view in:

OBLIGACIONES GLOBALES DE PRIVACIDAD

ÚLTIMA ACTUALIZACIÓN: 21 de noviembre de 2022
1. INTRODUCCIÓN
  1. Las presentes obligaciones globales de privacidad (las “Obligaciones Globales de Privacidad”) establecen determinadas obligaciones de protección de datos que esperamos que nuestros proveedores y demás colaboradores (de forma colectiva, los “Colaboradores”) cumplan en relación con los productos y servicios que nos proporcionan. Estas Obligaciones Globales de Privacidad complementan y forman parte de cualquier acuerdo que tengamos con nuestros Colaboradores en el que se hayan incorporado estas Obligaciones Globales de Privacidad (el “Acuerdo”).
  2. Las secciones aplicables de estas Obligaciones Globales de Privacidad variarán en función de nuestra relación con el Colaborador. En cada sección se indica cuándo se aplica.
2. DEFINICIONES
  1. Esta sección se aplica a todos los Colaboradores.
  2. A los efectos de estas Obligaciones Globales de Privacidad, los términos que se detallan a continuación tendrán el significado que aquí se les atribuye:
    1. “Responsable del Tratamiento”: la persona o entidad que, por sí sola o junto con otros, determine los fines y medios del Tratamiento de Datos Personales.
    2. “Cliente”, “nosotros”, “nuestro” y las indicaciones a la primera persona del plural se entienden en referencia a (i) la entidad Warner Bros. Discovery, identificada en el Acuerdo y que forma parte del mismo; y (ii) cualquier filial o subsidiaria que controle, sea controlada o esté bajo el control común con la entidad Warner Bros. Discovery mencionada en el Acuerdo.
    3. “Normativa de Protección de Datos”: cualquier constitución, ley, estatuto, tratado, norma, reglamento, ordenanza, código y guía federal, estatal, provincial, local, municipal, extranjera, internacional, multinacional o de otro tipo, emitida por las autoridades reguladoras competentes para interpretar o exigir, en relación con el tratamiento de datos personales, la privacidad, la protección de datos (la protección de Datos Personales) o la ciberseguridad, con sus eventuales modificaciones.
    4. “Interesado”: la persona a quien hacen referencia los Datos Personales.
    5. “Solicitudes de los Interesados”: solicitudes de información, acceso, rectificación, supresión, limitación del tratamiento, portabilidad, oposición, prohibición de venta, eliminación u otra similar por parte de los Interesados.
    6. “Descripción del Tratamiento”: la descripción de los Datos Personales tratados por el Colaborador en virtud del Acuerdo.
    7. “EEE”: el Espacio Económico Europeo.
    8. “Transferencia de Datos del EEE”: una transferencia de Datos Personales sujeta al RGPD a un país o territorio externo al EEE que la Comisión de la UE no ha considerado adecuado.
    9. “Cláusulas Contractuales Tipo del EEE”: las Cláusulas Contractuales Tipo (CCT) para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, adoptadas por decisión de la Comisión del 4 de junio de 2021, notificada con el número C(2021) 3972 y disponible en https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=es
    10. “RGPD”: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento General de Protección de Datos).
    11. “Obligaciones de Seguridad de la Información”: cualquier obligación de seguridad de la información aplicable que se incorpore o forme parte de otro modo del Acuerdo.
    12. “Otra Transferencia de Datos”: una transferencia de Datos Personales: (i) que está sujeta a la normativa de un país que restringe la transferencia de Datos Personales a otro país que no considere adecuado para recibir dichos Datos Personales (un “País Restrictivo”); y (ii) que no es una Transferencia de Datos del EEE o del Reino Unido.
    13. “Datos Personales”: cualquier información sobre una persona física identificada o identificable, incluida cualquier información definida como “información de identificación personal”, “información personal”, “datos personales” o términos similares, tal como se definen dichos términos en la Normativa de Protección de Datos, limitada a los Datos Personales que trata el Colaborador en relación con el Acuerdo.
    14. “Tratamiento” (y sus derivados): cualquier operación o conjunto de operaciones realizadas sobre los Datos Personales, ya sea por medios automáticos o no, incluida la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, consulta, uso, revelación por transmisión, transferencia, difusión u otro tipo de puesta a disposición, armonización o combinación, restricción, supresión o destrucción de Datos Personales.
    15. “Encargado del Tratamiento”: la persona o entidad que trata Datos Personales en nombre del Responsable del Tratamiento.
    16. “Incidente en materia de Seguridad”: (i) cualquier interrupción grave de las operaciones de Tratamiento por parte del Colaborador; (ii) cualquier adquisición, uso o uso indebido, pérdida, acceso, pérdida de acceso o de uso de los Datos Personales (incluida la pérdida de cualquier forma de almacenamiento donde se guarden los Datos Personales); o (iii) cualquier infracción de las medidas de seguridad que conduzca a la destrucción, pérdida, alteración, uso o uso indebido, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales.
