view in:

OBLIGACIONES GLOBALES EN MATERIA DE PRIVACIDAD

ÚLTIMA ACTUALIZACIÓN: 24 de agosto de 2023
1. INTRODUCCIÓN
  1. Las presentes obligaciones globales de privacidad (en adelante, las “Obligaciones Globales de Privacidad”) establecen ciertas obligaciones de protección de datos que esperamos que nuestros proveedores y demás colaboradores (denominados conjuntamente, los “Colaboradores”) cumplan en relación con los productos y servicios que nos proporcionan. Estas Obligaciones Globales de Privacidad complementan y forman parte de cualquier acuerdo que tengamos con nuestros Colaboradores en el que se hayan incorporado estas Obligaciones Globales de Privacidad (el “Acuerdo”).
  2. Serán de aplicación diferentes secciones de estas Obligaciones Globales de Privacidad en función de nuestra relación con el Colaborador. En cada sección se indica cuándo se aplica.
2. DEFINICIONES
  1. Esta sección se aplica a todos los Colaboradores.
  2. A los efectos de estas Obligaciones Globales de Privacidad, los siguientes términos tendrán el significado que aquí se les atribuye:
    1. “Responsable del tratamiento”: la persona o entidad que, por sí sola o conjuntamente con otras, determina los fines y los medios del Tratamiento de Datos Personales.
    2. “Cliente”, “nosotros”, “nos”, “nuestro” y cualquier referencia a la primera persona del plural, se refieren a i) la entidad Warner Bros. Discovery, identificada en el Acuerdo y que forma parte del mismo; y ii) cualquier filial o entidad subsidiaria equivalente que controle, sea controlada o esté bajo el control común con la entidad Warner Bros. Discovery mencionada en el Acuerdo.
    3. “Ley de Protección de Datos”: cualquier constitución, ley ordinaria o parlamentaria, tratado, norma, reglamento, ordenanza, código y guía, ya sea federal, estatal, provincial, local, municipal, extranjera, internacional, multinacional o de otro tipo, emitida por las autoridades reguladoras competentes para interpretar o aplicar los mismos, relacionados con el Tratamiento de Datos Personales, la privacidad, la protección de datos o la ciberseguridad, en su versión más vigente.
    4. “Interesado”: la persona a quien se refieren los Datos Personales.
    5. “Solicitudes de derechos de los Interesados”: las solicitudes que un interesado puede hacer sobre sus Datos Personales, ya sea, el acceso, la rectificación, la supresión, la limitación del tratamiento, la portabilidad, la oposición, la prohibición de venta u otras similares.
    6. “Descripción del Tratamiento”: la descripción de los Datos Personales tratados por el Colaborador en virtud del Acuerdo.
    7. “EEE”: el Espacio Económico Europeo.
    8. “Transferencia de datos fuera del EEE”: una transferencia de Datos Personales: a) que está sujeta al RGPD; b) a un destinatario que esté en un país o territorio fuera del EEE; y c) no sujeta a una decisión de adecuación por parte de la Comisión de la UE.
    9. “Cláusulas contractuales tipo del EEE”: las Cláusulas Contractuales Tipo (CCT) para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, adoptadas por Decisión de la Comisión del 4 de junio de 2021, notificada con el número C (2021) 3972 y disponible en https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale=%20es
    10. “Reglamento General de Protección de Datos”: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD).
    11. “Obligaciones de Seguridad de la Información”: cualquier obligación aplicable en materia de seguridad de la información que se adjunte o forme parte de otro modo del Acuerdo.
    12. “Otras transferencias de datos”: cualquier otra transferencia de Datos Personales: i) que esté sujeta a las leyes de un país que restrinja la transferencia de Datos Personales a otro país que no se considera adecuado para recibir dicha Información personal (un “País con Restricciones”); y ii) que no sea una Transferencia de datos fuera del EEE o del Reino Unido.
    13. “Datos Personales”: cualquier información relativa a una persona física identificada o identificable, incluida cualquier información definida como “información de identificación personal”, “información personal”, “datos personales” o términos similares, tal y como se definen dichos términos en las Leyes de Protección de Datos, limitada a los Datos Personales que trata el Colaborador en relación con el Acuerdo.
    14. “Tratamiento” (y sus derivados): cualquier operación o conjunto de operaciones realizadas sobre los Datos Personales, ya sea por medios automáticos o no, incluida la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, consulta, uso, divulgación por transmisión, transferencia, difusión u otro tipo de puesta a disposición, alineación o combinación, restricción, borrado, supresión o destrucción de Datos Personales.
    15. “Encargado del tratamiento”: la persona o entidad que trata Datos Personales por cuenta del Responsable del tratamiento.
    16. “Incidente en materia de seguridad”: i) cualquier interrupción grave de las operaciones de Tratamiento por parte del Colaborador; ii) cualquier adquisición no autorizada, uso indebido, pérdida, acceso, pérdida de acceso o de uso de los Datos Personales (incluida la pérdida de cualquier forma de almacenamiento donde se guarde los Datos Personales); o iii) cualquier infracción de las medidas de seguridad que conduzca a la destrucción, pérdida, alteración, uso indebido, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales.
