ADENDA PROCESAMIENTO DE DATOS

NOTA: ESTA ES UNA COPIA DEL ACUERDO DEL PROCESADOR.

Este Apéndice de Procesamiento de Datos, incluyendo el Anexo 1, (en adelante : "Acuerdo del Procesador") es un apéndice y forma parte de los Términos y Condiciones Generales de Servicio de AdPage.io o cualquier otro acuerdo escrito o electrónico entre AdPage. io y el Cliente para la compra de servicios de Seguimiento del Lado Servidor de AdPage.io (identificados como "Servicios" o de otra manera en el acuerdo aplicable, y en adelante definidos como "Servicios") (en adelante : el "Acuerdo") para dar forma al acuerdo entre las Partes con respecto al Procesamiento de Datos Personales. El Cliente celebra el presente Acuerdo de Procesador en su propio nombre y, en la medida en que lo exijan las leyes y reglamentos aplicables en materia de protección de datos. Durante la prestación de los Servicios al Cliente en virtud del Acuerdo, AdPage.io puede procesar Datos Personales en nombre del Cliente y las Partes se comprometen a cumplir con las siguientes disposiciones en relación con los Datos Personales, cada uno actuando razonablemente y de buena fe.

‍

CÓMO APLICAR ESTE ACUERDO DE PROCESADOR:

1. Este Acuerdo de Transformación consta de dos partes: el texto principal del Acuerdo de Transformación, el Anexo 1 y los anexos relacionados.
2. Este Acuerdo de Procesador está pre-firmado en nombre de AdPage.io como procesador. El Anexo I está prefirmado por AdPage.io como importador de datos.
3. Para completar este Acuerdo de Procesador, el Cliente debe:Completar la información en la casilla de firma en y firmar en las páginas 5 y 19.Firmar el documento en el portal de AdPage Tagging.

CÓMO SE APLICA ESTE ACUERDO DE PROCESADOR

A menos que se estipule expresamente lo contrario en el Acuerdo, este Acuerdo de Procesador será legalmente vinculante cuando AdPage.io reciba el Acuerdo de Procesador válidamente cumplimentado en support@adpage.io.

Para evitar cualquier duda, la firma del Acuerdo de Procesador en la página 5 se considera como la firma y aceptación de las Cláusulas Contractuales Estándar, incluyendo el Anexo II y el Anexo III. Si el Cliente que firma este Acuerdo de Procesador es una parte del Acuerdo, entonces este Acuerdo de Procesador es un apéndice y forma parte del Acuerdo. En ese caso, AdPage.io es parte de este Acuerdo de Procesador.

SE ACUERDA LO SIGUIENTE

1. Definiciones e interpretación

1.1 En el presente Acuerdo de Procesador, los siguientes términos tendrán el significado que se indica a continuación:
‍

AdPage.io: es un nombre comercial de AdPage BV (KVK: 75440482), cuyo domicilio social es: Velmolenweg 54 A 5404 LD, Uden Países Bajos. También denominado "Procesador".

Acuerdo: significa el acuerdo escrito o electrónico entre AdPage.io y el Cliente para la compra de servicios de Seguimiento del Lado Servidor de AdPage.io.

Disposiciones: módulo dos (Transferencias entre responsables y encargados del tratamiento) de las Cláusulas Tipo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, tal y como se establece en el anexo 1 del presente acuerdo de encargado del tratamiento.

Cliente: se refiere a la persona jurídica o Consumidor con el que AdPage.io ha suscrito un acuerdo legalmente vinculante. También denominado "Controlador".

Responsable del tratamiento: la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de datos personales.

Datos del Cliente: incluye todos los datos e información proporcionados a AdPage.io por o para el Cliente con el fin de prestar los Servicios.

Acuerdo de Procesamiento: es el presente Apéndice de Procesamiento de Datos, incluidos sus anexos, en su versión modificada periódicamente.

Por leyes de protección de datos se entiende todas las leyes aplicables relativas a la protección de datos personales o la privacidad vigentes en cada momento en el Espacio Económico Europeo y el Reino Unido, incluidas (entre otras) la GDPR de la UE, la GDPR del Reino Unido y la Ley de Protección de Datos del Reino Unido de 2018, así como cualquier otra ley aplicable relativa a la protección de datos o la privacidad de las personas.

GDPR de la UE o "AVG " significa Reglamento General de Protección de Datos de la UE 2016/679.Partes: tanto AdPage.io como el Cliente.

Datos personales significa cualquier información relativa a una persona viva identificada o identificable tratada por el procesador en nombre del controlador como resultado de, o en relación con, la prestación de los servicios en virtud del Acuerdo, cuyos detalles se establecen en la Parte B del Anexo I del Anexo 1 del presente Acuerdo de procesador, que puede ser modificado de vez en cuando por mutuo acuerdo entre las Partes.

Encargado del tratamiento: persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del Responsable del tratamiento.

Servicio(s): Cualquier Servicio puesto a disposición de los Clientes a través de la plataforma en línea de AdPage.io, plugins, sitios web de terceros o cualquier otro Servicio ofrecido por AdPage.io.

1.2 Los términos "tercer país", "Estado miembro", "interesado", "violación de datos personales", "tratamiento" y "autoridad de control" tendrán el mismo significado que en el RGPD de la UE, y sus términos correspondientes se interpretarán en consecuencia.