    17. “Datos Especialmente Protegidos”: Datos Personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas; la afiliación sindical; el estado de salud físico o psíquico; la vida o la orientación sexual; el Tratamiento de datos genéticos o biométricos con el único fin de identificar a un Interesado; Datos Personales relacionados con condenas y delitos penales o medidas de seguridad relacionadas; número de identificación emitido por el gobierno; credenciales de cuenta; números de cuentas financieras, incluidos números de tarjetas de pago; datos precisos de geolocalización; contenidos de comunicaciones no dirigidas al Colaborador o al Cliente; y aquellos subconjuntos de Datos Personales que se consideren “sensibles” o que requieren mayor protección bajo la Normativa de Protección de Datos aplicable.
    18. “Servicios” tiene el significado previsto en el Acuerdo o, de no estar definido en el Acuerdo, se entenderá en referencia a los productos o servicios que nos presta el Colaborador en virtud del Acuerdo.
    19. “Subencargado del Tratamiento”: la persona o entidad que trata Datos Personales en nombre del Encargado del Tratamiento de datos.
    20. “Transferencia de Datos del Reino Unido”: una transferencia de Datos Personales sujeta al RGPD del Reino Unido a un país o territorio externo al Reino Unido que la Secretaría de Estado del Reino Unido no ha considerado adecuado.
    21. “RGPD del Reino Unido”: el RGPD, en tanto que fue incorporado a la normativa de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la European Union (Withdrawal) Act (Ley de Retirada de la Unión Europea) de 2018.
    22. “Suplemento de las CCT para el Reino Unido”: el modelo de suplemento emitido por la Oficina del Comisionado de Información del Reino Unido y expuesto ante el Parlamento de acuerdo con la sección 119A de la Data Protection Act (Ley de Protección de Datos) de 2018 el 2 de febrero de 2022, en su versión revisada en virtud de la sección 18, disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. DISPOSICIONES PARA TODOS LOS COLABORADORES
  1. Esta sección se aplica a todos los Colaboradores.
  2. Cumplimento normativo. El Colaborador deberá cumplir con toda la Normativa de Protección de Datos aplicable y ofrecer las medidas de seguridad adecuadas para cumplir las obligaciones aquí indicadas. El Colaborador deberá informar al Cliente en la dirección wmprivacy@warnermedia.com en el caso de que determine que no puede seguir cumpliendo con sus obligaciones en materia de protección de datos. El Cliente tendrá derecho a tomar las medidas adecuadas para eliminar y corregir cualquier Tratamiento no autorizado de Datos Personales por parte del Colaborador.
  3. Seguridad. El Colaborador deberá implementar y mantener medidas técnicas y organizativas apropiadas y adecuadas para proteger los Datos Personales. Las medidas de seguridad del Colaborador deberán estar diseñadas para: (i) garantizar la confidencialidad, disponibilidad e integridad de los Datos Personales; (ii) ofrecer protección para la seguridad o integridad de los Datos Personales contra cualquier amenaza o peligro previsible; y (iii) ofrecer protección contra Tratamientos no autorizados.
  4. Comunicaciones con terceros. En caso de que el Colaborador reciba cualquier comunicación de un individuo, regulador, organismo gubernamental u otro tercero relacionado con:
    1. el tratamiento de los Datos Personales por parte del Colaborador en relación con el Acuerdo; o
    2. el tratamiento de los Datos Personales por parte del Cliente,

    El Colaborador deberá (a menos que lo prohíba la ley) notificar de inmediato al Cliente (en la dirección wmprivacy@warnermedia.com) y proporcionar información completa y detallada de dicha comunicación, además de prestar toda la cooperación que el Cliente solicite de forma razonable para responder a dicha comunicación. El Colaborador no responderá a dicha comunicación directamente sin la autorización previa del Cliente a menos que esté legalmente obligado a hacerlo.
  5. Respuesta a solicitudes e incidentes. El Colaborador no nombrará, sin obtener la aprobación previa por escrito del Cliente, al Cliente (incluida cualquier subsidiaria o filial del Cliente) en ninguna: (i) respuesta a un Interesado; (ii) divulgación pública relativa al Tratamiento; (iii) notificación de un Incidente en materia de Seguridad; o (iv) notificación a una autoridad de protección de datos u otro organismo legal relacionado con el Tratamiento.
  6. Período de vigencia y supervivencia.
    1. En virtud de la sección 3.6(b), las disposiciones de estas Obligaciones Globales de Privacidad terminarán cuando el Colaborador deje de tratar los Datos Personales en relación con el Acuerdo.
    2. Sin perjuicio de la sección 3.6(a), las secciones 3.4, 3.5 y 3.7 seguirán vigentes tras la resolución o el vencimiento del Acuerdo y de las presentes Obligaciones Globales de Privacidad.
  7. Traducciones. En caso de conflicto entre la versión en inglés de estas Obligaciones Globales de Privacidad y otra versión en cualquier otro idioma, prevalecerá la versión en inglés.
