Anexo de procesamiento de datos (DPA)

Última revisión 21/8/2023

Este Anexo de procesamiento de datos (Data Processing Addendum, “DPA”) se celebra a partir de la fecha de su aceptación y forma parte del Acuerdo de licencia de usuario final u otro acuerdo para licenciar productos de Claroty en el que se incorpora este anexo (el “Acuerdo”). El Usuario reconoce que usted, en nombre de su entidad que es parte del Acuerdo (en conjunto,  “Usted”,   “Usuario” o “Controlador de datos”) ha leído y comprendido y acepta cumplir con este DPA, y celebra un acuerdo legal vinculante con Claroty según se define a continuación (“Claroty” o “Procesador de datos”) para reflejar el acuerdo de las partes con respecto al Procesamiento de datos personales (según se definen dichos términos a continuación) de personas protegidas por el RGPD. Ambas partes se denominarán las “Partes” y cada una, una “Parte”.

POR CUANTO, Claroty proporcionará los productos y/o servicios establecidos en el Contrato (en conjunto, los “Servicios”) para el Usuario, según se describe en el Contrato; y

POR CUANTO, en el transcurso de la prestación de los Servicios de conformidad con el Acuerdo, Claroty podrá procesar Datos personales en nombre del Usuario; y las Partes desean establecer los arreglos relativos al procesamiento de Datos personales (definidos a continuación) dentro del contexto de los Servicios y acuerdan cumplir con las siguientes disposiciones con respecto a cualquier Dato personal, cada una actuando de manera razonable y de buena fe.

POR LO TANTO, en consideración de las promesas mutuas establecidas en el presente y otra contraprestación válida y onerosa, cuya recepción y suficiencia son reconocidas por las Partes, las partes, con la intención de quedar legalmente obligadas, acuerdan lo siguiente:

Este DPA se aplica con respecto al procesamiento de cualquier Dato personal (según se define a continuación) recopilado, proporcionado o puesto a disposición de la Empresa en relación con la provisión del Software y cualquier servicio relacionado con el Software en virtud del Contrato, si el Procesamiento de dichos Datos personales está sujeto al RGPD, solo en la medida en que el Cliente sea un Controlador de Datos personales y la Empresa sea un Procesador. El DPA pretende cumplir con los requisitos de la ley de protección de datos de la Unión Europea, incluido el Artículo 28(3) del RGPD. Este DPA entrará en vigencia durante el plazo del Acuerdo o hasta la eliminación de los Datos personales según lo indicado por el Cliente en virtud de este DPA, lo que ocurra primero.

1. INTERPRETACIÓN Y DEFINICIONES

1.1 Los encabezados contenidos en este DPA son solo para conveniencia y no deben interpretarse como que limitan o afectan de otro modo las disposiciones de este DPA.

1.2 Las referencias a cláusulas o secciones son referencias a las cláusulas o secciones de este DPA a menos que se indique lo contrario.

1.3 Las palabras utilizadas en   singular incluyen el plural y viceversa, según lo requiera  el contexto.

1.4 Los términos en mayúscula no  definidos en el presente  tendrán los  significados asignados a dichos términos en el Acuerdo.

1.5 Definiciones:

• “Filial” significa cualquier entidad que directa o indirectamente controla, es controlada por, o está bajo control común con la entidad en cuestión. “Control”, a los fines de esta definición, significa propiedad o control directo o indirecto de más del 50 % de los intereses con derecho a voto de la entidad en cuestión.

• “Filial autorizada” se refiere a cualquiera de las Afiliadas del usuario (a) que (a) está sujeta a las Leyes y reglamentaciones de protección de datos de la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y/o el Reino Unido, y (b) tiene permitido usar los Servicios de conformidad con el Acuerdo entre el Usuario y Claroty, pero no ha firmado su propio acuerdo con Claroty y no es un “Usuario” según se define en el Acuerdo.

• “Controlador” o “Controlador de datos” se refiere a la entidad que determina los propósitos y medios del Procesamiento de Datos personales. A los fines de este DPA únicamente, y excepto cuando se indique lo contrario, el término “Controlador de datos” incluirá al Usuario y/o a las Filiales autorizadas del Usuario.

• “Ley de Protección de Datos y Reglamentaciones” se refiere a todas las leyes y reglamentaciones de la Unión Europea, el Espacio Económico Europeo y sus Estados Miembros, y el Reino Unido, aplicables al Procesamiento de Datos Personales en virtud del Acuerdo.

• “Sujeto de datos” significa la persona identificada o identificable con la que se relacionan los Datos personales.

• “Estado miembro ” significa un país que pertenece a la Unión Europea y/o al Espacio Económico Europeo. “Sindicato” significa la Unión Europea.

• “RGPD” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 April 2016 sobre la protección de personas físicas con respecto al procesamiento de datos personales y sobre el libre movimiento de dichos datos, y que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

• “Claroty” se refiere a la entidad de Claroty pertinente según se especifica en el Contrato.

• “Grupo Claroty ” significa Claroty y sus Filiales involucradas en el Procesamiento de Datos Personales.

• “Datos personales” significa cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, una datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física. Para evitar dudas, la información de contacto comercial del Usuario no se considera en sí misma como Datos personales sujetos a este DPA.

• “Proceso(s)” significa cualquier operación o conjunto de operaciones que se realiza sobre los Datos personales, ya sea por medios automáticos o no, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o de otro modo poner a disposición, la alineación o combinación, la restricción, la eliminación o la destrucción.

• “Procesador” o “Procesador de datos” se refiere a la entidad que procesa los Datos personales en nombre del Controlador.

• “Documentación de Seguridad ” significa la Documentación de Seguridad aplicable a los Servicios específicos adquiridos por el Usuario, según se actualicen ocasionalmente, según estén razonablemente disponibles por Claroty

• “Subprocesador” se refiere a cualquier Procesador contratado por Claroty y/o la Filial de Claroty para procesar Datos personales en el contexto de este DPA.

• “Autoridad de supervisión ” significa una autoridad pública independiente establecida por un Estado miembro de la UE de conformidad con el RGPD o la ICO en virtud del RGPD del Reino Unido.

2. PROCESAMIENTO DE DATOS PERSONALES

2.1 Funciones de las Partes. Las Partes reconocen y aceptan que con respecto al Procesamiento de Datos personales, (i) el Usuario es el Controlador de datos, (ii) Claroty es el Procesador de datos y que (iii) Claroty puede contratar Subprocesadores de conformidad con los requisitos establecidos en la Sección 5 “Subprocesadores” a continuación. El Usuario, los proveedores del Usuario y/o los socios comerciales del Usuario y los Sujetos de los datos proporcionarán los Datos personales a Claroty mediante el suministro de los Datos personales al Servicio de Claroty. Para evitar dudas, los detalles de inicio de sesión en la plataforma de Claroty están sujetos a la política de privacidad de Claroty, según se actualice periódicamente, y no a este DPA y, por lo tanto, Claroty es un Controlador de datos de estos Datos personales.

