← Volver a Generalidades de Legal

Anexo de procesamiento de datos de la UE para clientes

Última actualización:

10 de julio de 2018.

Este Anexo de Tratamiento de Datos ("ATD"), de fecha 10 de julio de 2018 (la "Fecha de Entrada en Vigor"), se hace a y forma parte del contrato general y la relación bajo los Términos de Servicio y cualquier y todos los demás acuerdos que rigen nuestros Servicios) egún se enmiendan y complementan de vez en cuando (el "Acuerdo"), por y entre usted ("Cliente") and DreamHost ("Compañía"). Todos los términos en mayúsculas que no se definan en el presente ATD tendrán el significado que se establece en el Acuerdo.

Definiciones

• "Afiliado" significa una entidad que directa o indirectamente Controla, está Controlada o está bajo Control` común con una entidad.
• "Acuerdo" tiene el significado establecido en la sección introductoria
• "Control" mque significa una participación de propiedad, voto o similar que represente el cincuenta por ciento (50%) o más del total de los intereses entonces pendientes de pago de la entidad en cuestión. El término "Controlado" se interpretará en consecuencia.
• "Responsable" significa una entidad que determina los fines y medios del tratamiento de los Datos Personales.
• "Datos del cliente" se refiere a cualquier dato personal que la empresa procesa en nombre del cliente en el curso de la prestación de servicios.
• "Leyes de Protección de Datos" significa todas las leyes efectivas de protección de datos y privacidad aplicables al Tratamiento de Datos Personales bajo el Acuerdo, incluyendo, cuando sea aplicable, la Ley de Protección de Datos de la UE.
• "Ley de Protección de Datos de la UE" significa (i) antes del 25 de mayo del 2018, Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos ("Directiva"); (ii) a partir del 25 de mayo del 2018, el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos, o "GDPR").
• "EEE" significa, a efectos del presente APD, el Espacio Económico Europeo, el Reino Unido y Suiza.
• "Cláusulas tipo" significa las Cláusulas contractuales tipo para los procesadores aprobadas por la Comisión Europea en la forma establecida en el Anexo B.
• "Datos personales" significa cualquier información relativa a una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
• "Violación de Datos Personales" significa una violación de la seguridad que lleva a la destrucción accidental o ilegal, pérdida, alteración, revelación no autorizada de, o acceso a, Datos Personales transmitidos, almacenados o procesados de otra manera.
• "Procesamiento" significa cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o sobre conjuntos de Datos Personales, ya sea por medios automatizados o no, tales como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción. Los términos "Proceso", "Procesos" y "Procesado" se interpretarán en consecuencia.
• "Procesador" significa una entidad que procesa Datos Personales en nombre de un Responsable.
• "Servicios" significa cualquier producto o servicio proporcionado por la Compañía al cliente de conformidad con el Acuerdo.
• "Sub-procesador" significa un tercero contratado por la Compañía para ayudar a cumplir con sus obligaciones con respecto a la prestación de los Servicios de conformidad con el Acuerdo o este DPA.

1. Alcance de la presente DPA

Esta DPA se aplica cuando y sólo en la medida en que la Empresa Procesa Datos del Cliente que proceden del EEE o que están sujetos a la Ley de Protección de Datos de la UE en nombre del Cliente en el curso de la prestación de Servicios al Cliente de conformidad con el Acuerdo.

2. Funciones y Alcance del Procesamiento

Funciones de las Partes. Entre la Compañía y el Cliente, el Cliente es el Responsable del Procesamiento de los Datos del Cliente, y la Compañía procesará los Datos del Cliente únicamente como un Procesador que actúa en nombre del Cliente.

Procesamiento de Datos del Cliente por el Cliente. El cliente acepta que (i) cumplirá con sus obligaciones como Responsable en virtud de las Leyes de Protección de Datos con respecto a su Procesamiento de Datos del Cliente y cualquier instrucción de Procesamiento que emita a la Empresa; y (ii) ha notificado y obtenido (u obtendrá) todos los consentimientos y derechos necesarios en virtud de las Leyes de Protección de Datos para que la Empresa Procese los Datos del Cliente de conformidad con el Acuerdo y la presente DPA.

