El presente Anexo sobre el tratamiento global de datos («Anexo»), que entrará en vigor a partir de la Fecha de entrada en vigor del Anexo (tal y como se define más adelante), modifica específicamente las obligaciones globales en materia de protección de datos de GumGum, Inc. («GumGum») en su calidad de «responsable del tratamiento» o «empresa sujeta a la normativa» frente a la empresa o entidad (en lo sucesivo, el «encargado del tratamiento») con la que GumGum ha celebrado un contrato de servicios (el «Contrato principal»), en virtud del cual el encargado del tratamiento trata datos personales.
1. Orden de precedencia e interpretación
En caso de que alguna de las cláusulas del presente Anexo y de sus apéndices sea incompatible con cualquier otra cláusula del Acuerdo Principal o de cualquier anexo sobre protección de datos que se derive del mismo, las partes acuerdan que las cláusulas del presente Anexo, sus apéndices y el Acuerdo Principal se interpretarán de manera que cada parte pueda cumplir con sus obligaciones conforme a la legislación aplicable.
2. Alcance y finalidades del tratamiento; conservación
El Encargado del Tratamiento tratará todos los datos personales con el único fin de cumplir sus obligaciones frente a GumGum en virtud del Acuerdo Principal, incluido el presente Anexo, y en nombre de GumGum, y para ningún otro fin, salvo que las leyes aplicables en materia de protección de datos exijan lo contrario. En tal caso, el Encargado del Tratamiento informará a GumGum de dicho requisito legal antes de proceder al tratamiento.
Sin perjuicio de lo anterior, GumGum ordena al Encargado del tratamiento que trate los datos personales de conformidad con las instrucciones escritas de GumGum, que esta podrá facilitar al Encargado del tratamiento periódicamente, y de la siguiente manera:
Objeto, naturaleza y finalidad del tratamiento: El Encargado del tratamiento tratará los datos con el único fin de prestar servicios a GumGum y cumplir con las finalidades establecidas en el Contrato Principal, lo que podrá incluir cualquier tratamiento lícito o finalidad comercial prevista en la legislación aplicable en materia de protección de datos. Objeto, naturaleza y finalidad del tratamiento El encargado del tratamiento tratará los datos con el único fin de prestar servicios a GumGum y cumplir con los fines establecidos en el Contrato Principal, lo que podrá incluir cualquier tratamiento lícito o fines comerciales previstos en la legislación aplicable en materia de protección de datos.
Categorías de datos personales que suelen ser objeto de tratamiento en virtud del contrato principal: todos los tipos de datos personales, salvo las categorías especiales de datos, tal y como se definen en el RGPD. GumGum declara y garantiza al encargado del tratamiento que no le transferirá ni le facilitará de ningún otro modo ningún dato personal que pueda constituir una categoría especial de datos personales.
Categorías típicas de interesados: tal y como se establece en el Apéndice 2 (descargar aquí).
Duración prevista del tratamiento: durante la vigencia del contrato principal o mientras el encargado del tratamiento continúe tratando los datos personales de forma lícita, el plazo que sea más largo.
El encargado del tratamiento no:
Vender datos personales para cualquier fin, salvo en los casos permitidos en el Acuerdo principal. A efectos de este párrafo, el término «vender» tendrá el significado que se establece en la CCPA.
Tratar los datos personales para cualquier finalidad distinta de las específicas establecidas en el presente documento. Para evitar cualquier duda, el encargado del tratamiento no tratará los datos personales fuera del ámbito de la relación comercial directa entre GumGum y el encargado del tratamiento.
Intentar vincular, identificar o establecer de cualquier otra forma una relación entre los datos personales y los datos no personales o cualquier otro tipo de datos sin la autorización expresa de GumGum.
La información que ha sido desidentificada no constituye datos personales. El término «desidentificada» tendrá el significado establecido en la legislación aplicable en materia de protección de datos (y podrá incluir términos similares, como «pseudoanonimizada»).
El encargado del tratamiento podrá anonimizar los datos personales únicamente si:
- Ha implementado medidas de seguridad técnicas que impiden la reidentificación del interesado al que pueda referirse la información;
- Ha implantado procesos empresariales que prohíben expresamente la reidentificación de la información; y
- No se realiza ningún intento de volver a identificar la información.
