ADENDA DE PROCESAMIENTO DE DATOS DE EMERGENETICS

Idioma:

ESTA ADENDA DE PROCESAMIENTO DE DATOS DE EMERGENETICS ("Adenda") se elabora y se celebra entre The Browning Group International, Inc. bajo el nombre comercial de Emergenetics International y sus afiliados legales, incluyendo y sin limitación, STEP, LLC, Emergenetics Europe Limited y Emergenetics Caelan & Sage PTE Ltd (colectivamente, "Emergenetics", "nosotros" y "nuestro/a") y usted (el "Cliente" o "Socio", según corresponda, cada uno como se define a continuación) (cada "Parte" y colectivamente las "Partes"). Esta Adenda rige el procesamiento de datos personales en la plataforma de Emergenetics. Si acepta los términos de esta Adenda en nombre de una entidad, usted declara y garantiza a Emergenetics que tiene la autoridad para vincular a esa entidad y sus afiliados, según corresponda, con los términos y condiciones de esta Adenda. Esta Adenda entra en vigor a partir de la fecha en que usted la acepta el Acuerdo de usuario de Emergenetics ("fecha de la Adenda").

CONSIDERANDOS

CONSIDERANDO que Emergenetics y usted han ejecutado un acuerdo de servicios (el "Acuerdo de servicios") que implica el procesamiento de datos personales (como se define a continuación) de personas interesadas (como se define a continuación) que las Partes ahora desean modificar según lo dispuesto en este documento;

CONSIDERANDO que, en el curso de la prestación de sus servicios conforme al Acuerdo de servicios, usted, como Controlador de datos, procesa ciertos Datos personales de las personas interesadas;

CONSIDERANDO que Emergenetics, como Controlador de datos, requiere que usted y cualquier destinatario de Datos personales subsiguiente que, en el curso de su trabajo con Emergenetics, puedan Procesar Datos Personales, tomen todas las medidas necesarias para manejar dicha información de conformidad con el Reglamento General de Protección de Datos de la UE (General Data Protection Regulation, GDPR) y otras leyes y reglamentos aplicables;

CONSIDERANDO que, cuando ambas Partes determinen conjuntamente los propósitos y los medios de Procesamiento, actuarán como Controladores conjuntos; y

CONSIDERANDO que las Partes entran en esta Adenda con deseos de cumplir con los principios y las normas de protección de datos requeridos por el GDPR, y otras leyes y reglamentos aplicables, con respecto al Procesamiento de datos personales conforme al Acuerdo de servicios.

POR LO TANTO, en consideración de los acuerdos mutuos establecidos en esta Adenda, y en contraprestación válida y onerosa, cuya recepción y suficiencia reconocen las Partes, las Partes acuerdan lo siguiente:

DEFINICIONES

Los términos en mayúscula utilizados pero no definidos en esta Adenda tendrán los significados que se les asignaron en el Acuerdo de servicios.

A los efectos de esta Adenda, los siguientes términos en mayúscula tendrán los significados que se les atribuyen tal como se establece a continuación, dondequiera que aparezcan, dentro de las disposiciones de esta Adenda:

"Leyes aplicables" se refiere a todas las leyes aplicables al Procesamiento de datos personales, incluido el GDPR, leyes que implementan o complementan el GDPR, la Directiva de la UE 95/46/EC, transpuestas a la legislación nacional de cada Estado miembro y sus enmiendas, reemplazos o sustituciones ocasionales, otras leyes de la Unión Europea o cualquier Estado miembro, y las leyes de cualquier otro país al que estén sujetos los Datos personales;
"Cliente" significa una entidad legal con quien Emergenetics ha ejecutado el Acuerdo de servicios que utiliza la Plataforma para el beneficio de sus propios empleados, posibles empleados u otros miembros del equipo de la organización, como contratistas;
"GDPR" y "Reglamento General de Protección de Datos": el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y la libre circulación de tales datos, y derogan la Directiva 95/46/CE;
"Controlador de datos" se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los propósitos y los medios del procesamiento de datos personales; cuando los fines y los medios de dicho Procesamiento se determinen por la legislación de la Unión o del Estado miembro, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos en la legislación de la Unión o del Estado miembro. A los efectos de esta Adenda, el Controlador de datos o los controladores de datos también se refieren específicamente a una Parte o las partes de esta Adenda;
"Procesador de datos" se refiere una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre de un controlador de datos;
"Controladores conjuntos" se refiere a dos o más Controladores de datos que conjuntamente determinan los propósitos y medios de Procesamiento;
"Socio" se refiere a un contratista externo que cumple un rol como Asociado de Emergenetics, Administrador de dominio, Representante de país u otro rol pertinente en la Plataforma como miembro de la red de revendedores autorizados de productos y servicios de Emergenetics;
"Datos Personales" se refiere a cualquier información relacionada con una persona física identificada o identificable dentro del alcance de esta Adenda ("Persona interesada"); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural;
"Violación de datos personales" se refiere a una violación de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal de los Datos personales transmitidos, almacenados o procesados de otra manera;
"Plataforma" se refiere a la(s) aplicación(es) web de Emergenetics, incluidas Emergenetics+, ESP o STEP, según corresponda;
"Procesamiento" se refiere a cualquier operación o conjunto de operaciones que se realizan sobre Datos personales o en conjuntos de Datos personales, ya sea por medios automáticos o no, tales como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, diseminación o de otro modo poniendo a disposición, alineación o combinación, restricción, borrado o destrucción; y
"Transferencia Restringida" se refiere a cualquier transferencia de Datos personales que estaría prohibida por las Leyes aplicables (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes aplicables) en ausencia de la ejecución de las Cláusulas contractuales estándares u otro mecanismo legal de transferencia de datos, como se establece en la Sección 12 a continuación.

