El presente Anexo sobre el tratamiento global de datos («Anexo»), que entrará en vigor a partir de la Fecha de entrada en vigor del Anexo (tal y como se define más adelante), modifica específicamente las obligaciones globales en materia de protección de datos de GumGum, Inc. («GumGum») en su calidad de proveedor de servicios para la empresa o entidad (en lo sucesivo, el «Cliente») con la que GumGum ha celebrado un Contrato de Servicios (el «Contrato Principal»), en virtud del cual GumGum trata los datos personales del Cliente. El presente Anexo se celebra entre GumGum y la entidad del Cliente que haya aceptado las Condiciones de uso de GumGum o, si procede, tal y como se identifica en la página de firmas que figura a continuación, en su nombre y en el de las Filiales del Cliente (tal y como se definen a continuación).
El presente Anexo se aplica al tratamiento de datos personales llevado a cabo por GumGum en relación con los servicios de GumGum (los «Servicios») prestados al Cliente y a sus filiales pertinentes, y seguirá vigente tras la rescisión o el vencimiento del Contrato Principal mientras GumGum o sus subcontratistas sigan tratando los datos personales.
1. Orden de precedencia e interpretación
En caso de que alguna de las cláusulas del presente Anexo y de sus apéndices sea incompatible con cualquier otra cláusula del Acuerdo Principal o de cualquier anexo sobre protección de datos que se derive del mismo, las partes acuerdan que las cláusulas del presente Anexo, sus apéndices y el Acuerdo Principal se interpretarán de manera que cada parte pueda cumplir con sus obligaciones conforme a la legislación aplicable.
2. Alcance y finalidades del tratamiento; conservación
GumGum tratará todos los datos personales con el único fin de cumplir sus obligaciones para con el Cliente en virtud del Contrato Principal, incluido el presente Anexo, y en nombre del Cliente, y para ningún otro fin, salvo que así lo exijan las leyes de protección de datos aplicables a las que esté sujeta GumGum. En tal caso, GumGum informará al Cliente de dicho requisito legal antes de proceder al tratamiento, salvo que dicha ley prohíba al Cliente facilitar dicha información por motivos importantes de interés público, en el sentido de las leyes de protección de datos aplicables.
Sin perjuicio de lo anterior, el Cliente ordena a GumGum que trate los datos personales de conformidad con las instrucciones escritas del Cliente, tal y como este las facilite a GumGum en cada momento, y de la siguiente manera:
Objeto, naturaleza y finalidad del tratamiento: GumGum tratará los datos con el único fin de prestar servicios al Cliente y cumplir con las finalidades establecidas en el Contrato principal, lo que puede incluir cualquier tratamiento lícito o finalidad comercial prevista en la legislación aplicable en materia de protección de datos.
Categorías de datos personales que suelen ser objeto de tratamiento en virtud del contrato principal: todos los tipos de datos personales, salvo las categorías especiales de datos, tal y como se definen en el RGPD. El cliente declara y garantiza a GumGum que no transferirá ni facilitará de ningún otro modo a GumGum ningún dato personal que pueda constituir una categoría especial de datos personales.
Categorías típicas de interesados: tal y como se establece en el Apéndice 2 (descargar aquí).
Duración prevista del tratamiento: durante la vigencia del Acuerdo principal o mientras GumGum continúe tratando datos personales, el plazo que sea más largo.
GumGum no hará lo siguiente:
Vender datos personales para cualquier fin, salvo en los casos permitidos en el Acuerdo principal. A efectos de este párrafo, el término «vender» tendrá el significado que se establece en la CCPA.
Tratar los datos personales para cualquier finalidad distinta de las específicas establecidas en el presente documento. Para evitar cualquier duda, GumGum no tratará los datos personales al margen de la relación comercial directa entre el cliente y GumGum.
Intentar vincular, identificar o establecer de cualquier otra forma una relación entre los datos personales y los datos no personales o cualquier otro tipo de datos sin la autorización expresa del cliente.
