LIGACIONES GLOBALES DE PRIVACIDAD
FECHA DE ÚLTIMA ACTUALIZACIÓN: 21 de noviembre de 2022
- Las presentes obligaciones globales de privacidad (las “Obligaciones globales de privacidad”) establecen ciertas obligaciones de protección de datos que esperamos que nuestros proveedores y otros colaboradores (de forma colectiva, los “Colaboradores”) cumplan en relación con los productos y servicios que nos proporcionan. Estas Obligaciones globales de privacidad complementan y forman parte de cualquier acuerdo que tengamos con nuestros Colaboradores en el que se hayan incorporado estas Obligaciones globales de privacidad (el “Acuerdo”).
- Se aplican diferentes secciones de estas Obligaciones globales de privacidad en función de nuestra relación con el Colaborador. En cada sección se indica cuándo se aplica.
- Esta sección se aplica a todos los Colaboradores.
- A los efectos de estas Obligaciones globales de privacidad, los términos que se detallan a continuación tendrán el significado que aquí se les atribuye:
- “Responsable del tratamiento”: significa la persona o entidad que, por sí sola o junto con otros, establece los fines y los medios del Tratamiento de Información personal.
- “Cliente”, “nosotros”, “nuestro” y las indicaciones a la primera persona del plural se entienden en referencia significa a i) la entidad Warner Bros. Discovery, identificada en el Acuerdo y que forma parte del mismo; y ii) cualquier filial o subsidiaria que controle, sea controlada o esté bajo el control común con la entidad Warner Bros. Discovery mencionada en el Acuerdo.
- “Ley de protección de datos”: significa cualquier constitución, ley ordinaria o parlamentaria, tratado, normativa, reglamento, ordenanza, código o guía federal, estatal, provincial, local, municipal, extranjera, internacional, multinacional o de otro tipo, emitida por las autoridades reguladoras competentes para interpretar o exigir, en relación con el Tratamiento de Información personal, la privacidad, la protección de datos (la protección de la Información personal) o la ciberseguridad, según sus modificaciones.
- “Interesado”: significa la persona a quien hace referencia la Información personal.
- “Solicitudes de los Interesados”: significa solicitudes de información, acceso, rectificación, supresión, restricción, portabilidad, oposición, objeción, prohibición de venta, eliminación u otra similar de parte de los Interesados.
- “Descripción del Tratamiento”: significa la descripción de la Información personal tratada por el Colaborador en virtud del Acuerdo.
- “EEE”: significa el Espacio Económico Europeo.
- “Transferencia de datos del EEE”: significa una transferencia de Información personal sujeta al RGPD a un país o territorio externo al EEE que la Comisión de la UE no ha considerado adecuado.
- “Cláusulas contractuales tipo del EEE”: significa las cláusulas contractuales tipo (CCT) para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, adoptadas por decisión de la Comisión el 4 de junio de 2021 número C(2021) 3972 y disponible en https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=en;
- “Reglamento General de Protección de Datos”: significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016 (RGPD).
- “Obligaciones de seguridad de la información”: significa cualquier obligación de seguridad de la información aplicable que se incorpore o forme parte de otro modo del Acuerdo.
- “Otra transferencia de datos”: significa una transferencia de Información personal: i) que está sujeta a las leyes de un país que restringe la transferencia de Información personal a otro país que no se considera adecuado para recibir dicha Información personal (un “País restringido”); y ii) que no es una Transferencia de datos del EEE o del Reino Unido.
- “Información personal”: significa cualquier información relacionada con una persona física identificada o identificable, incluida cualquier información definida como “información de identificación personal”, “información personal”, “datos personales” o términos similares, tal como se definen dichos términos en las Leyes de protección de datos, limitada a la Información personal que trata el Colaborador en relación con el Acuerdo.
- “Tratamiento” o “Procesamiento” (y sus derivados): significa cualquier operación o conjunto de operaciones realizadas sobre la Información personal, ya sea por medios automáticos o no, incluida la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, consulta, uso, divulgación por transmisión, transferencia, difusión u otro tipo de puesta a disposición, alineación o combinación, restricción, supresión o destrucción de Información personal.
- “Encargado del tratamiento”: significa la persona o entidad que trata Información personal en nombre del Responsable del tratamiento.
- “Incidente de seguridad”: significa i) cualquier interrupción grave de las operaciones de Tratamiento por parte del Colaborador; ii) cualquier adquisición, uso o uso indebido, pérdida, acceso, pérdida de acceso o de uso de la Información personal (incluida la pérdida de cualquier forma de almacenamiento donde se guarde la Información personal); o iii) cualquier infracción de las medidas de seguridad que conduzca a la destrucción, pérdida, alteración, uso o uso indebido, divulgación no autorizada o acceso accidental o ilícito a la Información personal.
