OBLIGACIONES GLOBALES DE PRIVACIDAD
FECHA DE ÚLTIMA ACTUALIZACIÓN: 12 de marzo de 2024
- Las presentes obligaciones globales de privacidad (las “Obligaciones globales de privacidad”) establecen ciertas obligaciones de protección de datos que esperamos que nuestros proveedores y otros colaboradores (de forma colectiva, los “Colaboradores”) cumplan en relación con los productos y servicios que nos proporcionan. Estas Obligaciones globales de privacidad complementan y forman parte de cualquier acuerdo que tengamos con nuestros Colaboradores en el que se hayan incorporado estas Obligaciones globales de privacidad (el “Acuerdo”).
- Se aplican diferentes secciones de estas Obligaciones globales de privacidad en función de nuestra relación con el Colaborador. En cada sección se indica cuándo se aplica.
- Esta sección se aplica a todos los Colaboradores.
- A los efectos de estas Obligaciones globales de privacidad, los términos que se detallan a continuación tendrán el significado que aquí se les atribuye:
- A menos que se defina lo contrario en el Acuerdo, "IA" o "Inteligencia artificial" significa e incluye a cualquier forma de inteligencia artificial o tecnología de la información, independientemente de las técnicas o enfoques específicos empleados, que muestre la capacidad de realizar tareas, simular habilidades cognitivas similares a las humanas, o generar resultados tales como contenido, predicciones, recomendaciones o decisiones. Esto incluye entre otros, tecnologías y metodologías tales como aprendizaje automático (supervisado, no supervisado, y aprendizaje por refuerzo, inclusive aprendizaje profundo y redes neurales), IA generativa, procesamiento de lenguaje natural, visión de computadora, grandes modelos de lenguaje ("LLM", por sus siglas en inglés), enfoques basados en lógica y en conocimiento (inclusive la representación de conocimiento, programación lógica inductiva, bases de conocimiento, motores de inferencia, motores deductivos, razonamiento y sistemas expertos), así como técnicas estadísticas. La IA incluye todos los avances actuales y futuros, metodologías, y aplicaciones dentro del campo de la inteligencia artificial, así como cualquier otra tecnología no expresamente mencionada en el presente documento que se desarrolle o surja dentro de este dominio.
- "Resultado de IA" significa cualquier resultado producido de una IA generada a partir de instrucciones ingresadas;
- "Toma de decisión automatizada" significa una decisión acerca de un Titular de los datos usando cualquier sistema, software o proceso (inclusive a través del uso de IA) realizada sin participación humana o que facilita la toma de decisión humana;
- “Responsable del tratamiento”: la persona o entidad que, por sí sola o junto con otros, establece los fines y los medios del Tratamiento de Información personal.
- “Cliente”, “nosotros”, “nuestro” o “nos” : i) la entidad Warner Bros. Discovery, identificada en el Acuerdo y que forma parte del mismo; y ii) cualquier filial o subsidiaria que controle, sea controlada o esté bajo el control común con la entidad Warner Bros. Discovery mencionada en el Acuerdo.
- “Ley de protección de datos”: cualquier constitución, ley ordinaria o parlamentaria, tratado, normativa, reglamento, ordenanza, código y guía federal, estatal, provincial, local, municipal, extranjera, internacional, multinacional o de otro tipo, emitida por las autoridades reguladoras competentes para interpretar o exigir, en relación con el Tratamiento de Información personal, la privacidad, la protección de datos (la protección de la Información personal) o la ciberseguridad, según sus oportunas modificaciones.
- “Titular de los datos”: la persona a quien hace referencia la Información personal.
- “Solicitud del Titular de los datos”: solicitud de información, acceso, rectificación, supresión, restricción, portabilidad, oposición, prohibición de venta, eliminación y cualquier otra similar de parte del Titular de los datos.
- “Descripción del Tratamiento”: la descripción de la Información personal tratada por el Colaborador en virtud del Acuerdo.
- “EEE”: el Espacio Económico Europeo.
- “Transferencia de datos del EEE”: una transferencia de Información personal a) sujeta al RGPD; b) a un destinatario que se encuentre en un país o territorio fuera del EEE; y c) que no está sujeto a una decisión de adecuación por parte de la Comisión de la UE.
- “Cláusulas contractuales tipo del EEE”: las cláusulas contractuales tipo (CCT) para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, adoptadas por decisión de la Comisión del 4 de junio de 2021, notificada con el número C(2021) 3972 y disponible en https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=%20es
- “RGPD”: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016 (Reglamento General de Protección de Datos).
- “Obligaciones de seguridad de la información”: cualquier obligación de seguridad de la información aplicable que se incorpore o forme parte de otro modo del Acuerdo.
- “Otra transferencia de datos”: una transferencia de Información personal: i) que está sujeta a las leyes de un país que restringe la transferencia de Información personal a otro país que no se considera adecuado para recibir dicha Información personal (un “País restringido”); y ii) que no es una Transferencia de datos del EEE o del Reino Unido.