CONDICIONES

Las Partes acuerdan lo siguiente:

Fecha de entrada en vigor. Los términos de esta Adenda entrarán en vigor en la fecha que sea posterior, la fecha de la Adenda o el 25 de mayo de 2018 (la "Fecha de entrada en vigor") y continuarán concurrentemente durante el plazo del Acuerdo de servicios.
Alcance. Esta Adenda sirve como marco para el Procesamiento de datos personales según el Acuerdo de servicios, según corresponda, solo o conjuntamente, así como para el intercambio de Datos personales entre las Partes como Controladores de datos, y define los principios y los procedimientos que las Partes deben cumplir y sus responsabilidades respectivas.
Aplicabilidad. Esta Adenda no se aplicará al Procesamiento de datos personales, cuando dicho procesamiento no esté regulado por las leyes aplicables.
Representaciones y garantías de controladores. Cada Parte representa, garantiza y hace convenios:
1. Con respecto al Procesamiento de datos personales según el Acuerdo de servicios, es un Controlador de datos dentro del significado de esta Adenda y el GDPR;
2. todos los datos personales han sido y serán recopilados, transferidos y procesados de acuerdo con el GDPR;
3. solo realizará transferencias de Datos personales, cuando tales transferencias estén sujetas a requisitos obligatorios según las Leyes aplicables (y no se aplica ninguna exención o derogación legal), de conformidad con todas las condiciones aplicables, según lo establecido en las Leyes aplicables;
4. a solicitud de la otra Parte respectiva, proporcionará a esa otra Parte copias de todas las leyes de protección de datos relevantes o referencias a ellas (cuando corresponda, y sin incluir asesoramiento legal).
Representaciones y garantías de contralorías conjuntas.Cada Parte, cuando actúa como Controlador conjunto junto con la otra Parte, garantiza y se compromete a:
1. Determinar sus responsabilidades respectivas para el cumplimiento de sus obligaciones bajo las Leyes aplicables;
2. determinar sus respectivas responsabilidades frente a las Personas interesadas, teniendo en cuenta las circunstancias de cada situación de Procesamiento específica, y, cuando sea necesario, comunicar debidamente dicha información al Controlador de datos respectivo en el contexto de la Contraloría conjunta;
3. considerando el hecho, tal como se establece en el GDPR, que independientemente de los términos del acuerdo entre las Partes, las Personas interesadas pueden ejercer sus derechos bajo el GDPR con respecto y contra cada Controlador de datos, cada Controlador en el contexto de la Contraloría conjunta proactivamente, sin haberlo solicitado, proporcionará toda la asistencia e información debida al otro Controlador de datos respectivo en el contexto de la Contraloría conjunta, incluidas, entre otras, las solicitudes de envío presentadas por las Personas interesadas para ejercer sus derechos en virtud del Capítulo III del GDPR. Cuando un Controlador de datos no haya cumplido su obligación en virtud de esta disposición, será totalmente responsable con respecto a la respuesta, o la falta de ella, a la solicitud respectiva por parte de la Persona interesada de ejercer sus derechos; y
4. cuando se produjera un conflicto de competencia con respecto a un conjunto específico de operaciones de Procesamiento en el contexto de la Contraloría conjunta, cada Controlador de datos actuará de buena fe para comunicar y resolver dicho conflicto con el otro Controlador de datos respectivo de manera amistosa, teniendo en cuenta y respetando, en primer lugar, los intereses y derechos de las respectivas Personas interesadas, y, en segundo lugar, el interés mutuo de ambas Partes, para evitar la responsabilidad conjunta y solidaria, cuando las Partes no respetan los derechos de las Personas interesadas debido a un conflicto de competencia no resuelto.
Registros de actividades de procesamiento. Cada Controlador de datos acepta mantener un registro de las actividades de Procesamiento de datos personales bajo su responsabilidad, de conformidad con el artículo 30 del GDPR.
Procesamiento de datos personales. En el contexto de esta Adenda, las Partes son Controladores conjuntos de los Datos personales de las Personas interesadas. Los clientes y los socios controlan conjuntamente los datos personales procesados a través de la plataforma de Emergenetics con Emergenetics. El procesamiento de datos personales por cada uno de los Controladores de datos dentro del alcance de esta Adenda está sujeto a lo siguiente:
1. El procesamiento se limita a los servicios y tareas descritos en el Acuerdo de servicios para servicios y cualquier pedido posterior, declaración de trabajo u orden de trabajo ejecutada entre las Partes.
2. Cada Controlador de datos se asegurará de que el Procesamiento de los datos personales para los fines establecidos en el Acuerdo de servicios se realice únicamente por motivos legales, según lo dispuesto en el Artículo 6 del GDPR, y como está limitado por el Artículo 9 del GDPR, o las disposiciones equivalentes de cualquier Ley aplicable, según sea el caso.
3. Los respectivos Controladores de datos deben garantizar que las personas que autoricen para procesar los datos personales se hayan comprometido a mantener la confidencialidad o se encuentren bajo la obligación estatutaria de confidencialidad.
Medidas de seguridad. Ambas Partes implementarán las medidas de seguridad técnicas y organizativas apropiadas para garantizar y poder demostrar que el Procesamiento se realiza de conformidad con el GDPR y según lo exige el Artículo 24 del GDPR.
