El presente ADENDA DEL ACUERDO DE PROCESAMIENTO DE DATOS DEL USUARIO FINAL ("Adenda") se incorpora a las Condiciones de Intercambio de Información y se adjunta al Acuerdo de Licencia y al Perfil y Formulario de Pedido (conjuntamente "EULSA") entre InterSystems ("InterSystems") y el Usuario Final ("Usuario Final"), como se indica en el EULSA. InterSystems y el Usuario Final son partes de este Apéndice (cada una de ellas por separado "una Parte", en conjunto "Partes"). En consideración a los pactos y promesas mutuas contenidas en el presente documento y otras buenas y valiosas consideraciones, cuya recepción y suficiencia es reconocida por las Partes en el presente documento, las Partes acuerdan lo siguiente:
Todos los términos en mayúsculas utilizados en este Addendum y que no se definen en otra parte del presente documento o en el EULSA tendrán el mismo significado que dichos términos tal y como se utilizan o definen en el GDPR, tal y como se define a continuación. Los términos de este Addendum sustituyen a cualquier término conflictivo del EULSA y a cualquier otro término relativo a la protección de datos o al tratamiento de la información.
Las Partes reconocen que los servicios prestados por InterSystems en virtud del EULSA no pretenden dar lugar a que InterSystems cree, reciba, mantenga, transmita, utilice, divulgue o procese de otro modo los datos personales relacionados con un sujeto de datos en un contexto operativo que constituya los datos del usuario final, tal como se define a continuación; sin embargo, debido a que el usuario final, en determinadas circunstancias, puede estar obligado a cumplir con el GDPR, tal como se define a continuación, el usuario final requiere que sus proveedores de servicios que puedan entrar en contacto con los datos del usuario final celebren un acuerdo de procesamiento de datos con el usuario final, e InterSystems está dispuesto a celebrar dicho acuerdo en el improbable caso de que InterSystems procese los datos del usuario final sin conceder que InterSystems sea generalmente un procesador para el usuario final. Las Partes acuerdan, con respecto a otros Datos Personales procesados por InterSystems que no son Datos de Usuario Final ("Datos de InterSystems"), que InterSystems es el Controlador de Datos y que las Partes no son Controladores Conjuntos de los Datos de InterSystems.
- Definiciones.
1.1. En esta Adenda, las expresiones "Datos personales", "Responsable del tratamiento", "Encargado del tratamiento" y "Tratamiento" tendrán el significado que les asigna el Reglamento General de Protección de Datos, Reglamento (UE) 2016/679.
1.2. Controlador de datos. "Controlador de Datos" significa, cuando se utiliza en referencia en este Addendum, referirse al Usuario Final, incluso si el Usuario Final es un Procesador para un Controlador con respecto a los Datos Personales Procesados.
1.3. Propietario de los datos. "Propietario de los datos" significa, con respecto a cada elemento de datos personales de los datos del usuario final, el usuario final o, si el usuario final es un procesador para un controlador con respecto a los datos personales, dicho controlador.
1.4. Procesador de datos. "Encargado del tratamiento" tendrá, en general, el mismo significado que el de Encargado del tratamiento según el GDPR y cuando (1) InterSystems y el Usuario final acuerden mutuamente que InterSystems actúa en calidad de Encargado del tratamiento del Usuario final, tal y como se define en unas Normas de contratación específicas e individuales, y (2) InterSystems no actúe de otro modo en calidad de proveedor de servicios, de tercero proveedor del Usuario final o de Responsable del tratamiento.
1.5. Legislación sobre protección de datos. "Legislación de protección de datos" significa el GDPR y las legislaciones nacionales de aplicación; la Ley Federal de Protección de Datos de Suiza (modificada y sustituida de vez en cuando); la Ley de Protección de Datos del Reino Unido (modificada y sustituida de vez en cuando); y las Leyes de Protección de Datos de los países del EEE (modificadas y sustituidas de vez en cuando, siempre que sean aplicables).
1.6. Datos del usuario final. "Datos del usuario final" se refiere a cualquier dato personal para el que el usuario final o, si el usuario final es un procesador para un controlador, el controlador es el único que determina los fines y los medios del tratamiento de dichos datos personales y es proporcionado por o en nombre del usuario final a por InterSystems; siempre que los datos del usuario final no incluyan ningún dato personal definido como datos de InterSystems anteriormente.
