ADENDUM AL TRATAMIENTO DE DATOS (CLIENTES)

Este Adendum al tratamiento de datos (“Adendum”) es celebrado entre LogoMix, Inc. DBA FreeLogoServices (“FreeLogoServices” o “Nosotros” o “nuestro”, según corresponda), y usted (“Cliente”) y se anexa como complemento a nuestros Términos de uso, Política de privacidad y todos y cada uno de los acuerdos que rigen nuestros Servicios cubiertos (colectivamente, los “Términos del servicio”).

1. Definiciones

En este Adendum, los siguientes términos tienen los significados que se indican.

Los “Servicios cubiertos” son cualquier servicio alojado que le ofrecemos y que podría involucrar nuestro tratamiento de datos personales.

Los “Datos del cliente” son los datos personales de cualquier titular de los datos tratados por FreeLogoServices dentro de la Red FreeLogoServices y en nombre del Cliente en conformidad con los Términos del servicio o en relación con los mismos.

El “Responsable del tratamiento” es el Cliente, como entidad que determina los propósitos y los medios del tratamiento de los datos personales recopilados a través del sitio web del Cliente.

El “Encargado del tratamiento” es FreeLogoServices, como la entidad que trata los datos personales en nombre del Responsable del tratamiento.

Las “Leyes de protección de datos” son todas las leyes y regulaciones, incluidas las leyes y regulaciones de la Unión Europea, aplicables al tratamiento de datos personales en virtud de este Adendum.

El “Titular de los datos” es la persona física a la que se refieren los datos personales.

“EEE” son las siglas de Espacio Económico Europeo.

La “Red de FreeLogoServices” son las instalaciones del centro de datos, servidores, equipos de red y sistemas de software para servidores de FreeLogoServices que están bajo el control de FreeLogoServices y se utilizan para proporcionar los Servicios cubiertos.

Los “Datos personales” son cualquier información relacionada con una persona física identificada o identificable.

El "Tratamiento" es cualquier operación o conjunto de operaciones que se realicen con los Datos personales, como la recopilación, el registro, la organización, la estructuración, el almacenamiento, la adaptación o la modificación, la recuperación, la consulta, el uso, la divulgación mediante la transmisión, la difusión o cualquier otra forma de habilitación de acceso, el cotejo o la combinación, la restricción, el borrado o la destrucción. Los términos “tratamiento”, “tratar” y “tratado” se interpretarán según corresponda. Los detalles del tratamiento se establecen en el Anexo 1.

Un "Incidente de seguridad" es una violación de la seguridad de FreeLogoServices que de lugar a la destrucción, la pérdida, la alteración, la divulgación no autorizada o el acceso accidental o ilegal a cualquier Dato del Cliente; o (b) cualquier acceso no autorizado a los equipos o las instalaciones de FreeLogoServices, donde, en cualquier caso, dicho acceso lleve a la destrucción, la pérdida, la divulgación no autorizada o la alteración de los Datos del Cliente.

Los “Estándares de seguridad” son los estándares de seguridad adscritos a este Adendum, así como al Anexo 2.

Las “Cláusulas contractuales tipo” se refieren al Anexo 3, el cual se adscribe al presente Adendum y forma parte del mismo en conformidad con la decisión de la Comisión Europea del 5 de febrero de 2010 sobre cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países bajo la Directiva.

Un “Subencargado del tratamiento” es cualquier tercero contratado por el Encargado del tratamiento para tratar los datos en nombre del Responsable del tratamiento.

2. Tratamiento de datos

2.1 Alcance y funciones

Este Adendum se aplica cuando FreeLogoServices trata los Datos del cliente. En este contexto, FreeLogoServices actuará como Encargado del tratamiento en nombre del Cliente y como Encargado del tratamiento con respecto a los Datos del Cliente.

2.2 Detalles del tratamiento de datos

El objeto del tratamiento de los Datos del cliente por parte de FreeLogoServices es la prestación de los Servicios cubiertos de conformidad con los Términos del servicio. FreeLogoServices solo tratará los datos del Cliente en nombre de este y de acuerdo con las instrucciones escritas del Cliente para los siguientes fines:

  • tratamiento de acuerdo con los Términos del servicio;
  • tratamiento iniciado por los usuarios finales al utilizar los Servicios cubiertos, y
  • tratamiento para cumplir con otras instrucciones escritas y razonables proporcionadas por los Clientes (por ejemplo, por correo electrónico) cuando dichas instrucciones estén en consonancia con los términos de este Adendum.

Sin perjuicio de esto, FreeLogoServices no estará obligado a cumplir ni a seguir las instrucciones del Cliente si dichas instrucciones violan el Reglamento General de Protección de Datos (“RGPD”) de la UE 2016/679 o cualquier otra ley de protección de datos aplicable.

La duración, la naturaleza y el propósito del Tratamiento, los tipos de datos personales y las categorías de los Titulares de los datos tratados en virtud de este Adendum se especifican con más detalle en el Anexo 1 (“Detalles del tratamiento”) de este Adendum.