La información que ha sido anonimizada no se considera dato personal. GumGum solo podrá anonimizar datos personales si:
- Ha implementado medidas de seguridad técnicas que impiden la reidentificación del interesado al que pueda referirse la información;
- Ha implantado procesos empresariales que prohíben expresamente la reidentificación de la información; y
- No se realiza ningún intento de volver a identificar la información.
3. El cumplimiento de la legislación por parte de GumGum
GumGum solo tratará los datos personales según lo establecido en el presente anexo y de conformidad con la legislación aplicable en materia de protección de datos.
Por la presente, GumGum certifica que conoce las restricciones y obligaciones establecidas en el presente anexo y que las cumplirá.
4. Requisitos para el tratamiento de datos personales
GumGum hará lo siguiente:
- Asegurarse de que las personas a las que autoriza para tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada, y de que dichas personas conozcan los procedimientos que GumGum ha establecido y reciban la formación adecuada en materia de protección y seguridad de los datos.
- Previa solicitud por escrito del Cliente, ayudar al Cliente a cumplir con sus obligaciones de responder a las solicitudes verificables presentadas por los interesados (o sus representantes) para el ejercicio de sus derechos en virtud de la legislación sobre protección de datos, tales como los derechos de acceso o de supresión de los datos personales.
- Notificará sin demora al Cliente (i) cualquier solicitud o reclamación de terceros o de los interesados en relación con el tratamiento de datos personales o (ii) cualquier solicitud de las autoridades públicas o de los interesados para acceder a información sobre el tratamiento de datos personales que GumGum realice en nombre del Cliente, salvo que lo prohíban las leyes de protección de datos. Si GumGum recibe una solicitud de un tercero, de un interesado o de una autoridad pública, GumGum esperará a recibir instrucciones por escrito del Cliente sobre cómo, en su caso, colaborar en la respuesta a dicha solicitud. GumGum prestará al Cliente una cooperación y asistencia razonables en relación con cualquier solicitud de este tipo.
- Prestar asistencia y cooperación razonables al Cliente para que este pueda llevar a cabo una evaluación de impacto relativa a la protección de datos sobre el tratamiento o el tratamiento propuesto de los datos personales.
- Prestar asistencia y cooperación razonables al Cliente en sus consultas con las autoridades reguladoras en relación con el tratamiento o el tratamiento propuesto de datos personales, incluido el cumplimiento de cualquier obligación aplicable a GumGum en virtud de la legislación sobre protección de datos de consultar con una autoridad reguladora en relación con el tratamiento o el tratamiento propuesto de datos personales por parte de GumGum.
5. Medidas de seguridad y notificación de incidentes; derechos de auditoría
Medidas de seguridad. GumGum aplicará y mantendrá las medidas administrativas, técnicas, físicas y organizativas adecuadas para proteger los datos personales y garantizar lo siguiente:
- GumGum cumplirá con las obligaciones relacionadas con las violaciones de seguridad que le sean directamente aplicables en virtud de la legislación en materia de protección de datos. GumGum implementará y mantendrá medidas de seguridad técnicas y organizativas para proteger adecuadamente la información personal de cada filial del cliente frente a los riesgos inherentes a: (a) el tratamiento de la información personal para los fines identificados en el contrato principal, y (b) el tratamiento no autorizado o ilícito, así como la destrucción, el daño, el uso indebido y la pérdida. GumGum implementará y mantendrá procedimientos y prácticas de seguridad razonables y adecuados a la naturaleza de la información personal que trate.
- GumGum prestará asistencia al Cliente para responder a las solicitudes de las autoridades de protección de datos relacionadas con el tratamiento de datos personales en el marco del Contrato Principal. En caso de que se presente alguna solicitud de este tipo directamente a GumGum, esta no responderá a dicha comunicación directamente sin la autorización previa del Cliente, salvo que esté legalmente obligada a hacerlo. Si GumGum se ve obligada a responder a dicha solicitud, lo notificará sin demora al Cliente y le facilitará una copia de la misma, salvo que la ley se lo prohíba.