Solicitudes de Personas interesadas. Cada Parte será responsable de responder a las solicitudes para el ejercicio de los derechos de las Personas interesadas bajo el Capítulo III del GDPR o las disposiciones equivalentes de otras Leyes aplicables, con respecto a los Datos personales procesados por la Parte. Cada Parte designará un punto de contacto apropiado para las solicitudes de las Personas interesadas dentro de su organización respectiva. Cada Parte mantendrá un registro de las solicitudes de las Personas interesadas para ejercer sus derechos, las decisiones tomadas y cualquier información que haya sido intercambiada. En situaciones en que las Partes sean Controladores conjuntas, las Partes se notificarán mutuamente todas las solicitudes de Partes interesadas que reciban. Antes de eliminar Datos personales o restringir el Procesamiento en respuesta a la solicitud de una Persona interesada, cada Parte obtendrá la aprobación de la otra Parte, la cual no será retenida irrazonablemente por esa otra Parte, para evitar la posibilidad de que las acciones de una Parte causen que la otra incumpla esta Adenda o cualquier ley aplicable. Las Partes acuerdan brindar asistencia puntual y razonable entre sí, de ser necesario, para permitirles cumplir con las solicitudes de las Personas interesadas. Cada Parte garantizará que los avisos de privacidad relevantes, cuando corresponda, se publiquen de acuerdo con los requisitos del GDPR y otras Leyes aplicables, y que no existan conflictos entre los avisos de privacidad de las Partes que puedan crear confusión o engañar a las Personas interesadas. En particular, cada Parte se asegurará de que los avisos de privacidad relevantes, donde corresponda, contengan información de contacto precisa a la cual las Personas interesadas puedan enviar solicitudes a la Parte respectiva para ejercer sus derechos bajo el GDPR y otras Leyes aplicables, según sea el caso.
Seguridad de procesamiento y notificaciones de incumplimiento de datos personales. Ambas Partes acuerdan implementar y mantener medidas de seguridad técnicas y organizativas para garantizar que el nivel de seguridad de los Datos personales procesados por ellos sea apropiado para el riesgo, de conformidad con los Artículos 32 a 36 del GDPR, teniendo en cuenta la naturaleza del Proceso y la información disponible para cada Parte. Cada Parte deberá enviar una notificación de Incumplimiento de datos personales a la autoridad supervisora competente o a la(s) Persona(s) interesada(s) afectada(s), según lo requerido por los Artículos 33 y 34 del GDPR, o las disposiciones equivalentes de otras Leyes aplicables, según sea el caso, así como toda asistencia debida a la otra parte respectiva, según sea necesario.
Cada Parte solo contratará a un Procesador de datos para Procesar los datos personales en su nombre si ese Procesador proporciona suficientes garantías, mediante un contrato por escrito u otro acto legal bajo la Unión Europea o la legislación del Estado miembro, acerca de que implementará las mismas obligaciones de protección de datos como se establece en esta Adenda y lo exige el GDPR. Dichas obligaciones incluirán, en particular, el requisito de que el Procesador de datos implemente las medidas de seguridad técnicas y organizativas apropiadas de tal manera que el Procesamiento cumpla con los requisitos del GDPR, incluidos, entre otros, los requisitos aplicables de los Artículos 28, 29, y 30 del GDPR, y se garantice la protección de los derechos de la Persona interesada. Cuando ese Procesador de datos no cumpla con sus obligaciones de protección de datos, la Parte respectiva seguirá siendo plenamente responsable ante las Personas interesadas con respecto al cumplimiento de las obligaciones del Procesador de datos.
Transferencias restringidas. Emergenetics (como "exportador de datos") y el Cliente (como "importador de datos") establecen, a partir de la Fecha de la adenda, las Cláusulas contractuales estándares (según lo establecido en el Anexo A), que se incorporan por esta referencia y constituyen una parte integral de esta Adenda. Se considera que las Partes aceptaron, ejecutaron y firmaron, cuando fue necesario, las Cláusulas contractuales estándares en su totalidad, incluidos los apéndices en la fecha de entrada en vigor.
Con respecto a cualquier Transferencia restringida de Emergenetics al Cliente dentro del alcance de esta Adenda, se aplicará uno de los siguientes mecanismos de transferencia, en el siguiente orden de precedencia:
1. las Cláusulas contractuales estándares; o
2. cualquier otra base legal, según lo establecido en las Leyes aplicables, según sea el caso.
En los casos donde se apliquen las Cláusulas contractuales estándares, y haya un conflicto entre los términos de la Adenda y los términos de las Cláusulas contractuales estándar, prevalecerán los términos de dichas Cláusulas.
Responsabilidad. Sin perjuicio de cualquier forma de responsabilidad directa de una Parte o un Procesador de datos ante las Personas interesadas, cada Parte será responsable ante la otra Parte no incumplidora por los daños y perjuicios que la Parte incumplidora haya causado y por cualquier incumplimiento de sus obligaciones, tal como se establece en esta Adenda.
Disputas. En el caso de una disputa o reclamación presentada por una Persona interesada o una autoridad de protección de datos del EEA o del Reino Unido con respecto al Procesamiento de datos personales contra una o ambas Partes, las Partes se informarán mutuamente sobre tales disputas o reclamaciones, y cooperarán con miras a resolverlas de manera amistosa y oportuna.
Puntos de contacto para consultas de protección de datos:

Emergenetics:

Correo electrónico: privacy@emergenetics.com

Nombre: Brad Hoffman

Título: Gerente General
El Cliente deberá proporcionar los detalles de su punto de contacto para consultas sobre protección de datos en el formulario ubicado en https://plus.emergenetics.com/#/privacyInfo y https://esp.emergenetics.com/user/profile/privacyInfo (disponible tras iniciar sesión). El Cliente garantiza que actualizará oportunamente, cuando sea necesario, toda esa información, y la mantendrá completa y actualizada.
Sin modificaciones adicionales. Salvo lo dispuesto expresamente en esta Adenda, las Partes no tienen la intención de enmendar ni modificar el Contrato de servicios o cualquier otro documento firmado o suscrito por las Partes.
Acuerdo primario. Los términos del Acuerdo de servicios, junto con cualquier adenda o acuerdo complementario ejecutado antes de esta Adenda, se conservan y permanecen en pleno vigor y efecto. En la medida en que los términos de esta Adenda entren en conflicto con los términos contenidos en el Acuerdo de servicios, los términos de esta Adenda controlarán lo referente al tema descrito en este documento.
Confidencialidad. Esta Adenda es información confidencial. Cada Parte acepta:
1. no divulgar esta Adenda a terceros, excepto (1) a asesores legales o consultores de privacidad que hayan celebrado un acuerdo de confidencialidad o que estén bajo una obligación legal de confidencialidad; (2) según lo permitido o razonablemente anticipado por esta Adenda; o (3) según lo requerido por el GDPR u otras Leyes aplicables (cada una, una "Divulgación permitida"); y
2. ejercer al menos el mismo grado de cuidado que generalmente utiliza cada Parte para proteger su propia información de naturaleza similar para proteger esta Adenda de cualquier posesión, uso o divulgación que no sea una Divulgación permitida, pero en ningún caso menos de un grado razonable de cuidado.

Prueba A

>Decisión de la Comisión C(2004)5721

SET II

Cláusulas contractuales estándares para la transferencia de datos personales de la Comunidad a otros países (transferencias de controlador a controlador)

Acuerdo de transferencia de datos
entre

The Browning Group International, Inc.
2 Inverness Dr East
Suite 189
Centennial, CO, 80112
UU.

en lo sucesivo, "exportador de datos"

y

el Cliente, tal como se define en la Adenda de procesamiento de datos de Emergenetics (la "Adenda") anterior

en lo sucesivo, "importador de datos"
cada "parte"; juntas "las partes".

Definiciones

A los fines de las cláusulas:

"Datos personales", "categorías especiales de datos/datos confidenciales", "proceso/procesamiento", "controlador", "procesador", "persona interesada" y "autoridad/autoridad supervisora" tendrán el mismo significado que en la Directiva 95/46/CE del 24 de octubre de 1995 (por la cual "la autoridad" significará la autoridad competente de protección de datos en el territorio en el que está establecido el exportador de datos);
"El exportador de datos" significará el controlador que transfiere los datos personales;
"Importador de datos": significará el controlador que acepta recibir datos personales del exportador de datos para su posterior procesamiento de conformidad con los términos de estas cláusulas y que no está sujeto al sistema de un tercer país que garantice una protección adecuada;
"Cláusulas" significará estas cláusulas contractuales, que son documentos independientes que no incorporan términos comerciales y de negocios establecidos por las partes bajo acuerdos comerciales separados.