Procesamiento de Datos de Clientes de la Compañía. La Compañía procesará los Datos del Cliente sólo para los fines descritos en el DPA y sólo de acuerdo con las instrucciones legales documentadas del cliente. Las partes acuerdan que el DPA y el Acuerdo establecen las instrucciones completas y finales del Cliente a la Empresa en relación con el Procesamiento de los Datos, y el Procesamiento fuera del alcance de estas instrucciones (si las hubiera) requerirán un acuerdo previo por escrito entre el Cliente y la Compañía.

Detalles del Procesamiento

1. Asunto en cuestión: El objeto del tratamiento en virtud de la presente DPA son los Datos del Cliente.
2. Duración: Entre la Compañía y el Cliente, la duración del Procesamiento en virtud de la presente DPA es hasta la terminación del Contrato de conformidad con sus términos.
3. Propósito y Naturaleza: El propósito y la naturaleza del Procesamiento en virtud de la presente DPA es la prestación de los Servicios al Cliente y el cumplimiento de las obligaciones de la Empresa en virtud del Contrato (incluida la presente DPA) o de cualquier otra forma acordada por las partes.
4. Categorías de asuntos de datos: El Cliente podrá cargar Datos Personales mientras utiliza los Servicios, en la medida en que sea determinado y controlado por el Cliente. Esto puede incluir, pero no se limita a:
   1. Clientes potenciales, clientes, interlocutores comerciales, proveedores o terceros (que son personas naturales);
   2. Empleados, agentes, asesores, terceros y trabajadores freelance del cliente
   3. Empleados o personas afiliadas de (1) arriba
   4. Usuarios autorizados de los Servicios por el Cliente
5. Tipos de datos personales: El Cliente podrá cargar Datos Personales mientras utiliza los Servicios, en la medida en que sea determinado y controlado por el Cliente. Esto puede incluir, pero no se limita a, las siguientes categorías:

   Nombre, dirección, número de teléfono, fecha de nacimiento, correo electrónico y otros datos que puedan identificar directa o indirectamente al Cliente.

Excepciones. A pesar de cualquier disposición en contrario en el Acuerdo (incluida la presente DPA), el Cliente reconoce que la Compañía tendrá derecho a utilizar y divulgar datos relativos a la operación, soporte y/o uso de los Servicios para sus legítimos propósitos comerciales, tales como facturación, administración de cuentas, soporte técnico, desarrollo de productos y ventas y marketing. En la medida en que dichos datos utilizados exclusivamente para los fines comerciales de la empresa se consideren datos personales en virtud de las leyes de protección de datos, la compañía es la responsable del procesamiento de estos, y, en consecuencia, garantiza que procesará dichos datos de acuerdo con la Política de Privacidad de la Compañía y la Ley de Protección de Datos.

3. Sub-procesamiento

Sub-procesadores autorizados. El Cliente acepta que la Compañía puede contratar a Sub-procesadores para que procesen los Datos del Cliente en su nombre. Los sub-procesadores actualmente contratados por la Compañía y autorizados por el Cliente pueden ser accedidos en el Panel de Control de DreamHost en la pestaña "Facturación y Cuenta", bajo la subpestaña "Configuración de Privacidad".

Obligaciones del sub-procesador. La Compañía: (i) firmaráun acuerdo por escrito con el Sub-procesador imponiendo términos de protección de datos que requieran que el Sub-procesador proteja los Datos del Cliente de acuerdo con el estándar requerido por las Leyes de Protección de Datos; y (ii) seguirásiendo responsable de su cumplimiento de las obligaciones de la presente DPA y de cualquier acto u omisión del Sub-procesador que haga que la Compañía incumpla con cualquiera de las obligaciones que se deriven de la presente DPA.

Cambios en los sub-procesadores. La Compañía proporcionaráactualizaciones a la lista de Sub-procesadores autorizados en la página del Panel del Cliente. La página reflejarála fecha de la "última actualización" en todo momento, y el Cliente recibiránotificaciones por correo electrónico de los cambios. Si el Cliente no aprueba un nuevo Sub-procesador después de recibir la notificación de dicha adición, entonces el Cliente puede terminar los Servicios mediante una notificación por escrito que incluya una explicación de por quéel Cliente no aprueba el nuevo Sub-procesador.

4. Seguridad

Actualizaciones de las medidas de seguridad. El Cliente es responsable de revisar la información puesta a su disposición por la Compañía en relación con la seguridad de los datos y de realizar una determinación independiente sobre si los Servicios cumplen con los requisitos y obligaciones legales del Cliente en virtud de la Ley de Protección de Datos. El Cliente reconoce que las Medidas de Seguridad están sujetas al progreso técnico y al desarrollo y que la Compañía puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre y cuando dichas actualizaciones y modificaciones no tengan como resultado la degradación de la seguridad general de los Servicios adquiridos por el Cliente.