- GumGum informará al Cliente de forma inmediata y sin demoras indebidas, y en cualquier caso a más tardar veinticuatro (24) horas después de tener conocimiento de ello, en caso de: (a) cualquier interrupción grave de las operaciones de tratamiento de GumGum; (b) cualquier adquisición, pérdida, acceso o uso no autorizado de datos personales; o (c) cualquier violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a datos personales (en conjunto, un «incidente de seguridad»).
Auditorías. Sin perjuicio de lo dispuesto en el Contrato Principal, GumGum proporcionará y pondrá a disposición del Cliente la información y la asistencia que sean necesarias para facilitar las auditorías, así como cualquier otra información necesaria para llevar a cabo una evaluación de impacto en materia de protección de datos o para confirmar el cumplimiento de cualquier disposición del presente Anexo, del Contrato Principal y de toda la normativa aplicable en materia de protección de datos. Para evitar cualquier duda, esta disposición no obligará a GumGum a facilitar al Cliente acceso a la información confidencial de otros clientes de GumGum ni a otra información confidencial o de carácter privado perteneciente a GumGum.
6. Eliminación de datos
Tras la rescisión o el vencimiento del Contrato Principal, a petición del Cliente o de conformidad con la legislación aplicable en materia de protección de datos, GumGum devolverá al Cliente una copia completa de los datos personales que haya tratado en relación con el Contrato Principal, en la forma y el formato que las partes acuerden razonablemente. Una vez que el Cliente haya confirmado la recepción de dicha copia, GumGum eliminará de forma segura todos los datos personales que aún se encuentren en su poder o bajo su control.
7. Subcontratistas
El Cliente reconoce y acepta que GumGum podrá recurrir a sus filiales y/o subcontratistas para tratar los datos personales de conformidad con lo dispuesto en el presente anexo y en la legislación aplicable en materia de protección de datos. GumGum facilitará al Cliente una lista actualizada de los subcontratistas cuando este lo solicite.
En caso de que GumGum subcontrate cualquiera de sus derechos u obligaciones en relación con los datos personales, incluso a cualquier empresa afiliada, GumGum: (i) tomará medidas para seleccionar y contratar a subcontratistas que sean capaces de mantener medidas adecuadas de privacidad y seguridad para proteger los datos personales de conformidad con la legislación aplicable en materia de protección de datos, y (ii) celebrará un acuerdo por escrito con cada subcontratista en el que se le impongan obligaciones que no sean menos restrictivas que las impuestas a GumGum en virtud del presente anexo.
8. Indemnización
Además de las obligaciones de indemnización de GumGum previstas en el Contrato Principal, GumGum será responsable y indemnizará al Cliente por todas y cada una de las reclamaciones, acciones, responsabilidades, pérdidas, daños y gastos (incluidos los gastos legales) en que incurra el Cliente como consecuencia de un incumplimiento del presente Anexo, ya sea directamente por parte de GumGum o de sus subcontratistas y cesionarios, incluyendo, sin limitación, aquellos que se deriven de cualquier, incluidas las de una autoridad de protección de datos, o de cualquier incumplimiento sustancial del contrato, negligencia, fraude, conducta dolosa, incumplimiento de una obligación legal o incumplimiento de cualquier ley y normativa aplicable en materia de protección de datos por parte de GumGum. Para evitar cualquier duda, las partes reconocen y acuerdan que los términos de esta cláusula de indemnización no sustituyen, sino que se suman y no son en modo alguno incompatibles con ninguna cláusula de indemnización del Contrato Principal.
9. Limitación de responsabilidad
La responsabilidad de GumGum derivada de este Anexo o relacionada con él está sujeta a las disposiciones sobre limitación de responsabilidad establecidas en el Contrato Principal. Además, el Cliente es responsable de su propia responsabilidad y de sus obligaciones de cumplimiento con respecto a todas las leyes aplicables en materia de protección de datos, y GumGum no asumirá responsabilidad alguna por el incumplimiento de dichas leyes por parte del Cliente, salvo en los casos establecidos en este Anexo.