Los detalles de la transferencia (así como los datos personales cubiertos) se especifican en el Anexo B, que forma parte integrante de las cláusulas.

Obligaciones del exportador de datos

El exportador de datos garantiza y se compromete a:
1. Que los datos personales se hayan recopilado, procesado y transferido de acuerdo con las leyes aplicables al exportador de datos.
2. Haber realizado esfuerzos razonables para determinar que el importador de datos pueda cumplir sus obligaciones legales en virtud de estas cláusulas.
3. Proporcionar al importador de datos, cuando así lo solicite, copias de las leyes de protección de datos pertinentes o referencias a ellas (cuando corresponda, y sin incluir asesoramiento jurídico) del país de establecimiento del exportador de datos.
4. Responder a las consultas de los interesados y la autoridad sobre el procesamiento de los datos personales por el importador de datos, a menos que las partes hayan acordado que el importador responderá, en cuyo caso el exportador de datos seguirá respondiendo en la medida de lo razonablemente posible y con la información razonablemente disponible si el importador de datos no muestra voluntad o no puede responder. Las respuestas se harán dentro de un plazo razonable.
5. Poner a disposición, previa solicitud, una copia de las cláusulas a los interesados que sean terceros beneficiarios según la cláusula III, a menos que las cláusulas contengan información confidencial, en cuyo caso puede eliminar dicha información. Cuando se elimine la información, el exportador de datos deberá informar a los interesados por escrito de la razón de la eliminación y de su derecho de llevar el asunto a la atención de la autoridad. Sin embargo, el exportador de datos se atendrá a una decisión de la autoridad con respecto al acceso al texto completo de las cláusulas por los interesados, siempre y cuando los interesados hayan aceptado respetar la confidencialidad de la información confidencial eliminada. El exportador de datos también deberá proporcionar una copia de las cláusulas a la autoridad cuando sea necesario.
Obligaciones del importador de datos

