Acuerdo de Procesamiento de Datos

Última actualización: 22 de septiembre de 2025

Este Acuerdo de Procesamiento de Datos de LensGo y sus Anexos ("DPA") refleja el acuerdo de las partes con respecto al Procesamiento de Datos Personales por nosotros en su nombre en conexión con los Servicios de LensGo bajo los Términos de Servicio de LensGo entre el Usuario y nosotros ("Acuerdo").

Este DPA es suplementario y forma parte integral del Acuerdo, y es efectivo tras su incorporación al Acuerdo, que puede estar especificado en el Acuerdo, o una enmienda ejecutada al Acuerdo. En caso de cualquier conflicto o inconsistencia con los términos del Acuerdo, este DPA prevalecerá sobre los términos del Acuerdo en la medida de dicho conflicto o inconsistencia.

El plazo de este DPA seguirá el plazo del Acuerdo. Los términos no definidos de otra manera en este DPA tendrán el significado establecido en el Acuerdo.

1 - Definiciones e Interpretación

1.1 A menos que se defina lo contrario en este documento, los términos y expresiones con mayúsculas utilizados en este DPA tendrán el siguiente significado:

"DPA" significa este Acuerdo de Procesamiento de Datos y todos los Anexos;

"Datos Personales del Usuario" significa cualquier Dato Personal procesado por un Procesador Contratado en nombre del Usuario de acuerdo con o en conexión con el Acuerdo Principal;

"Procesador Contratado" significa un Subprocesador;

"Leyes de Protección de Datos" significa las Leyes de Protección de Datos de la UE y, en la medida aplicable, las leyes de protección de datos o privacidad de cualquier otro país;

"EEE" significa el Espacio Económico Europeo;

"Leyes de Protección de Datos de la UE" significa la Directiva 95/46/CE de la UE, transpuesta a la legislación nacional de cada Estado miembro y modificada, reemplazada o complementada de vez en cuando, incluyendo por el RGPD y las leyes que implementan o complementan el RGPD;

"RGPD" significa el Reglamento General de Protección de Datos (UE) 2016/679;

"Transferencia de Datos" significa:

  • una transferencia de Datos Personales del Usuario del Usuario a un Procesador Contratado; o
  • una transferencia posterior de Datos Personales del Usuario de un Procesador Contratado a un Subprocesador Contratado, o entre dos establecimientos de un Procesador Contratado, en cada caso, donde dicha transferencia estaría prohibida por las Leyes de Protección de Datos;

"Servicios" significa una herramienta retrospectiva para equipos para mejorar su rendimiento, organizarse y progresar de una manera más divertida, disponible para usted como software como servicio.

"Subprocesador" significa cualquier persona designada por o en nombre del Procesador para procesar Datos Personales en nombre del Usuario en conexión con el DPA.

"Cláusulas Contractuales Estándar" significa las cláusulas contractuales estándar anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea de 4 de junio de 2021 sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

1.2 Los términos "Comisión", "Responsable del Tratamiento", "Interesado", "Estado Miembro", "Datos Personales", "Violación de Datos Personales", "Tratamiento" y "Autoridad de Control" tendrán el mismo significado que en el RGPD, y sus términos afines se interpretarán en consecuencia.

2 - Procesamiento de Datos Personales de la Empresa

2.1 El Procesador deberá:

  • cumplir con todas las Leyes de Protección de Datos aplicables en el Procesamiento de Datos Personales de la Empresa; y
  • no Procesar Datos Personales del Usuario de otra manera que no sea según las instrucciones documentadas del Usuario relevante.

2.2 El Usuario instruye al Procesador para procesar los Datos Personales del Usuario.

3 - Personal del Procesador

3.1 El Procesador tomará medidas razonables para garantizar la confiabilidad de cualquier empleado, agente o contratista de cualquier Procesador Contratado que pueda tener acceso a los Datos Personales de la Empresa, asegurando en cada caso que el acceso esté estrictamente limitado a aquellos individuos que necesiten conocer/acceder a los Datos Personales relevantes de la Empresa, según sea estrictamente necesario para los fines del Acuerdo Principal, y para cumplir con las Leyes Aplicables en el contexto de las obligaciones de ese individuo con el Procesador Contratado, asegurando que todos esos individuos estén sujetos a compromisos de confidencialidad u obligaciones profesionales o estatutarias de confidencialidad.