- “Información personal”: cualquier información relacionada con una persona física identificada o identificable, incluida cualquier información definida como “información personalmente identificable”, “información personal”, “datos personales” o términos similares, tal como se definen dichos términos en las Leyes de protección de datos, limitados a esa Información personal que trata el Colaborador en relación con el Acuerdo.
- “Tratamiento” (y sus derivados): cualquier operación o conjunto de operaciones realizadas sobre la Información personal, ya sea por medios automáticos o no, incluida la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, consulta, uso, divulgación por transmisión, transferencia, difusión u otro tipo de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de Información personal.
- “Encargado del tratamiento”: la persona o entidad que trata Información personal en nombre del Responsable del tratamiento.
- “Incidente en materia de seguridad”: i) cualquier adquisición, uso o uso indebido, pérdida, acceso, pérdida de acceso o de uso de la Información personal (incluida la pérdida de cualquier medio de almacenamiento donde se guarde la Información personal); o ii) cualquier infracción de las medidas de seguridad que conduzca a la destrucción, pérdida, alteración, uso o uso indebido, divulgación no autorizada o acceso accidental o ilícito a la Información personal.
- “Información personal sensible”: Información personal que revela el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas; la afiliación sindical; el estado de salud físico o psíquico; la vida sexual o la orientación sexual; el Tratamiento de datos genéticos o biométricos con el único fin de identificar a un Titular de los datos; Información personal relacionada con condenas y delitos penales o medidas de seguridad relacionadas; número de identificación emitido por el gobierno; credenciales de cuenta; números de cuentas financieras, incluidos números de tarjetas de pago; datos precisos de geolocalización; contenidos de comunicaciones no dirigidas al Colaborador o al Cliente; y aquellos subconjuntos de Información personal que se consideren “sensibles” o que requieren mayor protección bajo las Leyes de protección de datos aplicables.
- “Servicios”: tiene el significado previsto en el Acuerdo o, de no estar definido en el Acuerdo, se entenderá en referencia a los productos o servicios que nos presta el Colaborador en virtud del Acuerdo.
- “Subencargado del tratamiento”: la persona o entidad que trata Información personal en nombre del Encargado del tratamiento de datos.
- "Datos de capacitación": significa información usada para capacitar o de lo contrario mejorar o potenciar las capacidades de cualquier IA;
- “Transferencia de datos del Reino Unido”: una transferencia de Información personal a) sujeta al RGPD del Reino Unido; b) a un destinatario que se encuentre en un país o territorio afuera del Reino Unido; y c) no sujeta a una decisión de adecuación por parte del Secretario de Estado del Reino Unido.
- “RGPD del Reino Unido”: el RGPD incorporado a las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de Retirada de la Unión Europea (European Union (Withdrawal) Act) de 2018; y
- “Adenda de las CCT para el Reino Unido”: el modelo de adenda emitido el 2 de febrero de 2022 por la Oficina del Comisionado de Información del Reino Unido y expuesto ante el Parlamento de acuerdo con la sección 119A de la Ley de Protección de Datos (Data Protection Act) de 2018 , en su versión revisada en virtud de la sección 18, disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- Esta sección se aplica a todos los Colaboradores.
- Cumplimento de la ley. El Colaborador deberá cumplir todas las Leyes de protección de datos vigentes y ofrecer las medidas de protección de la privacidad adecuadas para cumplir las obligaciones aquí indicadas. El Colaborador deberá informar al Cliente en la dirección wbdprivacy@wbd.com en el caso de que determine que no puede seguir cumpliendo sus obligaciones en virtud de la Ley de protección de datos. El Cliente tendrá derecho a tomar las medidas apropiadas para eliminar y remediar cualquier Tratamiento no autorizado de Información personal por parte del Colaborador.
- Seguridad. El Colaborador deberá implementar y mantener medidas técnicas y organizativas apropiadas y adecuadas para proteger la Información personal. Las medidas de seguridad del Colaborador deberán estar diseñadas para: i) garantizar la confidencialidad, disponibilidad e integridad de la Información personal; ii) ofrecer protección para la seguridad o integridad de la Información personal contra cualquier amenaza o peligro previsible; y iii) ofrecer protección contra el Tratamientos no autorizados.
- Comunicaciones con terceros. En caso de que el Colaborador reciba cualquier comunicación de un individuo, regulador, organismo gubernamental u otro tercero relacionado con:
- el Tratamiento de la Información personal por parte del Colaborador en relación con el Acuerdo; o
- el Tratamiento de la Información personal por parte del Cliente,
el Colaborador deberá (a menos que lo prohíba la ley) notificar de inmediato al Cliente (en la dirección wbdprivacy@wbd.com) y proporcionar información completa y detallada de dicha comunicación, además de prestar toda la cooperación que el Cliente solicite de forma razonable para responder a dicha comunicación. El Colaborador no responderá a dicha comunicación directamente sin la autorización previa del Cliente, a menos que esté legalmente obligado a hacerlo.
- Respuesta a solicitudes e incidencias. El Socio no nombrará, sin obtener la aprobación previa por escrito del Cliente, al Cliente (incluida cualquier subsidiaria o filial del Cliente) en ninguna: (i) respuesta a un Titular de los datos; (ii) divulgación pública relativa al Tratamiento; (iii) notificación de un incidente de seguridad; o (iv) divulgación a una autoridad de protección de datos u otro organismo legal relacionado con el Tratamiento.