2.2  Tratamiento de datos personales por parte del usuario. El Usuario, en su uso de los Servicios, procesará los Datos personales de acuerdo con los requisitos de las Leyes y Reglamentos de Protección de Datos y cumplirá en todo momento con las obligaciones aplicables a los controladores de datos (incluido, entre otros, el Artículo 24 del RGPD).  Para evitar dudas, las instrucciones del Usuario para el Procesamiento de Datos Personales deberán cumplir con las Leyes y Reglamentos de Protección de Datos. El Usuario será el único responsable de los medios por los cuales adquirió los Datos personales. Sin limitación, el Usuario cumplirá con todas y cada una de las obligaciones relacionadas con la transparencia (lo que incluye, sin limitación, mostrar todos y cada uno de los avisos o políticas de privacidad relevantes y requeridos) y tendrá todas y cada una de las bases legales requeridas para recopilar, procesar y transferir a Claroty los Datos personales y autorizar el Procesamiento por parte de Claroty de los Datos personales que se autorizan en este DPA. El Usuario defenderá, mantendrá indemne e indemnizará a Claroty, sus Filiales y subsidiarias (incluidos, entre otros, sus directores, ejecutivos, agentes, subcontratistas y/o empleados) de y contra cualquier responsabilidad de cualquier tipo relacionada con cualquier incumplimiento, violación o violación por parte del Usuario y/o sus usuarios autorizados de cualquier Ley y Reglamento de Protección de Datos y/o este DPA y/o esta Sección.

2.3 Tratamiento de datos personales por parte de Claroty.

2.3.1 Sujeto al Acuerdo, Claroty Procesará los Datos personales que estén sujetos a este DPA solo de acuerdo con las instrucciones documentadas del Usuario y solo según sea necesario para la prestación de los Servicios y para la prestación del Acuerdo y este DPA. a menos que el Derecho de la Unión o de los Estados miembros exija lo contrario o (en la medida máxima permitida por la ley) cualquier otra ley aplicable a la que Claroty esté sujeta, en cuyo caso, Claroty informará al Usuario del requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público. La duración del Procesamiento, la naturaleza y los propósitos del Procesamiento, así como los tipos de Datos personales procesados y las categorías de Sujetos de los datos en virtud de este DPA se especifican con más detalle en el Anexo 1 (Detalles del procesamiento) de este DPA.

2.3.2 En la medida en que Claroty o sus Filiales no puedan cumplir con una solicitud (lo que incluye, sin limitación, cualquier instrucción, dirección, código de conducta, certificación, o cambio de cualquier tipo) del Usuario y/o sus usuarios autorizados en relación con el Procesamiento de Datos personales o cuando Claroty considere que dicha solicitud es ilegal, Claroty (i) informará al Usuario, proporcionar detalles relevantes del problema (pero no asesoramiento legal); (ii) Claroty puede, sin ningún tipo de responsabilidad hacia el Usuario, cesar temporalmente todo el Procesamiento de los Datos personales afectados (que no sea el almacenamiento seguro de esos datos); y (iii) si las Partes no acuerdan una resolución al asunto en cuestión y sus costos, cada Parte puede, como su único recurso, rescindir el Contrato y este DPA con respecto al Procesamiento afectado, y el Usuario pagará a Claroty todos los montos adeudados a Claroty o adeudados antes de la fecha de rescisión. El Usuario no tendrá más reclamos contra Claroty (lo que incluye, entre otros, solicitar reembolsos por los Servicios) debido a la rescisión del Acuerdo y/o el DPA en la situación descrita en este párrafo (sin incluir las obligaciones relacionadas con la rescisión de este DPA establecidas a continuación).

2.3.3 Claroty no será responsable en caso de cualquier reclamación presentada por un tercero, incluido, entre otros, un Titular de los datos, que surja de cualquier acto u omisión de Claroty, en la medida en que sea resultado de las instrucciones del Usuario.

3. DERECHOS DE LOS SUJETOS DE DATOS

Si Claroty recibe una solicitud de un Titular de datos para ejercer su derecho establecido en el Capítulo III del RGPD (“Solicitud del Titular de datos”), Claroty deberá, en la medida en que lo permita la ley, notificar de inmediato y enviar dicha Solicitud del Titular de datos al Usuario. Teniendo en cuenta la naturaleza del Procesamiento, Claroty hará todos los esfuerzos comercialmente razonables para ayudar al Usuario mediante las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Usuario de responder a una Solicitud del Sujeto de Datos en virtud de las Leyes y Reglamentos de Protección de Datos. En la medida en que lo permita la ley, el Usuario será responsable de cualquier costo que surja de la prestación de dicha asistencia por parte de Claroty.

4. PERSONAL DE CLAROTY

4.1 Confidencialidad. Claroty otorgará acceso a los Datos personales a las personas bajo su autoridad (incluido, entre otros, su personal) solo cuando sea necesario y se asegurará de que dichas personas involucradas en el Procesamiento de Datos personales se hayan comprometido con la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada.

4.2 Claroty puede divulgar y procesar los Datos personales (a) según lo permitido en virtud del presente (b) en la medida en que lo exija un tribunal de jurisdicción competente o una Autoridad supervisora y/o según lo exijan las leyes aplicables (en dicho caso, Claroty informará al Usuario del requisito legal antes de la divulgación, a menos que esa ley prohíba dicha información por motivos importantes de interés público), o (c) según la “necesidad de saber” en virtud de una obligación de confidencialidad con el/los asesor(es) legales, asesor(es) de protección de datos, o contador(es).

5. AUTORIZACIÓN CON RESPECTO A LOS SUBPROCESADORES

5.1 La lista actual de Subprocesadores de Claroty se incluye en el Anexo 2 (“Lista de Subprocesadores”) y por el presente es aprobada por el Controlador de Datos. Por el presente, el Usuario autoriza la Lista de Subprocesadores a partir de la fecha de ejecución de este DPA.

5.2 Claroty notificará sobre cualquier nuevo Subprocesador(es) antes de autorizar a dicho nuevo Subprocesador(es) a Procesar Datos personales en relación con la prestación de los Servicios.