Personal. La Compañía se asegurará de que cualquier persona que esté autorizada por la Compañía para Procesar Datos de Clientes (incluyendo su personal, agentes y Sub-procesadores autorizados) esté bajo una obligación apropiada de confidencialidad (ya sea una obligación contractual o estatutaria). Además, la Compañía tomará las medidas necesarias para garantizar que cualquier persona autorizada por la Compañía a tener acceso a los Datos del Cliente no procese dichos datos salvo por instrucciones del Cliente, a menos que dicha persona esté obligada a procesar dichos datos en virtud de la Ley de Protección de Datos de la UE aplicable.

Responsabilidades del Cliente. No obstante, el Cliente acepta que, salvo lo dispuesto en la presente DPA, el Cliente es responsable del uso seguro de los Servicios.

Respuesta en caso de violación de datos personales. Al tener conocimiento de una violación de datos personales, la Compañía notificará al Cliente sin demora injustificada y le proporcionará información oportuna relacionada con la violación de datos personales a medida que se conozca o que sea razonablemente solicitada por el Cliente. La Compañía tomará sin demora las medidas razonables para mitigar y, cuando sea posible, remediar los efectos de cualquier violación de datos personales.

5. Informes de Auditoría

El cliente reconoce que la Compañía es auditada regularmente para el cumplimiento de este ATD y las normas de seguridad de la Compañía. Tras una solicitud razonable por escrito enviada por correo a la dirección de la Compañía como se muestra en la Política de Privacidad, la Compañía suministrará un informe resumido de auditoría ("Informe") al Cliente, el cual estará sujeto a las disposiciones de confidencialidad de cualquier acuerdo de no divulgación proporcionado por la Compañía para la ejecución del Cliente en relación con el Informe. La Compañía también responderá a cualquier pregunta de auditoría escrita comercialmente razonable que le presente el Cliente, siempre y cuando el Cliente no ejerza este derecho más de una vez cada doce (12) meses.

6. Transferencias internacionales

Ubicación de los centros de datos. La Compañía puede transferir y tratar los Datos del Cliente en cualquier lugar del mundo donde la Compañía, sus filiales o sus subencargados del tratamiento sus mantengan operaciones de tratamiento. La Compañía proporcionará en todo momento un nivel adecuado de protección de Datos del Cliente Tratados, de conformidad con los requisitos de las leyes de protección de datos.

Cláusulas Modelo. En la medida en que la Compañía trate cualquier Datos del Cliente protegido por la Ley de Protección de Datos de la UE en virtud del Acuerdo y/o que tenga su origen en el EEE, en un país que no haya sido designado por la Comisión Europea o la Autoridad Federal Suiza de Protección de Datos (según corresponda) como proveedor de un nivel adecuado de protección de los Datos Personales, las partes reconocen que se considerará que la Compañía proporciona una protección adecuada (dentro del significado de la Ley de Protección de Datos de la UE) para cualquiera de dichos Datos de Cliente al cumplir con las Cláusulas Modelo. La Compañía está de acuerdo en que es un "importador de datos" y el Cliente es el "exportador de datos" según las Cláusulas Modelo (a pesar de que el Cliente sea una entidad situada fuera del EEE).

7. Devolución o Eliminación de Datos

Tras la terminación o el vencimiento del Acuerdo, la Compañía (a elección del Cliente) devolverá o, en la medida de lo técnicamente posible, eliminará todos los Datos del Cliente que estén en su posesión o control. Este requisito no se aplicará en la medida en que la Compañía esté obligada por la ley aplicable a retener algunos o todos los Datos del Cliente, o a los Datos del Cliente que haya archivado en sistemas de respaldo, que la Compañía de Datos del Cliente aislará de forma segura y protegerá de cualquier tratamiento posterior, excepto en la medida en que lo exija la ley aplicable.