- Período de vigencia y perdurabilidad.
- Las disposiciones de estas Obligaciones globales de privacidad terminarán cuando el Colaborador deje de tratar la Información personal en relación con el Acuerdo.
- Sin perjuicio de cualquier disposición contraria a la sección 3 (Disposiciones para todos los Colaboradores), las secciones 3.4, 3.5, 3.8 y 7 seguirán vigentes tras la rescisión o el vencimiento del Acuerdo y de las presentes Obligaciones globales de privacidad.
- Traducciones. En caso de conflicto entre la versión en inglés de estas Obligaciones globales de privacidad y otra versión en cualquier otro idioma, prevalecerá la versión en inglés.
- Sin limitación de responsabilidad. A fin de evitar posibles dudas, las responsabilidades de las Partes en virtud de estas Obligaciones globales de privacidad no estarán sujetas a ninguna limitación ni exclusión de responsabilidad contenida en el Acuerdo.
- Contratantes independientes. Nada de lo dispuesto en estas Obligaciones globales de privacidad se considerará como constitutiva de una relación de empleo, empresa conjunta, agencia o asociación entre las partes, y ninguna de las partes está autorizada ni actuará frente a terceros, entidades individuales o el público de forma alguna que pudiera indicar una relación de este tipo a la otra.
- Esta sección se aplica en caso de que:
- el Colaborador trate cualquier Información personal como Encargado del tratamiento en nombre del Cliente; o
- el Acuerdo establezca expresamente que se aplica esta sección.
- Instrucciones. El Colaborador solo tratará la Información personal de acuerdo con las instrucciones documentadas del Cliente (a menos que se requiera tratar dicha Información personal de acuerdo con un requisito legal al que el Colaborador esté sujeto, en cuyo caso el Colaborador informará al Cliente del requisito legal antes de comenzar dicho Tratamiento, salvo que el requisito legal prohíba informar al Cliente). Las instrucciones documentadas del Cliente se concretan en el Tratamiento de la Información personal: i) según sea necesario para que el Colaborador preste los Servicios y cumpla con cualquier otra obligación en virtud del Acuerdo; y ii) según lo indique el Cliente por escrito de vez en cuando. El Colaborador informará de inmediato al Cliente si, en opinión del Colaborador, una dirección o instrucción del Cliente infringe la Ley de protección de datos vigente.
- Descripción del Tratamiento. La descripción del objeto y la duración del Tratamiento, la naturaleza y la finalidad del mismo, el tipo de Información personal y las categorías de Titulares de los datos se establecen en la Descripción del Tratamiento.
- Limitación de uso. El Colaborador no deberá: i) vender Información personal ni divulgarla de otro modo a cambio de cualquier contraprestación monetaria u de otro tipo; ii) tratar la Información personal para un fin distinto al de la prestación de los Servicios o contrario a las instrucciones del Cliente; iii) tratar Información personal fuera de la relación comercial directa entre el Colaborador y el Cliente; o iv) combinar la Información personal con la Información personal recibida o recopilada de o en nombre de otras personas o recopilada de los usuarios. El Colaborador certifica que comprende y que cumplirá las limitaciones de esta sección.
- Solicitudes de los Titulares de los datos. El Colaborador informará de inmediato al Cliente sobre cualquier Solicitud o comunicación por parte un Titular de los datos relacionada con la Información personal que trata en relación con los Servicios, sin responder al Titular de los datos en cuestión excepto para el acuse de recibo de la Solicitud o comunicación del Titular de los datos (salvo que la Ley de protección de datos así lo requiera o si las instrucciones del Cliente así lo indican). El Colaborador ayudará al Cliente en lo que sea necesario para responder a las Solicitudes de los Titulares de los datos, incluida la adopción de medidas técnicas y organizativas apropiadas, y cualquier característica y funcionalidad del producto que sea necesaria. El Colaborador prestará dicha asistencia sin dilación y, en cualquier caso, en el plazo de cinco (5) días de la Solicitud del Titular de los datos o de la solicitud de asistencia por parte del Cliente. En los casos en los que proceda, y previa solicitud razonable del Cliente, el Colaborador ayudará al Cliente a informar a las personas interesadas sobre el Tratamiento de la Información personal, incluso proporcionando o remitiendo a los Titulares de los datos a una política o declaración de privacidad que cumpla con las Leyes de protección de datos. El Colaborador mantendrá y proporcionará acceso al Cliente respecto a los registros completos y precisos de las Solicitudes de los Titulares de los datos sobre los cuales el Colaborador ofrece su asistencia.
- Confidencialidad del personal. El Colaborador se asegurará de que cada miembro de su personal acate las obligaciones de confidencialidad en lo que se refiere a la Información personal.
- Seguridad. El Colaborador aplicará y mantendrá los procedimientos y prácticas de seguridad de la información establecidos en las Obligaciones de seguridad de la información.