El importador de datos garantiza y se compromete a que:
1. Dispondrá las medidas técnicas y organizativas adecuadas para proteger los datos personales contra destrucción accidental o ilegal, o pérdida accidental, alteración, divulgación o acceso no autorizado, y que proporcionen un nivel de seguridad adecuado al riesgo que representa el procesamiento y la naturaleza de los datos a proteger.
2. Dispondrá procedimientos para que cualquier tercero que autorice para tener acceso a los datos personales, incluidos los procesadores, respetará, y mantendrá la confidencialidad y seguridad de los datos personales. Cualquier persona que actúe bajo la autoridad del importador de datos, incluido un procesador de datos, estará obligado a procesar los datos personales solo por instrucciones del importador. Esta disposición no se aplica a personas autorizadas para acceder a los datos personales o en caso de que lo exija la ley o las regulaciones.
3. No hay ninguna razón para creer, en el momento de firmar estas cláusulas, en la existencia de leyes locales que tendrían un efecto adverso sustancial sobre las garantías previstas en estas cláusulas, e informará al exportador de datos (que entregará tal notificación a la autoridad donde se requiera) si tiene conocimiento de tales leyes.
4. Procesará los datos personales para los fines descritos en el Anexo B, y tiene la autoridad legal para otorgar las garantías y cumplir los compromisos establecidos en estas cláusulas.
5. Identificará un punto de contacto autorizado dentro de su organización al exportador de datos para responder consultas sobre el procesamiento de los datos personales, y cooperará de buena fe con el exportador de datos, el interesado y la autoridad con respecto a todas las consultas en un plazo razonable. En caso de disolución legal del exportador de datos, o si las partes así lo hubieran acordado, el importador de datos asumirá la responsabilidad del cumplimiento de las disposiciones de la cláusula I(e).
6. A solicitud del exportador de datos, le proporcionará pruebas de recursos financieros suficientes para cumplir con sus responsabilidades según la cláusula III (que puede incluir cobertura de seguro).
7. A petición razonable del exportador de datos, presentará sus instalaciones de procesamiento de datos, archivos de datos y documentación necesarios para el procesamiento a la revisión, auditoría o certificación del exportador de datos (o cualquier agente de auditoría o auditores independientes o imparciales, seleccionados por el exportador de datos y a los que el importador no se haya opuesto de manera razonable) para verificar el cumplimiento de las garantías y compromisos establecidos en estas cláusulas, con un aviso razonable y durante el horario comercial normal. La solicitud estará sujeta a cualquier consentimiento o aprobación necesaria de una autoridad reguladora o supervisora dentro del país del importador de datos, cuyo consentimiento o aprobación el importador de datos tratará de obtener de manera oportuna.
8. Procesará los datos personales, a su elección, de acuerdo con:
  1. las leyes de protección de datos del país en el que está establecido el exportador de datos, o
  2. las disposiciones pertinentes^[1] de cualquier decisión de la Comisión con arreglo al artículo 25, apartado 6, de la Directiva 95/46/CE, cuando el importador de datos cumpla con las disposiciones pertinentes de tal autorización o decisión y esté establecido en un país donde se aplica dicha autorización o decisión, pero no está cubierto por dicha autorización o decisión a los efectos de la(s) transferencia(s) de datos personales^[2], o
  3. los principios de procesamiento de datos establecidos en el Anexo A.
  El importador de datos indicará qué opción se selecciona: Sección II(h)(iii);
9. No divulgará ni transferirá los datos personales a un tercer controlador de datos ubicado fuera del Área Económica Europea (EEA, las siglas en inglés) a menos que notifique al exportador de datos sobre la transferencia y
  1. el tercero responsable del tratamiento de datos procese los datos personales de conformidad con una decisión de la Comisión que determine que un tercer país ofrece una protección adecuada, o
  2. el tercer controlador de datos se convierte en signatario de estas cláusulas u otro acuerdo de transferencia de datos aprobado por una autoridad competente de la UE, o
  3. los interesados hayan tenido la oportunidad de presentar objeciones, después de haber sido informados de los propósitos de la transferencia, las categorías de destinatarios y el hecho de que los países a los que se exportan los datos pueden tener diferentes estándares de protección de datos, o
  4. con respecto a las transferencias posteriores de datos sensibles, los interesados hayan dado su consentimiento inequívoco a la transferencia posterior.
Responsabilidad y derechos de terceros
1. Cada una de las partes será responsable ante las otras partes por los daños que causase por incumplimiento de estas cláusulas. La responsabilidad entre las partes se limita al daño real sufrido. Los daños punitivos (es decir, los daños destinados a castigar a una parte por su conducta escandalosa) están específicamente excluidos. Cada una de las partes será responsable ante los interesados por los daños y perjuicios que causare por cualquier violación de los derechos de terceros en virtud de estas cláusulas. Esto no afecta la responsabilidad del exportador de datos en virtud de la ley de protección de datos respectiva.
2. Las partes acuerdan que un interesado tendrá derecho a hacer cumplir como tercera parte beneficiaria esta cláusula y las cláusulas I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) y VII contra el importador de datos o el exportador de datos, por el incumplimiento respectivo de sus obligaciones contractuales, con respecto a sus datos personales, y aceptar la jurisdicción para este fin en el país de establecimiento del exportador de datos. En los casos de alegaciones de incumplimiento por parte del importador de datos, el interesado debe solicitar primero al exportador de datos que tome las medidas adecuadas para hacer valer sus derechos contra el importador de datos; si el exportador de datos no toma dicha acción dentro de un período razonable (que en circunstancias normales sería de un mes), el interesado puede entonces hacer valer sus derechos contra el importador de datos directamente. Una persona interesada tiene derecho a proceder directamente contra un exportador de datos que no haya realizado esfuerzos razonables para determinar que el importador de datos puede cumplir con sus obligaciones legales en virtud de estas cláusulas (el exportador de datos tendrá la carga de demostrar que tomó medidas razonables).
Ley aplicable a las cláusulas