8. Cooperación

Los Servicios pueden proporcionar al Cliente una serie de controles que éste puede utilizar para recuperar, corregir, eliminar o restringir los Datos del Cliente, y que puede utilizar para ayudarle en relación con sus obligaciones en virtud de la RGPD, incluidas sus obligaciones relativas a la respuesta a las solicitudes de los interesados o de las autoridades de protección de datos aplicables. En la medida en que el Cliente no pueda acceder de forma independiente a los Datos del Cliente relevantes dentro de los Servicios, la Compañía proporcionará (a expensas del Cliente) una cooperación razonable para ayudar al Cliente a responder a cualquier solicitud de personas o autoridades de protección de datos aplicables relacionadas con el Tratamiento de Datos Personales según el Acuerdo. En caso de que se haga una solicitud de este tipo directamente a la Compañía, ésta no responderá a dicha comunicación directamente sin la autorización previa del Cliente, a menos que se vea obligada legalmente a hacerlo. Si la Compañía está obligada a responder a dicha solicitud, la Compañía notificará de inmediato al Cliente y le proporcionará una copia de la solicitud, a menos que esté legalmente prohibido hacerlo.

La Compañía no revelará los Datos del Cliente a ningún gobierno ni a terceros, salvo en la medida en que sea necesario para revelar dicha información con una orden válida y vinculante de un organismo encargado de hacer cumplir la ley. Si se le obliga a revelar los Datos del Cliente a un organismo encargado de hacer cumplir la ley, la Compañía le dará al Cliente un aviso razonable de la demanda para que pueda solicitar una orden de protección u otro recurso apropiado, a menos que la Compañía tenga legalmente prohibido hacerlo.

En la medida en que la Compañía sea requerida por la Ley de Protección de Datos de la UE, la Compañía proporcionará (a expensas del Cliente) la información razonablemente solicitada con respecto a los Servicios para permitir al Cliente llevar a cabo evaluaciones del impacto de la protección de datos o consultas previas con las autoridades de protección de datos según lo requiera la ley.

9. General

Cualquier reclamación presentada en virtud de esta ATD o en relación con ella estará sujeta a los términos generales de la Compañía (incluidos los Términos de Servicio) tal como se actualizan en la página web de Asuntos Legales, incluidas, entre otras, las exclusiones y limitaciones establecidas en el Acuerdo. Cualquier reclamación contra la Compañía o sus Afiliados en virtud de esta ATD se presentará únicamente contra la entidad que es parte del Acuerdo. En ningún caso ninguna de las partes limitará su responsabilidad con respecto a los derechos de protección de datos de cualquier persona en virtud de esta ATD o de otra manera. El Cliente también acepta que cualquier sanción regulatoria incurrida por la Compañía en relación con los Datos del Cliente que surjan como resultado de, o en relación con, el incumplimiento por parte del Cliente de sus obligaciones en virtud de esta ATD o cualquier Ley de Protección de Datos aplicable contará y reducirá la responsabilidad de la Compañía en virtud del Acuerdo como si fuera responsabilidad del Cliente en virtud del Acuerdo.

Nadie más que una parte de esta ATD, sus sucesores y cesionarios permitidos tendrán derecho a hacer cumplir cualquiera de sus términos.

El presente ATD se regirá e interpretará de conformidad con las disposiciones sobre la legislación y jurisdicción del Acuerdo, a menos que las Leyes de Protección de Datos aplicables exijan lo contrario.

Las partes acuerdan que este ATD sustituirá cualquier ATD existente (incluidas las Cláusulas Modelo (según proceda)) que las partes hayan celebrado previamente en relación con los Servicios.

La presente ATD y las Cláusulas Modelo cesarán simultánea y automáticamente con la terminación o expiración del Acuerdo; no obstante, las disposiciones que exigen la destrucción segura de los Datos Personales y la retención de estos para satisfacer los requisitos legales o reglamentarios sobrevivirán a la terminación o expiración del ATD durante el tiempo mínimo necesario para satisfacer las obligaciones respectivas en virtud de esas disposiciones.

Salvo los cambios introducidos por este ATD, el Acuerdo permanece sin cambios y en pleno vigor y efecto. Si existe algún conflicto entre este ATD y el Acuerdo, este ATD prevalecerá en la medida de ese conflicto.

Los Programas de este ATD se incorporan a este ATD por esta referencia. Si hay algún conflicto entre este ATD y cualquier Programa de este ATD, los términos de este ATD prevalecerán en la medida de ese conflicto.