5.3 Derecho de objeción para nuevos subprocesadores. El Usuario puede objetar razonablemente el uso por parte de Claroty de un nuevo Subprocesador por motivos relacionados con el RGPD notificando a Claroty de inmediato por escrito dentro de los tres (3) días hábiles posteriores a la recepción de la notificación de Claroty de acuerdo con el mecanismo establecido en la Sección 5.1 y dicha objeción por escrito incluirá los motivos relacionados con el RGPD para objetar el uso de dicho nuevo Subprocesador por parte de Claroty. El hecho de no objetar dicho nuevo Subprocesador por escrito dentro de los tres (3) días hábiles posteriores a la notificación de Claroty se considerará como la aceptación del nuevo Subprocesador. En caso de que el Usuario se oponga razonablemente a un nuevo Subprocesador, según lo permitido en las oraciones anteriores, Claroty hará todo lo posible para poner a disposición del Usuario un cambio en los Servicios o recomendar un cambio comercialmente razonable en el uso de los Servicios por parte del Usuario para evitar el Procesamiento de Datos personales por parte del Subprocesador objetado al nuevo sin sobrecargar de manera irrazonable al Usuario. Si Claroty no puede poner a disposición dicho cambio dentro de un período razonable, que no exceda los treinta (30) días, El usuario puede, como único remedio, rescindir el Contrato aplicable y este DPA con respecto únicamente a aquellos Servicios que Claroty no pueda prestar sin el uso del Subencargado del tratamiento objetado al nuevo al proporcionar una notificación por escrito a Claroty , siempre que todos los montos adeudados en virtud del Contrato antes de la fecha de rescisión con respecto al Procesamiento en cuestión se paguen debidamente a Claroty. Hasta que se tome una decisión con respecto al nuevo Subprocesador, Claroty puede suspender temporalmente el Procesamiento de los Datos personales afectados. El Usuario no tendrá más reclamaciones contra Claroty debido a la rescisión del Acuerdo (lo que incluye, entre otros, solicitar reembolsos) y/o el DPA en la situación descrita en este párrafo.

5.4 Acuerdos con Subprocesadores. En caso de que los Subprocesadores sean contratados por Claroty, Claroty celebrará acuerdos contractuales con los Subprocesadores que se redacten de manera tal que reflejen las obligaciones de protección de datos establecidas en este DPA. De conformidad con los Artículos 28.7 y 28.8 del RGPD, si y cuando la Comisión Europea establece las cláusulas contractuales estándar a las que se hace referencia en dicho Artículo, las Partes pueden revisar este DPA de buena fe para ajustarlo a dichas cláusulas contractuales estándar.

6. SEGURIDAD

6.1 Controles para la protección de datos personales. Teniendo en cuenta la última tecnología, los costos de implementación, el alcance, el contexto, los fines del Procesamiento, así como el riesgo de diversas probabilidades y gravedad para los derechos y libertades de las personas físicas, Claroty mantendrá las medidas técnicas y organizativas estándar de la industria requeridas de conformidad con el Artículo 32 del RGPD para la protección de la seguridad (incluida la protección contra el Procesamiento no autorizado o ilegal y contra la destrucción accidental o ilegal, pérdida, alteración o daño, divulgación no autorizada de, o acceso a, Datos personales), confidencialidad e integridad de los Datos personales, según se establece en la Documentación de seguridad que por el presente es aprobada por el Usuario. A solicitud del Usuario, Claroty hará todos los esfuerzos comercialmente razonables para ayudar al Usuario, a costo del Usuario, a garantizar el cumplimiento de las obligaciones de conformidad con los Artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del procesamiento, la tecnología de vanguardia y la información disponible para Claroty.

6.2 Certificaciones y auditorías de terceros. Si el Usuario lo solicita por escrito a intervalos razonables, y sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo y este DPA, Claroty pondrá a disposición del Usuario que no compita con Claroty (o la auditor externo que no sea competidor de Claroty) una copia o un resumen de las auditorías o certificaciones de terceros más recientes de Claroty, según corresponda (siempre y cuando, sin embargo, que dichas auditorías, certificaciones y los resultados de las mismas, incluidos los documentos que reflejen el resultado de la auditoría y/o las certificaciones, solo será utilizado por el Usuario para evaluar el cumplimiento de este DPA, y no se utilizará para ningún otro propósito ni se divulgará a ningún tercero sin la aprobación previa por escrito de Claroty; y a solicitud de Claroty, El Usuario deberá devolver todos los registros o la documentación en posesión o control del Usuario proporcionados por Claroty en el contexto de la auditoría y/o la certificación). A expensas y cargo del Usuario, Claroty permitirá y contribuirá a las auditorías, incluidas las inspecciones de Claroty, realizadas por el controlador u otro auditor exigido por el controlador (que no sea un competidor directo o indirecto de Claroty) siempre que las partes acuerden el alcance, la metodología, el momento y las condiciones de dichas auditorías e inspecciones. Sin perjuicio de cualquier disposición en contrario, dichas auditorías y/o inspecciones no contendrán ninguna información, incluidos, entre otros, datos personales que no pertenezcan al Usuario.

7. GESTIÓN Y NOTIFICACIÓN DE INCIDENTES DE DATOS PERSONALES

En la medida en que lo exijan las leyes y reglamentaciones de protección de datos aplicables, Claroty notificará al Usuario sin demora indebida después de tomar conocimiento de la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal de los Datos personales, incluidos los Datos personales, transmitidos, almacenados o procesados de otro modo por Claroty o sus Subencargados del tratamiento de datos de los que Claroty toma conocimiento (un “Incidente de datos personales”).

Claroty hará todos los esfuerzos razonables para identificar la causa de dicho Incidente de datos personales y tomará las medidas que Claroty considere necesarias, posibles y razonables para remediar la causa de dicho Incidente de datos personales en la medida en que la remediación esté dentro del control razonable de Claroty. Las obligaciones del presente no se aplicarán a incidentes causados por el Usuario o los usuarios del Usuario o que no estén relacionados de otro modo con la prestación de los Servicios. En cualquier caso, el Usuario será la parte responsable de notificar a las autoridades de supervisión y/o a los interesados preocupados (cuando lo exijan las Leyes y Reglamentos de Protección de Datos).

8. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS PERSONALES

Sujeto al Acuerdo, Claroty , a elección del Usuario, eliminará o devolverá los Datos personales al Usuario después de la finalización de la prestación de los Servicios relacionados con el Procesamiento, y eliminará las copias existentes a menos que la ley aplicable requiera el almacenamiento de los Datos personales. En cualquier caso, en la medida requerida o permitida por la ley aplicable, Claroty puede conservar una copia de los Datos personales para fines de evidencia y/o para el establecimiento, ejercicio o defensa de reclamaciones legales y/o para cumplir con las leyes y reglamentaciones aplicables. Si el Usuario solicita que se devuelvan los Datos personales, los Datos personales se devolverán en el formato generalmente disponible para los clientes de Claroty.

9.  AFILIADOS AUTORIZADOS

9.1 Relación contractual. Las Partes reconocen y acuerdan que, al firmar el DPA, el Usuario celebra el DPA en su propio nombre y, según corresponda, en nombre y representación de sus Filiales autorizadas, estableciendo así un DPA separado entre Claroty. Cada Filial autorizada acepta estar obligada por las obligaciones en virtud de este DPA. Todo acceso y uso de los Servicios por parte de las Filiales autorizadas debe cumplir con los términos y condiciones del Contrato y de este DPA, y cualquier violación de los términos y condiciones de los mismos por parte de una Filial autorizada se considerará una violación por parte del Usuario.

9.2 Comunicación. El Usuario seguirá siendo responsable de coordinar todas las comunicaciones con Claroty en virtud del Contrato y de este DPA, y tendrá derecho a realizar y recibir cualquier comunicación en relación con este DPA en nombre de sus Filiales autorizadas.