Estas cláusulas se regirán por la legislación del país en el que esté establecido el exportador de datos, a excepción de las leyes y reglamentos relativos al tratamiento de los datos personales por parte del importador de datos según la cláusula II(h), que se aplicará solo si así lo seleccionara el importador de datos en virtud de esa cláusula.
Resolución de disputas con los interesados o la autoridad
1. En el caso de una disputa o reclamo presentado por un interesado o la autoridad sobre el procesamiento de los datos personales contra una o ambas partes, las partes se informarán mutuamente sobre tales disputas o reclamaciones, y cooperarán con miras a resolverlos amistosamente de manera oportuna.
2. Las partes acuerdan responder a cualquier procedimiento de mediación no vinculante generalmente disponible iniciado por un interesado o por la autoridad. Si participan en el proceso, las partes pueden elegir hacerlo de forma remota (por ejemplo, por teléfono u otros medios electrónicos). Las partes también acuerdan considerar la participación en cualquier otro arbitraje, mediación u otro procedimiento de resolución de disputas desarrollado para disputas de protección de datos.
3. Cada parte se atendrá a la decisión que tome un tribunal competente del país de establecimiento del exportador de datos o de la autoridad que será definitiva e inapelable.
Terminación
1. En caso de que el importador de datos incumpla con sus obligaciones en virtud de estas cláusulas, el exportador de datos podrá suspender temporalmente la transferencia de datos personales al importador de datos hasta que se repare el incumplimiento o se rescinda el contrato.
2. En caso de que:
  1. la transferencia de datos personales al importador haya sido suspendida temporalmente por el exportador de datos por más de un mes de conformidad con el párrafo (a);
  2. el cumplimiento por parte del importador de datos de estas cláusulas suponga un incumplimiento de sus obligaciones legales o reglamentarias en el país de importación;
  3. el importador de datos se encuentre en incumplimiento sustancial o persistente de las garantías o compromisos que se le otorgan en virtud de estas cláusulas;
  4. una decisión final e inapelable de un tribunal competente del país de establecimiento del exportador de datos o de la autoridad resuelva que ha habido un incumplimiento de las cláusulas por parte del importador de datos o del exportador de datos; o
  5. se presente una petición para la administración o liquidación del importador de datos, ya sea en su capacidad personal o como empresa, que no se desestime dentro del período aplicable según la ley aplicable; se resuelva una orden de liquidación; se designe un síndico sobre cualquiera de sus activos; se nombre un fideicomisario en bancarrota, si el importador de datos es un individuo; se inicie un acuerdo voluntario de la empresa; u ocurra cualquier evento equivalente en cualquier jurisdicción
  a continuación, el exportador de datos, sin perjuicio de cualquier otro derecho que pudiera tener contra el importador de datos, tendrá derecho a rescindir estas cláusulas, en cuyo caso se informará a la autoridad cuando sea necesario. En los casos cubiertos por (i), (ii) o (iv) arriba mencionados, el importador de datos también puede rescindir estas cláusulas.
3. Cualquiera de las partes podrá rescindir estas cláusulas si (i) se emite una decisión de adecuación positiva de la Comisión con arreglo al artículo 25, apartado 6, de la Directiva 95/46/CE (o cualquier texto que lo sustituya) en relación con el país (o un sector) donde se transfieren y procesan los datos por parte del importador, o (ii) la Directiva 95/46/CE (o cualquier texto que la sustituya) se puede aplicar directamente en dicho país.
4. Las partes acuerdan que la terminación de estas cláusulas en cualquier momento, en cualquier circunstancia y por cualquier motivo (excepto la rescisión según la cláusula VI(c)) no las exime de las obligaciones y/o condiciones en virtud de las cláusulas con respecto al procesamiento de los datos personales transferidos.
Variación de estas cláusulas

Las partes no pueden modificar estas cláusulas, excepto para actualizar cualquier información en el Anexo B, en cuyo caso informarán a la autoridad cuando sea necesario. Esto no impide que las partes agreguen cláusulas comerciales adicionales cuando sea necesario.
Descripción de la transferencia

Los detalles de la transferencia y de los datos personales se especifican en el Anexo B. Las partes acuerdan que el Anexo B puede contener información comercial confidencial que no divulgarán a terceros, excepto según lo exija la ley o en respuesta a un organismo regulatorio o gubernamental competente, o según lo requiera la cláusula I(e). Las partes pueden ejecutar otros anexos para cubrir transferencias adicionales, que se presentarán a la autoridad cuando sea necesario. El Anexo B puede, alternativamente, redactarse para abarcar varias transferencias.