    17. “Categorías especiales de datos personales”: aquellos Datos Personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas; la afiliación sindical; el estado de salud físico o psíquico; la vida o la orientación sexual; el Tratamiento de datos genéticos o biométricos con el único fin de identificar a un Interesado; Datos Personales relacionada con condenas y delitos penales o medidas de seguridad relacionadas; número de identificación emitido por el gobierno; credenciales de cuenta; números de cuentas financieras, incluidos números de tarjetas de pago; datos precisos de geolocalización; contenidos de comunicaciones no dirigidas al Colaborador o al Cliente; y aquellos subconjuntos de Datos Personales que se consideren “sensibles” o que requieren mayor protección bajo las Leyes de Protección de Datos aplicables.
    18. “Servicios”: tiene el significado previsto en el Acuerdo o, de no estar definido en el Acuerdo, se entenderá en referencia a los productos o servicios que nos presta el Colaborador en virtud del Acuerdo.
    19. “Subencargado del tratamiento”: la persona o entidad que trata Datos Personales por cuenta de un Encargado del tratamiento de datos.
    20. “Transferencia de datos fuera del Reino Unido”: una transferencia de Datos Personales: a) que está sujeta al RGPD de Reino Unido; b) a un país o territorio externo a Reino Unido; y c) no sujeta a una decisión de adecuación por parte del Secretario de Estado del Reino Unido.
    21. “RGPD del Reino Unido”: el RGPD incorporado a las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de Retirada de la Unión Europea (European Union (Withdrawal) Act) de 2018.
    22. “Anexo de las CCT para el Reino Unido”: el modelo de Anexo emitido el 2 de febrero de 2022 por la Oficina del Comisionado de Información del Reino Unido y expuesto ante el Parlamento de acuerdo con la sección 119A de la Ley de Protección de Datos (Data Protection Act) de 2018 , en su versión revisada en virtud de la sección 18, disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. DISPOSICIONES PARA TODOS LOS COLABORADORES
  1. Esta sección se aplica a todos los Colaboradores.
  2. Cumplimento de la ley. El Colaborador deberá cumplir con todas las Leyes de Protección de Datos vigentes y ofrecer las medidas de protección de la privacidad adecuadas para cumplir las obligaciones aquí indicadas. El Colaborador deberá informar al Cliente en la dirección wbdprivacy@wbd.com en el caso de que determine que no puede seguir cumpliendo sus obligaciones en virtud de la Ley de Protección de Datos. El Cliente tendrá derecho a tomar las medidas apropiadas para eliminar y remediar cualquier Tratamiento no autorizado de Datos Personales por parte del Colaborador.
  3. Seguridad. El Colaborador deberá implementar y mantener medidas de seguridad técnicas y organizativas apropiadas y adecuadas para proteger los Datos Personales. Las medidas de seguridad del Colaborador deberán estar diseñadas para: i) garantizar la confidencialidad, disponibilidad e integridad de los Datos Personales; ii) proteger los Datos Personales contra cualquier amenaza o peligro previsible; y iii) proteger los Datos Personales contra Tratamientos no autorizados.
  4. Comunicaciones de terceros. En caso de que el Colaborador reciba cualquier comunicación de un particular, de un regulador, de un organismo gubernamental o de otro tercero relacionado con:
    1. el Tratamiento de los Datos Personales por parte del Colaborador en relación con el Acuerdo; o
    2. el Tratamiento de los Datos Personales por parte del Cliente,

    El Colaborador deberá (a menos que lo prohíba la ley) notificar de inmediato al Cliente (en la dirección: wbdprivacy@wbd.com) y proporcionar información completa y detallada sobre dicha comunicación, además de prestar toda la cooperación que el Cliente solicite de forma razonable para responder a dicha comunicación. El Colaborador no responderá a dicha comunicación directamente sin la autorización previa del Cliente, a menos que esté legalmente obligado a hacerlo.
  5. Respuesta a solicitudes e incidencias. El Colaborador no nombrará al Cliente (incluida cualquier filial del Cliente), sin obtener la aprobación previa por escrito del mismo, en cualquier: (i) respuesta a un Interesado; (ii) divulgación pública relativa al Tratamiento; (iii) notificación de un Incidente de seguridad; o (iv) divulgación a una Autoridad de Protección de Datos u otro organismo legal relacionado con el Tratamiento.
  6. Período de vigencia y perdurabilidad.
    1. Las disposiciones de estas Obligaciones Globales de Privacidad terminarán cuando el Colaborador deje de tratar los Datos Personales en relación con el Acuerdo.
    2. Sin perjuicio de cualquier disposición contraria a la sección 3 (Disposiciones para todos los Colaboradores), las secciones 3.4, 3.5, 3.8 y 7 seguirán vigentes tras la terminación o el vencimiento del Acuerdo y de las presentes Obligaciones Globales de Privacidad.
  7. Traducciones. En caso de conflicto entre la versión en inglés de estas Obligaciones Globales de Privacidad y otra versión en cualquier otro idioma, prevalecerá la versión en inglés.