3. Confidencialidad de los Datos del Cliente

FreeLogoServices no revelará los Datos del Cliente a ningún gobierno ni a ningún otro tercero, excepto cuando así lo exija alguna ley o una orden válida y vinculante (por ejemplo, un citatorio o una orden judicial) de un organismo judicial. Si algún organismo judicial solicita a FreeLogoServices los Datos del Cliente, FreeLogoServices hará lo posible para que dicho organismo judicial sea quien solicite directamente los datos al Cliente. Como parte de estos esfuerzos, FreeLogoServices puede proporcionarle a dicho organismo judicial la información de contacto básica del Cliente. En caso de que FreeLogoServices se vea obligado a revelarle los Datos del Cliente a un organismo judicial, le notificará al Cliente con suficiente antelación sobre dicho requerimiento para permitirle buscar una orden de protección u otro recurso apropiado, a menos que FreeLogoServices tenga legalmente prohibido hacerlo.

4. Seguridad

FreeLogoServices ha implementado y mantendrá las medidas técnicas y organizativas para la Red de FreeLogoServices conforme a lo descrito en esta Sección y, con más detalle, en el Anexo 2 de este Adendum, los Estándares de Seguridad. En particular, FreeLogoServices ha implementado y mantendrá:

  1. la seguridad de la Red de FreeLogoServices;
  2. la seguridad física de las instalaciones;
  3. los controles relativos al acceso de los empleados y los contratistas a la Red y las instalaciones de FreeLogoServices, y
  4. los procesos para probar, valorar y evaluar la efectividad de las medidas técnicas y de organización implementadas por FreeLogoServices.

FreeLogoServices pone a disposición una serie de características y funciones de seguridad relacionadas con los Servicios cubiertos que el Cliente puede optar por utilizar. El Cliente tiene la responsabilidad de:

  1. Configurar correctamente los Servicios cubiertos.
  2. Utilizar los controles disponibles en relación con los Servicios cubiertos (incluidos los controles de seguridad) para garantizar la confidencialidad, integridad, disponibilidad y flexibilidad constantes de los sistemas y servicios de tratamiento.
  3. Utilizar los controles disponibles en relación con los Servicios cubiertos (incluidos los controles de seguridad) para permitir que el Cliente restablezca la disponibilidad y el acceso a los Datos del Cliente de manera oportuna en caso de un incidente físico o técnico (por ejemplo, copias de seguridad y archivado de rutina de los Datos del Cliente).
  4. Adoptar las medidas que el Cliente considere pertinentes para mantener la seguridad, protección y eliminación adecuadas de los Datos del Cliente, lo que incluye el uso de tecnologías de cifrado para proteger los Datos del Cliente de accesos no autorizados y medidas para controlar los derechos de acceso a los Datos del Cliente.

5. Derechos del Titular de los datos

El Cliente tiene la responsabilidad de:

  • Cumplir con todas las leyes de privacidad aplicables, incluido el RGPD, además de respetar los derechos de los Titulares de los datos tal como se señala en dichas leyes. Esto puede abarcar más allá de los Datos del Cliente e incluir datos que el Cliente haya recopilado, pero que FreeLogoServices no trata.
  • Responder directamente a las solicitudes para el ejercicio de derechos del Titular de los datos y actuar como único punto de contacto con los Titulares de los datos cuando una solicitud para el ejercicio de derechos incluya Datos del Cliente.

FreeLogoServices deberá:

  • Notificar de inmediato al Cliente si recibe una solicitud de un Titular de los datos en virtud de cualquier Ley de Protección de Datos con respecto a los Datos del Cliente.
  • Asegurarse de no responder a dicha solicitud a menos que así lo indiquen las instrucciones escritas del Cliente o lo exijan las Leyes Aplicables a las que está sujeto FreeLogoServices, en cuyo caso FreeLogoServices deberá, en la medida en que lo permitan las Leyes aplicables, informar al Cliente sobre este requisito legal antes de responder a la solicitud.
  • Cuando el uso de los Servicios cubiertos por parte del Cliente limite su capacidad para atender una Solicitud del Titular de los datos, FreeLogoServices podrá, cuando esté legalmente permitido y sea apropiado y previa solicitud expresa del Cliente, brindar asistencia comercialmente razonable para atender la solicitud, con cargo al Cliente (si corresponde).

6. Subtratamiento

6.1 Subencargados del tratamiento autorizados

El Cliente acepta que FreeLogoServices puede utilizar Subencargados del tratamiento para cumplir con sus obligaciones contractuales según sus Términos del servicio y este Adendum o para ofrecer ciertos servicios en su nombre, por ejemplo, servicios de soporte. El cliente autoriza el uso de Subencargados del tratamiento por parte de FreeLogoServices como se describe en esta Sección. Salvo lo estipulado en esta Sección, FreeLogoServices no permitirá ninguna otra actividad de subtratamiento a menos que usted la autorice.