10. TRANSFERENCIAS DE DATOS

10.1 Transferencias a países que ofrecen un nivel adecuado de protección de datos. Los Datos personales pueden transferirse desde los Estados miembros de la UE y los tres países miembros del EEE (Noruega, Liechtenstein e Islandia; en conjunto, “EEE”) a países que ofrezcan un nivel adecuado de protección de datos en virtud de las decisiones de adecuación publicadas por las autoridades de protección de datos pertinentes del EEE, la Unión, los Estados miembros o la Comisión Europea (“Decisiones de adecuación”), sin que sea necesaria ninguna otra protección.

10.2 Transferencias a otros países. Si el Procesamiento de Datos personales incluye transferencias desde el EEE a países fuera del EEE que no están sujetos a una Decisión de adecuación (“Otros países”), las Partes cumplirán con el Capítulo V del RGPD, incluyendo, si es necesario, ejecutar las cláusulas estándar de protección de datos adoptadas por las autoridades de protección de datos pertinentes del EEE, el Sindicato, los Estados miembros o la Comisión Europea o cumplir con cualquiera de los otros mecanismos establecidos en el RGPD para transferir Datos personales a dichos Otros países. En la medida en que el Usuario y Claroty utilicen las Cláusulas Contractuales Estándar como mecanismo para transferir los Datos Personales del Usuario, los derechos y obligaciones de las partes se desempeñarán de acuerdo con, y sujeto a, las Cláusulas Contractuales Estándar y este DPA. En caso de contradicciones entre las Cláusulas Contractuales Estándar y este DPA, prevalecerán las Cláusulas Contractuales Estándar.

11. FINALIZACIÓN

Este DPA finalizará automáticamente tras la rescisión o vencimiento del Acuerdo en virtud del cual se prestan los Servicios. Las secciones 2.2, 2.3.3, 8 y 12 seguirán vigentes tras la rescisión o vencimiento de este DPA por cualquier motivo. Este DPA no puede, en principio, rescindirse por separado del Contrato, excepto cuando el Procesamiento finalice antes de la rescisión del Contrato, en cuyo caso, este DPA se rescindirá automáticamente.

12. RELACIÓN CON EL ACUERDO

En caso de conflicto entre las disposiciones de este DPA y las disposiciones del Acuerdo, las disposiciones de este DPA prevalecerán sobre las disposiciones contradictorias del Acuerdo. Claroty será responsable de acuerdo con las limitaciones establecidas en el Acuerdo.

13. ENMIENDAS

Este DPA puede ser enmendado en cualquier momento mediante un instrumento escrito debidamente firmado por cada una de las Partes.

14. EFECTO LEGAL

Claroty puede ceder este DPA o sus derechos u obligaciones en virtud del presente a cualquier Filial de este, o a un sucesor o cualquier Filial de este, en relación con una fusión, consolidación o adquisición de todas o sustancialmente todas sus acciones, activos o negocios relacionados con este DPA o el Contrato. Cualquier obligación de Claroty en virtud del presente puede ser cumplida (en su totalidad o en parte), y cualquier derecho o recurso de Claroty (incluidos los derechos de facturación y pago) puede ser ejercido (en su totalidad o en parte) por una Filial de Claroty.

Lista de horarios

• ANEXO 1: DETALLES DEL PROCESAMIENTO

• HORARIO 2 - LISTA DE SUBPROCESADORES

• ANEXO 3 : CLÁUSULAS CONTRACTUALES ESTÁNDAR

ANEXO 1: DETALLES DEL PROCESAMIENTO

Claroty Procesará los Datos personales según sea necesario para prestar los Servicios de conformidad con el Acuerdo, según lo indique el Usuario en su uso de los Servicios.

Naturaleza y propósito del procesamiento

1. Proporcionar el/los servicio(s) al usuario

2. Configuración de perfil(es) para usuarios autorizados por el usuario

3. Para permitir el uso de los Servicios por parte del Usuario

4. Para que Claroty cumpla con las instrucciones razonables documentadas proporcionadas por el Usuario cuando dichas instrucciones sean coherentes con los términos del Acuerdo.

5. Cumplir con las obligaciones relacionadas con el Acuerdo, este DPA y/u otros contratos celebrados por las Partes.

6. Proporcionar soporte y mantenimiento técnico, si se acuerda en el Acuerdo.

7. Cualquier otra tarea razonablemente relacionada con lo anterior.

Duración del procesamiento

Sujeto a cualquier Sección del DPA y/o del Acuerdo que trate la duración del Procesamiento y las consecuencias del vencimiento o la rescisión del mismo, Claroty procesará los Datos personales durante la duración del Acuerdo, a menos que se acuerde lo contrario por escrito.

Tipo de datos personales

El Usuario puede enviar Datos personales a los Servicios, cuya extensión es determinada y controlada por el Usuario a su entera discreción, y que puede incluir, entre otras, las siguientes categorías de Datos personales:

• Dirección IP, direcciones MAC, usuarios y nombres de host de dispositivos personales (como computadoras portátiles, tabletas, teléfonos inteligentes) conectados a la red del Usuario.

• Direcciones IP de servicios web a los que acceden los usuarios que estaban conectados a la red del Usuario a través de sus dispositivos personales.

• Números de acceso de escaneos realizados por los dispositivos de imágenes del Usuario.

• Cualquier otro Dato personal o información que el Usuario decida proporcionar o suministrar a Claroty o los Servicios.

El Usuario y los Sujetos de los datos proporcionarán los Datos personales a Claroty mediante el suministro de los Datos personales al Servicio de Claroty.

Categorías de sujetos de datos

El Usuario puede enviar Datos personales a los Servicios, cuyo alcance es determinado y controlado por el Usuario a su entera discreción, y que puede incluir Datos personales relacionados con las siguientes categorías de interesados:

• Pacientes, invitados, visitantes y/o clientes del usuario

• Usuarios del Usuario autorizados por el Usuario para usar los Servicios.

• Empleados, agentes, asesores, trabajadores independientes del usuario (que son personas físicas)

• Clientes potenciales, clientes, socios comerciales y proveedores del Usuario (que son personas físicas)

• Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y proveedores del Usuario

HORARIO 2 - LISTA DE SUBPROCESADORES

ANEXO 3 : CLÁUSULAS CONTRACTUALES ESTÁNDAR

Controlador a procesador

SECCIÓN I

Cláusula 1: Propósito y alcance

a) El propósito de estas cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 April 2016 sobre la protección de personas físicas con respecto al procesamiento de datos personales y sobre el libre movimiento de dichos datos (Reglamento General de Protección de Datos) (^[i]) para la transferencia de datos a un tercer país.

b) Las Partes:

(i) la persona(s) física o jurídica, autoridad/s pública/s, agencia/s u otro organismo/s (en adelante, “entidad/s”) que transfiere los datos personales, según se indica en el Anexo I.A (en adelante, cada “exportador de datos”), y

(ii) la entidad o entidades en un tercer país que reciben los datos personales del exportador de datos, directa o indirectamente a través de otra entidad también Parte de estas Cláusulas, según se indica en el Anexo I.A (en adelante, cada “importador de datos”

c) Estas Cláusulas se aplican con respecto a la transferencia de datos personales según se especifica en el Anexo I.B.

d) El Apéndice de estas Cláusulas que contiene los Anexos a los que se hace referencia en el mismo forma una parte integral de estas Cláusulas.