- “Información personal sensible”: significa Información personal que revela el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas; la afiliación sindical; el estado de salud físico o psíquico; la vida sexual o la orientación sexual; el Tratamiento de datos genéticos o biométricos con el único fin de identificar a un Interesado; Información personal relacionada con condenas y delitos penales o medidas de seguridad relacionadas; número de identificación emitido por el gobierno; credenciales de cuenta; números de cuentas financieras, incluidos números de tarjetas de pago; datos precisos de geolocalización; contenidos de comunicaciones no dirigidas al Colaborador o al Cliente; y aquellos subconjuntos de Información personal que se consideren “sensibles” o que requieren mayor protección bajo las Leyes de protección de datos aplicables.
- “Servicios”: tiene el significado previsto en el Acuerdo o, de no estar definido en el Acuerdo, se entenderá en referencia a los productos o servicios que nos presta el Colaborador en virtud del Acuerdo.
- “Subencargado del tratamiento”: significa la persona o entidad que trata Información personal en nombre del Encargado del tratamiento de datos.
- “Transferencia de datos del Reino Unido”: significa una transferencia de Información personal sujeta al RGPD del Reino Unido a un país o territorio externo al Reino Unido que el Secretario de Estado del Reino Unido no ha considerado adecuado.
- “RGPD del Reino Unido”: significa el RGPD, incorporado a las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte, en virtud de la sección 3 de la European Union (Withdrawal) Act (Ley de Retirada de la Unión Europea) de 2018.
- “Suplemento de las CCT para el Reino Unido”: significa el modelo de suplemento emitido por la Oficina del Comisionado de Información del Reino Unido y expuesto ante el Parlamento de acuerdo con la sección 119A de la Data Protection Act (Ley de Protección de Datos) de 2018 el 2 de febrero de 2022, en su versión revisada en virtud de la sección 18, disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- Esta sección se aplica a todos los Colaboradores.
- Cumplimento de la ley. El Colaborador deberá cumplir todas las Leyes de protección de datos vigentes y ofrecer las medidas de protección de la privacidad adecuadas para cumplir las obligaciones aquí indicadas. El Colaborador deberá informar al Cliente en la dirección wmprivacy@warnermedia.com en el caso de que determine que no puede seguir cumpliendo sus obligaciones en virtud de la Ley de protección de datos. El Cliente tendrá derecho a tomar las medidas apropiadas para eliminar y remediar cualquier Tratamiento no autorizado de Información personal por parte del Colaborador.
- Seguridad. El Colaborador deberá implementar y mantener medidas técnicas y organizativas apropiadas y adecuadas para proteger la Información personal. Las medidas de seguridad del Colaborador deberán estar diseñadas para: i) garantizar la confidencialidad, disponibilidad e integridad de la Información personal; ii) ofrecer protección para la seguridad o integridad de la Información personal contra cualquier amenaza o peligro previsible; y iii) ofrecer protección contra el Tratamientos no autorizados.
- Comunicaciones con terceros. En caso de que el Colaborador reciba cualquier comunicación de un individuo, regulador, organismo gubernamental u otro tercero relacionado con:
- el Tratamiento de la Información personal por parte del Colaborador en relación con el Acuerdo; o
- el tratamiento de la Información personal por parte del Cliente,
el Colaborador deberá (a menos que lo prohíba la ley) notificar de inmediato al Cliente (en la dirección wmprivacy@warnermedia.com) y proporcionar información completa y detallada de dicha comunicación, además de prestar toda la cooperación que el Cliente solicite de forma razonable para responder a dicha comunicación. El Colaborador no responderá a dicha comunicación directamente sin la autorización previa del Cliente a menos que esté legalmente obligado a hacerlo.
- Respuesta a solicitudes e incidentes. El Colaborador no nombrará, sin obtener la aprobación previa por escrito del Cliente, al Cliente (incluida cualquier subsidiaria o filial del Cliente) en ninguna: i) respuesta a un Interesado; ii) divulgación pública relativa al Tratamiento; iii) notificación de un Incidente en materia de seguridad; o iv) divulgación a una autoridad de protección de datos u otro organismo legal relacionado con el Tratamiento.
- Período de vigencia y perdurabilidad.
- En virtud de la sección 3.6 b), las disposiciones de estas Obligaciones globales de privacidad terminarán cuando el Colaborador deje de tratar la Información personal en relación con el Acuerdo.
- Sin perjuicio de la sección 3.6 a), las secciones 3.4, 3.5 y 3.7 seguirán vigentes tras la rescisión o el vencimiento del Acuerdo y de las presentes Obligaciones globales de privacidad.
