La presente ADENDA AL CONTRATO DE TRATAMIENTO DE DATOS DE USUARIOS FINALES («Adenda») se incorpora a las Condiciones de Intercambio de Información y se adjunta al Contrato de Licencia, Perfil y Formulario de Pedido (conjuntamente «EULSA») entre InterSystems («InterSystems») y el Usuario Final («Usuario Final»), como se indica en el EULSA. InterSystems y el Usuario Final son Partes en la presente Adenda (siendo cada una de ellas por separado «una Parte», y ambas conjuntamente las «Partes»). En consideración a los pactos y promesas recíprocas contenidas en el presente documento y otra contraprestación onerosa, cuya recepción y suficiencia las Partes reconocen en el presente documento, las Partes acuerdan lo siguiente:
Los términos con mayúscula inicial utilizados en la presente Adenda que no estén expresamente definidos en el presente documento o en el EULSA tendrán el significado que corresponda a dichos términos, tal y como se utilizan o definen en la Ley de protección de datos, o tal y como se definen a continuación. Las disposiciones de la presente Adenda prevalecerán sobre cualquier disposición contradictoria del EULSA y sobre cualquier otra disposición relativa a la protección de datos o al tratamiento de la información.
Las Partes reconocen que los servicios prestados por InterSystems en virtud del EULSA no tienen por objeto dar lugar a la creación, recepción, mantenimiento, transmisión, uso, comunicación o tratamiento en cualquier otro modo, por parte de InterSystems, de Datos Personales de cualquier Interesado en un contexto operativo en que estos constituyan Datos de los Usuarios Finales, tal como se define a continuación; sin embargo, debido a que el Usuario Final, en determinadas circunstancias, puede estar obligado a cumplir con la Ley de protección de datos, tal como se define a continuación, el Usuario Final necesita que sus proveedores de servicios, que puedan entrar en contacto con Datos de los Usuarios Finales, suscriban un contrato de tratamiento de datos con el Usuario Final, e InterSystems está dispuesto a suscribir dicho contrato en el improbable caso de que InterSystems realice el Tratamiento de los datos del Usuario Final sin por ello aceptar que InterSystems asuma, con carácter general, la condición de Encargado del tratamiento respecto al Usuario Final. Las Partes acuerdan, con respecto a otros Datos Personales tratados por InterSystems, que no éstos no serán Datos del Usuario Final («Datos de InterSystems»), que InterSystems es el Responsable del tratamiento de datos y que las Partes no son Corresponsables del tratamiento de los Datos de InterSystems.
Definiciones.
1.1. A menos que se definan de otro modo en la Ley de protección de datos aplicable (tal y como se define más adelante), los términos con mayúscula inicial enumerados en esta Sección tienen los siguientes significados:
1.2. Responsable del tratamiento de datos. «Responsable del tratamiento de datos» significa, cuando se utiliza en referencia a la presente Adenda, el Usuario Final, incluso si el Usuario Final es un Encargado del tratamiento por cuenta de un Responsable del tratamiento con respecto a los Datos Personales Tratados.
1.3. Propietario de los datos. «Propietario de los datos» significa, con respecto a cada elemento de Datos Personales incluido en los Datos del Usuario Final, el Usuario Final, o si éste fuera el Encargado del tratamiento por cuenta de un Responsable con respecto a los Datos Personales, dicho Responsable.
1.4. Encargado del tratamiento de datos. «Encargado del tratamiento de datos» se refiere a una persona física o jurídica, una autoridad pública, una agencia u otro organismo que trate Datos Personales por cuenta de un Responsable del tratamiento y cuando (1) InterSystems y el Usuario Final acuerden mutuamente que InterSystems actúa en calidad de Encargado del tratamiento de datos por cuenta del Usuario Final, tal y como se define en las Normas de Contratación específicas e individuales, e (2) InterSystems no actúe de otro modo en calidad de proveedor de servicios, como proveedor externo del Usuario Final o de Responsable del tratamiento.
1.5. Legislación de protección de datos. «Legislación de protección de datos» significa el RGPD y las normas nacionales de desarrollo; la Ley Federal de Protección de Datos de Suiza (y sus posteriores enmiendas y leyes sustitutivas); la Ley de Protección de Datos del Reino Unido (y sus posteriores enmiendas y leyes sustitutivas); y las Leyes de Protección de Datos de los países del EEE (y sus posteriores enmiendas y leyes sustitutivas, cuando sean aplicables).
1.6. Datos del Usuario Final. «Datos del Usuario Final» significa cualquier Dato Personal respecto del cual el Usuario Final o, si éste fuera Encargado del tratamiento por cuenta de un Responsable, el Responsable del tratamiento, determine por si solo los fines y los medios del Tratamiento de dichos Datos Personales, y que es proporcionado por el Usuario Final o en su nombre a InterSystems; con la salvedad de que los datos del Usuario Final no podrán incluir Dato Persona alguno que sea Datos de InterSystems conforme a la anterior definición.