1.3 En caso de conflicto o ambigüedad entre:

1.3.1 una disposición del cuerpo de este Acuerdo de Procesador y una disposición del Anexo 1, prevalecerá la disposición del Anexo 1; y

1.3.2 cualquiera de las disposiciones de este Acuerdo de Procesador y las disposiciones del propio Acuerdo, las disposiciones de este Acuerdo de Procesador prevalecerán en relación con el objeto de este Acuerdo de Procesador.

‍

ANTECEDENTES

(A) El cliente tiene un sitio web o una tienda virtual y quiere conseguir más clientes potenciales y ventas.

(B) AdPage.io es un proveedor de servicios especializados de análisis Server Side Tracking , y el Cliente desea adquirir los servicios de AdPage.io en relación con la correcta medición de los resultados de los anuncios mediante el uso del servidor Proxy.

(C) Las partes han celebrado un Acuerdo en el que se establece el marco jurídico en virtud del cual AdPage.io ayudará al Cliente y en virtud del cual AdPage.io ha acordado prestar los Servicios al Cliente.

(D) Los Servicios prestados por AdPage.io en virtud del Acuerdo permiten a AdPage.io acceder y procesar Datos Personales (tal como se definen anteriormente) como Procesador en nombre del Cliente (que actúa como Controlador).

(E) Para garantizar el procesamiento seguro, preciso y legal de los Datos Personales por parte de AdPage.io en nombre del Cliente, las Partes han acordado los términos establecidos en el presente anexo de procesamiento de datos.

‍

2. Papel y obligaciones de las partes

2.1 El Cliente y AdPage.io acuerdan y reconocen que:

2.1.1. A efectos de las leyes de protección de datos, AdPage.io actúa como procesador en nombre del cliente (actuando como procesador);

2.1.2 el tratamiento de Datos Personales por parte de AdPage.io se rige por las Cláusulas Contractuales Tipo (tal y como se establecen en el Anexo 1 del presente Acuerdo de Procesamiento); y

2.1.3 A efectos de las Cláusulas Contractuales Tipo, el cliente es el exportador de datos y AdPage.io es el importador de datos;

2.1.4 es responsabilidad del Cliente habilitar la seudonimización de los datos personales. Si se desactiva la seudonimización, Adpage no puede garantizar que se hayan tomado las medidas adicionales adecuadas para asegurar la equivalencia esencial con los niveles de protección de la UE.

3. Supresión o devolución de datos personales del responsable del tratamiento

3.1 Con sujeción a la cláusula 5.3 (Duración y terminación), las obligaciones de AdPage.io establecidas en la cláusula 8.5 de las Condiciones Generales del Servicio deberán cumplirse en un plazo de 30 días a partir de la finalización de la prestación de los Servicios en virtud del Acuerdo.

3.2 AdPage.io podrá almacenar Datos Personales en la medida en que lo exija la legislación de la UE, del Reino Unido o de los Estados miembros y sólo en la medida y durante el tiempo que lo exija la legislación de la UE, del Reino Unido o de los Estados miembros, y siempre con la condición de que AdPage.io salvaguarde la confidencialidad de todos esos Datos Personales y garantice que dichos Datos Personales sólo se procesen en la medida necesaria para los fines especificados en la legislación pertinente de la UE, del Reino Unido o de los Estados miembros que exija su almacenamiento y para ningún otro fin.

4. Asistencia prestada de conformidad con el ANEXO 1

4.1. AdPage.io proporcionará la asistencia descrita en los artículos 8.3, 8.6 y 10 de las Condiciones contractuales tipo sin coste adicional para el Cliente.

Plazo y terminación

5.1 El presente Acuerdo de Procesador entrará en vigor en el momento en que AdPage.io reciba el Acuerdo de Procesador válidamente cumplimentado en la dirección de correo electrónico y finalizará en la última de las siguientes fechas:

(i) la fecha en la que finalice el Acuerdo; o
(ii) la fecha en la que AdPage.io deje de procesar los Datos Personales.

‍
5.2 Cualquier disposición de este Acuerdo de Procesador expresa o implícitamente destinada a entrar en vigor o permanecer en vigor en o después de la terminación de este Acuerdo de Procesador permanecerá en pleno vigor y efecto.

5.3 La rescisión o expiración del presente Acuerdo de Procesamiento no afectará a los derechos, recursos, obligaciones o responsabilidades de las Partes que hayan surgido hasta la fecha de rescisión o expiración, incluido el derecho a reclamar daños y perjuicios en relación con cualquier incumplimiento del presente Acuerdo de Procesamiento que existiera en la fecha de rescisión o expiración o con anterioridad a la misma.

6. responsabilidad

6.1 Sujeto a la cláusula 6.2, la responsabilidad de cada Parte con respecto a cualquier reclamación, pérdida, procedimiento, acción o sanción legal que surja de o en relación con este Acuerdo de Procesador se regirá por los términos del Acuerdo y no será modificada por este Acuerdo de Procesador.

6.2 No obstante lo anterior, nada de lo dispuesto en el presente Contrato de Procesador o en el Contrato limita la responsabilidad de cualquiera de las Partes con respecto a sus obligaciones en virtud de las Cláusulas Contractuales Tipo.

7. varios

7.1 Todas las notificaciones a una de las Partes en virtud del presente Acuerdo de Procesamiento se harán por escrito y se enviarán a la dirección que figura al principio del presente Acuerdo de Procesamiento o a cualquier otra dirección notificada por escrito por una de las Partes.

7.2 El hecho de que una Parte no ejerza sus derechos en virtud del presente Acuerdo de Procesador o en relación con el mismo no constituirá una renuncia a dichos derechos ni menoscabará de otro modo tales derechos.