6.2 Obligaciones del Subencargado del tratamiento

Cuando FreeLogoServices utilice algún Subencargado del tratamiento autorizado como se describe más arriba en “Subencargados del tratamiento autorizados”:

  1. FreeLogoServices permitirá que el Subencargado del tratamiento acceda solo a aquellos Datos del Cliente que sean necesarios para mantener los Servicios cubiertos o para proporcionar los Servicios cubiertos al Cliente y a cualquier usuario final de acuerdo con los Servicios cubiertos. FreeLogoServices prohibirá al Subencargado del tratamiento acceder a los Datos del Cliente para cualquier otro fin.
  2. FreeLogoServices celebrará un acuerdo por escrito con el Subencargado del tratamiento y, en la medida en que el Subencargado del tratamiento esté realizando los mismos servicios de tratamiento de datos que proporciona FreeLogoServices en virtud de este Adendum, FreeLogoServices impondrá al Subencargado las mismas obligaciones contractuales que FreeLogoServices tiene en virtud de este Adendum.
  3. FreeLogoServices seguirá siendo responsable del cumplimiento de las obligaciones de este Adendum y de cualquier acto u omisión del Subencargado del tratamiento que provoque que FreeLogoServices incumpla cualquiera de las obligaciones que FreeLogoServices tiene en virtud de este Adendum.

7. Notificaciones sobre Incidentes de seguridad

7.1 Responsabilidades de FreeLogoServices

Si FreeLogoServices tiene conocimiento de un Incidente de seguridad, FreeLogoServices sin demoras indebidas deberá:

  • notificar al Cliente sobre el Incidente de seguridad y
  • adoptar medidas razonables para mitigar los efectos y minimizar cualquier daño provocado por el Incidente de seguridad.

7.2 Asistencia de FreeLogoServices

Para ayudar al Cliente en relación con cualquier notificación de violación de datos personales que el Cliente deba realizar según las leyes de privacidad aplicables, FreeLogoServices incluirá en la notificación, conforme a las secciones “Derechos del Cliente” o “Decisión Independiente” (más adelante), dicha información sobre el Incidente de seguridad en la medida que FreeLogoServices pueda revelarla de forma razonable al Cliente, teniendo en cuenta la naturaleza de los Servicios cubiertos, la información de la que disponga FreeLogoServices y cualquier restricción sobre la divulgación de la información, por ejemplo, restricciones de confidencialidad.

7.3 Incidentes de seguridad fallidos

El cliente acepta que:

  • los Incidentes de seguridad fallidos no estarán sujetos a los términos de este Adendum. Un incidente de seguridad fallido es aquel que no tiene como resultado un acceso no autorizado a los Datos del cliente ni a ninguna red, equipo o instalación de FreeLogoServices que almacene Datos del Cliente, y puede incluir, entre otros, pings y otros ataques de transmisión en cortafuegos o servidores perimetrales, escaneos de puertos, intentos fallidos de inicio de sesión, ataques de denegación de servicio, rastreo de paquetes (u otro acceso no autorizado a datos de tráfico que no resulte en un acceso más allá de las cabeceras) o incidentes similares, y
  • la obligación de FreeLogoServices de informar o responder a un Incidente de seguridad en virtud de esta Sección no se interpreta ni se interpretará como una aceptación por parte de FreeLogoServices de cualquier falla o responsabilidad de FreeLogoServices con respecto al Incidente de seguridad.

7.4 Comunicación

Las notificaciones de incidentes de seguridad, si los hubiera, se le harán llegar a uno o más administradores del Cliente por cualquier medio que FreeLogoServices elija, incluido el correo electrónico. Es responsabilidad exclusiva del Cliente asegurarse de que los administradores del Cliente cuenten en todo momento con la información de contacto correcta en la consola de administración de FreeLogoServices y con un medio de transmisión seguro.

8. Derechos del Cliente

8.1 Decisión independiente

El Cliente tiene la responsabilidad de revisar la información proporcionada por FreeLogoServices en relación con la seguridad de los datos y los Estándares de seguridad y decidir de forma independiente si los Servicios cubiertos cumplen con los requisitos y obligaciones legales del Cliente, así como con las obligaciones del Cliente en virtud de este Adendum. La información proporcionada tiene como objetivo ayudar al Cliente a cumplir con sus obligaciones según las leyes de privacidad aplicables, incluido el RGPD, con respecto a las evaluaciones de las consecuencias para la protección de datos y las consultas previas.

Si se aplican las Cláusulas contractuales tipo, ninguna parte de esta Sección varía o modifica las Cláusulas contractuales tipo ni afecta los derechos de ninguna autoridad supervisora o del Titular de los datos en virtud de las Cláusulas contractuales tipo.

