Apéndice de Procesamiento de Datos

Términos de procesamiento de datos

1. Definiciones. Todos los términos en mayúscula utilizados, pero no definidos de otra manera en este documento tendrán el significado establecido en esta Sección 1 (Definiciones) o en el Acuerdo.
   (A) “Ley de Protección de Datos” significa, según corresponda: (i) Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (el “GDPR de la UE”); (ii) el GDPR de la UE incorporado a la legislación del Reino Unido en virtud de la Ley (Retiro) de la Unión Europea del Reino Unido de 2018, y la legislación aplicable en virtud de dicha Ley (la “GDPR del RU”); (iii) la Ley Federal de Protección de Datos de 19 de junio de 1992 (Suiza) (la “FADP suiza”); y/o (iv) las leyes estatales de EE. UU. que rigen el procesamiento de datos personales, incluida la Ley de Privacidad del Consumidor de California del 2018 (la “CCPA”), modificada por la Ley de Derechos de Privacidad de California del 2020 (la “CPRA”).
   
   (B) “EEE” significa el Espacio Económico Europeo.
   
   (C) “UE” significa la Unión Europea.
   
   (D) “Cláusulas contractuales estándar” o “SCC” (por sus siglas en inglés)” significa las cláusulas anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021, sobre cláusulas contractuales para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, que están disponibles en línea en https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32021D0914&from=ES.
   
   (E) “Transferir” significa revelar, proporcionar o poner de otro modo datos personales a disposición de un tercero, incluyendo, pero no limitado a, la divulgación mediante el movimiento físico de los datos personales a dicho tercero o permitiendo el acceso a los datos personales por otros medios.
   
   (F) “RU” significa el Reino Unido.
   
   (G) Los términos “controlador”, “sujeto de datos”, “datos personales”, “información personal”, “violación de datos personales”, “proceso” o “procesamiento“, y “procesador” cada uno tiene el significado establecido en la Ley de Protección de Datos aplicable.

2. Funciones de las partes. Las partes acuerdan que, a los efectos de cualquier Ley de Protección de Datos aplicable, el Patrocinador es un controlador (o, según corresponda, un procesador) de datos personales, y Extu es un procesador de datos personales. Cada parte deberá cumplir con las obligaciones de la Ley de Protección de Datos que le sean aplicables en relación con este DPA y el procesamiento de datos personales.

3. Procesamiento de Datos Personales. Extu procesará datos personales únicamente: (a) según sea necesario para cumplir con sus obligaciones en virtud del Acuerdo; (b) en conformidad con el Acuerdo, este DPA y otras instrucciones documentadas recibidas del Patrocinador como se establece en la Sección 4 (Instrucciones) a continuación; y (c) según sea necesario para cumplir con la ley aplicable. Los detalles del procesamiento de datos personales (incluido el asunto y la duración del procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos personales y las categorías de sujetos de datos) se establecen en el Anexo A adjunto al presente.

4. Instrucciones. Extu procesará datos personales de acuerdo con las instrucciones legales y documentadas del Patrocinador según lo especificado en el Acuerdo y este DPA, incluidas las instrucciones relacionadas con las Transferencias. El Patrocinador reconoce que Extu solo recolecta datos personales que el Patrocinador solicita y aprueba específicamente. El Patrocinador puede proporcionar instrucciones adicionales por escrito a Extu con respecto al procesamiento de datos personales de acuerdo con la Ley de Protección de Datos. Extu cumplirá con instrucciones adicionales razonables, legales y documentadas del Patrocinador, excepto en la medida en que dichas instrucciones amplíen el alcance del desempeño de Extu en conformidad con el Acuerdo, en cuyo caso Extu se reserva el derecho de cobrar tarifas adicionales al Patrocinador. A menos que lo prohíba la ley aplicable, Extu informará al Patrocinador si, en opinión razonable de Extu, una instrucción del Patrocinador viola la Ley de Protección de Datos aplicable.

5. Solicitudes de Sujetos de Datos. Si Extu recibe una solicitud de un sujeto de datos que se relaciona con los datos personales del Patrocinador e identifica al Patrocinador, Extu le indicará de inmediato al sujeto de datos que envíe dicha solicitud al Patrocinador. Extu ayudará razonablemente al Patrocinador, mediante medidas técnicas y organizacionales apropiadas y teniendo en cuenta la naturaleza del procesamiento, a cumplir con las obligaciones del Patrocinador de responder a las solicitudes de los sujetos de datos para ejercer sus derechos según la Ley de Protección de Datos aplicable, incluidos sus derechos de acceso, corrección, oposición, eliminación y portabilidad de los datos.

6. Asistencia adicional. Tomando en cuenta la naturaleza del procesamiento y la información disponible para Extu, Extu ayudará razonablemente al Patrocinador en el cumplimiento de sus obligaciones en materia de (a) garantizar la seguridad de los datos personales; (b) responder a violaciones de datos personales, como se establece posteriormente en la Sección 11 (Violación de datos personales); y (c) realizar evaluaciones de impacto sobre la privacidad y la protección de datos y consultas relacionadas con las autoridades de protección de datos.