  8. Sin limitación de responsabilidad A fin de evitar posibles dudas, las responsabilidades de las partes en virtud de estas Obligaciones Globales de Privacidad no estarán sujetas a ninguna limitación ni exclusión de responsabilidad contenida en el Acuerdo.
4. DISPOSICIONES PARA LOS ENCARGADOS DEL TRATAMIENTO
  1. Esta sección se aplica en caso de que:
    1. El Colaborador trate cualquier dato personal como Encargado del Tratamiento en nombre del Cliente; o
    2. El Acuerdo establezca expresamente la aplicación de esta sección.
  2. Instrucciones. El Colaborador solo tratará Datos Personales de acuerdo con las instrucciones documentadas del Cliente (a menos que se requiera tratar dichos Datos Personales de acuerdo con una obligación legal a la que el Colaborador esté sujeto, en cuyo caso el Colaborador informará al Cliente de la obligación legal antes de comenzar dicho Tratamiento, salvo que la obligación legal prohíba informar al Cliente). Las instrucciones documentadas del Cliente se concretan en el Tratamiento de los Datos Personales: (i) según sea necesario para que el Colaborador preste los Servicios y cumpla con cualquier otra obligación en virtud del Acuerdo; y (ii) según lo indique el Cliente por escrito de vez en cuando. El Colaborador informará de inmediato al Cliente si, en opinión del Colaborador, una dirección o instrucción del Cliente infringe la Normativa de Protección de Datos vigente.
  3. Descripción del Tratamiento. La descripción del objeto y la duración del Tratamiento, la naturaleza y la finalidad del mismo, el tipo de Datos Personales y las categorías de Interesados se establecen en la Descripción del Tratamiento.
  4. Limitación de uso. El Colaborador no deberá: (i) vender los Datos Personales ni divulgarlos de otro modo a cambio de cualquier contraprestación monetaria u de otro tipo; (ii) tratar los Datos Personales para un fin distinto al de la prestación de los Servicios o contrario a las instrucciones del Cliente; (iii) tratar los Datos Personales fuera de la relación comercial directa entre el Colaborador y el Cliente; o (iv) combinar los Datos Personales con los Datos Personales recibidos o recopilados de o en nombre de otras personas o recopilados de los usuarios. El Colaborador certifica que comprende y que cumplirá las limitaciones de esta sección.
  5. Solicitudes de los Interesados. El Colaborador informará de inmediato al Cliente sobre cualquier Solicitud o comunicación por parte un Interesado relacionada con los Datos Personales que trata en relación con los Servicios, sin responder al Interesado en cuestión excepto para el acuse de recibo de la Solicitud o comunicación del Interesado (salvo que la Normativa de Protección de Datos así lo requiera o si las instrucciones del Cliente así lo indican). El Colaborador ayudará al Cliente en lo que sea necesario para responder a las Solicitudes de los Interesados, incluida la adopción de medidas técnicas y organizativas adecuadas, y cualquier característica y funcionalidad del producto que sea necesaria. El Colaborador prestará dicha asistencia sin dilación y, en cualquier caso, en el plazo de cinco (5) días de la Solicitud del Interesado o de la solicitud de asistencia por parte del Cliente. En los casos en los que proceda, y previa solicitud del Cliente, el Colaborador ayudará al Cliente a informar a las personas interesadas sobre el Tratamiento de sus Datos Personales, incluso proporcionando o remitiendo a los Interesados a una política o declaración de privacidad que cumpla con la Normativa de Protección de Datos. El Colaborador mantendrá y proporcionará acceso al Cliente respecto a los registros completos y precisos de las Solicitudes de los Interesados sobre los cuales el Colaborador ofrece su asistencia.
  6. Confidencialidad del personal. El Colaborador se asegurará de que cada miembro de su personal acate las obligaciones de confidencialidad en lo que se refiere a los Datos Personales.
  7. Seguridad. El Colaborador aplicará y mantendrá los procedimientos y prácticas de seguridad de la información establecidos en las Obligaciones de Seguridad de la Información.
  8. Auditoría y asistencia Sin perjuicio de cualquier disposición de auditoría en las Obligaciones de Seguridad de la Información, el Colaborador:
    1. proporcionará al Cliente la información y la asistencia que se requiera de forma razonable para confirmar el cumplimiento por parte del Colaborador de estas Obligaciones Globales de Privacidad, incluida la asistencia para completar evaluaciones de impacto de la protección de datos y la consulta con las autoridades de protección de datos. El Colaborador proporcionará la asistencia que sea razonablemente necesaria para que el Cliente cumpla con la Normativa de Protección de Datos.