  8. Sin limitación de responsabilidad. A fin de evitar posibles dudas, las Partes, en virtud de estas Obligaciones Globales de Privacidad, no estarán sujetas a ninguna limitación ni exclusión de responsabilidad contenida en el Acuerdo.
  9. Ausencia de asociación. Nada de lo dispuesto en estas Obligaciones Globales de Privacidad se considerará como constitutivo de una relación de empleo, joint venture, agencia o asociación entre las partes, y ninguna de las partes está autorizada ni actuará frente a terceros, entidades individuales o el público en general de forma alguna que pudiera indicar una relación de este tipo a la otra.
4. DISPOSICIONES PARA LOS ENCARGADOS DEL TRATAMIENTO
  1. Esta sección se aplica en caso de que:
    1. el Colaborador trate cualquier Dato Personal como Encargado del Tratamiento en nombre del Cliente; o
    2. el Acuerdo establezca expresamente que se aplica esta sección.
  2. Instrucciones. El Colaborador solo tratará los Datos Personales de acuerdo con las instrucciones documentadas del Cliente (a menos que se requiera tratar dichos Datos Personales de acuerdo con un requisito legal al que el Colaborador esté sujeto, en cuyo caso el Colaborador informará al Cliente del requisito legal antes de comenzar dicho Tratamiento, salvo que el requisito legal prohíba informar al Cliente). Las instrucciones documentadas del Cliente se concretan en el Tratamiento de los Datos Personales: i) según sea necesario para que el Colaborador preste los Servicios y cumpla con cualquier otra obligación en virtud del Acuerdo; y ii) según lo indique el Cliente por escrito cada cierto tiempo. El Colaborador informará de inmediato al Cliente si, a su juicio, una dirección o instrucción del Cliente infringe la Ley de Protección de Datos aplicable.
  3. Descripción del Tratamiento. En la Descripción del Tratamiento se establece la descripción del objeto y la duración del Tratamiento, la naturaleza y la finalidad del mismo, el tipo de Datos Personales y las categorías de Interesados.
  4. Restricción de uso. El Colaborador no deberá: i) vender Datos Personales ni divulgarlos de otro modo a cambio de cualquier contraprestación monetaria o de otro tipo; ii) tratar los Datos Personales para un fin distinto al de la prestación de los Servicios o contrario a las instrucciones del Cliente; iii) tratar Datos Personales fuera de la relación comercial directa entre el Colaborador y el Cliente; o iv) combinar los Datos Personales con la Información personal recibida o recopilada de o en nombre de otras personas o recopilada de los usuarios. El Colaborador certifica que comprende y que cumplirá las limitaciones de esta sección.
  5. Solicitudes de los Interesados. El Colaborador informará de inmediato al Cliente sobre cualquier Solicitud o comunicación por parte un Interesado relacionada con los Datos Personales que trata en relación con los Servicios, sin responder al Interesado en cuestión excepto para el acuse de recibo de la Solicitud o comunicación del Interesado (salvo que la Ley de Protección de Datos así lo requiera o si las instrucciones del Cliente así lo indican). El Colaborador ayudará al Cliente en lo que sea necesario para responder a las Solicitudes de los Interesados, incluida la adopción de medidas técnicas y organizativas apropiadas, y cualquier característica y funcionalidad del producto que sea necesaria. El Colaborador prestará dicha asistencia sin dilación y, en cualquier caso, en el plazo de cinco (5) días de la Solicitud del Interesado o de la solicitud de asistencia por parte del Cliente. En los casos en los que proceda, y previa solicitud del Cliente, el Colaborador ayudará al Cliente a informar a las personas interesadas sobre el Tratamiento de los Datos Personales, incluso proporcionando o remitiendo a los Interesados a una política o declaración de privacidad que cumpla con las Leyes de Protección de Datos. El Colaborador mantendrá y proporcionará acceso al Cliente respecto a los registros completos y precisos de las Solicitudes de los Interesados sobre los cuales el Colaborador ofrece su asistencia.
  6. Confidencialidad del personal. El Colaborador se asegurará de que cada miembro de su personal acate las obligaciones de confidencialidad que aplican a los Datos Personales.
  7. Seguridad. El Colaborador aplicará y mantendrá los procedimientos y prácticas de seguridad de la información establecidos en las Obligaciones de Seguridad de la Información.
  8. Auditoría y asistencia. Sin perjuicio de cualquier disposición de auditoría en las Obligaciones de Seguridad de la Información, el Colaborador:
    1. proporcionará al Cliente la información y la asistencia que se requiera de forma razonable para confirmar el cumplimiento por parte del Colaborador de estas Obligaciones Globales de Privacidad, incluida la asistencia para completar evaluaciones de impacto para la protección de datos y la consulta con las Autoridades de Protección de Datos. El Colaborador proporcionará la asistencia que sea razonablemente necesaria para que el Cliente cumpla con la Ley de Protección de Datos.