1.7. Ley de protección de datos. «Ley de protección de datos» se refiere a todas las leyes o normativas aplicables o relacionadas con la privacidad y la recogida, el tratamiento, el uso y la protección de Datos Personales en cualquier jurisdicción aplicable a este acuerdo o a los Datos del cliente, que pueden incluir, entre otras, la Ley de protección de datos de 2018 (Reino Unido), el Reglamento General de Protección de Datos o RGPD (UE), la Ley Gramm-Leach-Bliley (EE. UU.), la Ley de Privacidad (AU) o la Ley de Privacidad de 1993 (NZ).- Propiedad de los datos.
2.1. Los datos del Usuario Final, que el Encargado del tratamiento de datos trate por cuenta del Responsable del tratamiento de datos, seguirán siendo en todo momento propiedad del Propietario de los datos.
2.2. En caso de que una Parte rescinda, por cualquier motivo, el EULSA, el Usuario Final decidirá si cada elemento de los Datos del Usuario Final, en la medida en que el Encargado del tratamiento de datos aún conserve dichos elementos, se devolverá al Usuario Final o se eliminará. El tratamiento por parte del Encargado del tratamiento de datos terminará, excepto el tratamiento requerido por la ley o que sea necesario para poner fin al EULSA.
2.3. El Responsable del tratamiento de datos puede exigir en cualquier momento al Encargado del tratamiento de datos que deje de tratar los Datos del Usuario Final y que los elimine o los devuelva al Responsable del tratamiento.
2.4. Cuando el Encargado del tratamiento de datos determine que la devolución o destrucción de los datos del Usuario Final, exigida en el presente apartado, es inviable, el Encargado del tratamiento de datos extenderá la protección de la presente Adenda a dichos Datos del Usuario Final, y limitará el procesamiento posterior de dichos Datos del Usuario Final a aquellas finalidades que hacen inviable la devolución o destrucción, en tanto el Encargado del tratamiento de datos conserve dichos Datos del Usuario Final. - Obligaciones y actividades del Encargado del tratamiento de datos.
3.1. El Encargado del tratamiento de datos se compromete a tratar los Datos de los Usuarios Finales con medidas de seguridad técnicas y organizativas del tipo que, si el Encargado del tratamiento de datos fuera el Responsable del mismo, satisfarían los requisitos de la Ley de protección de datos como el artículo 32 del RGPD, Seguridad del tratamiento, que especifica: «Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo», así como a adoptar medidas razonables para garantizar el cumplimiento de dichas medidas.
3.2. El Encargado del tratamiento de datos se compromete a tratar dichos Datos del Usuario Final únicamente con arreglo a las instrucciones que el Usuario Final periódicamente proporcione por escrito.
3.3. El Encargado del tratamiento de datos acepta que cumplirá con todas las obligaciones impuestas por la Ley de protección de datos como si fuera el Responsable del tratamiento con respecto a dichos Datos de los Usuarios Finales.
3.4. El Encargado del tratamiento de datos se compromete a garantizar que todos los miembros del personal, agentes, contratistas y otras personas que tengan acceso a Datos del Usuario Final sean advertidos de que los datos son confidenciales y no deben ser revelados a nadie que no esté sujeto a un deber de confidencialidad exigible con respecto a ellos. Sólo los miembros del personal, etc., que tengan una necesidad operativa de acceder a los Datos del Usuario Final estarán autorizados y (en términos de medidas de seguridad lógicas, físicas o de otro tipo) podrán hacerlo.
3.5. En caso de que el Encargado del tratamiento de datos desee subcontratar el tratamiento de los Datos del Usuario Final, deberá imponer a cualquier subcontratista las mismas obligaciones contractuales en materia de protección de datos y seguridad que se han establecido en los términos de la presente Adenda.
3,6. El Encargado del tratamiento de datos se compromete a informar al Responsable del tratamiento de datos con prontitud sobre cualquier violación de la seguridad de los Datos del Usuario Final en su propia organización o en la de cualquier subcontratista.
3.7. El Encargado del tratamiento de datos se compromete a garantizar que todo el personal que participe en el tratamiento de los Datos del Usuario Final reciba la formación adecuada en materia de procedimientos de protección de datos, y a identificar y mantener un registro de la formación recibida por dicho personal y del contenido de todos los cursos. El Encargado del tratamiento de datos se asegurará de que ningún otro agente o empleado del Encargado del tratamiento de datos tenga acceso a los Datos del Usuario Final.