- Auditoría y asistencia Sin perjuicio de cualquier disposición de auditoría en las Obligaciones de seguridad de la información, el Colaborador:
- proporcionará al Cliente la información y la asistencia que se requiera de forma razonable para confirmar el cumplimiento por parte del Colaborador de estas Obligaciones globales de privacidad, incluida la asistencia para completar evaluaciones de impacto de la protección de datos y la consulta con las autoridades de protección de datos. El Colaborador proporcionará la asistencia que sea razonablemente necesaria para que el Cliente cumpla con la Ley de protección de datos.
- Asimismo, el Colaborador acepta, bajo la dirección del Cliente, ofrecer su programa de protección de datos y las instalaciones en las que se trata la Información personal para auditar su cumplimiento con arreglo a estas Obligaciones globales de privacidad o a las Leyes de protección de datos vigentes. La auditoría puede ser realizada por el Cliente o un delegado nombrado en su nombre, siempre que el delegado acepte un acuerdo de confidencialidad que sea aceptable para el Colaborador. El Cliente notificará con suficiente antelación y realizará dicha auditoría durante el horario laboral habitual sin interrumpir las operaciones del Colaborador. A fin de evitar posibles dudas, esta disposición no exigirá que el Colaborador proporcione a ningún Cliente acceso a Información confidencial relativa a otros clientes del Colaborador.
- Incidentes en materia de seguridad. El Colaborador informará sin dilación y, en cualquier caso, en el plazo máximo de cuarenta y ocho (48) horas tras tener conocimiento de ello, al Cliente por correo electrónico a cybersecurity@wbd.com, en caso de que exista o tenga una sospecha razonable de un Incidente en materia de seguridad. Según las instrucciones del Cliente, el Colaborador proporcionará toda la información y asistencia que el Cliente precise de forma razonable para investigar, mitigar y responder a un Incidente en materia de seguridad, incluyendo, como mínimo, cualquier información o asistencia exigida por la Ley de protección de datos vigente o que sea necesaria para que el Cliente pueda notificar sobre el Incidente en materia de seguridad. El Colaborador acepta consultar con el Cliente antes de realizar declaraciones públicas o notificar a una autoridad de protección de datos o a un Titular de los datos sobre un Incidente en materia de seguridad. El Colaborador será responsable de, y pagará al Cliente cuando lo solicite, todos los costes, obligaciones, pérdidas, daños y gastos (incluidos los honorarios de los abogados) en los que incurra el Cliente a consecuencia de un Incidente en materia de seguridad, o en relación con él, que afecte a la Información personal tratada por el Colaborador, sus afiliados, cesionarios o Subencargados del tratamiento.
- Subencargados del tratamiento. El Colaborador puede contratar o permitir de otro modo que un Subencargado trate la Información personal en su nombre, siempre y cuando el Colaborador:
- suscriba una obligación por escrito con cada Subencargado del tratamiento que imponga obligaciones que garanticen el mismo nivel de protección que se exige en las disposiciones de estas Obligaciones globales de privacidad que se aplican al Colaborador;
- lleve a cabo la debida diligencia para garantizar que cada Subencargado del tratamiento pueda actuar de la forma necesaria para que el Colaborador cumpla con sus obligaciones en virtud de las disposiciones de estas Obligaciones globales de privacidad que se aplican al Colaborador;
- notifique por escrito y por adelantado al Cliente al respecto de cualquier nuevo Subencargado del tratamiento de datos que el Colaborador se proponga contratar. El Cliente dispondrá de treinta (30) días a partir de la recepción de dicha notificación para oponerse a la contratación del nuevo Subencargado del tratamiento por parte del Colaborador. Si el Cliente no muestra su oposición en este plazo, el Colaborador podrá permitir que el Subencargado del tratamiento trate Información Personal. En el caso de que el Cliente se opusiera a la contratación de un Subencargado del tratamiento, el Colaborador abordará de inmediato las objeciones del Cliente en el plazo de diez (10) días desde el momento en que las reciba. Si el Colaborador no pudiera poner remedio a las objeciones del Cliente a satisfacción de este en el plazo de diez (10) días, el Cliente podrá rescindir en cualquier momento el Acuerdo con efecto inmediato y sin penalización, previa notificación por escrito al Colaborador. El Colaborador no permitirá que el nuevo Subencargado del tratamiento trate Información personal i) en los treinta (30) días siguientes a la notificación de su intención de contratar un nuevo Subencargado del tratamiento, o (ii) mientras no se ponga remedio a las objeciones del Cliente, a satisfacción de este, sobre la contratación de un Subencargado del tratamiento; y
- siendo plenamente responsable de todo el Tratamiento de la Información personal que realice cada Subencargado del tratamiento.
- Eliminación o devolución. Tras la rescisión o el vencimiento del Acuerdo, o alternativamente, según las órdenes del Cliente, el Colaborador, de acuerdo con las instrucciones del Cliente: i) devolverá al Cliente (o a un tercero designado por el Cliente) una copia completa de la Información personal que haya tratado en relación con el Acuerdo, en una forma y un formato acordados por las partes; y/o ii) eliminará de forma segura la Información personal (incluidas todas las copias) que obre en su posesión o esté bajo su control y que haya tratado en relación con el Acuerdo.