    2. Asimismo, a instancias del Cliente, el Colaborador acepta someter su programa de protección de datos y las instalaciones en las que se tratan los Datos Personales a una auditoría en cuanto a su cumplimiento de estas Obligaciones Globales de Privacidad y/o a las Leyes de protección de datos vigentes. La auditoría puede ser realizada por el Cliente o un delegado designado en su nombre, siempre que el delegado acepte un acuerdo de confidencialidad que sea aceptable para el Colaborador. El Cliente notificará con una antelación razonable y llevará a cabo dicha auditoría durante el horario laboral habitual sin interrumpir de forma injustificada las operaciones del Colaborador. A fin de evitar posibles dudas, esta disposición no exigirá que el Colaborador proporcione a ningún Cliente acceso a Información confidencial relativa a otros clientes del Colaborador.
  9. Incidentes en materia de seguridad. El Colaborador informará sin dilación y, en cualquier caso, en el plazo máximo de cuarenta y ocho (48) horas tras tener conocimiento de ello, al Cliente por correo electrónico a cybersecurity@wbd.com, en caso de que exista o tenga una sospecha razonable de un Incidente en materia de seguridad. Según las instrucciones del Cliente, el Colaborador proporcionará toda la información y asistencia que el Cliente precise de forma razonable para investigar, mitigar y responder a un Incidente en materia de seguridad, incluyendo, como mínimo, cualquier información o asistencia exigida por la Ley de Protección de Datos vigente o que sea necesaria para que el Cliente pueda notificar sobre el Incidente en materia de seguridad. El Colaborador se compromete a consultar con el Cliente antes de realizar cualquier declaración públicas o notificar a una Autoridad de Protección de Datos o a un Interesado sobre un Incidente en materia de seguridad. El Colaborador será responsable de todos los costes, obligaciones, pérdidas, daños y gastos (incluidos los honorarios de los abogados) en los que incurra el Cliente a consecuencia de un Incidente en materia de seguridad, o en relación con él, que afecte a los Datos Personales tratados por el Colaborador, sus filiales, cesionarios o Subencargados del tratamiento, y deberá pagarlos al Cliente cuando éste lo solicite.
  10. Subencargados del tratamiento. El Colaborador puede contratar o permitir de otro modo que un Subencargado trate los Datos Personales en su nombre, siempre y cuando el Colaborador:
    1. suscriba una obligación por escrito con cada Subencargado del tratamiento que imponga obligaciones que garanticen el mismo nivel de protección que se exige en las disposiciones de estas Obligaciones Globales de Privacidad que se aplican al Colaborador;
    2. lleve a cabo la diligencia debida para garantizar que cada Subencargado del tratamiento pueda desempeñar sus funciones según sea necesario para que el Colaborador cumpla con sus obligaciones en virtud de las disposiciones de estas Obligaciones Globales de Privacidad que se aplican al Colaborador;
    3. notifique por escrito y por adelantado al Cliente al respecto de cualquier nuevo Subencargado del tratamiento de datos que el Colaborador se proponga contratar. El Cliente dispondrá de treinta (30) días a partir de la recepción de dicha notificación para oponerse a la contratación del nuevo Subencargado del tratamiento por parte del Colaborador. Si el Cliente no muestra su oposición en este plazo, el Colaborador podrá permitir que el Subencargado del tratamiento trate Datos Personales. En el caso de que el Cliente se opusiera a la contratación de un Subencargado del tratamiento, el Colaborador abordará de inmediato las objeciones del Cliente en el plazo de diez (10) días desde el momento en que las reciba. Si el Colaborador no pudiera poner remedio a las objeciones del Cliente a satisfacción de este en el plazo de diez (10) días, el Cliente podrá rescindir en cualquier momento el Acuerdo con efecto inmediato y sin penalización, previa notificación por escrito al Colaborador. El Colaborador no permitirá que el nuevo Subencargado del tratamiento trate Datos Personales: i) en los treinta (30) días siguientes a la notificación de su intención de contratar un nuevo Subencargado del tratamiento, o (ii) mientras no se ponga remedio a las objeciones del Cliente, a satisfacción de este, sobre la contratación de un Subencargado del tratamiento;
    4. siendo plenamente responsable de todo el Tratamiento de los Datos Personales que realice cada Subencargado del tratamiento.
  11. Eliminación o devolución. Tras la rescisión o el vencimiento del Acuerdo, o cuando el Cliente lo indique de otro modo, el Colaborador, de acuerdo con las instrucciones del Cliente: i) devolverá al Cliente (o a un tercero designado por el Cliente) una copia completa de los Datos Personales que haya tratado en relación con el Acuerdo, en una forma y con un formato acordados por las partes; y/o ii) eliminará de forma segura los Datos Personales (incluidas todas las copias) que obren en su posesión o estén bajo su control y que hayan tratado en relación con el Acuerdo.
5. DISPOSICIONES PARA LOS RESPONSABLES DEL TRATAMIENTO
  1. Esta sección se aplica en caso de que:
    1. el Colaborador determine de forma independiente los fines y los medios del Tratamiento de cualquier Dato Personal que trate en relación con el Acuerdo; o
    2. el Acuerdo establezca expresamente la aplicación de esta sección.