10. Legislación aplicable
Salvo que las cláusulas contractuales tipo, tal y como se definen en el RGPD, u otros requisitos en materia de transferencia de datos dispongan lo contrario, el presente anexo se regirá por la legislación aplicable indicada en el Acuerdo, sin que sean de aplicación los principios sobre conflicto de leyes.
11. Definiciones
Por «Fecha de entrada en vigor del anexo» se entiende el 1 de enero de 2020 o la fecha de entrada en vigor establecida en el contrato principal, la que sea posterior.
Por «filiales» se entiende cualquier empresa, persona o entidad que sea propiedad de una parte, esté controlada por ella o se encuentre bajo propiedad o control comunes con dicha parte.
Por «participación» se entenderá la titularidad, directa o indirecta, de más del 50 % de las acciones de una sociedad o entidad, y por «control» se entenderá cualquier facultad para nombrar a personas para formar parte del consejo de administración de una sociedad o entidad.
Por «Leyes de protección de datos aplicables» se entenderán todas las leyes y reglamentos de protección de datos aplicables en cualquier jurisdicción pertinente en relación con el tratamiento de datos personales y la privacidad, incluyendo, entre otros, el Proyecto de Ley 375 de la Asamblea de la Cámara de Representantes de California, una ley por la que se añade el Título 1.81.5 (a partir del artículo 1798.100) a la Parte 4 de la División 3 del Código Civil, relativa a la privacidad y aprobada por el gobernador de California el 28 de junio de 2018 (Ley de Privacidad del Consumidor de California, «CCPA»), el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos, «RGPD»).
« Por «responsable del tratamiento» o «responsable» se entiende: (a) la persona o entidad que, por sí sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los datos personales, o (b) una «empresa sujeta a la ley», tal y como se define en la CCPA.
Por «encargado del tratamiento» o «encargado» se entiende la persona o entidad que trata los datos personales por cuenta del responsable del tratamiento.
Por «interesado» se entiende : (a) una persona física identificada o identificable que se encuentre en el Espacio Económico Europeo («EEE») o cuyos derechos estén protegidos por el RGPD; (b) un «consumidor», tal y como se define en la CCPA; o (c) cualquier otra categoría protegida de personas a las que se pretenda dar cobertura en virtud de la legislación pertinente en materia de protección de datos.
Por «Datos personales» o «Información personal» se entenderá : (a) cualquier información relativa a una persona física identificada o identificable, y (b) cualquier información definida como «información de identificación personal», «información personal», «datos personales» o términos similares, tal y como se definen en las leyes o normativas aplicables, limitándose a aquella Información personal que GumGum trate en relación con los Servicios prestados a un Cliente.
Por «tratamiento» o «tratar» se entiende: (a) una persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento, o (b) un «proveedor de servicios», tal y como se define en la CCPA, y se refiere a la operación o conjunto de operaciones realizadas sobre la información personal, ya sea por medios automáticos o no.
Los términos «vender» o «venta» tendrán el significado que se les atribuye en la CCPA.
Por «subencargado del tratamiento» se entiende : (a) cualquier encargado del tratamiento contratado por el encargado del tratamiento o por cualquier otro subencargado del tratamiento de este último, que acepte recibir los datos personales destinados exclusivamente a las actividades de tratamiento que se llevarán a cabo en nombre del responsable del tratamiento tras la transferencia de los datos personales, de conformidad con las instrucciones del responsable del tratamiento y en relación con el contrato principal para la prestación de servicios al responsable del tratamiento; o (b) un «proveedor de servicios», tal y como se define en la CCPA.
Para descargar una copia completa del Anexo sobre el tratamiento de datos a nivel mundial de GumGum para clientes, haz clic aquí.