- Esta sección se aplica en caso de que:
- el Colaborador determine de forma independiente los fines y los medios del Tratamiento de cualquier Información personal que trate en relación con el Acuerdo; o
- el Acuerdo establezca expresamente la aplicación de esta sección.
- Aviso y transparencia. El Colaborador deberá aplicar y mantener una política de privacidad clara, a la que se pueda acceder fácilmente, en la que informe a los Titulares de los datos (de los que el Colaborador trata Información personal en relación con el Acuerdo) sobre el Tratamiento que el propio Colaborador hace de la Información personal y garantice que dicha política cumple con todas las leyes aplicables.
- Incidentes en materia de seguridad. El Colaborador notificará sin demora al Cliente que corresponda cualquier Incidente en materia de seguridad, ya sea real o del que se tenga una sospecha razonable, que afecte a la Información personal tratada en relación con el Acuerdo, y le dará detalles sin dilación sobre la naturaleza del Incidente de seguridad, la Información personal afectada y la respuesta del Colaborador a dicho Incidente de seguridad, así como la forma de remediarlo.
- Confidencialidad El Colaborador se compromete a que cada miembro de su personal cumpla con las obligaciones de confidencialidad en lo que se refiere a la Información personal.
- Esta sección se aplica a los Colaboradores cuando se produce una Transferencia de datos del EEE, una Transferencia de datos del Reino Unido u Otra transferencia de datos.
- Transferencias de datos (Encargados): Este apartado se aplica cuando es de aplicación la sección 4 (Disposiciones para los Encargados del tratamiento).
- Transferencias de datos del EEE. Si, y en la medida en que, la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del EEE, las Cláusulas contractuales tipo del EEE se incorporan al presente documento por referencia y se aplicarán de la forma que se indica a continuación:
- Aplicación. El Colaborador actúa como importador de datos y el Cliente como exportador de datos.
- Adhesión. A los efectos de la sección I, cláusula 7, se aplicará la cláusula de adhesión opcional.
- Módulos. Se aplica el MÓDULO DOS (transferencias de Responsable a Encargado).
- Instrucciones. A efectos de la sección II, cláusula 8.1 (Módulo Dos), las instrucciones para el importador de datos consistirán en instrucciones para tratar la Información personal que sea necesaria para poder prestar los servicios y/o suministrar los productos proporcionados por el Colaborador, y de acuerdo con lo que se especifique en el Acuerdo.
- Subencargados del tratamiento. A los efectos de la sección II, cláusula 9 (Módulo Dos), se aplica la opción 2 (y el plazo para que el importador de datos informe al exportador de datos de cualquier cambio previsto será de treinta (30) días por anticipado).
- Resarcimiento. A los efectos de la sección II, cláusula 11, no se aplicará el lenguaje opcional.
- Elección de la ley. A los efectos de la sección IV, cláusulas 17 y 18, en la medida en que lo permita la Ley de protección de datos aplicable, las partes acuerdan que sus respectivas obligaciones en virtud de las Cláusulas Contractuales Tipo del EEE se regirán por la(s) ley(es) de la República de Irlanda y que se someterán a su jurisdicción.
- Cumplimentación del Anexo I, parte A. El Anexo I, parte A (Listado de partes) se considerará cumplimentado cuando recoja: i) los datos del Cliente (como exportador de datos); y ii) los datos del Colaborador (como importador de datos), en cada caso según se establece en el Acuerdo.
- Cumplimentación del Anexo I, parte B. El Anexo I, parte B (Descripción de la transferencia) de las Cláusulas Contractuales Tipo del EEE se considerará cumplimentado cuando recoja la información facilitada en la Descripción del Tratamiento.
- Cumplimentación del Anexo I, parte C. Con respecto al Anexo I, parte C (Autoridad de control competente) de las Cláusulas Contractuales Tipo del EEE, en la medida permitida por la Ley de protección de datos aplicable, las partes eligen la autoridad de protección de datos de la República de Irlanda.
- Cumplimentación del Anexo II. El Anexo II de las Cláusulas Contractuales Tipo del EEE (Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos) se considerará cumplimentado con las disposiciones establecidas en las Obligaciones de seguridad de la información.
- Conflicto entre disposiciones. En caso de incongruencia o conflicto entre las Cláusulas Contractuales Tipo del EEE y la presente sección, las disposiciones deberán interpretarse en la forma que se ofrezca mayor protección a los Titulares de los datos.
- Interpretación de las Cláusulas Contractuales Tipo del EEE para los Países restringidos. Si y en la medida en que la divulgación de Información personal por parte del Cliente al Colaborador equivale a Otra transferencia de datos, se considerará que las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán según lo establecido anteriormente en este párrafo de la sección 6, con las siguientes salvedades: i) las referencias en las Cláusulas Contractuales Tipo del EEE a “UE”, “Unión”, “Estado miembro de la UE” o “Estado miembro” se entenderán en relación con ese País restringido; ii) las referencias al “Reglamento (UE) 2016/679” o a “ese Reglamento” se entenderán en relación con las Leyes de protección de datos de ese País restringido, y las referencias a disposiciones o artículos específicos del RGPD se reemplazarán por la disposición o artículo equivalente de la Ley de protección de datos del País restringido; iii) las referencias a “autoridad de control” se entenderán en relación con la autoridad de protección de datos en ese País restringido; y iv) las referencias a las “Cláusulas” se entenderán en relación con este párrafo, que incorpora y modifica las Cláusulas.