8.2 Derechos de auditoría del cliente

El Cliente tiene derecho a confirmar el cumplimiento de este Adendum por parte de FreeLogoServices según corresponda a los Servicios cubiertos, incluido específicamente el cumplimiento de FreeLogoServices de sus Estándares de seguridad. FreeLogoServices pondrá a disposición del Cliente, previa solicitud, toda la información que, a su consideración, demuestre el cumplimiento de los Estándares de seguridad.

Los derechos de información y auditoría del Cliente solo existirán en virtud de esta sección en la medida en que el Acuerdo no les proporcione información y derechos de auditoría que cumplan con los requisitos pertinentes de la Ley de Protección de Datos.

9. Transferencias de los Datos personales

9.1 Tratamiento con sede en Canadá

Excepto cuando se especifique lo contrario en los Términos del servicio, los Datos del Cliente se transferirán fuera del EEE y se tratarán en Canadá, donde dichos datos están regulados por la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) de Canadá. La UE ha reconocido que Canadá proporciona una protección de datos adecuada (según el artículo 45 del Reglamento (UE) 2016/679), lo que permite que la información personal de los residentes de la UE pueda ser transferida libremente a Canadá.

Dado que FreeLogoServices trabaja con varios socios con sede en EE. UU., también transferimos (de conformidad con el artículo 45 del RGPD) información personal a empresas que han certificado su cumplimiento con los marcos de protección de la privacidad de UE-EE.UU. o Suiza-EE.UU.

9.2 Aplicación de las Cláusulas contractuales tipo

Las Cláusulas contractuales Tipo se aplicarán a los Datos del Cliente que sean transferidos fuera del EEE, ya sea directamente o mediante transferencias posteriores, a cualquier país que la Comisión Europea no reconozca como proveedor de un nivel adecuado de protección de datos personales (como se describe en el RGPD). Las Cláusulas contractuales tipo no se aplicarán a los Datos del Cliente que no sean transferidos, ya sea directamente o mediante transferencias posteriores, fuera del EEE. Sin perjuicio de lo anterior, las Cláusulas contractuales tipo no se aplicarán cuando los datos se transfieran de acuerdo con una norma de cumplimiento reconocida para la transferencia legal de datos personales (como se define en el RGPD) fuera del EEE, como las regulaciones PIPEDA de Canadá y también los marcos de protección de la privacidad UE-EE. UU. y Suiza-EE. UU.

10. Terminación del Adendum

Este Adendum estará vigente hasta que FreeLogoServices termine el tratamiento de acuerdo con los Términos de uso (la “Fecha de terminación”).

11. Devolución o eliminación de Datos del Cliente

Como se describe en los Servicios cubiertos, FreeLogoServices puede proporcionarle al Cliente un servicio que puede utilizarse para recuperar o eliminar los Datos del Cliente. Cualquier eliminación de los Datos del Cliente se regirá por los términos de los Servicios cubiertos específicos.

12. Limitaciones de la responsabilidad

Las responsabilidades de cada parte en virtud de este Adendum estarán sujetas a las exclusiones y limitaciones de las responsabilidades establecidas en los Términos del servicio. El Cliente acepta que cualquier sanción reglamentaria en que incurra FreeLogoServices en relación con los Datos del Cliente y que surja como resultado o en relación con el incumplimiento por parte del Cliente de sus obligaciones en virtud de este Adendum y cualquier ley de privacidad aplicable se tomará en cuenta y reducirá la responsabilidad de FreeLogoServices en virtud de los Términos del servicio como si la responsabilidad recayera en el Cliente en virtud de los Términos del servicio.

13. Términos del servicio completos; conflictos

Este Adendum sustituye y reemplaza todas las representaciones, entendimientos, acuerdos o comunicaciones pasadas o actuales entre el Cliente y FreeLogoServices, ya sean escritas o verbales, con respecto al tema de este Adendum, incluido cualquier anexo sobre el tratamiento de datos celebrado entre FreeLogoServices y el Cliente con respecto al tratamiento de los Datos personales y a la libre circulación de los mismos. A excepción de las enmiendas introducidas por este Anexo, los Términos del servicio seguirán teniendo plena vigencia y efecto. Si existiera algún conflicto con cualquier otro acuerdo entre las partes, incluidos los Términos del servicio y este Adendum, prevalecerán los términos de este Adendum.