Cláusula 2 - Efecto e invariabilidad de las Cláusulas

a) Estas Cláusulas establecen las protecciones adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el Artículo 46(1) y el Artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de controladores a procesadores y/o procesadores a procesadores, cláusulas contractuales estándar de conformidad con el Artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el/los Módulo(s) adecuados o para agregar o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales estándar establecidas en estas Cláusulas en un contrato más amplio y/o que agreguen otras cláusulas o protecciones adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

b) Estas Cláusulas son sin perjuicio de las obligaciones a las que el exportador de datos está sujeto en virtud del Reglamento (UE) 2016/679.

Cláusula 3 - Terceros beneficiarios

a) Los interesados pueden invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:

(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

(ii) Cláusula 8 – Módulo Uno: Cláusula 8.5 (e) y Cláusula 8.9(b); Módulo Dos: Cláusula 8.1(b), 8.9(a), (c), (d) y (e); Módulo Tres: Cláusula 8.1(a), (c) y (d) y Cláusula 8.9(a), (c), (d), (e), (f) y (g); Módulo Cuatro: Cláusula 8.1 (b) y Cláusula 8.3(b);

(iii) Cláusula 9 – Módulo Dos: Cláusula 9(a), (c), (d) y (e); Módulo Tres: Cláusula 9(a), (c), (d) y (e);

(iv) Cláusula 12 – Módulo Uno: Cláusula 12(a) y (d); Módulos Dos y Tres: Cláusula 12(a), (d) y (f);

(v) Cláusula 13;

(vi) Cláusula 15.1(c), (d) y (e);

(vii) Cláusula 16(e);

(viii) Cláusula 18 – Módulos uno, dos y tres: Cláusula 18(a) y (b); Módulo cuatro: Cláusula 18.

b) El párrafo (a) es sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Cláusula 4 - Interpretación

a) Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en ese Reglamento.

b) Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.

c) Estas Cláusulas no se interpretarán de una manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

Cláusula 5 - Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de acuerdos relacionados entre las Partes, existentes en el momento en que estas Cláusulas se acuerden o celebren posteriormente, prevalecerán estas Cláusulas.

Cláusula 6 - Descripción de la transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y el/los propósito(s) para los cuales se transfieren, se especifican en el Anexo I.B.

Cláusula 7 (opcional) - Cláusula de acoplamiento

a) Una entidad que no sea una Parte de estas Cláusulas puede, con el acuerdo de las Partes, acceder a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.

b) Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad cedente se convertirá en una Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador de datos o importador de datos de acuerdo con su designación en el Anexo I.A.

c) La entidad cedente no tendrá derechos u obligaciones que surjan en virtud de estas Cláusulas del período anterior a convertirse en una Parte.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8 : Salvaguardas de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos puede, a través de la implementación de medidas técnicas y organizativas adecuadas, satisfacer sus obligaciones en virtud de estas Cláusulas.

8.1 Instrucciones

a) El importador de datos procesará los datos personales solo según las instrucciones documentadas del exportador de datos. El exportador de datos puede dar dichas instrucciones durante toda la duración del contrato.

b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.

8.2 Limitación del propósito

El importador de datos procesará los datos personales solo para el/los propósito(s) específicos de la transferencia, según se establece en el Anexo I.B, a menos que el exportador de datos le dé instrucciones adicionales.

8.3 Transparencia

A solicitud, el exportador de datos pondrá una copia de estas Cláusulas, incluido el Apéndice completado por las Partes, a disposición del interesado sin cargo. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y datos personales, el exportador de datos puede redactar parte del texto del Apéndice de estas Cláusulas antes de compartir una copia, pero proporcionará un resumen significativo en el que el interesado de otro modo no podría comprender su contenido o ejercer sus derechos. A solicitud, las Partes proporcionarán al interesado los motivos de las eliminaciones, en la medida de lo posible, sin revelar la información eliminada. Esta Cláusula es sin perjuicio de las obligaciones del exportador de datos en virtud de los Artículos 13 y  14 del Reglamento (UE) 2016/679.

8.4 Exactitud

Si el importador de datos toma conocimiento de que los datos personales que ha recibido son inexactos o se han vuelto obsoletos, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5  Duración del procesamiento y eliminación o devolución de datos

El procesamiento por parte del importador de datos solo tendrá lugar durante el tiempo especificado en el Anexo I.B. Después de la finalización de la prestación de los servicios de procesamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales procesados en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales procesados en su nombre y eliminará las copias existentes. Hasta que los datos se eliminen o devuelvan, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que continuará garantizando el cumplimiento de estas Cláusulas y solo los procesará en la medida y durante el tiempo que lo exija la ley local. Esto es sin perjuicio de la Cláusula 14, en particular el requisito para que el importador de datos en virtud de la Cláusula 14(e) notifique al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está o se ha vuelto sujeto a leyes o prácticas que no están en línea con los requisitos en virtud de la Cláusula 14(a).

8.6 Seguridad del procesamiento

a) El importador de datos y, durante la transmisión, también el exportador de datos implementarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que lleve a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a esos datos (en adelante, “violación de datos personales”). Al evaluar el nivel adecuado de seguridad, las Partes deberán tener en cuenta lo último en tecnología, los costos de implementación, la naturaleza, el alcance, el contexto y el/los propósito(s) del procesamiento y los riesgos involucrados en el procesamiento para los interesados. En particular, las Partes considerarán la posibilidad de recurrir al cifrado o la seudonimización, incluso durante la transmisión, cuando el propósito del procesamiento pueda cumplirse de esa manera. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, cuando sea posible, bajo el control exclusivo del exportador de datos. En el cumplimiento de sus obligaciones en virtud de este párrafo, el importador de datos implementará al menos las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo controles regulares para garantizar que estas medidas continúen proporcionando un nivel adecuado de seguridad.

b) El importador de datos otorgará acceso a los datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la implementación, gestión y monitoreo del contrato. Deberá garantizar que las personas autorizadas para procesar los datos personales se hayan comprometido con la confidencialidad o estén bajo una obligación legal de confidencialidad adecuada.

c) En caso de una violación de datos personales relacionada con datos personales procesados por el importador de datos en virtud de estas Cláusulas, el importador de datos tomará las medidas adecuadas para abordar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tomado conocimiento de la violación. Dicha notificación deberá contener los detalles de un punto de contacto en el que se pueda obtener más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y la cantidad aproximada de interesados y registros de datos personales en cuestión), sus posibles consecuencias y las medidas tomadas o propuestas para abordar la violación, incluidas, cuando corresponda, las medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y se proporcionará más información, a medida que esté disponible, posteriormente sin demora indebida.

d) El importador de datos cooperará y ayudará al exportador de datos a permitir que el exportador de datos cumpla con sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad supervisora competente y a los interesados afectados, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el importador de datos.