- Transferencias de datos del Reino Unido. Si y en la medida en que la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del Reino Unido, la Adenda de las CCT para el Reino Unido se incorpora al presente documento por referencia y se aplicará de la forma que se indica a continuación:
- Cumplimentación de la Tabla 1. La Tabla 1 de la Adenda de las CCT para el Reino Unido se cumplimentará con los datos del Cliente (como exportador de datos) y los datos del Colaboradores (como importador de datos), según se establece en el Acuerdo. La “fecha de inicio” será la fecha de inicio, la fecha de entrada en vigor o una fecha equivalente del Acuerdo. El “contacto principal” para el Cliente será el “Director de privacidad” o el delegado de este cargo, con quien se podrá contactar en la siguiente dirección: wbdprivacy@wbd.com; por su parte, el “contacto principal” para el Colaborador será comunicado al Cliente en el momento oportuno, además del cargo concreto y la dirección de correo electrónico de contacto.
- Cumplimentación de las Tablas 2 y 3. La Tabla 2 de la Adenda de las CCT para el Reino Unido se cumplimentará seleccionando “las CCT aprobadas de la UE, incluida la información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT aprobadas de la UE e incorporadas a los efectos de esta Adenda”. A los efectos de la Tabla 2 y la Tabla 3 de la Adenda de las CCT para el Reino Unido, las “CCT aprobadas de la UE” se cumplimentarán tal y como se establece en este párrafo de la sección 6.
- Cumplimentación de la Tabla 4. La Tabla 4 de la Adenda de las CCT para el Reino Unido se cumplimentará seleccionando la opción “ninguna parte”.
- Conflicto entre disposiciones. En caso de incongruencia o conflicto entre el Suplemento de las CCT para el Reino Unido y estas Obligaciones globales de privacidad, prevalecerá la Adenda de las CCT para el Reino Unido.
- Transferencias de datos (Responsables). Este apartado se aplica cuando es de aplicación la sección 5 (Disposiciones para los Responsables del tratamiento).
- Transferencias de datos del EEE. Si, y en la medida en que la Información personal tratada por el Colaborador esté sujeta a una Transferencia de datos del EEE, las Cláusulas contractuales tipo del EEE se incorporan al presente documento por referencia y se aplicarán de la forma que se indica a continuación:
- Aplicación. El Colaborador actúa como importador de datos y el Cliente como exportador de datos.
- Adhesión. A los efectos de la sección I, cláusula 7, se aplicará la cláusula de adhesión opcional.
- Módulos. Se aplica el MÓDULO UNO (transferencias de Responsable a Responsable).
- Resarcimiento. A los efectos de la sección II, cláusula 11, no se aplicará el lenguaje opcional.
- Elección de la ley. A los efectos de la sección IV, cláusulas 17 y 18, en la medida en que lo permita la Ley de protección de datos aplicable, las partes acuerdan que sus respectivas obligaciones en virtud de las Cláusulas Contractuales Tipo del EEE se regirán por la(s) ley(es) de la República de Irlanda y que se someterán a su jurisdicción.
- Cumplimentación del Anexo I, parte A. El Anexo I, parte A (Listado de partes) se considerará cumplimentado cuando recoja: i) los datos del Cliente (como exportador de datos); y ii) los datos del Colaborador (como importador de datos), en cada caso según se establece en el Acuerdo.
- Cumplimentación del Anexo I, parte B. El Anexo I, parte B (Descripción de la transferencia) de las Cláusulas Contractuales Tipo del EEE se considerará cumplimentado cuando recoja la información facilitada en la Descripción del Tratamiento.
- Cumplimentación del Anexo I, parte C. Con respecto al Anexo I, parte C (Autoridad de control competente) de las Cláusulas Contractuales Tipo del EEE, en la medida permitida por la Ley de protección de datos aplicable, las partes eligen la autoridad de protección de datos de la República de Irlanda.
- Cumplimentación del Anexo II. El Anexo II de las Cláusulas Contractuales Tipo del EEE (Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos) se considerará cumplimentado con las disposiciones establecidas en las Obligaciones de seguridad de la información.
- Conflicto entre disposiciones. En caso de incongruencia o conflicto entre las Cláusulas Contractuales Tipo del EEE y la presente sección, las disposiciones deberán interpretarse en la forma que se ofrezca mayor protección a los Titulares de los datos.