Anexo 1 - Detalles del tratamiento

  1. Naturaleza y finalidad del tratamiento. FreeLogoServices tratará los Datos personales según sea necesario para llevar a cabo los Servicios cubiertos de conformidad con los Términos del servicio y los acuerdos específicos del producto y según lo indicado por las instrucciones adicionales del Cliente durante el uso de los Servicios cubiertos.
  2. Duración del tratamiento. Según la Sección 10 de este Adendum, FreeLogoServices tratará los Datos personales mientras los Términos del servicio estén vigentes, pero cumplirá con los términos de este Adendum durante la duración del Tratamiento si se excede dicho plazo, a menos que se acuerde lo contrario por escrito.
  3. Categorías de Titulares de los datos. El Cliente puede cargar Datos personales durante el uso de los Servicios cubiertos, en la medida en que el Cliente, a su entera discreción, lo determine y controle, los cuales pueden incluir, entre otros, Datos personales relacionados con las siguientes categorías de Titulares de los datos:
    • Prospectos, clientes, socios comerciales y proveedores del Cliente (que sean personas físicas).
    • Empleados o personas de contacto de clientes potenciales, clientes, socios comerciales y proveedores del Cliente.
    • Empleados, agentes, asesores y trabajadores independientes del Cliente (que sean personas físicas).
    • Usuarios del Cliente autorizados por este mismo para utilizar los Servicios cubiertos.
  4. Tipos de Datos personales. El Cliente puede cargar Datos personales durante el uso de los Servicios cubiertos, cuyo tipo y extensión serán determinados y controlados por el Cliente a su entera discreción, los cuales pueden incluir, entre otras, las siguientes categorías de Datos personales de los Titulares de los datos:
    • Nombre.
    • Dirección.
    • Número de teléfono.
    • Fecha de nacimiento.
    • Dirección de correo electrónico.
    • Otros datos recopilados que pudieran identificar directa o indirectamente a algún Titular de los datos.

Anexo 2 - Estándares de Seguridad

I. Medidas técnicas y organizativas

Estamos comprometidos a proteger la información de nuestros clientes. Teniendo en cuenta las mejores prácticas, los costos de implementación y la naturaleza, alcance, circunstancias y propósitos del tratamiento, así como las distintas probabilidades de que un evento ocurra y la gravedad del riesgo para los derechos y las libertades de las personas físicas, implementamos las siguientes medidas técnicas y organizativas. Al seleccionar las medidas se toman en cuenta la confidencialidad, la integridad, la disponibilidad y la flexibilidad de los sistemas. Se garantiza una rápida recuperación tras un incidente físico o técnico.

II. Programa de privacidad de datos

Probamos, analizamos y evaluamos periódicamente la eficiencia de la Red de FreeLogoServices y la seguridad de nuestras instalaciones.

1. Confidencialidad

Utilizamos diversas medidas de seguridad físicas y lógicas para proteger la confidencialidad de los datos personales de los clientes. Estas medidas incluyen:

Seguridad física

  • Implementación de sistemas de control de acceso físico (control de acceso con credenciales, monitoreo de eventos de seguridad, etc.).
  • Sistemas de vigilancia incluidas alarmas y, en su caso, circuitos cerrados de televisión (CCTV).
  • Implementación de políticas y controles de escritorio limpio (bloquear computadoras que no estén siendo usadas, cerrar gabinetes con llave, etc.).
  • Control de acceso de los visitantes.
  • Destrucción de datos presentes en medios físicos y documentos.

Control del acceso y prevención de accesos no autorizados

  • Se aplicaron restricciones de acceso a los usuarios y se proporcionaron o revisaron permisos de acceso basados en funciones según el principio de segregación de tareas.
  • Métodos confiables de autenticación y autorización (autenticación multifactor, desactivación o cierre automáticos de sesión, etc.).
  • Gestión centralizada de contraseñas y políticas de contraseñas seguras o complejas (longitud mínima, complejidad de caracteres, etc.).

Pruebas de seguridad

  • Escaneos periódicos de redes y vulnerabilidades.

2. Integridad

Implementación de controles adecuados de gestión de cambios y registros, además de controles de acceso para poder mantener la integridad de los datos personales, tales como:

Gestión de cambios y lanzamientos

  • Proceso de gestión de cambios y lanzamientos que incluye (análisis del impacto, aprobaciones, pruebas, revisiones de seguridad, montaje, monitoreo, etc.).
  • Aprovisionamiento de acceso basado en puestos y funciones (segregación de tareas) en entornos de producción.

Registro y monitoreo

  • Registro de accesos y cambios en los datos.
  • Registros de auditoría y seguridad.

3. Disponibilidad

Implementamos medidas adecuadas de continuidad y seguridad para mantener la disponibilidad de nuestros servicios y los datos alojados dentro de estos:

  • Extenso monitoreo e informes de rendimiento o disponibilidad para sistemas esenciales.
  • Programa de respuesta a incidentes.
  • Datos esenciales replicados o respaldados (copias de seguridad en la nube o discos duros, replicación de bases de datos, etc.).
  • Implementación de un mantenimiento planificado del software, la infraestructura y la seguridad (actualizaciones de software, parches de seguridad, etc.).
  • Sistemas redundantes y flexibles.
  • Uso de sistemas de energía ininterrumpida, hardware redundante ante fallos y sistemas de red.
  • Implementación de alarmas y sistemas de seguridad.
  • Medidas de protección física implementadas en lugares críticos (protección contra sobrecargas, pisos elevados, sistemas de enfriamiento, detectores de incendios o humo, sistemas de extinción de incendios, etc.).
  • Protección contra ataques DDOS para mantener la disponibilidad.
  • Pruebas de carga y estrés.
  • Cortafuegos de aplicaciones web.