7.3 El presente Acuerdo de Procesador sólo podrá modificarse mediante un acuerdo por escrito entre las Partes.

7.4 Si alguna disposición de este Acuerdo de Procesador es declarada nula o inaplicable por un juzgado o tribunal con jurisdicción competente, las restantes disposiciones de este Acuerdo de Procesador permanecerán en vigor, a menos que estas últimas disposiciones deban considerarse inextricablemente vinculadas a la disposición nula o inaplicable. En caso de que las demás disposiciones sigan siendo válidas, ambas Partes se esforzarán por sustituir la disposición nula o inaplicable por una disposición válida que refleje en la medida de lo posible la intención original de las Partes.

8. Derecho aplicable

Este Acuerdo de Procesador y cualquier disputa o reclamación que surja de o en relación con este Acuerdo de Procesador (incluyendo disputas o reclamaciones no contractuales) se regirán e interpretarán de acuerdo con las leyes de los Países Bajos. Cada una de las Partes acepta irrevocablemente que el Tribunal de Den Bosch en los Países Bajos tendrá jurisdicción exclusiva para resolver cualquier disputa o reclamación que surja de o en relación con este Acuerdo de Procesador (incluyendo disputas o reclamaciones no contractuales).

‍

Ejecutado en dos (2) originales, acusando cada parte recibo de una (1) copia original.

NOTA: ESTA ES UNA COPIA DEL ACUERDO DEL PROCESADOR.

‍

ANEXO 1 - CLÁUSULAS CONTRACTUALES TIPO

SECCIÓN I
Disposición 1
Objeto y ámbito de aplicación

(a) El objetivo de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos establecidos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos, RGPD) (1) para la transferencia de datos personales a un tercer país.

(b) Las partes:

(i) las personas físicas o jurídicas y las instituciones, órganos y organismos públicos (en lo sucesivo denominados "entidades") que transfieran los datos personales mencionados en el Anexo I.A ("exportador de datos"); y

(ii) las entidades de un tercer país que reciban los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea parte de estas cláusulas, enumeradas en el Anexo I.A (en lo sucesivo, "importador de datos")

han acordado las presentes cláusulas contractuales tipo (en lo sucesivo denominadas "cláusulas").

(c) Estas disposiciones se aplican a la transferencia de datos personales según lo establecido en el Anexo I.B.

(d) El Apéndice de estas disposiciones que contiene los Anexos a los que se hace referencia en el mismo forma parte integrante de estas disposiciones.

‍

Determinación 2

Efecto e inmutabilidad de las provisiones

(a) Las presentes disposiciones establecerán las garantías adecuadas, incluidos los derechos exigibles de los interesados y las vías de recurso efectivas, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679, así como, en relación con las transferencias de datos de responsables a encargados del tratamiento y/o de encargados a encargados del tratamiento, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen salvo para seleccionar el módulo o módulos adecuados o para añadir o modificar información del apéndice. Esto no implica que las partes no puedan incorporar las cláusulas contractuales tipo establecidas en estas disposiciones a un acuerdo más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan directa o indirectamente estas disposiciones y no vulneren los derechos o libertades fundamentales de las personas afectadas.

(b) Estas disposiciones se entienden sin perjuicio de las obligaciones del exportador de datos en virtud del Reglamento (UE) 2016/679.

‍

Disposición 3
Terceros beneficiarios

Los interesados podrán invocar y hacer valer estas disposiciones como terceros beneficiarios contra el exportador de datos y/o el importador de datos, con las siguientes excepciones:

(i) Disposición 1, Disposición 2, Disposición 3, Disposición 6, Disposición 7;

(ii) Disposición 8 - módulo uno: Disposición 8.5(e) y Disposición 8.9(b); Módulo dos: Disposición 8.1(b), Disposición 8.9(a), (c), (d) y (e); Módulo tres: Disposición 8.1(a), (c) y (d) y Disposición 8.9(a), (c), (d), (e), (f) y (g); Módulo cuatro: Disposición 8.1(b) y Disposición 8.3(b);

(iii) Disposición 9 - módulo dos: Disposición 9, puntos (a), (c), (d) y (e); Módulo tres: Disposición 9, puntos (a), (c), (d) y (e);

(iv) Disposición 12 - módulo uno: Disposición 12, puntos (a) y (d); Módulos dos y tres: Disposición 12, puntos (a), (d) y (f);

(v) Disposición 13;

(vi) Disposición 15.1(c), (d) y (e);

(vii) Disposición 16(e);

(viii) Disposición 18: módulos uno, dos y tres: Disposición 18.a) y b); Módulo cuatro: Disposición 18.Punto a) no afecta a los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

‍

Determinación 4
Interpretación

(a) Cuando, en estas disposiciones, se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

(b) Estas disposiciones se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.

(c) Estas disposiciones no se interpretarán de manera incompatible con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.

‍

Disposición 5
Jerarquía

En caso de contradicción entre estas disposiciones y las disposiciones de los acuerdos relacionados entre las partes que existían en el momento en que se acordaron estas disposiciones o celebrados con posterioridad, prevalecerán estas disposiciones.

‍

Disposición 6
Descripción de la(s)transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales transferidos y la finalidad para la que se transfieren, se especifican en el Anexo I.B.

Disposición 7 -Disposición opcionalde acoplamiento

(omitida)

‍

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Disposición 8
Garantías de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar si el importador de datos, mediante la aplicación de medidas técnicas y organizativas adecuadas, es capaz de cumplir sus obligaciones en virtud de estas cláusulas.