4 - Seguridad

4.1 Teniendo en cuenta el estado del arte, los costos de implementación y la naturaleza, el alcance, el contexto y los propósitos del Procesamiento, así como el riesgo de probabilidad y gravedad variable para los derechos y libertades de las personas físicas, el Procesador implementará, en relación con los Datos Personales del Usuario, medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluyendo, según corresponda, las medidas referidas en el Artículo 32(1) del RGPD.

4.2 Al evaluar el nivel de seguridad apropiado, el Procesador tendrá en cuenta en particular los riesgos que presenta el Procesamiento, en particular los derivados de una Violación de Datos Personales.

5 - Subprocesamiento

5.1 Usted acepta que podemos contratar Subprocesadores para Procesar Datos Personales en su nombre. Actualmente, hemos designado, como Subprocesadores, a los terceros enumerados en el Anexo 1 de este DPA.

5.2 Cuando contratemos Subprocesadores, impondremos términos de protección de datos a los Subprocesadores que proporcionen al menos el mismo nivel de protección para los Datos Personales que los de este DPA (incluyendo, cuando corresponda, las Cláusulas Contractuales Estándar), en la medida aplicable a la naturaleza de los servicios proporcionados por dichos Subprocesadores.

6 - Responsabilidad

6.1 Cada parte de este DPA se compromete a indemnizar a la otra parte por daños o gastos resultantes de su propia infracción culpable de este DPA, incluyendo cualquier infracción culpable cometida por su representante legal, subcontratistas, empleados u otros agentes. Además, cada parte se compromete a indemnizar a la otra parte contra cualquier reclamo ejercido por terceros debido a, o en conexión con, cualquier infracción culpable por la otra parte respectiva.

6.2 El Art. 82 RGPD permanece sin afectación.

7 - Derechos del Interesado

7.1 Teniendo en cuenta la naturaleza del Procesamiento, el Procesador ayudará al Usuario implementando medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de las obligaciones del Usuario, según sean razonablemente entendidas por el Usuario, para responder a solicitudes de ejercicio de los derechos del Interesado bajo las Leyes de Protección de Datos.

7.2 El Procesador deberá:

  • notificar rápidamente al Usuario si recibe una solicitud de un Interesado bajo cualquier Ley de Protección de Datos con respecto a los Datos Personales del Usuario; y
  • asegurarse de que no responde a esa solicitud excepto según las instrucciones documentadas del Usuario o como lo requieran las Leyes Aplicables a las que el Procesador esté sujeto, en cuyo caso el Procesador informará al Usuario, en la medida permitida por las Leyes Aplicables, sobre ese requisito legal antes de que el Procesador Contratado responda a la solicitud.

8 - Violación de Datos Personales

8.1 El Procesador notificará al Responsable sin demora indebida una vez que el Procesador tenga conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Usuario, proporcionando al Responsable información suficiente para permitir que el Responsable cumpla con cualquier obligación de informar o notificar a los Interesados sobre la Violación de Datos Personales según las Leyes de Protección de Datos.

8.2 El Procesador cooperará con el Responsable y tomará medidas comerciales razonables según lo dirigido por el Usuario para asistir en la investigación, mitigación y remediación de cada Violación de Datos Personales.

8.3 Evaluación de Impacto de Protección de Datos y Consulta Previa. El Procesador proporcionará asistencia razonable al Responsable con cualquier evaluación de impacto de protección de datos, y consultas previas con Autoridades de Supervisión u otras autoridades competentes de privacidad de datos, que el Responsable considere razonablemente requeridas por el artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Procesamiento de Datos Personales del Usuario por, y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para, los Procesadores Contratados.

9 - Eliminación o Devolución de Datos Personales del Usuario

9.1 Sujeto a esta sección 9, el Procesador deberá, y en cualquier caso dentro de los 30 días hábiles a partir de la fecha de cese de cualquier Servicio que implique el Procesamiento de Datos Personales del Usuario (la "Fecha de Cese"), eliminar y procurar la eliminación de todas las copias de esos Datos Personales del Usuario.