8.7  Datos confidenciales

Cuando la transferencia involucre datos personales que revelen el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos, o datos biométricos con el fin de identificar de manera única a una persona natural, datos relacionados con la salud o la vida sexual u orientación sexual de una persona, o datos relacionados con condenas y delitos penales (en adelante, “datos confidenciales”), el importador de datos aplicará las restricciones específicas y/o protecciones adicionales descritas en el Anexo I.B.

8.8  Transferencias posteriores

El importador de datos solo divulgará los datos personales a un tercero según las instrucciones documentadas del exportador de datos. Además, los datos solo pueden divulgarse a un tercero ubicado fuera de la Unión Europea (^[i]) (en el mismo país que el importador de datos o en otro país, en lo sucesivo “transferencia posterior”) si el tercero está o acepta estar obligado por estas Cláusulas, en virtud del Módulo correspondiente, o si

(i) la transferencia posterior es a un país que se beneficia de una decisión de adecuación de conformidad con el Artículo  45 del Reglamento (UE) 2016/679 que cubre la transferencia posterior;

(ii) el tercero garantice de otro modo las protecciones adecuadas de conformidad con los Artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

(iii) la transferencia posterior sea necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, regulatorios o judiciales específicos; o

(iv) la transferencia posterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás protecciones en virtud de estas Cláusulas, en particular la limitación del propósito.

8.9  Documentación y cumplimiento

a) El importador de datos deberá tratar de manera oportuna y adecuada las consultas del exportador de datos que se relacionen con el procesamiento en virtud de estas Cláusulas.

b) Las Partes podrán demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de procesamiento realizadas en nombre del exportador de datos.

c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y a solicitud del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de procesamiento cubiertas por estas Cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos puede tener en cuenta las certificaciones relevantes que posee el importador de datos.

d) El exportador de datos puede optar por realizar la auditoría por sí mismo o exigir un auditor independiente. Las auditorías pueden incluir inspecciones en las instalaciones o instalaciones físicas del importador de datos y, cuando corresponda, se llevarán a cabo con un aviso razonable.

e) Las Partes pondrán la información mencionada en los párrafos (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad supervisora competente a solicitud.

Cláusula 9 : Uso de subprocesadores

a) AUTORIZACIÓN PREVIA ESPECÍFICA El importador de datos no subcontratará ninguna de sus actividades de procesamiento realizadas en nombre del exportador de datos en virtud de estas Cláusulas a un subprocesador sin la autorización previa específica por escrito del exportador de datos. El importador de datos presentará la solicitud de autorización específica al menos 3 días antes de la contratación del subprocesador, junto con la información necesaria para permitir que el exportador de datos decida sobre la autorización. La lista de subprocesadores ya autorizados por el exportador de datos se puede encontrar en el Anexo III. Las Partes mantendrán actualizado el Anexo III.

b) Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que aquellas que vinculan al importador de datos en virtud de estas Cláusulas, incluso en términos de derechos de terceros beneficiarios para los interesados. (^[i]) Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos se asegurará de que el subprocesador cumpla con las obligaciones a las que el importador de datos está sujeto de conformidad con estas Cláusulas.

c) El importador de datos proporcionará, a solicitud del exportador de datos, una copia de dicho acuerdo de subprocesador y cualquier enmienda posterior al exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos datos personales, el importador de datos puede redactar el texto del acuerdo antes de compartir una copia.

d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos sobre cualquier incumplimiento por parte del subprocesador de sus obligaciones en virtud de ese contrato.

e) El importador de datos acordará una cláusula de terceros beneficiarios con el subprocesador mediante la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir por ley o se haya vuelto insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subprocesador e instruir al subprocesador para que borre o devuelva los datos personales.

Cláusula 10 - Derechos del interesado

a) El importador de datos notificará de inmediato al exportador de datos sobre cualquier solicitud que haya recibido de un interesado. No responderá a esa solicitud por sí misma a menos que haya sido autorizada para hacerlo por el exportador de datos.

b) El importador de datos ayudará al exportador de datos a cumplir con sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. En este sentido, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del procesamiento, por el cual se proporcionará la asistencia, así como el alcance y el alcance de la asistencia requerida.

c) Al cumplir con sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del exportador de datos.

Cláusula 11 - Reparación

a) El importador de datos informará a los interesados en un formato transparente y de fácil acceso, a través de un aviso individual o en su sitio web, de un punto de contacto autorizado para manejar quejas. Tratará de inmediato cualquier queja que reciba de un interesado.

b) En caso de una disputa entre un interesado y una de las Partes con respecto al cumplimiento de estas Cláusulas, esa Parte hará todo lo posible para resolver el problema de manera amistosa y oportuna. Las Partes se mantendrán informadas entre sí sobre dichas disputas y, cuando corresponda, cooperarán para resolverlas.

c) Cuando el interesado invoque un derecho de tercero beneficiario de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del interesado de:

(i) presentar una queja ante la autoridad supervisora en el Estado miembro de su residencia o lugar de trabajo habitual, o ante la autoridad supervisora competente de conformidad con la Cláusula 13;

(ii) remitir la disputa a los tribunales competentes dentro del significado de la Cláusula 18.

d) Las Partes aceptan que el interesado puede estar representado por un organismo, organización o asociación sin fines de lucro en las condiciones establecidas en el Artículo 80(1) del Reglamento (UE) 2016/679.

e) El importador de datos deberá acatar una decisión que sea vinculante en virtud de la legislación aplicable de la UE o de los Estados miembros.

f) El importador de los datos acepta que la elección del interesado no perjudicará sus derechos sustantivos y procedimentales de buscar recursos de acuerdo con las leyes aplicables.

Cláusula 12 - Responsabilidad

a) Cada Parte será responsable ante la otra Parte por cualquier daño que cause a la otra Parte por cualquier incumplimiento de estas Cláusulas.

b) El importador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir compensación, por cualquier daño sustancial o no sustancial que el importador de datos o su subprocesador cause al interesado al violar los derechos de terceros beneficiarios en virtud de estas Cláusulas.

c) Sin perjuicio del párrafo (b), el exportador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir compensación, por cualquier daño sustancial o no sustancial que el exportador de datos o el importador de datos (o su subprocesador) cause al interesado al violar los derechos de terceros beneficiarios en virtud de estas Cláusulas. Esto es sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos es un procesador que actúa en nombre de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o Reglamento (UE) 2018/1725, según corresponda.

d) Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo (c) por daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos esa parte de la compensación correspondiente a la responsabilidad del importador de datos por el daño.

e) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tiene derecho a iniciar una acción judicial contra cualquiera de estas Partes.

f) Las Partes acuerdan que si una de las Partes es considerada responsable en virtud del párrafo (e), tendrá derecho a reclamar a la otra Parte/las partes que forman parte de la compensación correspondiente a su responsabilidad por el daño.

g) El importador de datos no puede invocar la conducta de un subprocesador para evitar su propia responsabilidad.