  2. Aviso y transparencia. El Colaborador deberá tener y mantener una política de privacidad clara, a la que se pueda acceder fácilmente, en la que informe a los Interesados (de los que el Colaborador trata Datos Personales en relación con el Acuerdo) sobre el Tratamiento que el propio Colaborador hace de los Datos Personales y garantice que dicha política cumple con todas las leyes aplicables.
  3. Incidentes en materia de seguridad. El Colaborador notificará sin demora al Cliente que corresponda cualquier Incidente en materia de seguridad, ya sea real o del que se tenga una sospecha razonable, que afecte a los Datos Personales tratados en relación con el Acuerdo, y le dará detalles sin demora sobre la naturaleza del Incidente, los Datos Personales afectados y la respuesta del Colaborador a dicho Incidente de seguridad, así como sobre la forma para remediarlo.
  4. Confidencialidad. El Colaborador se asegurará de que todo su personal acate las obligaciones de confidencialidad aplicables a los Datos Personales.
6. TRANSFERENCIAS INTERNACIONALES
  1. Esta sección se aplica a los Colaboradores cuando se produzca una Transferencia de datos fuera del EEE, una Transferencia de datos fuera del Reino Unido u Otras transferencias de datos.
  2. Transferencias de datos (Encargados del tratamiento): Este apartado se aplica cuando es de aplicación la sección 4 (Disposiciones para los Encargados del tratamiento).
    1. Transferencias de datos fuera del EEE. Si, y en la medida en que, los Datos Personales tratados por el Colaborador sean objeto de una Transferencia de datos fuera del EEE, las Cláusulas Contractuales Tipo del EEE se incorporarán al presente documento por referencia y se aplicarán de la forma que se indica a continuación:
      1. Aplicación. El Colaborador actúa como importador de datos y el Cliente como exportador de datos.
      2. Adhesión. A los efectos de la Sección I, Cláusula 7, se aplicará la cláusula de adhesión opcional.
      3. Módulos. Se aplica el MÓDULO DOS (transferencias de Responsable a Encargado).
      4. Instrucciones. A efectos de la Sección II, Cláusula 8.1 (Módulo Dos), las instrucciones para el importador de datos consistirán en instrucciones para tratar los Datos Personales que sean necesarios para poder prestar los servicios y/o suministrar los productos proporcionados por el Colaborador, y de conformidad con lo que se especifique en el Acuerdo.
      5. Subencargados del tratamiento. A los efectos de la Sección II, Cláusula 9 (Módulo Dos), se aplica la opción 2 (y el plazo para que el importador de datos informe al exportador de datos de cualquier cambio previsto será de treinta (30) días de antelación).
      6. Resarcimiento. A los efectos de la Sección II, Cláusula 11, no se aplicará el lenguaje opcional.
      7. Elección de la ley aplicable. A los efectos de la Sección IV, Cláusulas 17 y 18 y en la medida en que lo permita la Ley de Protección de Datos aplicable, las partes acuerdan que sus respectivas obligaciones en virtud de las Cláusulas Contractuales Tipo del EEE se regirán por la(s) ley(es) de la República de Irlanda y se someterán a su jurisdicción.
      8. Cumplimentación del Anexo I, parte A. El Anexo I, parte A (Listado de partes) se considerará cumplimentado cuando recoja: i) los datos del Cliente (como exportador de datos); y ii) los datos del Colaborador (como importador de datos), en cada caso según lo establecido en el Acuerdo.
      9. Cumplimentación del Anexo I, parte B. El Anexo I, parte B (Descripción de la transferencia) de las Cláusulas Contractuales Tipo del EEE se considerará cumplimentado con la información facilitada en la Descripción del Tratamiento.
      10. Cumplimentación del Anexo I, parte C. Con respecto al Anexo I, parte C (Autoridad de Control Competente) de las Cláusulas Contractuales Tipo del EEE, en la medida permitida por la Ley de protección de datos aplicable, las partes eligen a la Autoridad de Protección de Datos de la República de Irlanda.
      11. Cumplimentación del Anexo II. El Anexo II de las Cláusulas Contractuales Tipo del EEE (Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos) se considerará cumplimentado con las disposiciones establecidas en las Obligaciones de Seguridad de la Información.
      12. Conflicto entre disposiciones. En caso de incongruencia o conflicto entre las Cláusulas Contractuales Tipo del EEE y la presente sección, las disposiciones deberán interpretarse en la forma que se ofrezca mayor protección a los Interesados.
    2. Interpretación de las Cláusulas Contractuales Tipo del EEE para los Países con Restricciones. En el caso y en la medida en que la divulgación de Datos Personales por parte del Cliente al Colaborador equivalga a Otras transferencias de datos, se considerará que las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán según lo establecido anteriormente en este párrafo de la Sección 6, con las siguientes salvedades: i) las referencias en las Cláusulas Contractuales Tipo del EEE a “UE”, “Unión”, “Estado miembro de la UE” o “Estado miembro” se entenderán en relación con ese País con Restricciones; ii) las referencias al “Reglamento (UE) 2016/679” o a “dicho Reglamento” se entenderán en relación con las Leyes de Protección de Datos de ese País con Restricciones, y las referencias a disposiciones o artículos específicos del RGPD se sustituirán por la disposición o artículo equivalente de la Ley de Protección de Datos del País con restricciones; iii) las menciones a “Autoridad de Control” se referirán a la Autoridad de Protección de Datos en ese País con Restricciones; y iv) las referencias a las “Cláusulas” se entenderán en relación con este párrafo, que incorpora y modifica las Cláusulas.