10 - Transferencia de Datos

10.1 Usted reconoce y acepta que podemos acceder y Procesar Datos Personales a nivel global según sea necesario para proporcionar el Servicio de conformidad con el DPA, y que los Datos Personales pueden ser transferidos y Procesados por LensGo a jurisdicciones donde los Subprocesadores tienen operaciones. Dondequiera que los Datos Personales sean transferidos fuera de su país de origen, cada parte asegurará que dichas transferencias se realicen en cumplimiento con los requisitos de las Leyes de Protección de Datos.

11 - Términos Generales

11.1 Confidencialidad. Cada Parte debe mantener este DPA y la información que recibe sobre la otra Parte y su negocio en conexión con este DPA ("Información Confidencial") confidencial y no debe usar o divulgar esa Información Confidencial sin el consentimiento escrito previo de la otra Parte, excepto en la medida en que:

  • la divulgación sea requerida por la ley;
  • la información relevante ya esté en el dominio público.

11.2 Notificaciones. Todas las notificaciones y comunicaciones dadas bajo este DPA deben ser por escrito y serán entregadas personalmente, enviadas por correo o enviadas por correo electrónico a la dirección o dirección de correo electrónico establecida en el encabezado de este DPA o a cualquier otra dirección notificada de vez en cuando por las Partes al cambiar de dirección.

12 - Ley Aplicable y Jurisdicción

12.1 Este Acuerdo se rige por las Leyes de Protección de Datos de la UE y el foro competente para resolver problemas son los tribunales de Irlanda.

Anexo 1 - Detalles del Procesamiento

A. Lista de Partes

Data exporter:

Name: Nombre: El Usuario, según se define en los Términos de Servicio de LensGo.

Address: Dirección: La dirección del Usuario.

Contact: Nombre, cargo y datos de contacto de la persona de contacto: Los datos de contacto del Usuario, según se establecen en el registro del Usuario.

Activities: Actividades relevantes para los datos transferidos bajo estas Cláusulas: Procesamiento de Datos Personales en conexión con el uso por parte del Usuario de lensgo.app bajo los Términos de Servicio de LensGo.

Role: Rol (responsable/encargado del tratamiento): Responsable

Data importer:

Name: Nombre: Acosh

Address: Dirección: Sweelinckplantsoen 40, 1323 MT Almere, FL, NL.

Contact: Nombre, cargo y datos de contacto de la persona de contacto: Daan de Vos, Propietario.

Activities: Actividades relevantes para los datos transferidos bajo estas Cláusulas: Procesamiento de Datos Personales en conexión con el uso por parte del Usuario de lensgo.app bajo los Términos de Servicio de LensGo.

Role: Rol (responsable/encargado del tratamiento): Encargado del tratamiento

B. Descripción de la Transferencia

Categorías de Interesados cuyos Datos Personales son Transferidos: Contacto del Usuario.

Categorías de Datos Personales Transferidos: Nombre, Correo Electrónico, Contenido Subido, Otra información proporcionada.

Frecuencia: Continua.

Propósito: Proporcionar los Servicios de conformidad con el Acuerdo.

Conservación: Duración del Acuerdo a menos que se acuerde lo contrario.

C. Autoridad de Supervisión Competente

A los efectos de las Cláusulas Contractuales Estándar, la autoridad de supervisión que actuará como autoridad de supervisión competente será: (i) cuando el Usuario esté establecido en un Estado miembro de la UE, la autoridad de supervisión responsable de garantizar el cumplimiento del RGPD por parte del Usuario; (ii) cuando el Usuario no esté establecido en un Estado miembro de la UE pero esté dentro del ámbito extraterritorial del RGPD y haya designado un representante, la autoridad de supervisión del Estado miembro de la UE en el que esté establecido el representante del Usuario; o (iii) cuando el Usuario no esté establecido en un Estado miembro de la UE pero esté dentro del ámbito extraterritorial del RGPD sin tener que designar un representante, la autoridad de supervisión del Estado miembro de la UE en el que los Interesados estén predominantemente ubicados.