Cláusula 13 - Supervisión

a) [Donde el exportador de datos esté establecido en un Estado miembro de la UE:] La autoridad supervisora responsable de garantizar el cumplimiento por parte del exportador de datos con el Reglamento (UE) 2016/679 con respecto a la transferencia de datos, como se indica en el Anexo I.C, actuará como autoridad supervisora competente.

[Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero esté dentro del alcance territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su Artículo  3(2) y haya designado a un representante de conformidad con el Artículo  27(1) del Reglamento (UE) 2016/679:] La autoridad supervisora del Estado miembro en el que se establece el representante dentro del significado del Artículo  27(1) del Reglamento (UE) 2016/679 , como se indica en el Anexo I.C, actuará como autoridad supervisora competente.

[Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero se encuentra dentro del alcance territorial de la aplicación del Reglamento (UE) 2016/679 de conformidad con su Artículo  3(2) sin tener que designar a un representante de conformidad con el Artículo  27(2) del Reglamento (UE) 2016/679:] La autoridad supervisora de uno de los Estados miembros en los que los interesados cuyos datos personales se transfieren en virtud de estas Cláusulas en relación con la oferta de bienes o servicios a ellos, o cuyo comportamiento se monitorea, están ubicados, como se indica en el Anexo I.C., actuará como autoridad supervisora competente.

b) El importador de datos acepta someterse a la jurisdicción y cooperar con la autoridad supervisora competente en cualquier procedimiento destinado a garantizar el cumplimiento de estas Cláusulas. En particular, el importador de datos acepta responder a las consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad supervisora, incluidas las medidas correctivas y compensatorias. Deberá proporcionar a la autoridad supervisora una confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III - LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14 - Leyes y prácticas locales que afectan el cumplimiento de las Cláusulas

a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas en el tercer país de destino aplicables al procesamiento de los datos personales por parte del importador de datos, incluido cualquier requisito para divulgar datos personales o medidas que autoricen el acceso por parte de las autoridades públicas, impidan que el importador de datos cumpla con sus obligaciones en virtud de estas Cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo que es necesario y proporcional en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.

b) Las Partes declaran que al proporcionar la garantía en el párrafo (a), han tenido en cuenta los siguientes elementos en particular:

(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de procesamiento, la cantidad de actores involucrados y los canales de transmisión utilizados; las transferencias posteriores previstas; el tipo de destinatario; el propósito del procesamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;

(ii) autoridades o autorización de acceso por parte de dichas autoridades, relevantes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y salvaguardas aplicables (^[i]);

(iii) cualquier protección contractual, técnica u organizativa pertinente implementada para complementar las protecciones en virtud de estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y el procesamiento de los datos personales en el país de destino.

c) El importador de datos garantiza que, al llevar a cabo la evaluación en virtud del párrafo (b), ha hecho todo lo posible para proporcionar al exportador de datos información relevante y acepta que continuará cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.

d) Las Partes acuerdan documentar la evaluación en virtud del párrafo (b) y ponerla a disposición de la autoridad supervisora competente a solicitud.

e) El importador de datos acepta notificar al exportador de datos de inmediato si, después de haber aceptado estas Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o se ha vuelto sujeto a leyes o prácticas que no están en línea con los requisitos del párrafo (a), incluido el seguimiento de un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no está en línea con los requisitos del párrafo (a).

f) Después de una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir con sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará de inmediato las medidas adecuadas (p. ej., medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que adoptará el exportador de datos y/o el importador de datos para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar las salvaguardas adecuadas para dicha transferencia, o si así lo indica la autoridad supervisora competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al procesamiento de datos personales en virtud de estas Cláusulas. Si el contrato involucra a más de dos Partes, el exportador de datos puede ejercer este derecho de rescisión solo con respecto a la Parte pertinente, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicarán las Cláusulas 16(d) y (e).

Cláusula 15 : Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1 Notificación

a) El importador de datos acepta notificar al exportador de datos y, cuando sea posible, al interesado de inmediato (si es necesario con la ayuda del exportador de datos) si:

(i) recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de las leyes del país de destino para la divulgación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, el fundamento legal para la solicitud y la respuesta proporcionada; o

(ii) toma conocimiento de cualquier acceso directo de las autoridades públicas a los datos personales transferidos de conformidad con estas Cláusulas de conformidad con las leyes del país de destino; dicha notificación incluirá toda la información disponible para el importador.

b) Si el importador de datos tiene prohibido notificar al exportador de datos y/o al interesado en virtud de las leyes del país de destino, el importador de datos acepta hacer todo lo posible para obtener una renuncia a la prohibición, con el fin de comunicar tanta información como sea posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlos a solicitud del exportador de datos.

c) Cuando lo permitan las leyes del país de destino, el importador de datos acepta proporcionar al exportador de datos, a intervalos regulares durante la duración del contrato, la mayor cantidad de información relevante posible sobre las solicitudes recibidas (en particular, cantidad de solicitudes, tipo de datos solicitados, autoridad/autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).

d) El importador de datos acepta preservar la información de conformidad con los párrafos (a) a (c) durante la vigencia del contrato y ponerla a disposición de la autoridad supervisora competente a solicitud.

e) Los párrafos (a) a (c) son sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos de inmediato cuando no pueda cumplir con estas Cláusulas.

15.2 Revisión de legalidad y minimización de datos

a) El importador de datos acepta revisar la legalidad de la solicitud de divulgación, en particular si permanece dentro de las facultades otorgadas a la autoridad pública solicitante, y impugnar la solicitud si, después de una cuidadosa evaluación, concluye que existen motivos razonables para considerar que la solicitud es ilegal en virtud de las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de la comunidad internacional. El importador de datos, bajo las mismas condiciones, buscará posibilidades de apelación. Al impugnar una solicitud, el importador de datos buscará medidas provisionales con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente haya decidido sobre sus méritos. No divulgará los datos personales solicitados hasta que se requiera hacerlo en virtud de las normas de procedimiento aplicables. Estos requisitos son sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).

b) El importador de datos acepta documentar su evaluación legal y cualquier impugnación a la solicitud de divulgación y, en la medida permitida por las leyes del país de destino, poner la documentación a disposición del exportador de datos. También deberá ponerla a disposición de la autoridad supervisora competente a solicitud.

c) El importador de datos acepta proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, en función de una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Cláusula 16 - Incumplimiento de las Cláusulas y rescisión

a) El importador de datos informará de inmediato al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.

b) En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplir con estas Cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se rescinda el contrato. Esto es sin perjuicio de la Cláusula 14(f).

c) El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de estas Cláusulas, cuando:

(i) el exportador de datos ha suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Cláusulas no se restablece dentro de un plazo razonable y en ningún caso dentro de un mes de la suspensión;

(ii) el importador de datos incumple de manera sustancial o persistente estas Cláusulas; o

(iii) el importador de datos no cumple con una decisión vinculante de un tribunal competente o autoridad supervisora con respecto a sus obligaciones en virtud de estas Cláusulas.

d) Los datos personales que se hayan transferido antes de la rescisión del contrato de conformidad con el párrafo (c) se devolverán inmediatamente al exportador de datos a elección del exportador de datos o se eliminarán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos se eliminen o devuelvan, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará garantizando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo que lo exija la ley local.

e) Cualquiera de las Partes puede revocar su acuerdo de quedar vinculado por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 se convierta en parte del marco legal del país al que se transfieren los datos personales. Esto es sin perjuicio de otras obligaciones que se aplican al procesamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17 - Ley aplicable

Estas Cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita derechos de terceros beneficiarios. Las Partes acuerdan que esta será la ley de la República de Irlanda.