1.7. GDPR. "GDPR" significa el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679)
- Propiedad de los datos.
2.1. Los datos de los usuarios finales, que el procesador de datos procesa en nombre del controlador de datos, seguirán siendo en todo momento propiedad del propietario de los datos.
2.2. En caso de que una de las partes, por cualquier motivo, rescinda el EULSA, el usuario final decidirá si cada elemento de los datos del usuario final, en la medida en que el procesador de datos aún conserve dichos elementos, se devolverá al usuario final o se eliminará. Todo el procesamiento por parte del Procesador de Datos terminará, excepto cualquier procesamiento requerido por la ley o que sea necesario para poner fin a la EULSA.
2.3. El responsable del tratamiento puede exigir en cualquier momento al encargado del tratamiento que deje de tratar los datos de los usuarios finales y que los elimine o los devuelva al responsable del tratamiento.
2.4. En el caso de que el procesador de datos determine que la devolución o destrucción de los datos del usuario final, tal y como se requiere en esta sección, es inviable, el procesador de datos ampliará las protecciones de este apéndice a dichos datos del usuario final, y limitará el procesamiento posterior de dichos datos del usuario final, a aquellos propósitos que hacen inviable la devolución o destrucción, mientras el procesador de datos conserve dichos datos del usuario final. - Obligaciones y actividades del encargado del tratamiento.
3.1. El encargado del tratamiento se compromete a tratar los datos de los usuarios finales con medidas de seguridad técnicas y organizativas del tipo que, si el encargado del tratamiento fuera el responsable del mismo, satisfaría el artículo 32 del RGPD, Seguridad del tratamiento, es decir, "Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo, de probabilidad y gravedad variables, para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo" y a adoptar medidas razonables para garantizar el cumplimiento de dichas medidas.
3.2. El procesador de datos se compromete a procesar dichos datos del usuario final sólo de acuerdo con las instrucciones del usuario final que éste proporcionará por escrito de vez en cuando.
3.3. El Procesador de Datos acepta que cumplirá con todas las obligaciones impuestas por el artículo 32 del GDPR como si el Procesador de Datos fuera el Controlador con respecto a dichos Datos del Usuario Final.
3.4. El procesador de datos se compromete a garantizar que todos los miembros del personal, agentes, contratistas y otras personas que tengan acceso a los datos de los usuarios finales sean advertidos de que los datos son confidenciales y no deben ser revelados a nadie que no esté sujeto a un deber de confidencialidad exigible con respecto a ellos. Sólo los miembros del personal, etc., que tengan una necesidad operativa de acceder a los datos de los usuarios finales estarán autorizados y (en términos de medidas de seguridad lógicas, físicas o de otro tipo) podrán hacerlo.
3.5. En caso de que el Procesador de Datos desee subcontratar el Procesamiento de los Datos de los Usuarios Finales, deberá imponer a cualquier subcontratista las mismas obligaciones contractuales en materia de protección de datos y seguridad que se han establecido en los términos de esta Adenda.
3.6. El procesador de datos se compromete a informar al controlador de datos con prontitud sobre cualquier violación de la seguridad de los datos de los usuarios finales en su propia organización o en la de cualquier subcontratista.
3.7. El procesador de datos se compromete a garantizar que todo el personal que participe en el tratamiento de los datos de los usuarios finales reciba la formación adecuada en materia de procedimientos de protección de datos, y a identificar y mantener registros de la formación recibida por dicho personal y del contenido de todos los cursos. El procesador de datos se asegurará de que ningún otro agente o empleado del procesador de datos tenga acceso a los datos del usuario final.
3.8. El Procesador de Datos acuerda que los Datos del Controlador no se transferirán a un país o territorio fuera del Espacio Económico Europeo sin la aprobación por escrito del Usuario Final, a menos que (1) ese país o territorio garantice un nivel adecuado de protección de los derechos y libertades de los interesados en relación con el tratamiento de los datos personales, según lo determine la autoridad de protección de datos correspondiente; (2) sin que ello implique un incumplimiento de esta disposición, cuando el Procesador de Datos haya suscrito Cláusulas Contractuales Estándar, aprobadas por la Comisión Europea, con respecto a dicha transferencia; o (3) cuando el Procesador de Datos se haya obligado a cumplir las Normas Corporativas Vinculantes aprobadas o aceptadas por una autoridad de protección de datos pertinente; siempre que el Usuario Final pueda restringir dichas transferencias en virtud de unas Normas de Compromiso específicas e individuales, siempre que el Usuario Final acepte que InterSystems no incumpla sus obligaciones en virtud del EULSA, si InterSystems determina que dicha transferencia es necesaria para prestar el servicio o el soporte requerido. - Obligaciones del usuario final.