Anexo 2 - Medidas de Seguridad

Confidencialidad

  • Sin acceso no autorizado a las Instalaciones de Procesamiento de Datos;
  • Control de Acceso Electrónico;
  • Sin uso no autorizado de los Sistemas de Procesamiento y Almacenamiento de Datos;
  • Control de Acceso Interno (permisos para derechos de usuario de acceso y modificación de datos);
  • Sin Lectura, Copia, Cambios o Eliminaciones no autorizados de Datos dentro del sistema;
  • Control de Aislamiento;
  • El Procesamiento aislado de Datos, que se recopilan para diferentes propósitos;
  • Cifrado; y,
  • El procesamiento de datos personales de tal manera que los datos no puedan asociarse con un Interesado específico sin la asistencia de Información adicional, siempre que esta información adicional se almacene por separado y esté sujeta a medidas técnicas y organizativas apropiadas.

Integridad

  • Control de Transferencia de Datos;
  • Sin Lectura, Copia, Cambios o Eliminaciones no autorizados de Datos con transferencia o transporte electrónico;
  • Control de Entrada de Datos; y,
  • Detección de Intrusos.

Disponibilidad y Resiliencia

  • Control de Disponibilidad;
  • Prevención de destrucción o pérdida accidental o intencional, por ejemplo: Estrategia de Copia de Seguridad (en línea/fuera de línea; en el sitio/fuera del sitio), Sistema de Alimentación Ininterrumpida (SAI), protección contra virus, cortafuegos, procedimientos de informe y planificación de contingencias; y,
  • Recuperación Rápida.

Procedimientos para pruebas, evaluación y valoración regulares

  • Gestión de Protección de Datos;
  • Gestión de Respuesta a Incidentes;
  • Protección de Datos por Diseño y por Defecto.

Anexo 3 - Lista de Subprocesadores

  • Hetzner (Plataforma en la Nube) – Utilizado para servicios de backend incluyendo hosting, base de datos en tiempo real y autenticación (DE).
  • AWS S3 – Utilizado para almacenar todos los medios subidos (fotos y videos) (UE - FR).
  • Brevo – Utilizado para enviar correos electrónicos transaccionales como correos de bienvenida, verificación de cuenta y actualizaciones de eventos (FR).
  • Cloudflare – Utilizado para la entrega de contenido (CDN), equilibrio de carga y protección de LensGo contra tráfico malicioso y ataques DDoS (UE - SE).
  • Mollie – Utilizado para gestionar suscripciones, procesamiento de pagos, facturación y actuar como nuestro comerciante de registro (UE - NL).
  • Google Ads – Utilizado para ejecutar y rastrear nuestras propias campañas de marketing y publicidad. No para volver a dirigirse a usuarios sin consentimiento (EE.UU.).
  • Rewardful – Utilizado para gestionar el seguimiento de afiliados, referencias y el cálculo de pagos de comisión a nuestros socios (CA).

Anexo 4 - Cláusulas Contractuales Estándar

SECCIÓN I

Módulo Dos: Transferencia del Responsable al Encargado del Tratamiento (C2P)

Cláusula 1 - Propósito y alcance

  1. El propósito de estas cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) para la transferencia de datos personales a un tercer país.
  2. Las Partes: la persona física o jurídica(s), autoridad/autoridades pública(s), organismo(s) u otro(s) órgano(s) (en adelante "entidad/es") que transfieren los datos personales, como se indica en el Anexo I.A. (en adelante cada "exportador de datos"), y la(s) entidad(es) en un tercer país que recibe(n) los datos personales del exportador de datos, directamente o indirectamente a través de otra entidad también Parte de estas Cláusulas, como se indica en el Anexo I.A. (en adelante cada "importador de datos") han acordado estas cláusulas contractuales estándar (en adelante: "Cláusulas").
  3. Estas Cláusulas se aplican con respecto a la transferencia de datos personales según lo especificado en el Anexo I.B.
  4. El Apéndice de estas Cláusulas que contiene los Anexos mencionados en el mismo forma parte integral de estas Cláusulas.