7. Uso de subprocesadores. Por el presente, el Patrocinador proporciona a Extu una autorización general por escrito para designar a terceros subcontratistas para procesar los datos personales del Patrocinador en relación con el desempeño de Extu en conformidad con el Acuerdo (cada uno de ellos un “Subprocesador”). En particular, Extu podrá continuar utilizando aquellos Subprocesadores que ya estén contratados a partir de la Fecha de entrada en vigor del DPA, cuya lista está disponible en https://extu.com/es_mx/informacion-legal/subprocesadores/ (el “Sitio web del Subprocesador”). Al menos treinta (30) días antes de nombrar cualquier nuevo Subprocesador para procesar los datos personales del Patrocinador en relación con el desempeño de Extu en conformidad con el Acuerdo, Extu proporcionará al Patrocinador un aviso de su intención de nombrar al nuevo Subprocesador actualizando la lista disponible en el Sitio Web del Subprocesador. SI el Patrocinador no se opone dentro de dicho periodo de diez (10) días hábiles, el nuevo Subprocesador se considerará aprobado. Si el patrocinador objeta dentro de dicho periodo de diez (10) días, las partes harán esfuerzos de buena fe para resolver dicha objeción dentro de un tiempo razonable. Si las partes no pueden resolver dicha objeción dentro de un tiempo razonable, el Patrocinador podrá terminar el Acuerdo y este DPA, mediante una previa notificación a Extu. Antes de permitir que cualquier Subprocesador procese los datos personales del Patrocinador, Extu celebrará un escrito con dicho Subprocesador que no sea menos restrictivo que este DPA con respecto al procesamiento de datos personales. Extu seguirá siendo responsable de cualquier acto u omisión de dicho Subprocesador con respecto a los datos personales como si dicho acto u omisión fuera realizado por Extu.

8. Transferencias.

   
   (A) En la medida en que el procesamiento de datos personales por parte de Extu requiera transferencias por parte del Patrocinador de datos personales que se originen dentro del EEE, el Reino Unido o Suiza a Extu en un país ubicado fuera del EEE, el Reino Unido o Suiza que no haya sido objeto de una decisión de adecuación vinculante por parte de la Comisión Europea o de una autoridad de protección de datos competente similar, dichas Transferencias se realizarán en conformidad con las SCC, que por el presente se incorporan por referencia, con sujeción a lo siguiente:

   (i) cuando el Patrocinador sea un controlador y Extu sea un procesador, dichas Transferencias se realizarán de conformidad con el Módulo Dos de las SCC;
   
   (ii) cuando tanto el Patrocinador como Extu sean procesadores, dichas Transferencias se realizarán en conformidad con el Módulo Tres de las SCC;
   
   (iii) cuando la Transferencia se relacione con datos personales que se originen dentro del Reino Unido, las SCC se modificarán según lo establecido en el “Anexo de transferencia del Reino Unido”, desarrollado por la Oficina del Comisionado de Información del Reino Unido (“UKICO por sus siglas en inglés”) y en vigor a partir del 21 de marzo de 2022, el cual está disponible en línea en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf, e incorporado al presente documento por esta referencia;
   
   (iv) las elecciones de las partes, con respecto a aquellos elementos de las SCC que prevén la opcionalidad, se establecen jurisdicción por jurisdicción en el Anexo B adjunto al presente; y
   
   (v) la información requerida por: (A) el Anexo I y el Anexo III de las SCC aparece en el Anexo A adjunto al presente, y (B) el Anexo II de las CEC aparece en el Anexo C adjunto al presente.

   (B) Cualquier transferencia posterior de datos personales realizada por Extu que se originen dentro del EEE, el Reino Unido o Suiza a un destinatario en un país ubicado fuera del EEE, el Reino Unido o Suiza que no haya sido objeto de una decisión de adecuación vinculante por parte de la Comisión Europea o por una autoridad de protección de datos competente similar estarán sujetos a mecanismos de Transferencia vinculantes y adecuados que proporcionen un nivel adecuado de protección de conformidad con la Ley de Protección de Datos, como las cláusulas contractuales estándar o las normas corporativas vinculantes aprobadas.

9. Confidencialidad. Extu se asegurará de que todas las personas autorizadas a procesar datos personales estén sujetas a obligaciones escritas de confidencialidad o estén bajo una obligación legal apropiada de confidencialidad que no sea menos restrictiva que las establecidas en este documento o en el Acuerdo.

10. Seguridad. Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y finalidades del procesamiento, Extu implementará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que presenta el procesamiento de datos personales.