    2. Asimismo, el Colaborador acepta, bajo la dirección del Cliente, ofrecer su programa de protección de datos y las instalaciones en las que se tratan los Datos Personales para auditar su cumplimiento con arreglo a estas Obligaciones Globales de Privacidad o a la Normativa de Protección de Datos vigente. La auditoría puede ser realizada por el Cliente o por un delegado nombrado en su nombre, siempre que el delegado acepte un acuerdo de confidencialidad que sea admisible para el Colaborador. El Cliente notificará con suficiente antelación y realizará dicha auditoría durante el horario laboral habitual sin interrumpir las operaciones del Colaborador. A fin de evitar posibles dudas, esta disposición no exigirá que el Colaborador proporcione a ningún Cliente acceso a Información confidencial relativa a otros Clientes del Colaborador.
  9. Incidentes en materia de Seguridad. El Colaborador informará sin dilación y, en cualquier caso, en el plazo máximo de cuarenta y ocho (48) horas tras tener conocimiento de ello, al Cliente y a la línea de asistencia directa del Centro de Operaciones de Seguridad de WarnerMedia, en el teléfono (001)404-827-1900 y por correo electrónico a cybersecurity@WarnerMedia.com en caso de que exista o tenga una sospecha razonable de un Incidente en materia de Seguridad. Según las instrucciones del Cliente, el Colaborador proporcionará toda la información y asistencia que el Cliente precise de forma razonable para investigar, mitigar y responder a un Incidente en materia de Seguridad, incluyendo, como mínimo, cualquier información o asistencia exigida por la Normativa de Protección de Datos vigente o que sea necesaria para que el Cliente pueda notificar el Incidente en materia de Seguridad. El Colaborador acepta consultar al Cliente antes de realizar declaraciones públicas o notificar a una autoridad de protección de datos o a un Interesado sobre un Incidente en materia de Seguridad. El Colaborador será responsable de, y pagará al Cliente cuando lo solicite, todos los costes, obligaciones, pérdidas, daños y gastos (incluidos los honorarios de los abogados) en los que incurra el Cliente a consecuencia de un Incidente en materia de Seguridad, o en relación con él, que afecte a los Datos Personales tratados por el Colaborador, sus afiliados, cesionarios o Subencargados del Tratamiento.
  10. Subencargados del Tratamiento. El Colaborador puede contratar o permitir de otro modo que un Subencargado trate los Datos Personales en su nombre, siempre y cuando el Colaborador:
    1. suscriba un contrato por escrito con cada Subencargado del Tratamiento, cuyas obligaciones garanticen el mismo nivel de protección que el exigido en las disposiciones de estas Obligaciones Globales de Privacidad aplicables al Colaborador;
    2. lleve a cabo la debida diligencia para garantizar que cada Subencargado del Tratamiento pueda actuar de la forma necesaria para que el Colaborador cumpla con sus obligaciones en virtud de las disposiciones de estas Obligaciones Globales de Privacidad aplicables al Colaborador;
    3. notifique por escrito y por adelantado al Cliente al respecto de cualquier nuevo Subencargado del Tratamiento de datos que el Colaborador se proponga contratar. El Cliente dispondrá de treinta (30) días a partir de la recepción de dicha notificación para oponerse a la contratación del nuevo Subencargado del Tratamiento por parte del Colaborador. Si el Cliente no muestra su oposición en este plazo, el Colaborador podrá permitir que el Subencargado del Tratamiento trate Datos Personales. En el caso de que el Cliente se opusiera a la contratación de un Subencargado del Tratamiento, el Colaborador abordará de inmediato las objeciones del Cliente en el plazo de diez (10) días desde el momento en que las reciba. Si el Colaborador no pudiera poner remedio a las objeciones del Cliente en el plazo de diez (10) días, el Cliente podrá rescindir en cualquier momento el Acuerdo con efecto inmediato y sin penalización, previa notificación por escrito al Colaborador. El Colaborador no permitirá que el nuevo Subencargado del Tratamiento trate Datos Personales (i) en los treinta (30) días siguientes a la notificación de su intención de contratar un nuevo Subencargado del Tratamiento, o (ii) mientras no se ponga remedio a las objeciones del Cliente sobre la contratación de un Subencargado del Tratamiento;
    4. siendo plenamente responsable de todo el Tratamiento de Datos Personales que realice cada Subencargado del Tratamiento.
  11. Eliminación o devolución. Tras la rescisión o el vencimiento del Acuerdo, o alternativamente, según las órdenes del Cliente, el Colaborador, de acuerdo con las instrucciones del Cliente: (i) devolverá al Cliente una copia completa de los Datos Personales que haya tratado en relación con el Acuerdo, en una forma y un formato acordados por las partes; y/o (ii) eliminará de forma segura los Datos Personales (incluidas todas las copias) que obren en su posesión o esté bajo su control y que haya tratado en relación con el Acuerdo.
5. DISPOSICIONES PARA LOS RESPONSABLES DEL TRATAMIENTO
  1. Esta sección se aplica en caso de que:
    1. el Colaborador determine de forma independiente los fines y los medios del Tratamiento de cualquier dato personal que trate en relación con el Acuerdo; o
    2. el Acuerdo establezca expresamente la aplicación de esta sección.