Las disposiciones de este ATD son separables. Si alguna frase, cláusula o disposición es inválida o inaplicable en su totalidad o en parte, dicha invalidez o inaplicabilidad afectará sólo a dicha frase, cláusula o disposición, y el resto del presente ATD permanecerá en pleno vigor y efecto.

Programa A

Seguridad de la Información

Los siguientes elementos se consideran los requisitos mínimos de seguridad para la protección de los Datos del Cliente:

• Nombramiento de uno o más funcionarios encargados de coordinar y supervisar las normas y procedimientos de la tecnología de la información.
• Política y procedimientos documentados que rigen el uso del sistema de tecnología de la información por parte de empleados y proveedores.
• Tratamiento para identificar y responder a incidentes de seguridad sospechosos o conocidos.
• Internamente, los datos en reposo están asegurados por roles o permisos de grupo y son auditados periódicamente para asegurar que las personas sólo tengan acceso a los datos que necesitan para hacer su trabajo y que las cuentas de los usuarios despedidos estén desactivadas.
• Los servidores se actualizan de forma oportuna para asegurarse de que se aplican las últimas actualizaciones de seguridad.
• La Seguridad de la Capa de Transporte (TLS, por sus siglas en inglés) se utiliza siempre que sea aplicable para el tráfico de la web y del correo electrónico. El correo electrónico también es filtrado y escaneado varias veces al ser recibido.
• Las Redes Privadas Virtuales (VPNs, por sus siglas en inglés) se usan para encriptar el tráfico entre todas nuestras localizaciones.
• Los usuarios externos también utilizan la conectividad VPN codificada para acceder a los recursos internos y esto se concede a cada usuario.
• Todas las contraseñas almacenadas están encriptadas.
• Los datos se sincronizan diariamente entre su ubicación principal y la de reserva
• Los auditores externos realizan anualmente auditorías de la tecnología de la información y examinan las políticas y procedimientos.

Schedule B – Cláusulas Modelo

Decisión de la Comisión C(2010)593
Cláusulas Contractuales Estándar (encargados del tratamiento)

A los efectos del apartado 2 del artículo 26 de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en países terceros que no garanticen un nivel adecuado de protección de los datos

La entidad identificada como el "Cliente" en el ATD
(el "exportador de datos")

y

DreamHost, LLC
(el "importador de datos")

cada uno una "parte" y en conjunto "las partes",

HAN CONVENIDO en las siguientes Cláusulas Contractuales (las Cláusulas) con el fin de establecer salvaguardias adecuadas con respecto a la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.

Cláusula 1

Definiciones

A los efectos de las Cláusulas:

1. 'datos personales', 'categorías especiales de datos', 'tratamiento', 'responsable del tratamiento', 'encargado del tratamiento', 'interesado' and 'autoridad de control' tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
2. El 'exportador de datos' se refiere al responsable del tratamiento que transfiere los datos personales;
3. El 'importador de datos' se refiere al encargado del tratamiento que acepte recibir del exportador de datos dichos datos personales destinados a ser tratados en su nombre después de la transferencia, de conformidad con sus instrucciones y los términos de las Cláusulas, y que no esté sujeto al sistema de un tercer país que garantice una protección adecuada en el sentido del apartado 1 del artículo 25 de la Directiva 95/46/CE;
4. Por 'subencargado del tratamiento' se refiere a todo encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del importador de datos dichos datos personales destinados exclusivamente a las actividades de tratamiento que se lleven a cabo en nombre del exportador de datos después de la transferencia, de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato escrito;
5. Por 'la ley de protección de datos aplicable' se entiende la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad en relación con el tratamiento de datos personales aplicable a un responsable del tratamiento de datos en el Estado miembro en que está establecido el exportador de datos;
6. Por 'medidas de seguridad técnicas y organizativas' se refieren a las medidas destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la divulgación o el acceso no autorizados, en particular cuando el tratamiento implica la transmisión de datos a través de una red, y contra todas las demás formas ilícitas de tratamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando proceda, se especifican en el Apéndice 1, que forma parte integral de las Cláusulas.