8.1. Instrucciones
a) El importador de datos tratará los datos personales únicamente sobre la base de instrucciones escritas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante la vigencia del acuerdo.
(b) El importador de datos notificará inmediatamente al exportador de datos si no puede cumplir dichas instrucciones.

8.2. Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para la finalidad específica de la transferencia, que figura en el anexo I.B, a menos que se base en otras instrucciones del exportador de datos.

8.3. Transparencia
Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia de las presentes cláusulas, incluido el Apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas y los datos personales descritos en el Anexo II, el exportador de datos podrá redactar parte del texto del Apéndice de estas cláusulas antes de compartir una copia, pero deberá proporcionar un resumen pertinente al hacerlo si, de lo contrario, el interesado no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos de la supresión, en la medida de lo posible sin revelar la información suprimida. Esta disposición se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4. Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o no están actualizados, lo notificará sin demora al exportador de datos. En este caso, el importador de datos cooperará con el exportador de datos para suprimir o rectificar los datos.

8.5. Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos sólo tendrá lugar durante el periodo especificado en el Anexo I.B. Una vez finalizada la prestación de servicios de tratamiento, el importador de datos, a petición del exportador de datos, o bien borrará todos los datos personales tratados por cuenta del exportador de datos y garantizará a éste que lo ha hecho, o bien devolverá al exportador de datos todos los datos personales tratados por cuenta de éste y suprimirá las copias existentes. Hasta que los datos hayan sido borrados o devueltos, el importador de datos deberá seguir garantizando el cumplimiento de estas disposiciones. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o la supresión de los datos personales transferidos, el importador de datos garantiza que seguirá cumpliendo estas disposiciones y que procesará los datos personales únicamente en la medida y durante el tiempo que lo exija dicha legislación local. Esto se entiende sin perjuicio de la cláusula 14, en particular el requisito de que el importador de datos, en virtud de la cláusula 14(e), notifique al exportador de datos durante toda la vigencia del acuerdo si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas incompatibles con los requisitos de la cláusula 14(a).

8.6. Seguridad del tratamiento
a) El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de dichos datos (en lo sucesivo, "violación de los datos personales"). A la hora de evaluar el nivel de seguridad adecuado, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que éste entrañe para los interesados. En particular, las Partes considerarán la posibilidad de utilizar el cifrado o la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda alcanzarse de este modo. Con la seudonimización, los datos adicionales para vincular los datos personales a un interesado concreto permanecen, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de su obligación en virtud del presente apartado, el importador de datos aplicará como mínimo las medidas técnicas y organizativas establecidas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que dichas medidas siguen proporcionando un nivel de seguridad adecuado.

(b) El importador de datos concederá a su personal acceso a los datos personales sólo en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del acuerdo. Se asegurará de que las personas autorizadas a tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén vinculadas por una obligación legal adecuada de confidencialidad.

(c) En caso de violación de datos personales que afecten a datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. Tras tener conocimiento de la violación, el importador de datos también lo notificará sin demora al exportador de datos. Dicha notificación incluirá los datos de un punto de contacto del que pueda obtenerse más información, una descripción de la naturaleza de la violación en la que se especifiquen, cuando sea posible, las categorías de interesados y de registros de datos personales afectados y, aproximadamente, el número de interesados y de registros de datos personales afectados), sus consecuencias probables y las medidas propuestas o adoptadas para hacer frente a la violación, incluidas, en su caso, medidas para atenuar sus efectos adversos. Cuando y en la medida en que no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y posteriormente se facilitará sin demora más información, en cuanto esté disponible.

(d) Teniendo en cuenta la naturaleza del tratamiento y la información de que disponga, el importador de datos cooperará con el exportador de datos y le prestará asistencia para que pueda cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular la notificación a la autoridad de control competente y a los interesados afectados.

8.7. Datos sensibles
Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona, datos relativos a la salud, o datos relativos al comportamiento sexual o a la orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo denominados "datos sensibles"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales establecidas en el anexo I.B.

8.8. Transferencias ulteriores
El importador de datos sólo transferirá los datos personales a un tercero siguiendo instrucciones escritas del exportador de datos. Además, los datos sólo se facilitarán a un tercero situado fuera de la Unión Europea (4) (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, "transferencia ulterior") si el tercero está vinculado por estas disposiciones o acepta estarlo, de conformidad con el módulo correspondiente, o si:

(i) la transferencia ulterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 al que está sujeta la transferencia ulterior;

(ii) el tercero garantice de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

iii) la transferencia ulterior sea necesaria para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de determinados procedimientos administrativos, reglamentarios o judiciales; o bien

(iv) la transferencia ulterior sea necesaria para proteger los intereses vitales del interesado o de otra persona física.Las transferencias ulteriores sólo podrán tener lugar si el importador de datos cumple todas las demás salvaguardias previstas en estas disposiciones, en particular la limitación de la finalidad.

8.9. Documentación y cumplimiento

(a) El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos en relación con el tratamiento previsto en estas disposiciones.

(b) Las partes deberán poder demostrar el cumplimiento de estas disposiciones. En particular, el importador de datos deberá conservar la documentación adecuada de las actividades de tratamiento realizadas bajo su responsabilidad por cuenta del exportador de datos.

(c) A petición del exportador de datos, el importador de datos pondrá a su disposición toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas, para permitir y contribuir a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas a intervalos razonables o cuando haya pruebas de incumplimiento. A la hora de decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que obren en poder del importador de datos.

(d) El exportador de datos podrá optar por realizar él mismo la auditoría o autorizar a un auditor independiente para que lo haga. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.