4. Instrucciones de tratamiento de datos

Hemos establecido políticas y acuerdos de privacidad internos para garantizar que los datos personales sean tratados de acuerdo con las preferencias e instrucciones de los clientes.

  • Términos de privacidad y confidencialidad vigentes en los contratos de empleados y subcontratistas.
  • Auditorías periódicas de seguridad.
  • Pruebas de cumplimiento de la normativa PCI.

Anexo 3 - Cláusulas contractuales tipo (encargados del tratamiento)

Nota: consulte la Sección 9.2 del Adendum para conocer la validez de estas Cláusulas contractuales tipo.

Para los efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos,

la entidad denominada como “Cliente” en el Adendum (el “exportador de datos”)

y

FreeLogoServices (el "importador de datos"), cada uno de ellos una "parte"; juntos “las partes”,

HAN ACORDADO las siguientes Cláusulas contractuales (las Cláusulas) con el fin de aportar garantías suficientes con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia de los Datos personales especificados en el Apéndice 1 por parte del exportador de datos hacia el importador de datos.

Cláusula 1 - Definiciones

Para efectos de las Cláusulas:

(a) "datos personales", "categorías especiales de datos", "trato o tratamiento", "responsable del tratamiento", "encargado del tratamiento", "titular de los datos" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995, sobre la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y sobre la libre circulación de los mismos;

(b) "el exportador de datos" es el encargado del tratamiento que transfiere los datos personales;

(c) "el importador de datos" es el encargado del tratamiento que acepta recibir, de parte del exportador de datos, los datos personales destinados a ser tratados en nombre del exportador después de la transferencia de acuerdo con las instrucciones del exportador y los términos de las Cláusulas, y que además no está sujeto al sistema de un tercer país que garantice una protección adecuada según los términos del artículo 25, apartado 1, de la Directiva 95/46/CE;

(d) "el subencargado del tratamiento" es cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del importador de datos que acepta recibir del importador de datos, o de cualquier otro subencargado del importador de datos, los datos personales exclusivamente destinados a actividades de tratamiento que se llevarán a cabo en nombre del exportador de datos después de la transferencia de acuerdo con las instrucciones del exportador, los términos de las Cláusulas y los términos del subcontrato escrito;

(e) "la ley de protección de datos aplicable" es la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que tiene su sede el exportador de datos;

(f) las "medidas de seguridad técnicas y organizativas" son aquellas medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita, la pérdida accidental, la alteración o la divulgación o el acceso no autorizados, en particular cuando el tratamiento implique la transmisión de datos a través de una red, y contra todas las demás formas ilegales de tratamiento.

Cláusula 2 - Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando corresponda, se especifican en el Apéndice 1 que forma parte integral de las Cláusulas.

Cláusula 3 - Cláusula de terceros beneficiarios

1. El interesado puede hacer valer contra el exportador de datos esta Cláusula; la Cláusula 4, incisos "b" a "i"; la Cláusula 5, incisos "a" a "e" y "g" a "j"; la Cláusula 6; la Cláusula 7, apartado 2, y las Cláusulas 8 a 11 como tercero beneficiario.

2. El titular de los datos puede hacer valer contra el importador de datos esta Cláusula; la Cláusula 5, incisos "a" a "e" y "g"; la Cláusula 6; la Cláusula 7, apartado 2, y las Cláusulas 8 a 11, en los casos en que el exportador de datos haya desaparecido de facto o haya dejado de existir legalmente a menos que alguna entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por aplicación de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el titular de los datos podrá hacerlas valer contra dicha entidad.

3. El titular de los datos puede hacer valer contra el subencargado del tratamiento esta Cláusula, la Cláusula 5, incisos "a" a "e" y "g"; la Cláusula 6; la Cláusula 7, apartado 2, y las Cláusulas 8 a 11, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de facto o hayan dejado de existir legalmente o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido todas las obligaciones legales del exportador de datos por contrato o por aplicación de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlas valer contra dicha entidad. Dicha responsabilidad del subencargado del tratamiento frente a terceros se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.

4. Las partes no se oponen a que el titular de los datos sea representado por una asociación u otro organismo si el titular de los datos así lo declara expresamente y si la legislación nacional lo permite.