3. Cumplimiento de la legislación por parte del encargado del tratamiento
El encargado del tratamiento solo tratará los datos personales según lo establecido en el presente anexo y de conformidad con la legislación aplicable en materia de protección de datos.
El encargado del tratamiento certifica por la presente que comprende las restricciones y obligaciones establecidas en el presente anexo y que las cumplirá.
4. Requisitos para el tratamiento de datos personales
El encargado del tratamiento de datos:
Asegurarse de que las personas a las que autorice para tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada, y de que dichas personas conozcan los procedimientos que el encargado del tratamiento haya establecido y reciban la formación adecuada en materia de protección y seguridad de los datos.
Previa solicitud por escrito de GumGum, colaborar con GumGum en el cumplimiento de sus obligaciones de responder a las solicitudes verificables presentadas por los interesados (o sus representantes) para el ejercicio de sus derechos en virtud de la legislación aplicable en materia de protección de datos, tales como los derechos de acceso o de supresión de los datos personales.
Notificará sin demora a GumGum (i) cualquier solicitud o reclamación de terceros o de los interesados en relación con el tratamiento de datos personales, o (ii) cualquier solicitud de las autoridades públicas o de los interesados para acceder a información sobre el tratamiento de datos personales que el encargado del tratamiento realice en nombre de GumGum, salvo que lo prohíban las leyes de protección de datos aplicables. Si el Encargado del Tratamiento recibe una solicitud de un tercero, de un interesado o de una autoridad pública, esperará a recibir instrucciones por escrito de GumGum sobre cómo, en su caso, colaborar en la respuesta a dicha solicitud. El Encargado del Tratamiento prestará a GumGum una cooperación y asistencia razonables en relación con cualquier solicitud de este tipo.
Prestar a GumGum la asistencia y la colaboración razonables para que pueda llevar a cabo una evaluación de impacto relativa a la protección de datos sobre el tratamiento o el tratamiento propuesto de datos personales.
Prestar a GumGum la asistencia y la cooperación razonables en cualquier consulta con las autoridades reguladoras en relación con el tratamiento o el tratamiento propuesto de datos personales, incluido el cumplimiento de cualquier obligación aplicable al encargado del tratamiento en virtud de la legislación aplicable en materia de protección de datos, de consultar con una autoridad reguladora en relación con el tratamiento o el tratamiento propuesto de datos personales por parte del encargado del tratamiento.
5. Medidas de seguridad y notificación de incidentes; derechos de auditoría
Medidas de seguridad. El encargado del tratamiento aplicará y mantendrá las medidas administrativas, técnicas, físicas y organizativas adecuadas para proteger los datos personales y garantizar lo siguiente:
El Encargado del Tratamiento cumplirá con las obligaciones relacionadas con las violaciones de seguridad que le sean directamente aplicables en virtud de la legislación en materia de protección de datos. El Encargado del Tratamiento implementará y mantendrá medidas de seguridad técnicas y organizativas para proteger adecuadamente la información personal de cada afiliado de GumGum frente a los riesgos inherentes a: (a) el tratamiento de la información personal para los fines identificados en el Acuerdo Principal, y (b) el tratamiento no autorizado o ilícito, la destrucción, el daño, el uso indebido o la pérdida. El Encargado del Tratamiento implementará y mantendrá procedimientos y prácticas de seguridad razonables y adecuados a la naturaleza de la información personal que trate.
El Encargado del Tratamiento prestará asistencia a GumGum en la respuesta a las solicitudes de las autoridades de protección de datos relacionadas con el tratamiento de datos personales en el marco del Contrato Principal. En caso de que se presente alguna solicitud de este tipo directamente al Encargado del tratamiento, este no responderá a dicha comunicación directamente sin la autorización previa de GumGum, salvo que esté legalmente obligado a hacerlo. En el caso de que el Encargado del tratamiento esté legalmente obligado a responder a dicha solicitud, lo notificará sin demora a GumGum y le facilitará una copia de la solicitud, salvo que la ley se lo prohíba.