(e) Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en los apartados b) y c), incluidos los resultados de cualquier auditoría.

Disposición 9
Uso de subencargados del tratamiento
a) El importador de datos cuenta con el consentimiento general del exportador de datos para emplear subencargados del tratamiento de una lista acordada. El importador de datos notificará específicamente por escrito al exportador de datos, al menos con [especificar el plazo] de antelación, cualquier cambio previsto en esa lista mediante la adición o sustitución de subencargados del tratamiento, de modo que el exportador de datos disponga de tiempo suficiente para oponerse a esos cambios antes de que se emplee al subencargado o subencargados del tratamiento. El importador de datos facilitará al exportador de datos la información que necesite para ejercer su derecho de oposición.

(b) Cuando el importador de datos contrate a un subencargado del tratamiento para que lleve a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un acuerdo escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las que incumben al importador de datos en virtud de las presentes cláusulas, incluso en lo que respecta a los derechos de terceros para los interesados (8). Las partes acuerdan que el importador de datos cumplirá sus obligaciones en virtud de la cláusula 8.8 mediante el cumplimiento de la presente cláusula. El importador de datos se asegurará de que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de estas disposiciones.

(c) El importador de datos proporcionará una copia de dicho acuerdo con el subencargado del tratamiento y de cualquier modificación posterior al exportador de datos a petición de éste. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.

(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento por el subencargado del tratamiento de las obligaciones que le incumban en virtud de su acuerdo con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho acuerdo.

(e) El importador de datos acordará con el subencargado del tratamiento una cláusula de terceros en virtud de la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado en quiebra, el exportador de datos tendrá derecho a rescindir el contrato con el subencargado del tratamiento y a ordenar a éste que suprima o devuelva los datos personales.

Disposición 10
Derechos de los interesados

(a) El importador de datos notificará sin demora al exportador de datos cualquier solicitud recibida de un interesado. No responderá por sí mismo a dicha solicitud a menos que el exportador de datos le autorice a hacerlo.

(b) El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos con arreglo al Reglamento (UE) 2016/679. A este respecto, las partes establecerán en el anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento sobre cuya base se presta la asistencia, así como el ámbito y el alcance de la asistencia requerida.

(c) En el cumplimiento de sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del exportador de datos.

Disposición 11
Historia

(a) El importador de datos informará a los interesados de un punto de contacto autorizado para tramitar las reclamaciones mediante un aviso individual o en su sitio web, en un formato transparente y de fácil acceso. Tramitará sin demora las reclamaciones recibidas de un interesado.

(b) En caso de disputa entre una parte afectada y una de las partes en relación con el cumplimiento de estas disposiciones, dicha parte hará todo lo posible por resolver el asunto de forma amistosa y oportuna. Las partes se mantendrán mutuamente informadas de tales disputas y, cuando proceda, cooperarán para resolverlas.

(c) Cuando el interesado invoque un derecho en beneficio de terceros con arreglo a la cláusula 3, el importador de datos aceptará la decisión del interesado de:

(i) presentar una reclamación ante la autoridad de control del Estado miembro en el que resida o trabaje habitualmente, o ante la autoridad de control competente en virtud de la cláusula 13;

(ii) someter el litigio a los tribunales competentes en el sentido de la cláusula 18.

(d) Las partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

(El importador de datos acepta que la elección del interesado no afecta a sus derechos sustantivos y formales de recurso en virtud de la legislación aplicable.

Provisión 12
Pasivo

(a) Cada parte será responsable ante la(s) otra(s) por los daños que cause a la(s) otra(s) por incumplimiento de estas disposiciones.

(b) El importador de datos será responsable ante el interesado y éste tendrá derecho a obtener una indemnización por cualquier daño material o inmaterial causado al interesado por el importador de datos o su subencargado al violar los derechos en beneficio de terceros en virtud de estas disposiciones.

(c) No obstante lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado y éste tendrá derecho a obtener una indemnización por cualquier daño material o moral que el exportador de datos o el importador de datos (o su subencargado del tratamiento) le haya causado al infringir los derechos en nombre de terceros en virtud de las presentes cláusulas. Esto no afecta a la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, a la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, si procede.

(d) Las partes acuerdan que si el exportador de datos es considerado responsable en virtud de (c) de los daños causados por el importador de datos (o su subprocesador), tendrá derecho a recuperar del importador de datos la parte de los daños correspondiente a la responsabilidad del importador de datos por los daños.

(e) Cuando más de una parte sea responsable de los daños causados al interesado como consecuencia de infracciones de estas disposiciones, todas las partes responsables serán solidariamente responsables y el interesado tendrá derecho a entablar acciones contra dichas partes ante los tribunales.

(f) Las partes acuerdan que si una de las partes es declarada responsable en virtud del párrafo (e), dicha parte tendrá derecho a recuperar de la otra parte o partes la parte de la indemnización correspondiente a su cuota de responsabilidad por los daños.

(g) El importador de datos no podrá basarse en la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Disposición 13
Supervisión

(a) La autoridad de control que supervise el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en relación con la transferencia de datos, tal como se indica en el anexo I.C, actuará como autoridad de control competente.

(b) El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en los procedimientos destinados a garantizar el cumplimiento de estas disposiciones. En particular, el importador de datos acepta responder a preguntas, someterse a auditorías y cumplir las medidas, incluidas las correctivas y compensatorias, adoptadas por la autoridad de control. Asimismo, confirmará por escrito a la autoridad de control que se han adoptado las medidas necesarias.