Cláusula 2 - Efecto e invariabilidad de las Cláusulas

  1. Estas Cláusulas establecen garantías adecuadas, incluyendo derechos exigibles de los interesados y recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en lo que respecta a las transferencias de datos de los responsables a los encargados del tratamiento y/o de los encargados a los encargados del tratamiento, cláusulas contractuales estándar de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el(los) Módulo(s) apropiado(s) o para añadir o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las cláusulas contractuales estándar establecidas en estas Cláusulas en un contrato más amplio y/o añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas o perjudiquen los derechos o libertades fundamentales de los interesados.
  2. Estas Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3 - Beneficiarios de terceros

  1. Los interesados podrán invocar y hacer valer estas Cláusulas, como beneficiarios de terceros, contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:
  2. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
  3. Cláusula 8 - Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
  4. Cláusula 9 - Cláusula 9(a), (c), (d) y (e);
  5. Cláusula 12 - Cláusula 12(a), (d) y (f);
  6. Cláusula 13;
  7. Cláusula 15.1(c), (d) y (e);
  8. Cláusula 16(e);
  9. Cláusula 18 - Cláusula 18(a) y (b).
  10. El apartado (a) se entiende sin perjuicio de los derechos de los interesados conforme al Reglamento (UE) 2016/679.

Cláusula 4 - Interpretación

  1. Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
  2. Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
  3. Estas Cláusulas no se interpretarán de una manera que entre en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5 - Jerarquía

  1. En caso de contradicción entre estas Cláusulas y las disposiciones de acuerdos relacionados entre las Partes, existentes en el momento en que se acuerden o celebren estas Cláusulas o con posterioridad, prevalecerán estas Cláusulas. En caso de contradicción entre estas Cláusulas y las disposiciones de acuerdos relacionados entre las Partes, existentes en el momento en que se acuerden o celebren estas Cláusulas o con posterioridad, prevalecerán estas Cláusulas.

Cláusula 6 - Descripción de la(s) transferencia(s)

  1. Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y el(los) fin(es) para el(los) que se transfieren, se especifican en el Anexo I.B.

Cláusula 7 - Opcional - Cláusula de acoplamiento

  1. Una entidad que no sea Parte de estas Cláusulas podrá, con el acuerdo de las Partes, adherirse a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.
  2. Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador de datos o importador de datos de conformidad con su designación en el Anexo I.A.
  3. La entidad adherente no tendrá derechos u obligaciones derivados de estas Cláusulas del período anterior a convertirse en Parte.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8 - Garantías de protección de datos

dpa.annex4.clause8.content

Cláusula 9 - Uso de subencargados del tratamiento

  1. El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargado(s) del tratamiento de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos sobre cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con al menos [especificar período de tiempo] de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del/de los subencargado(s) del tratamiento. El importador de datos proporcionará al exportador de datos la información necesaria para permitir que el exportador de datos ejerza su derecho a oponerse.
  2. Cuando el importador de datos contrate a un subencargado del tratamiento para realizar actividades específicas de tratamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que prevea, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos conforme a estas Cláusulas, incluyendo en términos de derechos de beneficiarios de terceros para los interesados. Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones conforme a la Cláusula 8.8. El importador de datos garantizará que el subencargado del tratamiento cumpla con las obligaciones a las que está sujeto el importador de datos conforme a estas Cláusulas.
  3. El importador de datos proporcionará, a solicitud del exportador de datos, una copia de dicho acuerdo de subencargado del tratamiento y cualquier enmienda posterior al exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluyendo datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
  4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subencargado del tratamiento conforme a su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones conforme a ese contrato.
  5. El importador de datos acordará una cláusula de beneficiario de tercero con el subencargado del tratamiento por la cual - en caso de que el importador de datos haya desaparecido de hecho, dejado de existir legalmente o se haya vuelto insolvente - el exportador de datos tendrá el derecho de rescindir el contrato del subencargado del tratamiento y de instruir al subencargado del tratamiento para que borre o devuelva los datos personales.

Cláusula 10 - Derechos del interesado

  1. El importador de datos notificará rápidamente al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a esa solicitud por sí mismo a menos que haya sido autorizado para hacerlo por el exportador de datos.
  2. El importador de datos ayudará al exportador de datos a cumplir con sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos conforme al Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se proporcionará la asistencia, así como el alcance y la extensión de la asistencia requerida.
  3. Al cumplir con sus obligaciones conforme a los apartados (a) y (b), el importador de datos se ajustará a las instrucciones del exportador de datos.