ANEXO A

PRINCIPIOS DE PROCESAMIENTO DE DATOS

Limitación del propósito: los datos personales pueden ser procesados y posteriormente utilizados o comunicados nuevamente solo para los fines descritos en el Anexo B o como posteriormente lo autorice el interesado.
Calidad de los datos y proporcionalidad: los datos personales deben ser precisos y, en caso necesario, mantenerse actualizados. Los datos personales deben ser adecuados, relevantes y no excesivos en relación con los fines para los que son transferidos y procesados.
Transparencia: a los interesados se les debe proporcionar la información necesaria para asegurar un procesamiento justo (como la información sobre los propósitos del procesamiento y sobre la transferencia), a menos que dicha información ya haya sido dada por el exportador de datos.
Seguridad y confidencialidad: el controlador de datos debe adoptar medidas de seguridad técnicas y organizativas que sean apropiadas para los riesgos, como por ejemplo, contra la destrucción accidental o ilegal o la pérdida accidental, la alteración, la divulgación no autorizada o el acceso, que se pudieran presentar en el procesamiento. Cualquier persona que actúe bajo la autoridad del controlador de datos, incluido un procesador, no debe procesar los datos, excepto bajo instrucciones del controlador de datos.
Derechos de acceso, rectificación, eliminación y oposición: según lo dispuesto en el artículo 12 de la Directiva 95/46/CE, los interesados deben recibir, directamente o a través de un tercero, la información personal que una organización posea sobre ellos, excepto solicitudes que sean manifiestamente abusivas, basadas en intervalos irrazonables, o en su número o naturaleza repetitiva o sistemática, o para las cuales no es necesario otorgar acceso según la ley del país del exportador de datos. Siempre que la autoridad haya dado su aprobación previa, tampoco se debe conceder acceso cuando el hacerlo pudiera dañar gravemente los intereses del importador de datos u otras organizaciones que tratan con el importador, y esos intereses no sean anulados por los intereses de los derechos fundamentales y libertades del interesado. No es necesario identificar las fuentes de los datos personales cuando esto no sea posible con esfuerzos razonables, o cuando se violen los derechos de otras personas que no sea el individuo. Los interesados deben poder rectificar, enmendar o eliminar su información personal en caso de que sea inexacta o se haya procesado en forma contraria a estos principios. Si existen motivos convincentes para dudar de la legitimidad de la solicitud, la organización puede requerir justificaciones adicionales antes de proceder a la rectificación, modificación o eliminación. La notificación de cualquier rectificación, enmienda o supresión a terceros a quienes se hayan divulgado los datos no es necesaria cuando esto implica un esfuerzo desproporcionado. Un interesado también debe poder objetar el procesamiento de los datos personales que le conciernen si existen razones legítimas imperiosas relacionadas con su situación particular. La carga de la prueba de cualquier denegación recae sobre el importador de datos, y el interesado siempre puede impugnar una denegación ante la autoridad.
Datos confidenciales: el importador de datos tomará las medidas adicionales (por ejemplo, relacionadas con la seguridad) que sean necesarias para proteger tales datos confidenciales de conformidad con sus obligaciones en virtud de la cláusula II.
Datos utilizados con fines de marketing: cuando los datos se procesan con fines de marketing directo, deben existir procedimientos efectivos que permitan al interesado en cualquier momento "optar por rechazar" que sus datos se utilicen para tales fines.
Decisiones automatizadas: para los fines del presente documento, "decisión automatizada" se refiere a una decisión del exportador de datos o del importador de datos que produce efectos legales sobre un interesado o afecta significativamente a un interesado y que se basa únicamente en el procesamiento automatizado de datos personales destinados a evaluar ciertos aspectos personales relacionados con él, como su desempeño en el trabajo, solvencia, fiabilidad, conducta, etc. El importador de datos no tomará ninguna decisión automatizada con respecto a los interesados, excepto cuando:
1. 1. tales decisiones sean tomadas por el importador de datos al celebrar o ejecutar un contrato con el interesado, y
  2. el interesado tenga la oportunidad de analizar los resultados de una decisión automatizada relevante con un representante de las partes que toman esa decisión o, de lo contrario, hacer representaciones a esas partes.
2. cuando lo disponga la ley del exportador de datos.

ANEXO B

DESCRIPCIÓN DE LA TRANSFERENCIA

Al celebrar las Cláusulas contractuales estándares, de conformidad con la Sección 12 de la Adenda, se considera que las partes han firmado este Anexo B.

Personas interesadas
Los datos personales transferidos se refieren a las siguientes categorías de personas interesadas:
Los datos personales transferidos generalmente se refieren a los individuos evaluados o examinados a través de la Plataforma de Emergenetics.

Propósitos de la(s) transferencia(s)
La transferencia se realiza para los siguientes propósitos:
Permitir que el importador de datos ofrezca o proporcione los servicios de Emergenetics en nombre del exportador de datos.

Categorías de datos
Los datos personales transferidos generalmente se refieren a las siguientes categorías de datos:
Los datos personales suelen incluir datos biográficos, datos de contacto, aprendizaje/gestión y resultados de evaluación de estilos de personalidad.

Destinatarios
Los datos personales transferidos pueden divulgarse solo a los siguientes destinatarios o categorías de destinatarios:
Las Partes que podrían necesitar dichos datos personales para facilitar la prestación de los servicios de Emergenetics.

Los puntos de contacto para las consultas de protección de datos deberán ser proporcionados por ambas partes, como se establece en la Adenda.

[1] "Disposiciones relevantes" significa aquellas disposiciones de cualquier autorización o decisión a excepción de las disposiciones de ejecución de cualquier autorización o decisión (que se regirá por estas cláusulas).

[2] Sin embargo, las disposiciones del Anexo A.5 sobre los derechos de acceso, rectificación, eliminación y oposición deben aplicarse cuando se elige esta opción y tienen prioridad sobre cualquier disposición comparable de la Decisión de la Comisión seleccionada.

ADENDA DE PROCESAMIENTO DE DATOS DE EMERGENETICS

CONSIDERANDOS

DEFINICIONES

CONDICIONES

Prueba A

Definiciones

Obligaciones del exportador de datos

Obligaciones del importador de datos

Responsabilidad y derechos de terceros

Ley aplicable a las cláusulas

Resolución de disputas con los interesados o la autoridad

Terminación

Variación de estas cláusulas

Descripción de la transferencia

ANEXO A

PRINCIPIOS DE PROCESAMIENTO DE DATOS

ANEXO B

DESCRIPCIÓN DE LA TRANSFERENCIA