- Interpretación de las Cláusulas Contractuales Tipo del EEE para los Países restringidos. Si y en la medida en que la divulgación de Información personal por parte del Cliente al Colaborador equivale a Otra transferencia de datos, las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán según lo establecido anteriormente en este párrafo de la sección 6, con las siguientes salvedades: i) las referencias en las Cláusulas Contractuales Tipo del EEE a “UE”, “Unión”, “Estado miembro de la UE” o “Estado miembro” se entenderán en relación con ese País restringido; ii) las referencias al “Reglamento (UE) 2016/679” o a “ese Reglamento” se entenderán en relación con las Leyes de protección de datos de ese País restringido, y las referencias a disposiciones o artículos específicos del RGPD se reemplazarán por la disposición o artículo equivalente de la Ley de protección de datos del País restringido; iii) las referencias a “autoridad de control” se entenderán en relación con la autoridad de protección de datos en ese País restringido; y iv) las referencias a las “Cláusulas” se entenderán en relación con esta sección, que incorpora y modifica las Cláusulas.
- Transferencias de datos del Reino Unido. Si y en la medida en que la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del Reino Unido, la Adenda de las CCT para el Reino Unido se incorpora al presente documento por referencia y se aplicará de la forma que se indica a continuación:
- Cumplimentación de la Tabla 1. La Tabla 1 de la Adenda de las CCT para el Reino Unido se cumplimentará con los datos del Cliente (como exportador de datos) y los datos del Colaboradores (como importador de datos), según se establece en el Acuerdo. La “fecha de inicio” será la fecha de inicio, la fecha de entrada en vigor o una fecha equivalente del Acuerdo. El “contacto principal” para el Cliente será el “Director de privacidad” o el delegado de este cargo, con quien se podrá contactar en la siguiente dirección: wbdprivacy@wbd.com; por su parte, el “contacto principal” para el Colaborador será comunicado al Cliente en el momento oportuno, además del cargo concreto y la dirección de correo electrónico de contacto.
- Cumplimentación de las Tablas 2 y 3. La Tabla 2 de la Adenda de las CCT para el Reino Unido se cumplimentará seleccionando “las CCT aprobadas de la UE, incluida la información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT aprobadas de la UE e incorporadas a los efectos de esta Adenda”. A los efectos de la Tabla 2 y la Tabla 3 de la Adenda de las CCT para el Reino Unido, las “CCT aprobadas de la UE” se cumplimentarán tal y como se establece en este párrafo de la sección 6.
- Cumplimentación de la Tabla 4. La Tabla 4 de la Adenda de las CCT para el Reino Unido se cumplimentará seleccionando la opción “ninguna parte”.
- Conflicto entre disposiciones. En caso de incongruencia o conflicto entre la Adenda de las CCT para el Reino Unido y las presentes Obligaciones globales de privacidad, prevalecerá la Adenda de las CCT para el Reino Unido.
- Disposiciones adicionales para las transferencias transfronterizas. Este párrafo se aplica si y en la medida en que la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del EEE, una Transferencia de datos del Reino Unido u Otra transferencia.
Medidas complementarias
- Las partes reconocen y acuerdan que la sentencia del Tribunal de Justicia de la Unión Europea sobre el asunto C-311/18 aclara que pueden ser necesarias medidas complementarias a fin de garantizar que la Información personal, que ha sido objeto de una Transferencia de datos del EEE o del Reino Unido, reciba un nivel de protección básicamente equivalente a las protecciones que recibe cuando se trata en el territorio de origen (además de las medidas de seguridad contenidas en las Cláusulas contractuales tipo del EEE). En consecuencia, las partes acuerdan las medidas establecidas en las siguientes secciones 6.4 b) a g) como medidas complementarias para contribuir a garantizar dicha equivalencia básica.
- Si el Colaborador tiene conocimiento de una solicitud o requerimiento por parte de una autoridad de aplicación de la ley, reguladora, judicial o gubernamental (una “Autoridad”) para obtener acceso o una copia de cierta o la totalidad de la Información personal tratada en relación con el Acuerdo, ya sea de forma voluntaria u obligatoria, el Colaborador deberá:
- notificar de inmediato al Cliente esta solicitud de dicha Autoridad;
- cuando sea de aplicación la sección 4 (Disposiciones para los Encargados del tratamiento), informar a la Autoridad de que el Colaborador es un Encargado del tratamiento de Información personal y que el Cliente no le ha autorizado a revelar dicha Información personal a la Autoridad;
- informar a la Autoridad de que todas y cada una de las solicitudes o requerimientos de acceso a dicha Información personal deben ser notificadas o entregadas al Cliente (como Responsable del tratamiento) por escrito; y
- en virtud de la sección 6.4 c), abstenerse de proporcionar a la Autoridad el acceso a dicha Información personal a menos y hasta que el Cliente lo autorice por escrito.
- Sin perjuicio de la sección 6.4 b) iv), el Colaborador podrá, sin la autorización previa por escrito del Cliente, divulgar Información personal a una Autoridad tras la recepción de una solicitud o requerimiento de parte de dicha Autoridad, siempre que (salvo que lo prohíba la ley):
- el Colaborador haya notificado al Cliente con una antelación prudencial dicha solicitud o requerimiento para ofrecerle la oportunidad razonable de oponerse o de solicitar una orden de protección u otro recurso apropiado;
- el Colaborador coopere de forma razonable con el Cliente, con gastos a cargo del Cliente, para que este pueda oponerse o buscar una orden de protección u otro recurso apropiado; y
- el Colaborador, en cualquier caso, solo divulgue la parte de la Información personal que está legalmente obligado a divulgar.