- Traducciones. En caso de conflicto entre la versión en inglés de estas Obligaciones globales de privacidad y otra versión en cualquier otro idioma, prevalecerá la versión en inglés.
- Sin limitación de responsabilidad A fin de evitar posibles dudas, las responsabilidades de las partes en virtud de estas Obligaciones globales de privacidad no estarán sujetas a ninguna limitación ni exclusión de responsabilidad contenida en el Acuerdo.
- Esta sección se aplica en caso de que:
- el Colaborador trate cualquier Información personal como Encargado del tratamiento en nombre del Cliente; o
- el Acuerdo establezca expresamente la aplicación de esta sección.
- Instrucciones. El Colaborador solo tratará la Información personal de acuerdo con las instrucciones documentadas del Cliente (a menos que se requiera tratar dicha Información personal de acuerdo con un requisito legal al que el Colaborador esté sujeto, en cuyo caso el Colaborador informará al Cliente del requisito legal antes de comenzar dicho Tratamiento, salvo que el requisito legal prohíba informar al Cliente). Las instrucciones documentadas del Cliente se concretan en el Tratamiento de la Información personal: i) según sea necesario para que el Colaborador preste los Servicios y cumpla con cualquier otra obligación en virtud del Acuerdo; y ii) según lo indique el Cliente por escrito de vez en cuando. El Colaborador informará de inmediato al Cliente si, en opinión del Colaborador, una dirección o instrucción del Cliente infringe la Ley de protección de datos vigente.
- Descripción del Tratamiento. La descripción del objeto y la duración del Tratamiento, la naturaleza y la finalidad del mismo, el tipo de Información personal y las categorías de Interesados se establecen en la Descripción del Tratamiento.
- Limitación de uso. El Colaborador no deberá: i) vender Información personal ni divulgarla de otro modo a cambio de cualquier contraprestación monetaria u de otro tipo; ii) tratar la Información personal para un fin distinto al de la prestación de los Servicios o contrario a las instrucciones del Cliente; iii) tratar Información personal fuera de la relación comercial directa entre el Colaborador y el Cliente; o iv) combinar la Información personal con la Información personal recibida o recopilada de o en nombre de otras personas o recopilada de los usuarios. El Colaborador certifica que comprende y que cumplirá las limitaciones de esta sección.
- Solicitudes de los Interesados. El Colaborador informará de inmediato al Cliente sobre cualquier Solicitud o comunicación por parte un Interesado relacionada con la Información personal que trata en relación con los Servicios, sin responder al Interesado en cuestión, excepto para el acuse de recibo de la Solicitud o comunicación del Interesado (salvo que la Ley de protección de datos así lo requiera o si las instrucciones del Cliente así lo indican). El Colaborador ayudará al Cliente en lo que sea necesario para responder a las Solicitudes de los Interesados, incluida la adopción de medidas técnicas y organizativas apropiadas, y cualquier característica y funcionalidad del producto que sea necesaria. El Colaborador prestará dicha asistencia sin dilación y, en cualquier caso, en el plazo de cinco (5) días de la Solicitud del Interesado o de la solicitud de asistencia por parte del Cliente. En los casos en los que proceda, y previa solicitud del Cliente, el Colaborador ayudará al Cliente a informar a las personas interesadas sobre el Tratamiento de la Información personal, incluso proporcionando o remitiendo a los Interesados a una política o declaración de privacidad que cumpla con las Leyes de protección de datos. El Colaborador mantendrá y proporcionará acceso al Cliente respecto a los registros completos y precisos de las Solicitudes de los Interesados sobre los cuales el Colaborador ofrece su asistencia.
- Confidencialidad del personal. El Colaborador se asegurará de que cada miembro de su personal acate las obligaciones de confidencialidad en lo que se refiere a la Información personal.
- Seguridad. El Colaborador aplicará y mantendrá los procedimientos y prácticas de seguridad de la información establecidos en las Obligaciones de seguridad de la información.
- Auditoría y asistencia Sin perjuicio de cualquier disposición de auditoría en las Obligaciones de seguridad de la información, el Colaborador deberá:
- proporcionar al Cliente la información y la asistencia que se requiera de forma razonable para confirmar el cumplimiento por parte del Colaborador de estas Obligaciones globales de privacidad, incluida la asistencia para completar evaluaciones de impacto de la protección de datos y la consulta con las autoridades de protección de datos. El Colaborador proporcionará la asistencia que sea razonablemente necesaria para que el Cliente cumpla con la Ley de protección de datos.