‍

SECCIÓN III - LEYES LOCALES Y OBLIGACIONES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

Disposición 14
Leyes y prácticas locales que afectan al cumplimiento
a) Las partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos para facilitar datos personales o las medidas que permiten el acceso de las autoridades públicas, impedirán al importador de datos cumplir sus obligaciones en virtud de las presentes cláusulas. Esto se basa en que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no van más allá de lo necesario y proporcionado en una sociedad democrática para garantizar cualquiera de los objetivos establecidos en el artículo 23, apartado 1, del Reglamento (UE) 2016/679 no contradicen estas disposiciones.

(b) Las Partes declaran que, al proporcionar la garantía mencionada en el apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:

(i) las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales utilizados para la transmisión; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transmitidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transmitidos;

(ii) las leyes y prácticas del tercer país de destino -incluidas las que exigen que los datos se faciliten a las autoridades públicas o permiten el acceso de dichas autoridades- que sean pertinentes a la luz de las circunstancias específicas de la transferencia, y las restricciones y salvaguardias aplicables (12);

(iii) las garantías contractuales, técnicas u organizativas pertinentes que se hayan establecido además de las garantías previstas en las presentes disposiciones, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

‍

(c) El importador de datos garantiza que ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente para llevar a cabo la evaluación prevista en el apartado (b) y se compromete a seguir cooperando con el exportador de datos para garantizar el cumplimiento de estas disposiciones.

(d) Las Partes acuerdan documentar la evaluación prevista en el apartado (b) y ponerla a disposición de la autoridad de control competente a petición de ésta.

(e) El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado estas disposiciones y mientras dure el acuerdo, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no cumplen los requisitos de la letra a), incluso como consecuencia de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no cumple los requisitos de la letra a). [Para el módulo tres: El exportador de datos remitirá la notificación al responsable del tratamiento].

(f) Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no está en condiciones de cumplir las obligaciones que le incumben en virtud de las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la fiabilidad y la confidencialidad) que deberán aplicar el exportador de datos y/o el importador de datos para hacer frente a la situación, [para el módulo tres:, en consulta con el responsable del tratamiento cuando proceda]. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o basándose en las instrucciones de [para el módulo tres: el responsable del tratamiento o] la autoridad de control competente a tal efecto. En este caso, el exportador de datos tendrá derecho a rescindir el acuerdo en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes cláusulas. Si hay más de dos partes implicadas, el exportador de datos podrá ejercer su derecho a rescindir el acuerdo únicamente en relación con la parte afectada, a menos que las partes acuerden otra cosa. Si el acuerdo se rescinde de conformidad con esta disposición, se aplicarán las letras d) y e) de la cláusula 16.

‍

Disposición 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas

15.1. Notificación
a) El importador de datos se compromete a notificar sin demora al exportador de datos y, en la medida de lo posible, al interesado (con la asistencia del exportador de datos, si fuera necesario) si:

(i) reciba de una autoridad pública, incluidas las autoridades judiciales, una solicitud jurídicamente vinculante de divulgación de datos personales transmitidos de conformidad con estas disposiciones con arreglo a la legislación del país de destino; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad requirente, la base jurídica de la solicitud y la respuesta dada; o bien

(ii) haya tenido conocimiento del acceso directo por parte de las autoridades públicas a los datos personales transmitidos en virtud de estas disposiciones de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.

(b) Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos acuerda hacer todo lo posible para obviar la prohibición con el fin de comunicar toda la información posible lo antes posible. El importador de datos se compromete a documentar estos esfuerzos para poder demostrarlos a petición del exportador de datos.

(c) Si la legislación del país de destino lo permite, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del acuerdo, toda la información pertinente posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, si se impugnó alguna solicitud y cuál fue el resultado, etc.). [Para el módulo tres: El exportador de datos remitirá la información al responsable del tratamiento].

(d) El importador de datos se compromete a conservar la información de conformidad con las letras a) a c) durante la vigencia del acuerdo y a ponerla a disposición de la autoridad de control competente a petición de ésta.

(e) Los puntos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos en virtud de la cláusula 14(e) y la cláusula 16 de notificar con prontitud al exportador de datos cuando no pueda cumplir con dichas cláusulas.

15.2. Revisión de la legalidad y minimización de datos

(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si está dentro de los poderes conferidos a la autoridad pública solicitante, y a impugnar la solicitud si, tras una revisión cuidadosa, llega a la conclusión de que existen motivos razonables para creer que la solicitud es ilegal en virtud de las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de cortesía internacional. En estas circunstancias, el importador de datos deberá hacer uso de los recursos de que disponga. Cuando impugne una solicitud, el importador de datos adoptará medidas provisionales para suspender los efectos de la solicitud hasta que el tribunal competente se haya pronunciado sobre el fondo de la misma. Sólo facilitará los datos personales solicitados cuando así se lo exijan los requisitos procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la cláusula 14(e).

(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También pondrá estos documentos a disposición de la autoridad de control competente cuando ésta lo solicite. [Para el módulo tres: El exportador de datos pondrá la evaluación a disposición del responsable del tratamiento].

(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

‍

SECCIÓN IV - DISPOSICIONES FINALES

Disposición 16
Incumplimiento y rescisión
a) El importador de datos notificará sin demora al exportador de datos si por cualquier motivo no puede cumplir estas disposiciones.

(b) Si el importador de datos infringe o incumple estas cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se restablezca el cumplimiento o se rescinda el acuerdo. Esto es sin perjuicio de la cláusula 14(f).