11. Violación de datos personales. Si Extu tiene conocimiento de que ha habido una violación de datos personales (según lo define la Ley de Protección de Datos), Extu notificará al Patrocinador por escrito sobre dicha violación de datos personales sin demora indebida. Teniendo en cuenta la naturaleza del procesamiento y la información disponible para Extu, Extu ayudará razonablemente al Patrocinador a cumplir con sus obligaciones con respecto a las violaciones de datos personales.

12. Devolución o Destrucción. Extu devolverá o destruirá todos los datos personales al Patrocinador al finalizar el Acuerdo o este DPA, y destruirá las copias existentes de datos personales a menos que: (a) la ley aplicable o la política razonable de retención de datos de Extu requieran el almacenamiento de los datos personales, o (b) dichos datos personales se almacenan en los sistemas de archivo o de respaldo de Extu. Cualquier dato personal retenido por Extu de conformidad con esta Sección 12 (Devolución o Destrucción) se conservará de acuerdo con los términos de este DPA.

13. Auditorías; Consultas. Extu pondrá a disposición del patrocinador la información razonablemente necesaria para demostrar el cumplimiento de Extu con la Ley de Protección de Daros y este DPA y, a expensas del Patrocinador, permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por los auditores internos y externos y el personal del Patrocinador y las autoridades correspondientes de protección de datos. En relación con lo anterior, el Patrocinador proporcionará a Extu un aviso razonable de dicha auditoría (y, en cualquier caso, un aviso no menor a treinta (30) días) y dicha auditoría se realizará en una fecha y hora mutuamente acordadas por las partes durante el horario normal de operaciones y no interferirá injustificadamente con las operaciones comerciales de Extu. El Patrocinador acepta, y antes de realizar cualquier auditoría o inspección en conformidad con esta Sección 13 (Auditorías; Consultas), obligará contractualmente a sus auditores y personal internos y externos a aceptar y tratar cualquier información revisada, obtenida o puesta a disposición de Extu durante cualquier auditoría o inspección, incluidos los resultados de dicha auditoría e inspección, como información confidencial de Extu.

14. Solicitudes de divulgación. Si Extu recibe cualquier citación, orden judicial, administrativa o arbitral de una agencia ejecutiva o administrativa, agencia reguladora u otra autoridad gubernamental que se relacione con su procesamiento de los datos personales del Patrocinador (“Solicitud de divulgación”), transmitirá de rápidamente dicha Solicitud de divulgación al Patrocinador sin responder a la misma, a menos que la ley aplicable exija lo contrario. Extu proporcionará al Patrocinador la información relevante que tenga en su poder que pueda responder a la Solicitud de divulgación y cualquier asistencia razonable necesaria para que el Patrocinador responda con prontitud a dicha Solicitud de divulgación.

15. Cumplimiento de la CCPA. Las partes reconocen y acuerdan que Extu actúa como proveedor de servicios (tal y como se define dicho término en la CCPA) para el Patrocinador en relación con la actuación de Extu en virtud del Acuerdo. Extu reconoce y confirma que no proporciona al Patrocinador ninguna contraprestación monetaria o de valor a cambio de la recepción de información personal (según lo define la CCPA) y certifica que entiende y cumplirá con las restricciones establecidas en esta Sección 15 (Cumplimiento de CCPA). Excepto cuando sea requerido por la ley aplicable, Extu no recopilará, accederá, usará, divulgará, procesará ni retendrá información personal para ningún propósito que no sea el de las operaciones de Extu en conformidad con el Acuerdo u otro propósito comercial permitido por la CCPA, este DPA o el Acuerdo. En particular, Extu no venderá (según lo define la CCPA) ni compartirá (según lo define la CPRA) ninguna información personal.

16. Supervivencia. Las obligaciones de Extu en virtud de este DPA continuarán mientras Extu tenga acceso, esté en posesión o adquiera datos personales, incluso si el Acuerdo ha expirado o ha sido rescindido.

17. Limitaciones de responsabilidad. Para evitar dudas, este DPA y cualquier responsabilidad o remedio que surja del mismo están sujetos a todas y cada una de las limitaciones sobre las disposiciones de responsabilidad y exenciones de responsabilidad de los tipos de disposiciones de daños establecidas en el Acuerdo, en la máxima medida permitida por la ley aplicable.

18. Interpretación. Excepto lo dispuesto específicamente en este documento, el Acuerdo permanecerá en pleno vigor y efecto. Los derechos otorgados a cualquiera de las partes en virtud del presente son adicionales y no reemplazan otros derechos que dicha parte pueda tener en virtud del Acuerdo. En caso de cualquier conflicto o inconsistencia entre los términos de este DPA y los términos del Acuerdo con respecto al procesamiento de datos personales, prevalecerán los términos de este DPA. En caso de cualquier conflicto o inconsistencia entre los términos de cualquier módulo aplicable de las SCC y los términos de este DPA con respecto a cualquier Transferencia, prevalecerán los términos de las SCC.

EN FE DE ELLO, las partes del presente han hecho que este DPA sea ejecutado por sus representantes debidamente autorizados a partir de la Fecha de entrada en vigor del DPA.