- bajo la dirección del Cliente, , ofrecer su programa de protección de datos y las instalaciones en las que se trata la Información personal para auditar su cumplimiento con arreglo a estas Obligaciones globales de privacidad o a las Leyes de protección de datos vigentes. La auditoría puede ser realizada por el Cliente o un delegado nombrado en su nombre, siempre que el delegado acepte un acuerdo de confidencialidad que sea aceptable para el Colaborador. El Cliente notificará con suficiente antelación y realizará dicha auditoría durante el horario laboral habitual sin interrumpir las operaciones del Colaborador. A fin de evitar posibles dudas, esta disposición no exigirá que el Colaborador proporcione a ningún Cliente acceso a Información confidencial relativa a otros clientes del Colaborador.
- Incidentes de seguridad. El Colaborador informará sin dilación y, en cualquier caso, en el plazo máximo de cuarenta y ocho (48) horas tras tener conocimiento de ello, al Cliente y a la línea de asistencia directa del Centro de Operaciones de Seguridad de WarnerMedia, en el teléfono (001)404-827-1900 y por correo electrónico a cybersecurity@WarnerMedia.com , en caso de que exista o tenga una sospecha razonable de un Incidente en materia de seguridad. Según las instrucciones del Cliente, el Colaborador proporcionará toda la información y asistencia que el Cliente precise de forma razonable para investigar, mitigar y responder a un Incidente en materia de seguridad, incluyendo, como mínimo, cualquier información o asistencia exigida por la Ley de protección de datos vigente o que sea necesaria para que el Cliente pueda notificar sobre el Incidente en materia de seguridad. El Colaborador acepta consultar con el Cliente antes de realizar declaraciones públicas o notificar a una autoridad de protección de datos o a un Interesado sobre un Incidente en materia de seguridad. El Colaborador será responsable de, y pagará al Cliente cuando lo solicite, todos los costes, obligaciones, pérdidas, daños y gastos (incluidos los honorarios de los abogados) en los que incurra el Cliente a consecuencia de un Incidente en materia de seguridad, o en relación con él, que afecte a la Información personal tratada por el Colaborador, sus afiliados, cesionarios o Subencargados del tratamiento.
- Subencargados del tratamiento. El Colaborador puede contratar o permitir de otro modo que un Subencargado trate la Información personal en su nombre, siempre y cuando el Colaborador:
- suscriba una obligación por escrito con cada Subencargado del tratamiento que imponga obligaciones que garanticen el mismo nivel de protección que se exige en las disposiciones de estas Obligaciones globales de privacidad que se aplican al Colaborador;
- lleve a cabo la debida diligencia para garantizar que cada Subencargado del tratamiento pueda actuar de la forma necesaria para que el Colaborador cumpla con sus obligaciones en virtud de las disposiciones de estas Obligaciones globales de privacidad que se aplican al Colaborador;
- notifique por escrito y por adelantado al Cliente al respecto de cualquier nuevo Subencargado del tratamiento de datos que el Colaborador se proponga contratar. El Cliente dispondrá de treinta (30) días a partir de la recepción de dicha notificación para oponerse a la contratación del nuevo Subencargado del tratamiento por parte del Colaborador. Si el Cliente no muestra su oposición en este plazo, el Colaborador podrá permitir que el Subencargado del tratamiento trate Información Personal. En el caso de que el Cliente se opusiera a la contratación de un Subencargado del tratamiento, el Colaborador abordará de inmediato las objeciones del Cliente en el plazo de diez (10) días desde el momento en que las reciba. Si el Colaborador no pudiera poner remedio a las objeciones del Cliente a satisfacción de este en el plazo de diez (10) días, el Cliente podrá rescindir en cualquier momento el Acuerdo con efecto inmediato y sin penalización, previa notificación por escrito al Colaborador. El Colaborador no permitirá que el nuevo Subencargado del tratamiento trate Información personal i) en los treinta (30) días siguientes a la notificación de su intención de contratar un nuevo Subencargado del tratamiento, o (ii) mientras no se ponga remedio a las objeciones del Cliente, a satisfacción de este, sobre la contratación de un Subencargado del tratamiento;
- siendo plenamente responsable de todo el Tratamiento de la Información personal que realice cada Subencargado del tratamiento.
- Eliminación o devolución. Tras la rescisión o el vencimiento del Acuerdo, o alternativamente, según las órdenes del Cliente, el Colaborador, de acuerdo con las instrucciones del Cliente: i) devolverá al Cliente una copia completa de la Información personal que haya tratado en relación con el Acuerdo, en una forma y un formato acordados por las partes; y/o ii) eliminará de forma segura la Información personal (incluidas todas las copias) que obre en su posesión o esté bajo su control y que haya tratado en relación con el Acuerdo.