Cláusula 11 - Reparación

  1. El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para manejar quejas. Tratará rápidamente cualquier queja que reciba de un interesado.
  2. En caso de una disputa entre un interesado y una de las Partes con respecto al cumplimiento de estas Cláusulas, esa Parte hará sus mejores esfuerzos para resolver el problema de manera amistosa en un plazo razonable. Las Partes se mantendrán informadas mutuamente sobre tales disputas y, cuando corresponda, cooperarán en su resolución.
  3. Cuando el interesado invoque un derecho de beneficiario de tercero conforme a la Cláusula 3, el importador de datos aceptará la decisión del interesado de:
  4. presentar una queja ante la autoridad supervisora en el Estado miembro de su residencia habitual o lugar de trabajo, o ante la autoridad supervisora competente conforme a la Cláusula 13;
  5. remitir la disputa a los tribunales competentes en el sentido de la Cláusula 18.
  6. Las Partes aceptan que el interesado pueda estar representado por una entidad sin ánimo de lucro, organización o asociación bajo las condiciones establecidas en el Artículo 80(1) del Reglamento (UE) 2016/679.
  7. El importador de datos se ajustará a una decisión que sea vinculante conforme a la ley de la UE o del Estado miembro aplicable.
  8. El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales para buscar recursos conforme a las leyes aplicables.

Cláusula 12 - Responsabilidad

  1. Cada Parte será responsable ante la(s) otra(s) Parte(s) por cualquier daño que cause a la(s) otra(s) Parte(s) por cualquier incumplimiento de estas Cláusulas.
  2. El importador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una compensación por cualquier daño material o inmaterial que el importador de datos o su subencargado del tratamiento cause al interesado al incumplir los derechos de beneficiario de tercero conforme a estas Cláusulas.
  3. Sin perjuicio del apartado (b), el exportador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una compensación por cualquier daño material o inmaterial que el exportador de datos o el importador de datos (o su subencargado del tratamiento) cause al interesado al incumplir los derechos de beneficiario de tercero conforme a estas Cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento conforme al Reglamento (UE) 2016/679 o al Reglamento (UE) 2018/1725, según corresponda.
  4. Las Partes acuerdan que, si el exportador de datos es considerado responsable conforme al apartado (c) por daños causados por el importador de datos (o su subencargado del tratamiento), tendrá derecho a reclamar al importador de datos esa parte de la compensación que corresponda a la responsabilidad del importador de datos por el daño.
  5. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a entablar una acción judicial contra cualquiera de estas Partes.
  6. Las Partes acuerdan que, si una Parte es considerada responsable conforme al apartado (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) esa parte de la compensación que corresponda a su/s responsabilidad/es por el daño.
  7. El importador de datos no podrá invocar la conducta de un subencargado del tratamiento para evitar su propia responsabilidad.

Cláusula 13 - Supervisión

  1. La autoridad supervisora de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieren conforme a estas Cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se supervisa, como se indica en el Anexo I.C, actuará como autoridad supervisora competente.
  2. El importador de datos acepta someterse a la jurisdicción de y cooperar con la autoridad supervisora competente en cualquier procedimiento destinado a garantizar el cumplimiento de estas Cláusulas. En particular, el importador de datos acepta responder a las consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad supervisora, incluyendo medidas correctivas y compensatorias. Proporcionará a la autoridad supervisora una confirmación por escrito de que se han tomado las acciones necesarias.

SECCIÓN III - LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO POR AUTORIDADES PÚBLICAS