Cláusula 4 - Obligaciones del exportador de datos

El exportador de datos acepta y garantiza:

(a) que el tratamiento, incluida la transferencia en sí, de los datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, cuando corresponda, se notificará a las autoridades pertinentes del Estado miembro en el que tiene su sede el exportador de datos) y no infringe las disposiciones pertinentes del Estado;

(b) que ha dado instrucciones y durante la duración de los servicios de tratamiento de datos personales ordenará al importador de datos que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la ley de protección de datos aplicable y las Cláusulas;

(c) que el importador de datos proporcionará garantías suficientes con respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato;

(d) que después de evaluar los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son apropiadas para proteger los datos personales contra la destrucción accidental o ilegal o la pérdida, alteración, divulgación o acceso no autorizado, en particular cuando el tratamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilegales de tratamiento, y que estas medidas garanticen un nivel de seguridad apropiado ante los riesgos presentados por el tratamiento y la naturaleza de los datos que deben protegerse teniendo en cuenta los últimos avances técnicos y el costo de su implementación;

(e) que velará por el cumplimiento de las medidas de seguridad;

(f) que, si la transferencia involucra categorías especiales de datos, el titular de los datos ha sido o será informado con antelación, o lo antes posible después de la transferencia, de que sus datos podrían transferirse a un tercer país que no proporciona la protección adecuada según los términos de la Directiva 95/46/CE;

(g) enviar cualquier notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la Cláusula 5(b) y la Cláusula 7(3) a la autoridad supervisora de protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión ;

(h) poner a disposición de los titulares de los datos que lo soliciten una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba realizarse de conformidad con las Cláusulas, salvo que las Cláusulas o el contrato contengan información de carácter comercial, en cuyo caso podrá eliminar dicha información comercial;

(i) que, en caso de que se realice el subtratamiento, la actividad de tratamiento se lleva a cabo de conformidad con la Cláusula 10 y por un subencargado del tratamiento que proporcione al menos el mismo nivel de protección de los datos personales y los derechos del titular de los datos que proporciona el importador de datos en virtud de las Cláusulas, y

(j) que garantizará el cumplimiento de la Cláusula 4, incisos "a" a "i".

Cláusula 5 - Obligaciones del importador de datos

Nota: requisitos obligatorios de la legislación nacional aplicable al importador de datos que no van más allá de las restricciones necesarias en una sociedad democrática sobre la base de uno de los intereses enumerados en el Artículo 13, apartado 1, de la Directiva 95/46/CE, es decir, si constituyen una medida necesaria para salvaguardar la seguridad nacional, la defensa, la seguridad pública, la prevención, la investigación, la detección y la persecución de actividades ilícitas o de faltas éticas de las profesiones reguladas, un interés económico o financiero importante del Estado o la protección del titular de los datos o de los derechos y libertades de otros, no están en contradicción con las cláusulas contractuales tipo. Algunos ejemplos de requisitos obligatorios que no van más allá de las restricciones necesarias en una sociedad democrática son, entre otros, las sanciones reconocidas internacionalmente, los requisitos de declaración de impuestos o los requisitos de presentación de informes contra el lavado de dinero.

El importador de datos acepta y garantiza:

(a) tratar los datos personales únicamente en nombre del exportador de datos y de conformidad con sus instrucciones y las Cláusulas; si no puede garantizar dicho cumplimiento por cualquier motivo, se compromete a informar inmediatamente al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

(b) que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y en caso de que se presente un cambio en esta legislación que pueda tener una consecuencia adversa significativa sobre las garantías y obligaciones previstas en las Cláusulas, notificará inmediatamente sobre dicho cambio al exportador de datos tan pronto como tenga conocimiento de ello, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato;

(c) que ha implementado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de tratar los datos personales transferidos;

(d) que notificará inmediatamente al exportador de datos sobre:

(i) cualquier solicitud legalmente obligatoria de divulgación de datos personales por parte de una autoridad judicial, a menos que esto esté prohibido por alguna razón, como una prohibición bajo el derecho penal para preservar la confidencialidad de una investigación policial;

(ii) cualquier acceso accidental o no autorizado, y

(iii) cualquier solicitud recibida directamente de los titulares de los datos sin responder a dicha solicitud, a menos que esté autorizado de alguna forma para hacerlo;

(e) atender pronta y adecuadamente todas las consultas del exportador de datos relacionadas con el tratamiento de los datos personales sujetos a la transferencia y cumplir con el asesoramiento de la autoridad de control con respecto al tratamiento de los datos transferidos;

(f) poner a disposición del titular de los datos, previa solicitud, una copia de las Cláusulas, o de cualquier contrato existente para el subtratamiento, salvo que las Cláusulas o el contrato contengan información de carácter comercial, en cuyo caso podrá eliminar dicha información comercial, con excepción de el Apéndice 2, el cual se sustituirá con una descripción resumida de las medidas de seguridad en aquellos casos en los que el interesado no pueda recibir una copia del exportador de datos;

(g) que, en caso de que se realice el subtratamiento, se haya informado previamente al exportador de datos y haya obtenido su consentimiento previo por escrito;

(h) que los servicios de tratamiento por parte del subencargado del tratamiento se llevarán a cabo de conformidad con la Cláusula 10;

(i) enviar de inmediato al exportador de datos una copia de cualquier acuerdo de subtratamiento que se celebre conforme a las Cláusulas.