El Encargado del tratamiento informará a GumGum de forma inmediata y sin demoras indebidas, y en cualquier caso a más tardar veinticuatro (24) horas después de tener conocimiento de ello, en caso de: (a) cualquier interrupción grave de las operaciones de tratamiento del Encargado del tratamiento; (b) cualquier adquisición, pérdida, acceso o uso no autorizado de datos personales; o (c) cualquier violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a datos personales (en conjunto, un «incidente de seguridad»).
Auditorías. Sin perjuicio de lo dispuesto en el Contrato Principal, GumGum facilitará y pondrá a disposición de GumGum la información y la asistencia que sean necesarias para facilitar las auditorías, así como cualquier otra información necesaria para llevar a cabo una evaluación de impacto en materia de protección de datos o para confirmar el cumplimiento de cualquier disposición del presente Anexo, del Contrato Principal y de toda la legislación aplicable en materia de protección de datos. Para evitar cualquier duda, esta disposición no obligará al Encargado del tratamiento a facilitar a GumGum acceso a la información confidencial de otros clientes del Encargado del tratamiento ni a otra información confidencial o de carácter privado que pertenezca al Encargado del tratamiento.
6. Eliminación de datos
Tras la rescisión o el vencimiento del Contrato Principal, a petición de GumGum o de conformidad con la legislación aplicable en materia de protección de datos, el Encargado del Tratamiento deberá devolver a GumGum una copia completa de los datos personales que haya tratado en relación con el Contrato Principal, en la forma y el formato que las partes acuerden razonablemente. Una vez que GumGum haya confirmado la recepción de dicha copia, el Encargado del Tratamiento deberá eliminar de forma segura todos los datos personales que aún se encuentren en su poder o bajo su control.
7. Subcontratistas
GumGum reconoce y acepta que el Encargado del Tratamiento podrá recurrir a sus filiales y/o subcontratistas para tratar los datos personales de conformidad con lo dispuesto en el presente Anexo y en la legislación aplicable en materia de protección de datos. El Encargado del Tratamiento facilitará a GumGum una lista actualizada de sus subcontratistas en el Apéndice 2 adjunto, así como cada vez que GumGum lo solicite por escrito de forma razonable.
Cuando el Encargado del tratamiento subcontrate cualquiera de sus derechos u obligaciones en relación con los datos personales, incluso a cualquier empresa afiliada, el Encargado del Tratamiento: (i) adoptará medidas comercialmente razonables para seleccionar y contratar a subcontratistas capaces de mantener medidas adecuadas de privacidad y seguridad para proteger los Datos Personales, de conformidad con la legislación aplicable en materia de protección de datos, y (ii) celebrará un acuerdo por escrito con cada subcontratista en el que se le impongan obligaciones que no sean menos restrictivas que las impuestas al Encargado del Tratamiento en virtud del presente Anexo.
8. Indemnización
Además de las obligaciones de indemnización del Encargado del tratamiento en virtud del Acuerdo principal, el Encargado del tratamiento será responsable y deberá indemnizar a GumGum por todas y cada una de las reclamaciones, acciones, responsabilidades, pérdidas, daños y gastos (incluidos los gastos legales) en que incurra GumGum como consecuencia de un incumplimiento del presente Anexo por parte del Encargado del tratamiento o de sus subcontratistas y cesionarios, incluidos, entre otros, aquellos que se deriven de cualquier, incluidas las de una autoridad de protección de datos, o de cualquier incumplimiento sustancial del contrato, negligencia, fraude, conducta dolosa, incumplimiento de una obligación legal o incumplimiento de cualquier ley y normativa aplicable en materia de protección de datos por parte del Encargado del Tratamiento. Para evitar cualquier duda, las partes reconocen y acuerdan que los términos de esta cláusula de indemnización no sustituyen, sino que se suman y no son en modo alguno incompatibles con ninguna cláusula de indemnización del Contrato Principal.