  2. Información y transparencia. El Colaborador deberá aplicar y mantener una política de privacidad clara, a la que se pueda acceder fácilmente, en la que informe a los Interesados (de los que el Colaborador trata Datos Personales en relación con el Acuerdo) sobre el Tratamiento que el propio Colaborador hace de los Datos Personales y garantice que dicha política cumple con toda la normativa aplicable.
  3. Incidentes en materia de seguridad. El Colaborador notificará sin demora al Cliente que corresponda cualquier Incidente en materia de Seguridad, ya sea real o del que se tenga una sospecha razonable, que afecte a los Datos Personales tratados en relación con el Acuerdo, y le dará detalles sin dilación sobre la naturaleza del Incidente, los Datos Personales afectados y la respuesta del Colaborador a dicho Incidente de seguridad, así como la forma de remediarlo.
6. TRANSFERENCIAS INTERNACIONALES
  1. Esta sección se aplica a los Colaboradores cuando se produce una Transferencia de Datos del EEE, una Transferencia de Datos del Reino Unido u Otra Transferencia de Datos.
  2. Transferencias de Datos (Encargados del Tratamiento): Este apartado se aplica cuando es de aplicación la sección 4 (Disposiciones para los Encargados del tratamiento).
    1. Transferencias de Datos del EEE. Si y en la medida en que los Datos Personales tratados por el Colaborador están sujetos a una Transferencia de Datos del EEE, las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán de la forma que se indica a continuación:
      1. Aplicación. El Colaborador actúa de importador de datos y el Cliente de exportador de datos.
      2. Adhesión. A los efectos de la sección I, cláusula 7, se aplicará la cláusula de adhesión opcional.
      3. Módulos. Se aplica el MÓDULO DOS (transferencias de Responsable a Encargado del Tratamiento).
      4. Instrucciones. A efectos de la sección II, cláusula 8.1 (Módulo Dos), las instrucciones para el importador de datos consistirán en instrucciones para tratar los Datos Personales necesarios para poder prestar los servicios y/o suministrar los productos proporcionados por el Colaborador, y de acuerdo con lo que se especifique en el Acuerdo.
      5. Subencargados del Tratamiento. A los efectos de la sección II, cláusula 9 (Módulo Dos), se aplica la opción 2 (y el plazo para que el importador de datos informe al exportador de datos de cualquier cambio previsto será de treinta (30) días por anticipado).
      6. Resarcimiento. A los efectos de la sección II, cláusula 11, no se aplicará el lenguaje opcional.
      7. Jurisdicción y Ley aplicable. A los efectos de la sección IV, cláusulas 17 y 18, en la medida en que lo permita la Normativa de Protección de Datos aplicable, las partes acuerdan que sus respectivas obligaciones en virtud de las Cláusulas Contractuales Tipo del EEE se regirán por la(s) ley(es) de la República de Irlanda y que se someterán a su jurisdicción.
      8. Cumplimentación del Anexo I, parte A. El Anexo I, parte A (Listado de partes) se considerará cumplimentado cuando recoja: (i) los datos del Cliente (como exportador de datos); y (ii) los datos del Colaborador (como importador de datos), en cada caso según se establece en el Acuerdo.
      9. Cumplimentación del Anexo I, parte B. El Anexo I, parte B (Descripción de la transferencia) de las Cláusulas Contractuales Tipo del EEE se considerará cumplimentado cuando recoja la información facilitada en la Descripción del Tratamiento.
      10. Cumplimentación del Anexo I, parte C. Con respecto al Anexo I, parte C (Autoridad de control competente) de las Cláusulas Contractuales Tipo del EEE, en la medida permitida por la Normativa de Protección de Datos aplicable, las partes eligen la autoridad de protección de datos de la República de Irlanda.
      11. Cumplimentación del Anexo II. El Anexo II de las Cláusulas Contractuales Tipo del EEE (Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos) se considerará cumplimentado con las disposiciones establecidas en las Obligaciones de Seguridad de la Información.
      12. Conflicto entre disposiciones. En caso de incongruencia o conflicto entre las Cláusulas Contractuales Tipo del EEE y la presente sección, las disposiciones deberán interpretarse en la forma que se ofrezca mayor protección a los Interesados.
    2. Interpretación de las Cláusulas Contractuales Tipo del EEE para los Países Restrictivos. Si y en la medida en que la divulgación de Datos Personales por parte del Cliente al Colaborador equivale a Otra Transferencia de Datos, se considerará que las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán según lo establecido anteriormente en este párrafo de la sección 6, con las siguientes salvedades: (i) las referencias en las Cláusulas Contractuales Tipo del EEE a “UE”, “Unión”, “Estado miembro de la UE” o “Estado miembro” se entenderán en relación con ese País Restrictivo; (ii) las referencias al “Reglamento (UE) 2016/679” o a “ese Reglamento” se entenderán en relación con la Normativa de Protección de Datos de ese País Restrictivo, y las referencias a disposiciones o artículos específicos del RGPD se reemplazarán por la disposición o artículo equivalente de la Normativa de Protección de Datos del País Restrictivo; (iii) las referencias a “autoridad de control” se entenderán en relación con la autoridad de protección de datos en ese País Restrictivo; y (iv) las referencias a las “Cláusulas” se entenderán en relación con este párrafo, que incorpora y modifica las Cláusulas.