- Si el Colaborador divulga Información personal a una Autoridad, solo revelará dicha Información personal en la medida en que el Colaborador esté legalmente obligado a hacerlo y únicamente de acuerdo con el proceso legal aplicable.
- El Colaborador no divulgará conscientemente Información personal de forma masiva o indiscriminada excediendo los límites de lo estrictamente necesario y proporcionado en una sociedad democrática.
- El Colaborador aplicará, conservará y cumplirá con una política escrita que rija las solicitudes de Información personal de las Autoridades y que, como mínimo, prohíba:
- la divulgación masiva o indiscriminada de Información personal concerniente a Titulares de los datos en el marco de Europa; y
- la divulgación de Información personal concerniente a Titulares de los datos en el marco de Europa a una Autoridad sin una cédula, orden judicial, auto, decreto, citación u otra orden legalmente vinculante que obligue a la divulgación de dicha Información personal.
- El Colaborador deberá aplicar y conservar, de acuerdo con las buenas prácticas del sector, medidas para proteger la Información personal de cualquier interceptación (incluso en el tránsito del Cliente al Colaborador y entre los diferentes sistemas y servicios). Esto incluye aplicar y conservar la protección de la red para impedir que los atacantes puedan interceptar los datos y el cifrado de estos mientras están en tránsito, y de esa forma no tengan posibilidad de leer los datos.
Disposiciones adicionales sobre la transferencia de datos
- El Colaborador se compromete a cooperar de buena fe para formalizar documentos adicionales y aplicar protecciones alternativas o para restringir el tratamiento a ciertos territorios, según el Cliente considere necesario para llevar a cabo las Transferencias de datos del EEE o del Reino Unido u Otras transferencias (según corresponda).
- Si, en algún momento, el Colaborador trata Información personal procedente de cualquier país que restrinja la transferencia de Información personal a otra jurisdicción que no se considere adecuada para recibir dicha Información personal, siguiendo las instrucciones del cliente, deberá:
- tomar todas las medidas necesarias y ejecutar los acuerdos que exija la Ley de protección de datos aplicable en dicho país para legitimar cualquier Tratamiento; y
- garantizar un nivel adecuado de protección para la Información personal del Cliente.
- En el caso de que una autoridad de protección de datos competente declare la invalidez de un mecanismo de transferencia de datos utilizado por las partes, o que una autoridad de protección de datos competente o la ley aplicable exijan la suspensión de las transferencias de Información personal o la restricción a una jurisdicción específica, el Cliente puede, a su discreción, exigir al Colaborador que deje de tratar la Información personal o que colabore con él de buena fe para facilitarle el uso de un mecanismo alternativo de transferencia de datos, formalizar documentos adicionales, aplicar protecciones adicionales o restringir el Tratamiento a ciertas jurisdicciones.
- Esta sección se aplica a todos los Colaboradores.
- Con carácter adicional a cualquier obligación de indemnización que se establezca en el Acuerdo para el Colaborador, el Colaborador defenderá, indemnizará y eximir de responsabilidad al Cliente frente a todas y cualesquiera reclamaciones de terceros, demandas, costes, obligaciones, pérdidas, daños y gastos (incluidos los honorarios de los abogados) en los que incurra el Cliente a consecuencia de o en relación con i) un Incidente en materia de seguridad, o ii) una infracción de las presentes Obligaciones globales de privacidad por parte del Colaborador o de los afiliados del Colaborador, de los Subencargados del tratamiento (incluidos los Subencargados del tratamiento designados por las filiales del Colaborador) y de los cesionarios, incluidas, entre otras, una reclamación o demanda por parte de una autoridad de protección de datos o de un Titular de los datos.
- Esta sección se aplica en la medida que el Socio:
- proporcione al Cliente la IA o acceso a la IA, en virtud del Acuerdo; o
- que use la IA para proporcionar Servicios en virtud del Acuerdo en su totalidad o en parte.
- El Socio brindará la información correspondiente en la medida que sea razonablemente solicitado por el Cliente con relación al uso por el Socio de IA en relación con el desempeño de las obligaciones del Socio en virtud del Acuerdo, inclusive en la medida que lo requiera el Cliente para realizar evaluaciones de impacto de protección de datos y evaluaciones de sesgo en IA.
- El Socio declara y garantiza que: (i) todos los Datos de capacitación para cualquier IA proporcionados al Cliente en relación con el Acuerdo o usados por el Socio en el desempeño de las obligaciones de los Socios en virtud del Acuerdo: (A) se obtuvieron en cumplimiento total de la ley aplicable y sin violar los derechos de ningún tercero; (B) no contenían ni contienen ninguna Información personal; (ii) el Socio no usará (o facilitará o permitirá que terceros usen) ninguna Información personal obtenida en relación con el Acuerdo para capacitar, mejorar, potenciar o ingresar Resultados de IA desde cualquier IA; y (iii) el Socio no realiza, o facilita al Cliente para realizar, cualquier Toma de decisión automatizada en el desempeño de sus obligaciones en virtud del Acuerdo.
VER VERSIONES ANTERIORES