9. Limitación de responsabilidad
La responsabilidad del Encargado del tratamiento derivada de este Anexo o relacionada con él está sujeta a las disposiciones sobre limitación de responsabilidad establecidas en el Acuerdo principal. Además, GumGum es responsable de su propia responsabilidad y de sus obligaciones de cumplimiento con respecto a todas las leyes aplicables en materia de protección de datos, y el Encargado del tratamiento no asumirá responsabilidad alguna por el incumplimiento de dichas leyes por parte de GumGum, salvo en los casos previstos en este Anexo.
10. Legislación aplicable
Salvo que las cláusulas contractuales tipo, tal y como se definen en el RGPD, u otros requisitos en materia de transferencia de datos dispongan lo contrario, el presente anexo se regirá por la legislación aplicable indicada en el contrato principal, sin que sean de aplicación los principios sobre conflicto de leyes.
11. Definiciones
Por «Fecha de entrada en vigor del anexo» se entiende el 1 de enero de 2020 o la fecha de entrada en vigor establecida en el contrato principal, la que sea posterior.
Por «filiales» se entiende una empresa, persona o entidad que sea propiedad de una parte, esté controlada por ella o se encuentre bajo propiedad o control común con dicha parte. Se entenderá por «propiedad» la titularidad directa o indirecta de más del 50 % de las acciones de una empresa o entidad, y por «control» cualquier facultad para nombrar a personas para formar parte del consejo de administración de una empresa o entidad.
Por «Leyes de protección de datos aplicables» se entenderán todas las leyes y reglamentos de protección de datos aplicables en cualquier jurisdicción pertinente en relación con el tratamiento de datos personales y la privacidad, incluyendo, entre otros, el Proyecto de Ley 375 de la Asamblea de la Cámara de Representantes de California, una ley por la que se añade el Título 1.81.5 (a partir del artículo 1798.100) a la Parte 4 de la División 3 del Código Civil, relativa a la privacidad y aprobada por el gobernador de California el 28 de junio de 2018 (Ley de Privacidad del Consumidor de California, «CCPA»), el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos, «RGPD»).
« Por «responsable del tratamiento» o «responsable» se entiende: (a) la persona o entidad que, por sí sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los datos personales, o (b) una «empresa sujeta a la ley», tal y como se define en la CCPA.
Por «encargado del tratamiento» o «encargado» se entiende la persona o entidad que trata los datos personales por cuenta del responsable del tratamiento.
Por «interesado» se entiende : (a) una persona física identificada o identificable que se encuentre en el Espacio Económico Europeo («EEE») o cuyos derechos estén protegidos por el RGPD; (b) un «consumidor», tal y como se define en la CCPA; o (c) cualquier otra categoría protegida de personas a las que se pretenda dar cobertura en virtud de la legislación pertinente en materia de protección de datos.
Por «Datos personales» o «Información personal» se entenderá: (a) cualquier información relativa a una persona física identificada o identificable y (b) cualquier información definida como «información de identificación personal», «información personal», «datos personales» o términos similares, tal y como se definen en las leyes o normativas aplicables, limitándose a aquella Información personal que GumGum trata en relación con los Servicios prestados a un Cliente.
Por «tratamiento» o «tratar» se entiende: (a) una persona física o jurídica que trata datos personales por cuenta del responsable del tratamiento, o (b) un «proveedor de servicios», tal y como se define en la CCPA, y se refiere a la operación o conjunto de operaciones realizadas sobre la información personal, ya sea por medios automáticos o no.
Los términos «vender» o «venta» tendrán el significado que se les atribuye en la CCPA.
Por «subencargado del tratamiento» se entiende : (a) cualquier encargado del tratamiento contratado por el encargado del tratamiento o por cualquier otro subencargado del tratamiento de este último, que acepte recibir los datos personales destinados exclusivamente a las actividades de tratamiento que se llevarán a cabo en nombre del responsable del tratamiento tras la transferencia de los datos personales, de conformidad con las instrucciones del responsable del tratamiento y en relación con el contrato principal para la prestación de servicios al responsable del tratamiento; o (b) un «proveedor de servicios», tal y como se define en la CCPA.
Para descargar una copia completa del «Anexo sobre el encargado del tratamiento de datos a nivel mundial para proveedores» de GumGum, haz clic aquí.