Cláusula 6 - Mediación y jurisdicción

1. El importador de datos acepta que si el interesado invoca en su contra derechos de tercero beneficiario y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del titular de los datos:

a) para someter el conflicto a mediación por parte de una persona independiente o, en su caso, por la autoridad de control;

(b) remitir la controversia a la jurisdicción exclusiva en la que tenga su sede el importador de datos. Para ser más claros, todas las disputas deben iniciarse en los tribunales de la provincia de Ontario, en el país de Canadá.

2. Las partes acuerdan que la elección realizada por el titular de los datos no perjudicará sus derechos sustantivos o procesales de buscar soluciones de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 7 - Cooperación con las autoridades de control

1. El exportador de datos se compromete a depositar una copia de este contrato con la autoridad de control si esta así lo solicita o si dicha acción es requerida en virtud de la ley de protección de datos aplicable.

2. Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos y de cualquier subencargado del tratamiento, la cual tiene el mismo alcance y está sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la ley de protección de datos aplicable.

3. El importador de datos informará de inmediato al exportador de datos, o a cualquier subencargado del tratamiento, sobre la existencia de la legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, de conformidad con el apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la Cláusula 5 (b).

Cláusula 8 - Ley aplicable

Las Cláusulas se regirán por la ley del lugar donde tenga su sede el importador de datos: para ser más claros, las leyes que rijan en Canadá y la provincia de Ontario.

Cláusula 9 - Variación del contrato

Las partes se comprometen a no variar ni modificar las Cláusulas. Esto no impide que las partes agreguen cláusulas sobre cuestiones de carácter comercial cuando sea necesario, siempre y cuando estas no contradigan la Cláusula.

Cláusula 10 - Subtratamiento

1. El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones con arreglo a las Cláusulas, con el consentimiento del exportador de datos, lo hará únicamente mediante un acuerdo escrito con el subencargado del tratamiento que impondrá al subencargado las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Cuando el subencargado del tratamiento no cumpla con sus obligaciones de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo totalmente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subencargado del tratamiento en virtud de dicho acuerdo.

2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento también deberá establecer una cláusula de tercero beneficiario según lo dispuesto en la Cláusula 3 para los casos en que el titular de los datos no pueda presentar una reclamación de compensación contra el exportador de datos o el importador de datos porque han desaparecido de facto o han dejado de existir legalmente o se han vuelto insolventes y ninguna entidad sucesora ha asumido todas las obligaciones legales del exportador de datos o del importador de datos por contrato o por aplicación de la ley. Dicha responsabilidad del subencargado del tratamiento frente a terceros se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.

3. Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por las leyes del lugar en el que tenga su sede el importador de datos. Para ser más claros, las leyes vigentes de Canadá y la provincia de Ontario.

4. El exportador de datos deberá tener una lista de los acuerdos de subtratamiento que se hayan celebrado conforme a las Cláusulas y que hayan sido informados por el importador de datos de conformidad con la Cláusula 5 (j), dicha lista se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control para la protección de datos del exportador de datos.

Cláusula 11 - Obligación tras la terminación de los servicios de tratamiento de datos personales

1. Las partes acuerdan que al finalizar la prestación de los servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento deberán, según lo decida el exportador de datos, devolver todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruir todos los datos personales y certificar ante el exportador de datos que así lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir total o parcialmente los datos personales transferidos. En ese caso, el importador de datos asegura que garantizará la confidencialidad de los datos personales transferidos y que ya no tratara activamente los datos personales transferidos.

2. El importador de datos y el subencargado del tratamiento garantizan que, previa solicitud del exportador de datos y/o de la autoridad de control, pondrán a disposición sus instalaciones de tratamiento de datos para realizar una auditoría de las medidas mencionadas en el apartado 1.

Apéndice 1 de las Cláusulas contractuales tipo

Exportador de datos: el exportador de datos es la entidad identificada como “Cliente” en el Adendum.

Importador de datos: el importador de datos es FreeLogoServices, un proveedor de servicios alojados.

Titulares de los datos: las operaciones de tratamiento se definen en la Sección 1.3 y el Anexo 1 del Adendum.

Categorías de datos: las operaciones de tratamiento se definen en el Apartado 1.3 y el Anexo 1 del Adendum.

Operaciones de tratamiento: las operaciones de tratamiento se definen en el Apartado 1.3 y el Anexo 1 del Adendum.

Apéndice 2 de las Cláusulas contractuales tipo

Este Apéndice forma parte de las Cláusulas. Al adquirir los Servicios cubiertos de FreeLogoServices, el Adendum y este Apéndice 2 se consideran aceptados y celebrado por y entre las partes.

Descripción de las medidas de seguridad técnicas y organizativas implementadas por el importador de datos de conformidad con las Cláusulas 4(d) y 5(c) (o documento o legislación adjuntos):

Las medidas de seguridad técnicas y organizativas implementadas por el importador de datos son las descritas en el Adendum, concretamente en el Anexo 2, que se incorpora y se adjunta al mismo.