Cláusula 14 - Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas

  1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas en el tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, incluyendo cualquier requisito de divulgación de datos personales o medidas que autoricen el acceso por autoridades públicas, impidan al importador de datos cumplir con sus obligaciones conforme a estas Cláusulas. Esto se basa en la comprensión de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el Artículo 23(1) del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.
  2. Las Partes declaran que, al proporcionar la garantía en el apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
  3. las circunstancias específicas de la transferencia, incluyendo la longitud de la cadena de tratamiento, el número de actores involucrados y los canales de transmisión utilizados; las transferencias posteriores previstas; el tipo de destinatario; el propósito del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; la ubicación de almacenamiento de los datos transferidos;
  4. las leyes y prácticas del tercer país de destino - incluyendo aquellas que requieren la divulgación de datos a autoridades públicas o autorizan el acceso por tales autoridades - relevantes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables;
  5. cualquier garantía contractual, técnica u organizativa relevante establecida para complementar las garantías conforme a estas Cláusulas, incluyendo medidas aplicadas durante la transmisión y al tratamiento de los datos personales en el país de destino.
  6. El importador de datos garantiza que, al realizar la evaluación conforme al apartado (b), ha hecho sus mejores esfuerzos para proporcionar al exportador de datos información relevante y acepta que continuará cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.
  7. Las Partes acuerdan documentar la evaluación conforme al apartado (b) y ponerla a disposición de la autoridad supervisora competente a solicitud.
  8. El importador de datos acepta notificar rápidamente al exportador de datos si, después de haber acordado estas Cláusulas y durante la duración del contrato, tiene motivos para creer que está o se ha vuelto sujeto a leyes o prácticas no conformes con los requisitos conforme al apartado (a), incluyendo tras un cambio en las leyes del tercer país o una medida (como una solicitud de divulgación) que indique una aplicación de tales leyes en la práctica que no esté conforme con los requisitos del apartado (a).
  9. Tras una notificación conforme al apartado (e), o si el exportador de datos tiene de otro modo motivos para creer que el importador de datos ya no puede cumplir con sus obligaciones conforme a estas Cláusulas, el exportador de datos identificará rápidamente medidas apropiadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y confidencialidad) que deban ser adoptadas por el exportador de datos y/o el importador de datos para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no se pueden garantizar garantías apropiadas para dicha transferencia, o si es instruido para hacerlo por la autoridad supervisora competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales conforme a estas Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la Parte relevante, a menos que las Partes hayan acordado lo contrario. Cuando el contrato sea rescindido conforme a esta Cláusula, se aplicarán la Cláusula 16(d) y (e).

Cláusula 15 - Obligaciones del importador de datos en caso de acceso por autoridades públicas

dpa.annex4.clause15.content

SECCIÓN IV - DISPOSICIONES FINALES

Cláusula 16 - Incumplimiento de las Cláusulas y rescisión

  1. El importador de datos informará rápidamente al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.
  2. En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplir con estas Cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que el cumplimiento se restablezca o el contrato sea rescindido. Esto se entiende sin perjuicio de la Cláusula 14(f).
  3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales conforme a estas Cláusulas, cuando:
  4. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos conforme al apartado (b) y el cumplimiento de estas Cláusulas no se restablezca en un plazo razonable y en cualquier caso dentro de un mes desde la suspensión;
  5. el importador de datos incumpla de manera sustancial o persistente estas Cláusulas; o
  6. el importador de datos no cumpla con una decisión vinculante de un tribunal competente o autoridad supervisora con respecto a sus obligaciones conforme a estas Cláusulas.
  7. En estos casos, informará a la autoridad supervisora competente de dicho incumplimiento. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la Parte relevante, a menos que las Partes hayan acordado lo contrario.
  8. Los datos personales que hayan sido transferidos antes de la rescisión del contrato conforme al apartado (c) serán, a elección del exportador de datos, devueltos inmediatamente al exportador de datos o eliminados en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá asegurando el cumplimiento de estas Cláusulas. En caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que seguirá asegurando el cumplimiento de estas Cláusulas y solo procesará los datos en la medida y durante el tiempo requerido por esa ley local.
  9. Cualquiera de las Partes podrá revocar su acuerdo de estar vinculada por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión conforme al Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco legal del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión conforme al Reglamento (UE) 2016/679.

Cláusula 17 - Ley aplicable

Estas Cláusulas se regirán por la ley de uno de los Estados miembros de la UE, siempre que dicha ley permita derechos de beneficiarios de terceros. Las Partes acuerdan que esta será la ley de Irlanda.

Cláusula 18 - Elección de foro y jurisdicción

  1. Cualquier disputa que surja de estas Cláusulas será resuelta por los tribunales de un Estado miembro de la UE.
  2. Las Partes acuerdan que estos serán los tribunales de Irlanda.
  3. Un interesado también podrá entablar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
  4. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.