    3. Transferencias de datos fuera del Reino Unido. En la medida en que los Datos Personales tratados por el Colaborador estén sujetos a una Transferencia de datos fuera del Reino Unido, el Anexo de las CCT para el Reino Unido se incorporará al presente documento por referencia y se aplicará de la forma que se indica a continuación:
      1. Cumplimentación de la Tabla 1. La Tabla 1 del Anexo de las CCT para el Reino Unido se cumplimentará con los datos del Cliente (como exportador de datos) y los datos del Colaboradores (como importador de datos), según se establece en el Acuerdo. La “fecha de inicio” será la fecha de inicio, la fecha de entrada en vigor o una fecha equivalente del Acuerdo. El “contacto principal” para el Cliente será el “Director de privacidad” o el delegado de este cargo, con quien se podrá contactar en la siguiente dirección: wbdprivacy@wbd.com; por su parte, el “contacto principal” para el Colaborador será comunicado al Cliente en el momento oportuno, además del cargo concreto y la dirección de correo electrónico de contacto.
      2. Cumplimentación de las Tablas 2 y 3. La Tabla 2 del Anexo de las CCT para el Reino Unido se cumplimentará seleccionando “las CCT aprobadas de la UE, incluida la información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT aprobadas de la UE e incorporadas a los efectos de este Anexo”. A los efectos de la Tabla 2 y la Tabla 3 del Anexo de las CCT para el Reino Unido, las “CCT aprobadas de la UE” se cumplimentarán tal y como se establece en este párrafo de la Sección 6.
      3. Cumplimentación de la Tabla 4. La Tabla 4 del Anexo de las CCT para el Reino Unido se cumplimentará seleccionando la opción “ninguna de las partes”.
      4. Conflicto entre disposiciones. En caso de incongruencia o conflicto entre el Anexo de las CCT para el Reino Unido y estas Obligaciones Globales de Privacidad, prevalecerá el Anexo de las CCT para el Reino Unido.
  3. Transferencias de datos (Responsables). Este apartado es aplicable cuando lo es la Sección 5 (Disposiciones para los Responsables del tratamiento).
    1. Transferencias de datos fuera del EEE. En la medida en que los Datos Personales tratados por el Colaborador estén sujetos a una Transferencia de datos fuera del EEE, las Cláusulas contractuales tipo del EEE se incorporan al presente documento por referencia y se aplicarán de la forma que se indica a continuación:
      1. Aplicación. El Colaborador actúa de importador de datos y el Cliente de exportador de datos.
      2. Adhesión. A los efectos de la Sección I, Cláusula 7, se aplicará la cláusula de adhesión opcional.
      3. Módulos. Se aplica el MÓDULO UNO (transferencias de Responsable a Responsable).
      4. Resarcimiento. A los efectos de la Sección II, Cláusula 11, no se aplicará el lenguaje opcional.
      5. Elección de la ley. A los efectos de la Sección IV, Cláusulas 17 y 18 y en la medida en que lo permita la Ley de Protección de Datos aplicable, las partes acuerdan que sus respectivas obligaciones en virtud de las Cláusulas Contractuales Tipo del EEE se regirán por la(s) ley(es) de la República de Irlanda y se someterán a su jurisdicción.
      6. Cumplimentación del Anexo I, parte A. El Anexo I, parte A (Listado de partes) se considerará cumplimentado cuando recoja: i) los datos del Cliente (como exportador de datos); y ii) los datos del Colaborador (como importador de datos), en cada caso según se establece en el Acuerdo.
      7. Cumplimentación del Anexo I, parte B. El Anexo I, parte B (Descripción de la transferencia) de las Cláusulas Contractuales Tipo del EEE se considerará cumplimentado cuando recoja la información facilitada en la Descripción del Tratamiento.
      8. Cumplimentación del Anexo I, parte C. Con respecto al Anexo I, parte C (Autoridad de Control competente) de las Cláusulas Contractuales Tipo del EEE, en la medida permitida por la Ley de Protección de Datos aplicable, las partes eligen la Autoridad de Protección de Datos de la República de Irlanda.
      9. Cumplimentación del Anexo II. El Anexo II de las Cláusulas Contractuales Tipo del EEE (Medidas técnicas y organizativas, en especial medidas técnicas y organizativas para garantizar la seguridad de los datos) se considerará cumplimentado con las disposiciones establecidas en las Obligaciones de Seguridad de la Información.
      10. Conflicto entre disposiciones. En caso de incongruencia o conflicto entre las Cláusulas Contractuales Tipo del EEE y la presente sección, las disposiciones deberán interpretarse en la forma que se ofrezca mayor protección a los Interesados.