    3. Transferencias de Datos del Reino Unido. Si y en la medida en que los Datos Personales tratados por el Colaborador están sujetos a una Transferencia de Datos del Reino Unido, el Suplemento de las CCT para el Reino Unido se incorpora al presente documento por referencia y se aplicará de la forma que se indica a continuación:
      1. Cumplimentación de la Tabla 1. La Tabla 1 del Suplemento de las CCT para el Reino Unido se cumplimentará con los datos del Cliente (como exportador de datos) y los datos del Colaboradores (como importador de datos), según se establece en el Acuerdo. La “fecha de inicio” será la fecha de inicio, la fecha de entrada en vigor o una fecha equivalente del Acuerdo. El “contacto principal” para el Cliente será el “Director responsable de la privacidad” o el delegado de este cargo, con quien se podrá contactar en la siguiente dirección: wmprivacy@warnermedia.com; por su parte, el “contacto principal” para el Colaborador será comunicado al Cliente en el momento oportuno, además del cargo concreto y la dirección de correo electrónico de contacto.
      2. Cumplimentación de las Tablas 2 y 3. La Tabla 2 del Suplemento de las CCT para el Reino Unido se cumplimentará seleccionando “las CCT aprobadas de la UE, incluida la información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT aprobadas de la UE e incorporadas a los efectos de este Suplemento”. A los efectos de la Tabla 2 y la Tabla 3 del Suplemento de las CCT para el Reino Unido, las “CCT aprobadas de la UE” se cumplimentarán tal y como se establece en este párrafo de la sección 6.
      3. Cumplimentación de la Tabla 4. La Tabla 4 del Suplemento de las CCT para el Reino Unido se cumplimentará seleccionando la opción “ninguna parte”.
      4. Conflicto entre disposiciones. En caso de incongruencia o conflicto entre el Suplemento de las CCT para el Reino Unido y estas Obligaciones Globales de Privacidad, prevalecerá el Suplemento de las CCT para el Reino Unido.
  3. Transferencias de Datos (Responsables del Tratamiento). Este apartado se aplica cuando sea de aplicación la sección 5 (Disposiciones para los Responsables del Tratamiento).
    1. Transferencias de Datos del EEE. Si y en la medida en que los Datos Personales tratados por el Colaborador están sujetos a una Transferencia de Datos del EEE, las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán de la forma que se indica a continuación:
      1. Aplicación. El Colaborador actúa de importador de datos y el Cliente de exportador de datos.
      2. Adhesión. A los efectos de la sección I, cláusula 7, se aplicará la cláusula de adhesión opcional.
      3. Módulos. Se aplica el MÓDULO UNO (transferencias de Responsable a Responsable del Tratamiento).
      4. Resarcimiento. A los efectos de la sección II, cláusula 11, no se aplicará el lenguaje opcional.
      5. Jurisdicción y Ley aplicable. A los efectos de la sección IV, cláusulas 17 y 18, en la medida en que lo permita la Normativa de Protección de Datos aplicable, las partes acuerdan que sus respectivas obligaciones en virtud de las Cláusulas Contractuales Tipo del EEE se regirán por la(s) ley(es) de la República de Irlanda y que se someterán a su jurisdicción.
      6. Cumplimentación del Anexo I, parte A. El Anexo I, parte A (Listado de partes) se considerará cumplimentado cuando recoja: (i) los datos del Cliente (como exportador de datos); y (ii) los datos del Colaborador (como importador de datos), en cada caso según se establece en el Acuerdo.
      7. Cumplimentación del Anexo I, parte B. El Anexo I, parte B (Descripción de la transferencia) de las Cláusulas Contractuales Tipo del EEE se considerará cumplimentado cuando recoja la información facilitada en la Descripción del Tratamiento.
      8. Cumplimentación del Anexo I, parte C. Con respecto al Anexo I, parte C (Autoridad de control competente) de las Cláusulas Contractuales Tipo del EEE, en la medida permitida por la Normativa de Protección de Datos aplicable, las partes eligen la autoridad de protección de datos de la República de Irlanda.
      9. Cumplimentación del Anexo II. El Anexo II de las Cláusulas Contractuales Tipo del EEE (Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos) se considerará cumplimentado con las disposiciones establecidas en las Obligaciones de Seguridad de la Información.
      10. Conflicto entre disposiciones. En caso de incongruencia o conflicto entre las Cláusulas Contractuales Tipo del EEE y la presente sección, las disposiciones deberán interpretarse en la forma que se ofrezca mayor protección a los Interesados.