(c) El exportador de datos tiene derecho a rescindir el acuerdo, en la medida en que esté relacionado con el tratamiento de datos personales en virtud de estas cláusulas, cuando:

(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con la letra b) y no se restablezcan las disposiciones en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;

(ii) el importador de datos incumple de forma material y persistente estas disposiciones; o

(iii) el importador de datos incumpla una decisión vinculante de un tribunal o autoridad competente en relación con sus obligaciones en virtud de estas disposiciones.

En tal caso, notificará dicho incumplimiento a la autoridad de control competente [para el módulo tres: y al responsable del tratamiento]. Cuando el acuerdo implique a más de dos partes, el exportador de datos podrá ejercer su derecho a rescindir el acuerdo únicamente en relación con la parte afectada, a menos que las partes acuerden otra cosa.

(d) Los datos personales transferidos de conformidad con la letra c) antes de la terminación del acuerdo se devolverán inmediatamente en su totalidad al exportador de datos o se suprimirán, según desee el exportador de datos. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos garantizará al exportador de datos que los datos han sido borrados. Hasta que los datos hayan sido borrados o devueltos, el importador de datos seguirá garantizando el cumplimiento de estas disposiciones. En caso de que exista alguna ley local aplicable al importador de datos en virtud de la cual se prohíba la devolución o el borrado de los datos personales transmitidos, el importador de datos garantizará que seguirá cumpliendo estas disposiciones y que procesará los datos únicamente en la medida y durante el tiempo que lo exija dicha ley local.

(e) Cualquiera de las partes podrá retirar su consentimiento a quedar vinculada por estas disposiciones cuando i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que se refiera a la transferencia de datos personales a los que se aplican estas disposiciones; o ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento pertinente en virtud del Reglamento (UE) 2016/679.

Disposición 17
Legislación aplicable
‍Estasdisposiciones se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación contemple derechos en beneficio de terceros. Las partes acuerdan que ésta es la ley de los Países Bajos.

Disposición 18
Foro y jurisdicción
a) Los litigios derivados de estas disposiciones serán resueltos por los tribunales de un Estado miembro de la UE.

(b) Las partes acuerdan que se trata de los tribunales de los Países Bajos.

(c) El interesado también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

(d) Las partes acuerdan someterse a la jurisdicción de dichos tribunales.

ANEXO IA.
LISTA DE LAS PARTES
Exportador(es) de datos:
Nombre: [Nombre]

Dirección: Nombre, cargo y datos de la persona de contacto:Actividades relacionadas con los datos transmitidos en virtud de las presentes disposiciones: La recepción por parte del exportador de servicios especializados de análisis Server Side Tracking del importador relativos a la medición adecuada de los resultados publicitarios mediante el servidor Proxy, tal y como se establece con más detalle en el Acuerdo entre el exportador y el importador.

NOTA: ESTA ES UNA COPIA DEL ACUERDO DEL PROCESADOR.

Importador(es) de datos:
Nombre: AdPage BV
Dirección: Velmolenweg 54 A 5404 LD, Uden, Países Bajos

Nombre, cargo y datos de la persona de contacto:

Actividades relacionadas con los datos transmitidos en virtud de las presentes disposiciones: La prestación por parte del importador de servicios analíticos especializados de Server Side Tracking al exportador relacionados con la medición adecuada de los resultados publicitarios mediante el uso del servidor Proxy, tal y como se establece con más detalle en el Acuerdo entre el exportador y el importador.

‍

B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de interesados cuyos datos personales se transfieren
Clientes, clientes potenciales y visitantes del sitio web del Cliente.

Categorías de datos personales transmitidos

Los datos que se transferirán para analizar y medir los resultados publicitarios incluyen:
- Sitio web;
- Seguimiento de enlaces en las URL;
- ID de usuario;
- Dirección IP;
- Otros identificadores (CRM, identificador único, etc.);
- Otros datos identificativos como dirección de correo electrónico, nombre, apellidos, número de teléfono; y
- Datos seudonimizados.

Datos sensibles transmitidos y restricciones o salvaguardias aplicables

Los Datos Personales transmitidos se refieren a las siguientes categorías especiales de datos: [marque la casilla]
◻ datos personales que revelen el origen racial o étnico;
◻ opiniones políticas;
◻ convicciones religiosas o filosóficas;
◻ afiliación sindical;
◻ datos genéticos;
◻ datos biométricos destinados a identificar de manera unívoca a una persona física;
◻ datos sobre la salud;
◻ datos sobre el comportamiento sexual o la orientación sexual de una persona física.

La frecuencia del doogifte

La transmisión de datos es continua en función del uso de los Servicios.

Naturaleza del tratamiento

Los Datos Personales transferidos están sujetos a las siguientes actividades de procesamiento:
- Los datos se seudonimizan y se transmiten al lado del servidor de Google Tag Manager;
- Los datos filtrados se utilizan para medir los resultados de la publicidad.

Finalidad de la transferencia de datos y tratamiento posterior

La finalidad de la transferencia y el tratamiento es necesaria para llevar a cabo los servicios de análisis y medición de los resultados publicitarios según las instrucciones del Procesador.

Período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar dicho período

A menos que el exportador de datos indique al importador de datos que devuelva o elimine los datos antes, todos los identificadores personales se conservarán durante un máximo de 6 (seis) meses. Transcurrido este periodo, todos los datos personales se eliminarán de forma irrevocable.

Transferencias a (sub)procesadores
Los datos personales pueden transferirse a subprocesadores.El Anexo III contiene una lista completa de subprocesadores aprobados.