    2. Interpretación de las Cláusulas Contractuales Tipo del EEE para los Países con Restricciones. En la medida en que la divulgación de Datos Personales por parte del Cliente al Colaborador equivalga a Otras transferencias de datos, las Cláusulas Contractuales Tipo del EEE se incorporan al presente documento por referencia y se aplicarán según lo establecido anteriormente en este párrafo de la Sección 6, con las siguientes salvedades: i) las referencias en las Cláusulas Contractuales Tipo del EEE a “UE”, “Unión”, “Estado miembro de la UE” o “Estado miembro” se entenderán en relación con ese País con Restricciones; ii) las referencias al “Reglamento (UE) 2016/679” o a “ese Reglamento” se entenderán en relación con las Leyes de Protección de Datos de ese País con Restricciones, y las referencias a disposiciones o artículos específicos del RGPD se reemplazarán por la disposición o artículo equivalente de la Ley de Protección de Datos del País con Restricciones; iii) las referencias a “Autoridad de Control” se entenderán en relación con la Autoridad de Protección de Datos en ese País con Restricciones; y iv) las referencias a las “Cláusulas” se entenderán en relación con esta sección, que incorpora y modifica las Cláusulas.
    3. Transferencias de datos fuera del Reino Unido. Si y en la medida en que los Datos Personales tratados por el Colaborador estén sujetos a una Transferencia de datos fuera del Reino Unido, el Anexo de las CCT para el Reino Unido se incorpora al presente documento por referencia y se aplicará de la forma que se indica a continuación:
      1. Cumplimentación de la Tabla 1. La Tabla 1 del Anexo de las CCT para el Reino Unido se cumplimentará con los datos del Cliente (como exportador de datos) y los datos del Colaboradores (como importador de datos), según se establece en el Acuerdo. La “fecha de inicio” será la fecha de inicio, la fecha de entrada en vigor o una fecha equivalente del Acuerdo. El “contacto principal” para el Cliente será el “Director de privacidad” o el delegado de este cargo, con quien se podrá contactar en la siguiente dirección: wbdprivacy@wbd.com; por su parte, el “contacto principal” para el Colaborador será comunicado al Cliente en el momento oportuno, además del cargo concreto y la dirección de correo electrónico de contacto.
      2. Cumplimentación de las Tablas 2 y 3. La Tabla 2 del Anexo de las CCT para el Reino Unido se cumplimentará seleccionando “las CCT aprobadas de la UE, incluida la información del Apéndice y solo con los siguientes módulos, cláusulas o disposiciones opcionales de las CCT aprobadas de la UE e incorporadas a los efectos de este Anexo”. A los efectos de la Tabla 2 y la Tabla 3 del Anexo de las CCT para el Reino Unido, las “CCT aprobadas de la UE” se cumplimentarán tal y como se establece en este párrafo de la Sección 6.
      3. Cumplimentación de la Tabla 4. La Tabla 4 del Anexo de las CCT para el Reino Unido se cumplimentará seleccionando la opción “ninguna de las parte”.
      4. Conflicto entre disposiciones. En caso de incongruencia o conflicto entre el Anexo de las CCT para el Reino Unido y la presente sección, prevalecerá el Anexo de las CCT para el Reino Unido.
  4. Disposiciones adicionales para las transferencias internacionales. Este párrafo se aplica en la medida en que los Datos Personales tratados por el Colaborador estén sujetos a una Transferencia de datos fuera del EEE, una Transferencia de datos fuera del Reino Unido u Otras transferencias de datos.
    Medidas complementarias
    1. Las partes reconocen y acuerdan que la sentencia del Tribunal de Justicia de la Unión Europea sobre el asunto C-311/18 aclara que pueden ser necesarias medidas complementarias a fin de garantizar que los Datos Personales, que han sido objeto de una Transferencia de datos fuera del EEE o del Reino Unido, reciban un nivel de protección equivalente a las protecciones que reciben cuando el tratamiento se realiza en el territorio de origen (además de las medidas de seguridad contenidas en las Cláusulas Contractuales Tipo del EEE). En consecuencia, las partes acuerdan las medidas establecidas en las Secciones 6.4 b) a g) como medidas complementarias para contribuir a garantizar dicha equivalencia básica.
    2. Si el Colaborador tiene conocimiento de una solicitud o requerimiento de parte de una Autoridad Policial, Reguladora, Judicial o Gubernamental (una “Autoridad”) para obtener acceso o una copia de cierta o la totalidad de los Datos Personales tratados en relación con el Acuerdo, ya sea de forma voluntaria u obligatoria, el Colaborador deberá:
      1. notificar de inmediato al Cliente esta solicitud de dicha Autoridad;
      2. cuando sea de aplicación la sección 4 (Disposiciones para los Encargados del tratamiento), informar a la Autoridad de que el Colaborador es un Encargado del tratamiento de Datos Personales y que el Cliente no le ha autorizado a revelar dicha Información personal a la Autoridad;
      3. informar a la Autoridad de que todas y cada una de las solicitudes o requerimientos de acceso a dichos Datos Personales deben ser notificadas o entregadas al Cliente (como Responsable del tratamiento) por escrito; y
      4. en virtud de la Sección 6.4 c), abstenerse de proporcionar a la Autoridad el acceso a dichos Datos Personales a menos y hasta que el Cliente lo autorice por escrito.