- Esta sección se aplica en caso de que:
- el Colaborador determine de forma independiente los fines y los medios del Tratamiento de cualquier Información personal que trate en relación con el Acuerdo; o
- el Acuerdo establezca expresamente la aplicación de esta sección.
- Aviso y transparencia. El Colaborador deberá aplicar y mantener una política de privacidad clara, a la que se pueda acceder fácilmente, en la que informe a los Interesados (de los que el Colaborador trata Información personal en relación con el Acuerdo) sobre el Tratamiento que el propio Colaborador hace de la Información personal y garantice que dicha política cumple con todas las leyes aplicables.
- Incidentes de seguridad. El Colaborador notificará sin demora al Cliente que corresponda cualquier Incidente de seguridad, ya sea real o del que se tenga una sospecha razonable, que afecte a la Información personal tratada en relación con el Acuerdo, y le dará detalles sin dilación sobre la naturaleza del Incidente, la Información personal afectada y la respuesta del Colaborador a dicho Incidente de seguridad, así como la forma de remediarlo.
- Esta sección se aplica a los Colaboradores cuando ocurre una Transferencia de datos del EEE, una Transferencia de datos del Reino Unido u Otra transferencia de datos.
- Transferencias de datos (Encargados): Este apartado se aplica cuando es de aplicación la sección 4 (Disposiciones para los Encargados del tratamiento).
- Transferencias de datos del EEE. Si y en la medida en que la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del EEE, las Cláusulas contractuales tipo del EEE se incorporan al presente documento por referencia y se aplicarán de la forma que se indica a continuación:
- Aplicación. El Colaborador actúa de importador de datos y el Cliente de exportador de datos.
- Adhesión. A los efectos de la sección I, cláusula 7, se aplicará la cláusula de adhesión opcional.
- Módulos. Se aplica el MÓDULO DOS (transferencias de Responsable a Encargado).
- Instrucciones. A efectos de la sección II, cláusula 8.1 (Módulo Dos), las instrucciones para el importador de datos consistirán en instrucciones para tratar la Información personal que sea necesaria para poder prestar los servicios y/o suministrar los productos proporcionados por el Colaborador, y de acuerdo con lo que se especifique en el Acuerdo.
- Subencargados del tratamiento. A los efectos de la sección II, cláusula 9 (Módulo Dos), se aplica la opción 2 (y el plazo para que el importador de datos informe al exportador de datos de cualquier cambio previsto será de treinta (30) días por anticipado).
- Resarcimiento. A los efectos de la sección II, cláusula 11, no se aplicará el lenguaje opcional.
- Elección de la ley. A los efectos de la sección IV, cláusulas 17 y 18, en la medida en que lo permita la Ley de protección de datos aplicable, las partes acuerdan que sus respectivas obligaciones en virtud de las Cláusulas Contractuales Tipo del EEE se regirán por la(s) ley(es) de la República de Irlanda y que se someterán a su jurisdicción.
- Cumplimiento del Anexo I, Parte A. El Anexo I, Parte A (Listado de partes) se considerará cumplido con : i) los datos del Cliente (como exportador de datos); y ii) los datos del Colaborador (como importador de datos), en cada caso según se establece en el Acuerdo.
- Cumplimiento del Anexo I, Parte B. El Anexo I, Parte B (Descripción de la transferencia) de las Cláusulas Contractuales Tipo del EEE se considerará cumplido cuando recoja la información facilitada en la Descripción del Tratamiento.
- Cumplimiento del Anexo I, Parte C. Con respecto al Anexo I, Parte C (Autoridad de control competente) de las Cláusulas Contractuales Tipo del EEE, en la medida permitida por la Ley de protección de datos aplicable, las partes eligen la autoridad de protección de datos de la República de Irlanda.
- Cumplimiento del Anexo II. El Anexo II de las Cláusulas Contractuales Tipo del EEE (Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos) se considerará cumplimentado con las disposiciones establecidas en las Obligaciones de seguridad de la información.
- Conflicto entre disposiciones. En caso de incongruencia o conflicto entre las Cláusulas Contractuales Tipo del EEE y la presente sección, las disposiciones deberán interpretarse en la forma que se ofrezca mayor protección a los Interesados.
- Interpretación de las Cláusulas Contractuales Tipo del EEE para los Países restringidos. Si y en la medida en que la divulgación de Información personal por parte del Cliente al Colaborador equivale a Otra transferencia de datos, se considerará que las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán según lo establecido anteriormente en este párrafo de la sección 6, con las siguientes salvedades: i) las referencias en las Cláusulas Contractuales Tipo del EEE a “UE”, “Unión”, “Estado miembro de la UE” o “Estado miembro” se entenderán en relación con ese País restringido; ii) las referencias al “Reglamento (UE) 2016/679” o a “ese Reglamento” se entenderán en relación con las Leyes de protección de datos de ese País restringido, y las referencias a disposiciones o artículos específicos del RGPD se reemplazarán por la disposición o artículo equivalente de la Ley de protección de datos del País restringido; iii) las referencias a “autoridad de control” se entenderán en relación con la autoridad de protección de datos en ese País restringido; y iv) las referencias a las “Cláusulas” se entenderán en relación con este párrafo, que incorpora y modifica las Cláusulas.
