesador realiza algún cambio material adverso con respecto a los derechos del Cliente o las obligaciones del Procesador, el Procesador notificará al Cliente mediante la publicación de un anuncio en el sitio, a través de la Plataforma y/o mediante el envío de un correo electrónico.

Anexo 1 - Detalles del tratamiento

Naturaleza y finalidad del tratamiento

1. Prestación de los Servicios al Cliente;

2. Ejecutar el Acuerdo, el presente APD y/u otros contratos celebrados por y entre las Partes;

3. Actuar conforme a las instrucciones del Cliente, cuando dichas instrucciones sean coherentes con los términos del Contrato;

4. Compartir Datos Personales con terceros de acuerdo con las instrucciones del Cliente y/o en virtud del uso de los Servicios por parte del Cliente (por ejemplo, integraciones entre los Servicios y cualquier servicio proporcionado por terceros, según lo configurado por o en nombre del Cliente para facilitar el intercambio de Datos Personales entre los Servicios y dichos servicios de terceros);

5. Transformación de datos personales en información anónima;

6. Cumplir las leyes y reglamentos aplicables;

7. Todas las tareas relacionadas con cualquiera de las anteriores.

Duración del tratamiento

Sujeto a cualquier sección de la DPA y/o del Acuerdo que trate sobre la duración del Procesamiento y las consecuencias de la expiración o terminación del mismo, el Procesador Procesará los Datos Personales durante la duración del Acuerdo y la prestación de los Servicios en virtud del mismo, a menos que se acuerde lo contrario por escrito.

Tipo de datos personales

El Cliente puede enviar Datos Personales a los Servicios, cuyo tipo y alcance son determinados y controlados por el Cliente a su entera discreción.

Categorías de interesados

Las Categorías de Interesados relacionadas con los Datos Personales que serán procesados por el Procesador dependen del Cliente, y pueden incluir, pero no se limitan a, cualquiera de las siguientes categorías:

  • Empleados, agentes, asesores, autónomos del Cliente (que sean personas físicas).
  • Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que sean personas físicas)
  • Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y vendedores del Cliente.
  • Cualquier otro tercero cuyos Datos Personales sean Tratados por los Servicios.