    3. Sin perjuicio de la Sección 6.4 b) iv), el Colaborador podrá, sin la autorización previa por escrito del Cliente, divulgar Datos Personales a una Autoridad tras la recepción de una solicitud o requerimiento de parte de dicha Autoridad, siempre que (salvo que lo prohíba la ley):
      1. el Colaborador haya notificado al Cliente con una antelación prudencial dicha solicitud o requerimiento para ofrecerle la oportunidad razonable de oponerse o de solicitar una orden de protección u otro recurso apropiado;
      2. el Colaborador coopere de forma razonable con el Cliente, con gastos a cargo del Cliente, para que este pueda oponerse o buscar una orden de protección u otro recurso apropiado; y
      3. el Colaborador, en cualquier caso, solo divulgue la parte de los Datos Personales que está legalmente obligado a divulgar.
    4. Si el Colaborador divulga Datos Personales a una Autoridad, solo revelará dichos Datos en la medida en que el Colaborador esté legalmente obligado a hacerlo y únicamente de conformidad con el procedimiento legalmente aplicable.
    5. El Colaborador no divulgará conscientemente Datos Personales de forma masiva o indiscriminada excediendo los límites de lo estrictamente necesario y proporcionado en una sociedad democrática.
    6. El Colaborador aplicará, conservará y cumplirá con una política escrita que rija las solicitudes de Datos Personales de las Autoridades y que, como mínimo, prohíba:
      1. la divulgación masiva o indiscriminada de Datos Personales de los Interesados en Europa; y
      2. la divulgación de Datos Personales de los Interesados en Europa a una Autoridad sin una cédula, orden judicial, auto, decreto, citación u otra orden legalmente vinculante que obligue a la divulgación de dichos Datos Personales.
    7. El Colaborador deberá aplicar y conservar, de acuerdo con las buenas prácticas del sector, medidas para proteger los Datos Personales de cualquier interceptación (incluso en el tránsito del Cliente al Colaborador y entre los diferentes sistemas y servicios). Esto incluye aplicar y conservar la protección de la red para impedir que los atacantes puedan interceptar los datos y el cifrado de estos mientras están en tránsito, y de esa forma no tengan posibilidad de leer los datos.
      Disposiciones adicionales sobre la transferencia de datos
    8. El Colaborador se compromete a cooperar de buena fe para formalizar documentos adicionales y aplicar protecciones alternativas para restringir el tratamiento en ciertos territorios, según el Cliente considere necesario para llevar a cabo las Transferencias de datos fuera del EEE o del Reino Unido u Otras transferencias (según corresponda).
    9. Si, en algún momento, el Colaborador trata Datos Personales procedentes de cualquier país que restrinja la transferencia de Datos Personales a otra jurisdicción que no se considere adecuada para recibir dichos Datos, siguiendo las instrucciones del cliente, deberá:
      1. tomar todas las medidas necesarias y ejecutar los acuerdos que exija la Ley de Protección de Datos aplicable en dicho país para legitimar cualquier Tratamiento; y
      2. garantizar un nivel adecuado de protección para los Datos Personales del Cliente.
    10. En el caso de que una Autoridad de Protección de Datos competente declare la invalidez de un mecanismo de transferencia de datos utilizado por las partes, o que una Autoridad de Protección de Datos competente o la ley aplicable exijan la suspensión de las transferencias de Datos Personales o la restricción a una jurisdicción específica, el Cliente puede, a su discreción, exigir al Colaborador que deje de tratar los Datos Personales o que colabore con él de buena fe para facilitarle el uso de un mecanismo alternativo de transferencia de datos, formalizar documentos adicionales, aplicar protecciones adicionales o restringir el Tratamiento a ciertas jurisdicciones.
7. EXONERACIÓN DE RESPONSABILIDAD
  1. Esta sección se aplica a todos los Colaboradores.
  2. Con carácter adicional a cualquier obligación de resarcimiento que se establezca en el Acuerdo para el Colaborador, el Colaborador defenderá, indemnizará y mantendrá indemne al Cliente frente a todas y cualesquiera reclamaciones de terceros, demandas, acciones, gastos, obligaciones, pérdidas, daños y perjuicios (incluidos los honorarios de los abogados) en los que incurra el Cliente a consecuencia de o en relación con i) un Incidente en materia de seguridad, o ii) una infracción de las presentes Obligaciones Globales de Privacidad por parte del Colaborador o de las filiales del Colaborador, de los Subencargados del tratamiento (incluidos los Subencargados del tratamiento designados por las filiales del Colaborador) y de los cesionarios, incluidas, entre otras, una reclamación o demanda por parte de una Autoridad de Protección de Datos o de un Interesado.
ATRÁS