- Transferencias de datos del Reino Unido. Si y en la medida en que la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del Reino Unido, el Suplemento de las CCT para el Reino Unido se incorpora al presente documento por referencia y se aplicará de la forma que se indica a continuación:
- Cumplimiento de la Tabla 1. La Tabla 1 del Suplemento de las CCT para el Reino Unido se cumplirá con los datos del Cliente (como exportador de datos) y los datos del Colaboradores (como importador de datos), según se establece en el Acuerdo. La “fecha de inicio” será la fecha de inicio, la fecha de entrada en vigor o una fecha equivalente del Acuerdo. El “contacto principal” para el Cliente será el “Director responsable de la privacidad” o el delegado de este cargo, con quien se podrá contactar en la siguiente dirección: wmprivacy@warnermedia.com; por su parte, el “contacto principal” para el Colaborador será comunicado al Cliente en el momento oportuno, además del cargo concreto y la dirección de correo electrónico de contacto.
- Cumplimiento de las Tablas 2 y 3. La Tabla 2 del Suplemento de las CCT para el Reino Unido se cumplirá seleccionando “las CCT aprobadas de la UE, incluida la información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT aprobadas de la UE e incorporadas a los efectos de este Suplemento”. A los efectos de la Tabla 2 y la Tabla 3 del Suplemento de las CCT para el Reino Unido, las “CCT aprobadas de la UE” se cumplirá tal y como se establece en este párrafo de la sección 6.
- Cumplimiento de la Tabla 4. La Tabla 4 del Suplemento de las CCT para el Reino Unido se cumplirá seleccionando la opción “ninguna parte”.
- Conflicto entre disposiciones. En caso de incongruencia o conflicto entre el Suplemento de las CCT para el Reino Unido y estas Obligaciones globales de privacidad, prevalecerá el Suplemento de las CCT para el Reino Unido.
- Transferencias de datos (Responsables). Este apartado se aplica cuando es de aplicación la sección 5 (Disposiciones para los Responsables del tratamiento).
- Transferencias de datos del EEE. Si y en la medida en que la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del EEE, las Cláusulas contractuales tipo del EEE se incorporan al presente documento por referencia y se aplicarán de la forma que se indica a continuación:
- Aplicación. El Colaborador actúa de importador de datos y el Cliente de exportador de datos.
- Adhesión. A los efectos de la sección I, cláusula 7, se aplicará la cláusula de adhesión opcional.
- Módulos. Se aplica el MÓDULO UNO (transferencias de Responsable a Responsable).
- Resarcimiento. A los efectos de la sección II, cláusula 11, no se aplicará el lenguaje opcional.
- Elección de la ley. A los efectos de la sección IV, cláusulas 17 y 18, en la medida en que lo permita la Ley de protección de datos aplicable, las partes acuerdan que sus respectivas obligaciones en virtud de las Cláusulas Contractuales Tipo del EEE se regirán por la(s) ley(es) de la República de Irlanda y que se someterán a su jurisdicción.
- Cumplimiento del Anexo I, Parte A. El Anexo I, Parte A (Listado de partes) se considerará cumplido con: i) los datos del Cliente (como exportador de datos); y ii) los datos del Colaborador (como importador de datos), en cada caso según se establece en el Acuerdo.
- Cumplimiento del Anexo I, Parte B. El Anexo I, Parte B (Descripción de la transferencia) de las Cláusulas Contractuales Tipo del EEE se considerará cumplido cuando recoja la información facilitada en la Descripción del Tratamiento.
- Cumplimiento del Anexo I, Parte C. Con respecto al Anexo I, Parte C (Autoridad de control competente) de las Cláusulas Contractuales Tipo del EEE, en la medida permitida por la Ley de protección de datos aplicable, las partes eligen la autoridad de protección de datos de la República de Irlanda.
- Cumplimiento del Anexo II. El Anexo II de las Cláusulas Contractuales Tipo del EEE (Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos) se considerará cumplido con las disposiciones establecidas en las Obligaciones de seguridad de la información.
- Conflicto entre disposiciones. En caso de incongruencia o conflicto entre las Cláusulas Contractuales Tipo del EEE y la presente sección, las disposiciones deberán interpretarse en la forma que se ofrezca mayor protección a los Interesados.