C. AUTORIDADDE SUPERVISIÓN COMPETENTE
De conformidad con la cláusula 13, la autoridad de supervisión competente es la Autoridad Holandesa de Datos Personales, 2509 AJ La Haya, Países Bajos.

ANEXO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, Adpage aplicará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo:

- Medidas para la seudonimización y el cifrado de los datos personales;
- Medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento;
- Medidas para garantizar que la disponibilidad de los datos personales y el acceso a los mismos puedan restablecerse oportunamente en caso de incidente físico o técnico;
- Procesos para probar, valorar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Si el Consumidor lo permite, Adpage se asegurará de que los datos se seudonimizan antes de compartirlos con Google Tag Manager Sever Side.
‍Teniendoen cuenta las Recomendaciones 01/2020 del Consejo Europeo de Protección de Datos (CEPD) sobre medidas complementarias a los instrumentos de transferencia ulterior para garantizar el cumplimiento del nivel de protección de los datos personales en la Unión, versión 2.0, adoptada el 18 de junio de 2021, la seudonimización se considera una medida complementaria suficiente y eficaz para garantizar la seguridad de los datos cuando la transferencia tiene lugar a un tercer país; si el encargado del tratamiento primero seudonimiza los datos que obran en su poder y luego los transfiere a un tercer país para su análisis, por ejemplo, con fines de seguimiento publicitario.

Lo anterior se justifica bajo cuatro condiciones:

1. El exportador de datos transfiere los datos personales tratados de tal forma que los datos personales ya no pueden vincularse a un interesado concreto, ni utilizarse para individualizar al interesado en un grupo más amplio, sin utilizar datos suplementarios.

2. Dichos datos adicionales obran exclusivamente en poder del exportador de datos y se conservan por separado en un Estado miembro o en un tercer país, zona geográfica o uno o varios sectores específicos dentro de un tercer país, o en una organización internacional para la que la Comisión haya determinado, de conformidad con el artículo 45 de la AVG, que se garantiza un nivel de protección adecuado,

3. Cualquier divulgación o uso no autorizado de dichos datos adicionales se impida mediante las salvaguardias técnicas y organizativas adecuadas, exista la garantía de que el exportador de datos tiene el control exclusivo del algoritmo o registro que permite la reidentificación de los datos utilizando los datos adicionales, y

4. El responsable del tratamiento, mediante un análisis exhaustivo de los datos en cuestión y teniendo en cuenta la posible información en poder de las autoridades públicas del país receptor, ha establecido que los datos personales seudonimizados no pueden vincularse a una persona física identificada o identificable, incluso si dicha información se fusiona con los datos personales y se compara,

‍

Es responsabilidad del responsable del tratamiento tomar las medidas adecuadas para evitar la agregación de datos, por ejemplo mediante el uso de cookies o rastreadores de terceros.

Las medidas de seguridad para los subprocesadores se describen en el anexo III.

ANEXO III
LISTADE SUBPROCESADORES
El exportador ha autorizado el uso de los siguientes subprocesadores:

1) Scaleway
Domicilio social: 8 rue de la Ville l'Evêque, 75008 París, Francia
Número de IVA: FR 35 433115904
Director publicación: Arnaud Brindejonc de Bermingham
Alojado por: SCALEWAY SAS BP 438 75366 PARIS CEDEX 08 FRANCIA

Scaleway ofrece opciones en el mundo de la computación en nube, permitiendo a los clientes elegir dónde residen los datos de sus clientes, elegir qué arquitectura funciona mejor para su negocio y elegir una forma más responsable de escalar.

Scaleway trata los Datos Personales para prestar los servicios solicitados o autorizados por el AdPage como parte integrante del contrato de prestación de servicios de Scaleway suscrito entre el AdPage y Scaleway y regula los casos en los que Scaleway trata Datos Personales por cuenta del AdPage como Encargado del Tratamiento en el sentido de la AVG.

El apéndice de procesamiento de datos de Scaleway puede consultarse aquí. (Último acceso: 10 de enero de 2023)

Los términos y condiciones generales de Scaleway pueden consultarse aquí. (última actualización: 10 de enero de 2023)

Scaleway toma todas las medidas necesarias para proteger los datos personales procesados y selecciona cuidadosamente a todos sus socios y proveedores de servicios que puedan necesitar acceder a los datos de los clientes. Los datos se procesan de forma electrónica y/o manual y, en ambos casos, Scaleway garantiza un nivel adecuado de seguridad, protección y confidencialidad en función de la sensibilidad de los datos, adoptando medidas administrativas, técnicas y físicas para evitar la pérdida o el robo o el uso no autorizado, la divulgación o la modificación de los datos de los clientes.

‍

La política de seguridad de los sistemas de información de Scaleway puede consultarse aquí. (última consulta: 10 de enero de 2023)

Los datos personales son procesados por Scaleway, sus subcontratistas y socios, para administrar el contrato y prestar los servicios que los clientes han solicitado o consentido.

Los datos de los clientes también podrán transferirse a terceros que presten servicios o apoyo y asesoramiento a Scaleway.

Previa solicitud, también podrán ser revelados a las personas y autoridades que tengan acceso a los datos personales en virtud de las leyes, reglamentos o disposiciones aplicables establecidas por las autoridades legalmente competentes.

AdPage notificará cualquier nuevo subprocesador o cambio en la lista de subprocesadores del Anexo III del presente Acuerdo de Procesadores y le dará la oportunidad de oponerse a dichos cambios.

‍