4.1. El usuario final sólo proporcionará los datos del usuario final a InterSystems cuando sea estrictamente necesario para los fines del EULSA y en pleno cumplimiento de la legislación sobre protección de datos, y se compromete a proporcionar únicamente los datos personales mínimos necesarios que sean relevantes para el servicio o el soporte que se proporcione.
4.2. El usuario final no pedirá ni exigirá al procesador de datos que procese los datos del usuario final de una manera que el usuario final no podría hacer como controlador o procesador de un controlador; siempre que InterSystems notifique al usuario final rápidamente por escrito proporcionando información suficiente para describir la objeción, si InterSystems considera que cualquiera de las instrucciones del usuario final infringe la legislación de protección de datos. Si el Usuario Final está de acuerdo con la determinación de InterSystems de que las instrucciones del Usuario Final infringen la Legislación de Protección de Datos, entonces el Usuario Final deberá notificar a InterSystems como tal e InterSystems no estará obligado a cumplir con esa instrucción ni se considerará que InterSystems está incumpliendo el EULSA por cualquier incumplimiento de dicha instrucción. Si el Usuario Final se opone a la determinación de InterSystems de que las instrucciones del Usuario Final infringen la Legislación de Protección de Datos, entonces el Usuario Final deberá proporcionar una explicación por escrito de por qué dicha instrucción cumple con la Legislación de Protección de Datos e InterSystems podrá basarse en dicha explicación para llevar a cabo la instrucción del Usuario Final.
4.3. El Usuario Final declara y garantiza que él (o en el caso de que el Usuario Final sea un Procesador de Datos, el correspondiente Propietario de Datos) puede procesar los Datos del Usuario Final de la manera en que el Procesador de Datos está autorizado a procesar los Datos Personales en virtud de este Anexo.
4.4. El usuario final será responsable de utilizar en todo momento salvaguardas administrativas, físicas y técnicas para mantener y garantizar la confidencialidad, privacidad y seguridad de los datos del usuario final transmitidos al procesador de datos de acuerdo con las normas y requisitos de la legislación de protección de datos, hasta que dichos datos del usuario final sean recibidos por el procesador de datos.
4.5. El Usuario Final deberá obtener cualquier consentimiento o autorización que pueda ser requerida por la legislación aplicable para que el Procesador de Datos pueda prestar sus servicios bajo el EULSA
- Varios.
5.1. Referencias. Una referencia en este apéndice al lenguaje del GDPR significa el lenguaje en vigor o modificado, y en su fecha de cumplimiento aplicable.
5.2. Cambios en esta adenda. El Usuario Final acepta que InterSystems, de buena fe, pueda modificar este Addendum o el EULSA según sea necesario para cumplir con cualquier cambio en la Legislación de Protección de Datos.
5.3. Supervivencia. Los derechos y obligaciones respectivos del Procesador de Datos y del Controlador de Datos sobrevivirán a la terminación mientras el Procesador de Datos o el Controlador de Datos procesen los Datos de los Usuarios Finales bajo este Anexo o el EULSA.
5.4. Interpretación. Cualquier ambigüedad en el presente Addendum se resolverá para permitir a las Partes cumplir con la Legislación de Protección de Datos
- Los derechos y obligaciones que se derivan de este apéndice se suman, y no sustituyen, a los derechos y obligaciones que puedan surgir entre las partes en virtud de cualquier otro contrato o del derecho común
- En caso de incumplimiento o presunto incumplimiento por parte de cualquier persona de una obligación de confidencialidad que dicha persona deba a cualquiera de las Partes del presente documento con respecto a los Datos de Usuario Final a los que dicha persona tenga o haya tenido acceso como consecuencia del presente Anexo, la Parte a la que se deba la obligación se compromete a hacer todo lo posible para hacer cumplir la obligación en cuestión