- Interpretación de las Cláusulas Contractuales Tipo del EEE para los Países restringidos. Si y en la medida en que la divulgación de Información personal por parte del Cliente al Colaborador equivale a Otra transferencia de datos, las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán según lo establecido anteriormente en este párrafo de la sección 6, con las siguientes salvedades: i) las referencias en las Cláusulas Contractuales Tipo del EEE a “UE”, “Unión”, “Estado miembro de la UE” o “Estado miembro” se entenderán en relación con ese País restringido; ii) las referencias al “Reglamento (UE) 2016/679” o a “ese Reglamento” se entenderán en relación con las Leyes de protección de datos de ese País restringido, y las referencias a disposiciones o artículos específicos del RGPD se reemplazarán por la disposición o artículo equivalente de la Ley de protección de datos del País restringido; iii) las referencias a “autoridad de control” se entenderán en relación con la autoridad de protección de datos en ese País restringido; y iv) las referencias a las “Cláusulas” se entenderán en relación con esta sección, que incorpora y modifica las Cláusulas.
- Transferencias de datos del Reino Unido. Si y en la medida en que la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del Reino Unido, el Suplemento de las CCT para el Reino Unido se incorpora al presente documento por referencia y se aplicará de la forma que se indica a continuación:
- Cumplimiento de la Tabla 1. La Tabla 1 del Suplemento de las CCT para el Reino Unido se cumplirá con los datos del Cliente (como exportador de datos) y los datos del Colaboradores (como importador de datos), según se establece en el Acuerdo. La “fecha de inicio” será la fecha de inicio, la fecha de entrada en vigor o una fecha equivalente del Acuerdo. El “contacto principal” para el Cliente será el “Director responsable de la privacidad” o el delegado de este cargo, con quien se podrá contactar en la siguiente dirección: wmprivacy@warnermedia.com; por su parte, el “contacto principal” para el Colaborador será comunicado al Cliente en el momento oportuno, además del cargo concreto y la dirección de correo electrónico de contacto.
- Cumplimiento de las Tablas 2 y 3. La Tabla 2 del Suplemento de las CCT para el Reino Unido se cumplirá seleccionando “las CCT aprobadas de la UE, incluida la información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT aprobadas de la UE e incorporadas a los efectos de este Suplemento”. A los efectos de la Tabla 2 y la Tabla 3 del Suplemento de las CCT para el Reino Unido, las “CCT aprobadas de la UE” se cumplimentarán tal y como se establece en este párrafo de la sección 6.
- Cumplimiento de la Tabla 4. La Tabla 4 del Suplemento de las CCT para el Reino Unido se cumplirá seleccionando la opción “ninguna parte”.
- Conflicto entre disposiciones. En caso de incongruencia o conflicto entre el Suplemento de las CCT para el Reino Unido y la presente sección, prevalecerá el Suplemento de las CCT para el Reino Unido.
- Disposiciones adicionales para las transferencias transfronterizas. Este párrafo se aplica si y en la medida en que la Información personal tratada por el Colaborador está sujeta a una Transferencia de datos del EEE, una Transferencia de datos del Reino Unido u Otra transferencia.
Medidas complementarias
- Las partes reconocen y acuerdan que la sentencia del Tribunal de Justicia de la Unión Europea sobre el asunto C-311/18 aclara que pueden ser necesarias medidas complementarias a fin de garantizar que la Información personal, que ha sido objeto de una Transferencia de datos del EEE o del Reino Unido, reciba un nivel de protección básicamente equivalente a las protecciones que recibe cuando se trata en el territorio de origen (además de las medidas de seguridad contenidas en las Cláusulas contractuales tipo del EEE). En consecuencia, las partes acuerdan las medidas establecidas en las siguientes secciones 6.4 b) a g) como medidas complementarias para contribuir a garantizar dicha equivalencia básica.
- Si el Colaborador tiene conocimiento de una solicitud o requerimiento de parte de una autoridad policial, reguladora, judicial o gubernamental (una “Autoridad”) para obtener acceso o una copia de toda o una parte de la Información personal tratada en relación con el Acuerdo, ya sea de forma voluntaria u obligatoria, el Colaborador deberá:
- notificar de inmediato al Cliente esta solicitud de dicha Autoridad;
- cuando sea de aplicación la sección 4 (Disposiciones para los Encargados del tratamiento), informar a la Autoridad que el Colaborador es un Encargado del tratamiento de Información personal y que el Cliente no le ha autorizado a revelar dicha Información personal a la Autoridad;
- informar a la Autoridad que todas y cada una de las solicitudes o requerimientos de acceso a dicha Información personal deben ser notificadas o entregadas al Cliente (como Responsable del tratamiento) por escrito; y
- en virtud de la sección 6.4 c), abstenerse de proporcionar a la Autoridad el acceso a dicha Información personal a menos y hasta que el Cliente lo autorice por escrito.