    2. Interpretación de las Cláusulas Contractuales Tipo del EEE para los Países Restrictivos. Si y en la medida en que la divulgación de Datos Personales por parte del Cliente al Colaborador equivale a Otra Transferencia de Datos, las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán (según lo establecido anteriormente en este párrafo de la sección 6, con las siguientes salvedades: (i) las referencias en las Cláusulas Contractuales Tipo del EEE a “UE”, “Unión”, “Estado miembro de la UE” o “Estado miembro” se entenderán en relación con ese País Restrictivo; (ii) las referencias al “Reglamento (UE) 2016/679” o a “ese Reglamento” se entenderán en relación con la Normativa de Protección de Datos de ese País Restrictivo, y las referencias a disposiciones o artículos específicos del RGPD se reemplazarán por la disposición o artículo equivalente de la Normativa de Protección de Datos del País Restrictivo; (iii) las referencias a “autoridad de control” se entenderán en relación con la autoridad de protección de datos en ese País Restrictivo; y (iv) las referencias a las “Cláusulas” se entenderán en relación con esta sección, que incorpora y modifica las Cláusulas.
    3. Transferencias de Datos del Reino Unido. Si y en la medida en que los Datos Personales tratados por el Colaborador están sujetos a una Transferencia de Datos del Reino Unido, el Suplemento de las CCT para el Reino Unido se incorpora al presente documento por referencia y se aplicará de la forma que se indica a continuación:
      1. Cumplimentación de la Tabla 1. La Tabla 1 del Suplemento de las CCT para el Reino Unido se cumplimentará con los datos del Cliente (como exportador de datos) y los datos del Colaboradores (como importador de datos), según se establece en el Acuerdo. La “fecha de inicio” será la fecha de inicio, la fecha de entrada en vigor o una fecha equivalente del Acuerdo. El “contacto principal” para el Cliente será el “Director responsable de la privacidad” o el delegado de este cargo, con quien se podrá contactar en la siguiente dirección: wmprivacy@warnermedia.com por su parte, el “contacto principal” para el Colaborador será comunicado al Cliente en el momento oportuno, además del cargo concreto y la dirección de correo electrónico de contacto.
      2. Cumplimentación de las Tablas 2 y 3. La Tabla 2 del Suplemento de las CCT para el Reino Unido se cumplimentará seleccionando “las CCT aprobadas de la UE, incluida la información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT aprobadas de la UE e incorporadas a los efectos de este Suplemento”. A los efectos de la Tabla 2 y la Tabla 3 del Suplemento de las CCT para el Reino Unido, las “CCT aprobadas de la UE” se cumplimentarán tal y como se establece en este párrafo de la sección 6.
      3. Cumplimentación de la Tabla 4. La Tabla 4 del Suplemento de las CCT para el Reino Unido se cumplimentará seleccionando la opción “ninguna parte”.
      4. Conflicto entre disposiciones. En caso de incongruencia o conflicto entre el Suplemento de las CCT para el Reino Unido y la presente sección, prevalecerá el Suplemento de las CCT para el Reino Unido.
  4. Disposiciones adicionales para las transferencias internacionales. Este párrafo se aplica si y en la medida en que los Datos Personales tratados por el Colaborador están sujetos a una Transferencia de Datos del EEE, una Transferencia de Datos del Reino Unido u Otra transferencia.
    Medidas complementarias
    1. Las partes reconocen y acuerdan que la sentencia del Tribunal de Justicia de la Unión Europea sobre el asunto C-311/18 aclara que pueden ser necesarias medidas complementarias a fin de garantizar que los Datos Personales, que han sido objeto de una Transferencia de Datos del EEE o del Reino Unido, reciban un nivel de protección básicamente equivalente a las protecciones que reciben cuando se trata en el territorio de origen (además de las medidas de seguridad contenidas en las Cláusulas Contractuales Tipo del EEE). En consecuencia, las partes acuerdan las medidas establecidas en las siguientes secciones 6.4(b) a (g) como medidas complementarias para contribuir a garantizar dicha equivalencia básica.
    2. Si el Colaborador tuviera conocimiento de una solicitud o requerimiento de parte de una autoridad policial, reguladora, judicial o gubernamental (una “Autoridad”) para obtener acceso o una copia de determinados o de la totalidad de los Datos Personales tratados en relación con el Acuerdo, ya sea de forma voluntaria u obligatoria, el Colaborador deberá:
      1. notificar de inmediato al Cliente esta solicitud de dicha Autoridad;
      2. cuando sea de aplicación la sección 4 (Disposiciones para los Encargados del tratamiento), informar a la Autoridad de que el Colaborador es un Encargado del Tratamiento de Datos Personales y que el Cliente no le ha autorizado a revelar dichos Datos Personales a la Autoridad;
      3. informar a la Autoridad de que todas y cada una de las solicitudes o requerimientos de acceso a dichos Datos Personales deben ser notificados o entregados al Cliente (como Responsable del Tratamiento) por escrito; y
      4. en virtud de la sección 6.4(c), abstenerse de proporcionar a la Autoridad el acceso a dichos Datos Personales a menos y hasta que el Cliente lo autorice por escrito.