3.8. El Encargado del tratamiento de datos acepta que los Datos del Responsable del tratamiento no se transferirán a un país o territorio ajeno a la Ley de protección de datos aplicable sin la aprobación por escrito del Usuario Final, a menos que (1) dicho país o territorio garantice un nivel adecuado de protección de los derechos y libertades de los Interesados en relación con el tratamiento de datos personales, según lo determine la correspondiente autoridad de protección de datos; (2) sin ningún incumplimiento implícito de esta disposición, cuando el Encargado del tratamiento de los datos haya suscrito Cláusulas contractuales tipo, aprobadas por la Comisión Europea, con respecto a dicha transferencia; o (3) el Encargado del tratamiento de los datos se haya obligado al cumplimiento de las Normas corporativas vinculantes aprobadas o aceptadas por una autoridad de protección de datos relevante; siempre que el Usuario Final pueda restringir dichas transferencias bajo Normas de Contratación específicas e individuales siempre y cuando el Usuario Final acepte que InterSystems no incumplirá sus obligaciones en virtud del EULSA, si InterSystems determina que dicha transferencia es necesaria para proporcionar el servicio o soporte requerido. - Obligaciones del Usuario Final.
4.1. El Usuario Final solo proporcionará Datos del Usuario Final a InterSystems cuando sea estrictamente necesario para los fines del EULSA y en pleno cumplimiento de la legislación de protección de datos, y se compromete a proporcionar únicamente los datos personales mínimos necesarios que sean relevantes para el servicio o el soporte que se proporcione.
4.2. El Usuario Final no pedirá ni exigirá al Encargado del tratamiento de datos que procese los Datos del Usuario Final de una manera que el Usuario Final no podría hacer como Responsable o de Encargado por cuenta de un Responsable; siempre que InterSystems notifique al Usuario Final rápidamente por escrito proporcionando información suficiente para describir la objeción, si InterSystems considera que cualquiera de las instrucciones del Usuario Final infringe la legislación de protección de datos. Si el Usuario Final está de acuerdo con la determinación de InterSystems de que las instrucciones del Usuario Final infringen la Legislación de Protección de Datos, entonces el Usuario Final deberá notificar a InterSystems como tal e InterSystems no estará obligado a cumplir con esa instrucción ni se considerará que InterSystems está incumpliendo el EULSA por cualquier incumplimiento de dicha instrucción. Si el Usuario Final se opone a la determinación de InterSystems de que las instrucciones del Usuario Final infringen la Legislación de Protección de Datos, entonces el Usuario Final deberá proporcionar una explicación por escrito de por qué dicha instrucción cumple con la Legislación de Protección de Datos e InterSystems podrá basarse en dicha explicación para llevar a cabo la instrucción del Usuario Final.
4.3. El Usuario Final declara y garantiza que él (o en el caso de que el Usuario Final sea un Encargado de tratamiento de datos, el correspondiente Propietario de Datos) puede Tratar los Datos del Usuario Final en la forma en que el Encargado del tratamiento de datos está autorizado a tratar Datos Personales en virtud de la presente Adenda.
4.4. El Usuario Final será responsable de utilizar en todo momento salvaguardas administrativas, físicas y técnicas para mantener y garantizar la confidencialidad, privacidad y seguridad de los Datos del Usuario Final transmitidos al Encargado del tratamiento de datos, de acuerdo con las normas y requisitos de la legislación de protección de datos, hasta que dichos Datos del Usuario Final sean recibidos por el Encargado del tratamiento de datos.
4.5. El Usuario Final deberá obtener cualquier consentimiento o autorización que pueda ser requerido por la legislación aplicable para que el Encargado del tratamiento de datos pueda prestar sus servicios bajo el EULSA - Disposiciones varias.
5.1. Referencias. En la presente Adenda, las referencias al texto del RGPD serán referencias al texto del RGPD en vigor en la correspondiente fecha de cumplimiento.
5.2. Cambios en esta Adenda. El Usuario Final acepta que InterSystems, de buena fe, pueda modificar esta Adenda o el EULSA según sea necesario para cumplir con cualquier cambio en la Legislación de Protección de Datos.
5.3. Supervivencia. Los respectivos derechos y obligaciones del Encargado del tratamiento de Datos y del Responsable del tratamiento de Datos sobrevivirán a la terminación en tanto el Encargado de Datos o el Responsable de Datos traten Datos del Usuario Final en virtud de la presente Adenda o del EULSA.
5.4. Interpretación. Cualquier ambigüedad en la presente Adenda se resolverá de forma que permita a las Partes cumplir con la Legislación de Protección de Datos. - Los derechos y obligaciones que se derivan de la presente Adenda son cumulativos, y no sustitutivos, a los derechos y obligaciones que puedan surgir entre las Partes en virtud de cualquier otro contrato o del derecho común.
- En caso de incumplimiento o presunto incumplimiento, por parte de cualquier persona, de una obligación de confidencialidad que dicha persona deba a cualquiera de las Partes en el presente documento con respecto a Datos del Usuario Final a los que dicha persona tenga o haya tenido acceso como consecuencia de la presente Adenda, la Parte a la que se deba la obligación se compromete a hacer todo lo posible para hacer cumplir la obligación en cuestión.