- Sin perjuicio de la sección 6.4 b) iv), el Colaborador podrá, sin la autorización previa por escrito del Cliente, divulgar Información personal a una Autoridad tras la recepción de una solicitud o requerimiento de parte de dicha Autoridad, siempre que (salvo que lo prohíba la ley):
- el Colaborador haya notificado al Cliente con una antelación prudencial dicha solicitud o requerimiento para ofrecerle la oportunidad razonable de oponerse o de solicitar una orden de protección u otro recurso apropiado;
- el Colaborador coopere de forma razonable con el Cliente, con gastos a cargo del Cliente, para que este pueda oponerse o buscar una orden de protección u otro recurso apropiado; y
- el Colaborador, en cualquier caso, solo divulgue la parte de la Información personal que está legalmente obligado a divulgar.
- Si el Colaborador divulga Información personal a una Autoridad, solo revelará dicha Información personal en la medida en que el Colaborador esté legalmente obligado a hacerlo y únicamente de acuerdo con el proceso legal aplicable.
- El Colaborador no divulgará conscientemente Información personal de forma masiva o indiscriminada excediendo los límites de lo estrictamente necesario y proporcionado en una sociedad democrática.
- El Colaborador aplicará, conservará y cumplirá con una política escrita que rija las solicitudes de Información personal de las Autoridades y que, como mínimo, prohíba:
- la divulgación masiva o indiscriminada de Información personal concerniente a Interesados en Europa; y
- la divulgación de Información personal concerniente a Interesados en Europa a una Autoridad sin una notificación, cédula, orden judicial, auto, decreto, citación u otra orden legalmente vinculante que obligue a la divulgación de dicha Información personal.
- El Colaborador deberá aplicar y conservar, de acuerdo con las buenas prácticas del sector, medidas para proteger la Información personal de cualquier interceptación (incluso en el tránsito del Cliente al Colaborador y entre los diferentes sistemas y servicios). Esto incluye aplicar y conservar la protección de la red para impedir que los atacantes puedan interceptar los datos y el cifrado de estos mientras están en tránsito, y de esa forma no tengan posibilidad de leer los datos.
Disposiciones adicionales sobre la transferencia de datos
- El Colaborador se compromete a cooperar de buena fe para formalizar documentos adicionales y aplicar protecciones adicionales o para restringir el tratamiento a ciertos territorios, según el Cliente considere necesario para llevar a cabo las Transferencias de datos del EEE o del Reino Unido u Otras transferencias (según corresponda).
- Si, en algún momento, el Colaborador trata Información personal procedente de cualquier país que restrinja la transferencia de Información personal a otra jurisdicción que no se considere adecuada para recibir dicha Información personal, siguiendo las instrucciones del cliente, deberá:
- tomar todas las medidas necesarias y ejecutar los acuerdos que exija la Ley de protección de datos aplicable en dicho país para legitimar cualquier Tratamiento; y
- garantizar un nivel adecuado de protección para la Información personal del Cliente.
- En el caso de que una autoridad de protección de datos competente declare la invalidez de un mecanismo de transferencia de datos utilizado por las partes, o que una autoridad de protección de datos competente o la ley aplicable exijan la suspensión de las transferencias de Información personal o la restricción a una jurisdicción específica, el Cliente puede, a su discreción, exigir al Colaborador que deje de tratar la Información personal o que colabore con él de buena fe para facilitarle el uso de un mecanismo alternativo de transferencia de datos, formalizar documentos adicionales, aplicar protecciones adicionales o restringir el Tratamiento a ciertas jurisdicciones.
- Esta sección se aplica a todos los Colaboradores.
- Con carácter adicional a cualquier obligación de resarcimiento que se establezca en el Acuerdo para el Colaborador, el Colaborador defenderá, indemnizará y exonerará de responsabilidad al Cliente frente a todas y cualesquiera reclamaciones de terceros, demandas, costes, obligaciones, pérdidas, daños y gastos (incluidos los honorarios de los abogados) en los que incurra el Cliente a consecuencia de o en relación con i) un Incidente de seguridad, o ii) una infracción del presente Obligaciones globales de privacidad por parte del Colaborador o de las filiales del Colaborador, de los Subencargados del tratamiento (incluidos los Subencargados del tratamiento designados por las filiales del Colaborador) y de los cesionarios, incluidas, entre otras, un reclamo o demanda por parte de una autoridad de protección de datos o de un Interesado.
ATRÁS