    3. Sin perjuicio de la sección 6.4(b)(iv), el Colaborador podrá, sin la autorización previa por escrito del Cliente, revelar Datos Personales a una Autoridad tras la recepción de una solicitud o requerimiento de parte de dicha Autoridad, siempre que (salvo que lo prohíba la ley):
      1. el Colaborador haya notificado al Cliente con una antelación prudencial dicha solicitud o requerimiento para ofrecerle la oportunidad razonable de oponerse o de solicitar una orden de protección u otro recurso apropiado;
      2. el Colaborador coopere de forma razonable con el Cliente, con gastos a cargo del Cliente, para que este pueda oponerse o buscar una orden de protección u otro recurso apropiado; y
      3. el Colaborador, en cualquier caso, solo revele la parte de los Datos Personales que está legalmente obligado a revelar.
    4. Si el Colaborador revela Datos Personales a una Autoridad, solo revelará dichos Datos Personales en la medida en que el Colaborador esté legalmente obligado a hacerlo y únicamente de acuerdo con el proceso legal aplicable.
    5. El Colaborador no revelará conscientemente Datos Personales de forma masiva o indiscriminada excediendo los límites de lo estrictamente necesario y proporcionado en una sociedad democrática.
    6. El Colaborador aplicará, conservará y cumplirá con una política escrita que rija las solicitudes de Datos Personales de las Autoridades y que, como mínimo, prohíba:
      1. la divulgación masiva o indiscriminada de Datos Personales concerniente a Interesados en el marco de Europa; y
      2. la divulgación de Datos Personales concerniente a Interesados en el marco de Europa a una Autoridad sin una cédula, orden judicial, auto, decreto, citación u otra orden legalmente vinculante que obligue a la divulgación de dichos Datos Personales.
    7. El Colaborador deberá aplicar y conservar, de acuerdo con las buenas prácticas del sector, medidas para proteger los Datos Personales de cualquier interceptación (incluso en el tránsito del Cliente al Colaborador y entre los diferentes sistemas y servicios). Esto incluye aplicar y conservar la protección de la red para impedir que los atacantes puedan interceptar los datos y el cifrado de estos mientras están en tránsito, y de esa forma no tengan posibilidad de leer los datos.
      Disposiciones adicionales sobre las transferencias de datos
    8. El Colaborador se compromete a cooperar de buena fe para formalizar documentos adicionales y aplicar protecciones alternativas o para restringir el Tratamiento a ciertos territorios, según el Cliente considere necesario para llevar a cabo las Transferencias de Datos del EEE o del Reino Unido u Otras Transferencias (según corresponda).
    9. Si, en algún momento, el Colaborador trata Datos Personales procedentes de cualquier país que restrinja la transferencia de Datos Personales a otra jurisdicción que no se considere adecuada para recibir dichos Datos Personales, siguiendo las instrucciones del Cliente, deberá:
      1. tomar todas las medidas necesarias y ejecutar los acuerdos que exija la Normativa de Protección de Datos aplicable en dicho país para legitimar cualquier Tratamiento; y
      2. garantizar un nivel adecuado de protección para los Datos Personales del Cliente.
    10. En el caso de que una autoridad de protección de datos competente declare la invalidez de un mecanismo de transferencia de datos utilizado por las partes, o que una autoridad de protección de datos competente o la normativa aplicable exijan la suspensión de las transferencias de Datos Personales o la restricción a una jurisdicción específica, el Cliente puede, a su discreción, exigir al Colaborador que deje de tratar los Datos Personales o que colabore con él de buena fe para facilitarle el uso de un mecanismo alternativo de transferencia de datos, formalizar documentos adicionales, aplicar protecciones adicionales o restringir el Tratamiento a ciertas jurisdicciones.
7. RESPONSABILIDAD
  1. Esta sección se aplica a todos los Colaboradores.
  2. Con carácter adicional a cualquier obligación de resarcimiento que se establezca en el Acuerdo para el Colaborador, el Colaborador defenderá, indemnizará y exonerará de responsabilidad al Cliente frente a todas y cualesquiera reclamaciones de terceros, demandas, costes, obligaciones, pérdidas, daños y gastos (incluidos los honorarios de los abogados) en los que incurra el Cliente a consecuencia de o en relación con (i) un Incidente en materia de Seguridad, o (ii) una infracción del presente Suplemento por parte del Colaborador o de las filiales del Colaborador, de los Subencargados del Tratamiento (incluidos los Subencargados del Tratamiento designados por las filiales del Colaborador) y de los cesionarios, incluidas, entre otras, una reclamación o demanda por parte de una autoridad de protección de datos o de un Interesado.
ATRÁS