Cláusula 18 - Elección de foro y jurisdicción

a) Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de un Estado miembro de la UE.

b) Las Partes acuerdan que serán los tribunales de Dublín, Irlanda.

c) Un interesado también puede entablar procedimientos legales contra el exportador y/o importador de datos ante los tribunales del Estado miembro en el que tiene su residencia habitual.

d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

APÉNDICE

NOTA EXPLICATIVA:

Debe ser posible distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, en este sentido, determinar el/los rol(es) respectivos de las Partes como exportador(es) de datos y/o importador(es) de datos. Esto no necesariamente requiere completar y firmar apéndices separados para cada transferencia/categoría de transferencias y/o relación contractual, donde esta transparencia puede lograrse a través de un apéndice. Sin embargo, cuando sea necesario para garantizar una claridad suficiente, se deben usar apéndices separados.

ANEXO I

A. LISTA DE PARTES

Exportador(es) de datos:

Nombre: la entidad establecida en una Orden aplicable.

Dirección: la dirección de la entidad establecida en una Orden aplicable.

Nombre, puesto y detalles de contacto de la persona de contacto: según se establece en una Orden aplicable.

Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: Consulte el Anexo 1.

Importador(es) de datos: 

Nombre: Claroty Ltd. en su propio nombre y en nombre de sus filiales

Dirección: 82 Yigal Alon St, Tel Aviv-Yafo, Israel

Nombre, cargo y detalles de contacto de la persona de contacto: Seth Gerson, Asesora Jurídica, legal@claroty.com

Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: actividades de procesamiento descritas en el Anexo 1.

Función (controlador/procesador): Procesador de datos

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de sujetos de datos cuyos datos personales se transfieren

Consulte el Anexo 1

Categorías de datos personales transferidos

Consulte el Anexo 1

Datos confidenciales transferidos (si corresponde) y restricciones o medidas de seguridad aplicadas que tengan en cuenta completamente la naturaleza de los datos y los riesgos involucrados, como por ejemplo, limitación estricta del propósito, restricciones de acceso (incluido el acceso solo para el personal que ha seguido capacitación especializada), mantener un registro del acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales.

Consulte el Anexo 1

La frecuencia de la transferencia (p. ej., si los datos se transfieren de forma única o continua).

Consulte el Anexo 1

Naturaleza del procesamiento

Consulte el Anexo 1

Propósito(s) de la transferencia de datos y el procesamiento posterior

Consulte el Anexo 1

El período durante el cual se conservarán los datos personales o, si eso no es posible, los criterios utilizados para determinar ese período.

Consulte el Anexo 1

Para las transferencias a procesadores (sub) también especifique el tema, la naturaleza y la duración del procesamiento

Consulte el Anexo 2 y el DPA.

C. AUTORIDAD DE SUPERVISIÓN COMPETENTE
Identificar la autoridad supervisora competente de acuerdo con la Cláusula 13.

ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

NOTA EXPLICATIVA:

Las medidas técnicas y organizativas deben describirse en términos específicos (y no genéricos). Consulte también el comentario general en la primera página del Apéndice, en particular sobre la necesidad de indicar claramente qué medidas se aplican a cada transferencia/conjunto de transferencias.

 Consulte la documentación de seguridad.

ANEXO III

LISTA DE SUBPROCESADORES

NOTA EXPLICATIVA:

Este Anexo debe completarse en caso de la autorización específica de los subprocesadores (Cláusula 9(a), Opción 1).

El controlador ha autorizado el uso de los siguientes subprocesadores: consulte el Anexo 2.

[i] Cuando el exportador de datos es un procesador sujeto al Reglamento (UE) 2016/679 que actúa en nombre de una institución u organismo de la Unión como controlador, la confianza en estas Cláusulas al contratar a otro procesador (subprocesamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del Artículo  29(4) del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo de 23 octubre de 2018 sobre la protección de personas físicas con respecto al procesamiento de datos personales por parte de las instituciones de la Unión, cuerpos, oficinas y agencias y sobre el libre movimiento de dichos datos, y derogando el Reglamento (CE) n.o  45/2001 y la Decisión n.o  1247/2002/CE (OJ L 295, 21.11.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto legal entre el responsable y el encargado del tratamiento de conformidad con el Artículo  29(3) del Reglamento (UE) 2018/1725 estén alineadas. Este será en particular el caso en el que el responsable y el encargado del tratamiento se basen en las cláusulas contractuales estándar incluidas en la Decisión 2021/915.

[i] El Acuerdo sobre el Espacio Económico Europeo (Acuerdo del EEE) prevé la extensión del mercado interno de la Unión Europea a los tres estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de protección de datos de la Unión, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo del EEE y se ha incorporado en el Anexo XI del mismo. Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero ubicado en el EEE no califica como una transferencia posterior a los fines de estas Cláusulas.

[i] Este requisito puede ser cumplido por el subencargado del tratamiento que concedió estas Cláusulas en virtud del Módulo correspondiente, de conformidad con la Cláusula 7.

[i] Con respecto al impacto de dichas leyes y prácticas en el cumplimiento de estas Cláusulas, se pueden considerar diferentes elementos como parte de una evaluación general. Dichos elementos pueden incluir experiencia práctica relevante y documentada con instancias anteriores de solicitudes de divulgación de autoridades públicas, o la ausencia de dichas solicitudes, que cubran un plazo suficientemente representativo. Esto se refiere en particular a registros internos u otra documentación, redactada de manera continua de acuerdo con la diligencia debida y certificada a nivel de la alta gerencia, siempre que esta información pueda compartirse legalmente con terceros. Cuando se confíe en esta experiencia práctica para concluir que no se impedirá que el importador de datos cumpla con estas Cláusulas, debe estar respaldado por otros elementos relevantes y objetivos, y es para las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de su confiabilidad y representatividad, para respaldar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica es corroborada y no contradictoria por información confiable, disponible públicamente o accesible de otro modo sobre la existencia o ausencia de solicitudes dentro del mismo sector y/o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de organismos de supervisión independientes.