Cláusula 3

Cláusula de beneficiarios externos

1. El interesado puede hacer cumplir al exportador de datos esta Cláusula, los apartados (b) a (i) de la Cláusula 4, los apartados (a) a (e) y (g) a (j) de la Cláusula 5, los apartados (1) y (2) de la Cláusula 6, la Cláusula 7, el apartado (2) de la Cláusula 8 y las Cláusulas 9 a 12 como beneficiario externo.
2. El interesado podrá hacer valer contra el importador de datos la presente Cláusula, los apartados (a) a (e) y (g) de la Cláusula 5, la Cláusula 6, la Cláusula 7, el párrafo (2) de la Cláusula 8 y las Cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de un contrato o por ministerio de la ley, a raíz de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer contra dicha entidad.
3. El interesado podrá hacer valer contra el importador de datos la presente Cláusula, los apartados (a) a (e) y (g) de la Cláusula 5, la Cláusula 6, la Cláusula 7, el párrafo (2) de la Cláusula 8 y las Cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de un contrato o por ministerio de la ley, a raíz de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer contra dicha entidad. Esa responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento con arreglo a las cláusulas.
4. Las partes no se oponen a que el interesado esté representado por una asociación u otro organismo si así lo desea expresamente y si lo permite la legislación nacional.

Cláusula 4

Obligaciones del exportador de datos

El exportador de datos está de acuerdo y garantiza:

1. que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y seguirá realizándose de conformidad con las disposiciones pertinentes de la ley de protección de datos aplicable (y, cuando proceda, se ha notificado a las autoridades competentes del Estado Miembro en que esté radicado el exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;
2. que ha dado instrucciones y durante todo el periodo que duren los servicios de tratamiento de datos personales dará instrucciones al importador de datos para que traten los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la ley de protección de datos aplicable y las Cláusulas;
3. que el importador de datos proporcionará suficientes garantías respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 de este contrato;
4. que, tras la evaluación de los requisitos de la ley de protección de datos aplicable, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la divulgación o el acceso no autorizado, en particular cuando el tratamiento entraña la transmisión de datos a través de una red, y contra todas las demás formas ilícitas de tratamiento, y que esas medidas garantizan un nivel de seguridad adecuado a los riesgos que presenta el tratamiento y a la naturaleza de los datos que han de protegerse, teniendo en cuenta el la tecnología más reciente y el costo de su aplicación;
5. que garantizará el cumplimiento de las medidas de seguridad;
6. que, si la transferencia se refiere a categorías especiales de datos, se ha informado o se informará al interesado, antes o lo antes posible después de la transferencia, de que sus datos podrían ser transmitidos a un tercer país que no ofrezca una protección adecuada en el sentido de la Directiva 95/46/CE;
7. remitir toda notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con el apartado (b) de la Cláusula 5 y el párrafo (3) de la Cláusula 8 a la autoridad de control de la protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión;
8. poner a disposición de los interesados que lo soliciten una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subtratamiento que deba hacerse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se podrá eliminar dicha información comercial;
9. que, en el caso de un subtratamiento, la actividad de tratamiento se lleve a cabo de conformidad con la Cláusula 11 por un subencargado del tratamiento que proporcione al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos con arreglo a las Cláusulas; y
10. que garantizará el cumplimiento a los apartados (a) a (i) de la Cláusula 4.

Cláusula 5

Obligaciones del importador de datos

El importador de datos está de acuerdo y garantiza:

1. tratar los datos personales únicamente en nombre del exportador de datos y en cumplimiento de sus instrucciones y de las Cláusulas; si no puede cumplirlas por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplirlas, en cuyo caso el exportador de datos está facultado para suspender la transferencia de datos y/o rescindir el contrato;
2. que no tiene motivos para creer que la legislación que le es aplicable le impida cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en esa legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará sin demora el cambio al exportador de datos tan pronto como tenga conocimiento de ello, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrat
3. que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de tratar los datos personales transferidos;
4. that it will promptly notify the data exporter about:
   1. toda solicitud jurídicamente vinculante de divulgación de los datos personales por parte de una autoridad encargada de hacer cumplir la ley, salvo que se prohíba lo contrario, como la prohibición, en virtud del derecho penal, de preservar la confidencialidad de una investigación policial,
   2. cualquier acceso accidental o no autorizado, y
   3. cualquier solicitud recibida directamente de los interesados sin responder a dicha solicitud, a menos que se haya autorizado a hacerlo de otra manera;
5. a atender con prontitud y de manera adecuada todas las consultas del exportador de datos relativas a su tratamiento de los datos personales objeto de la transferencia y a acatar el asesoramiento de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;
6. a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento a que se refieren las Cláusulas, que será realizada por el exportador de datos o por un órgano de inspección compuesto por miembros independientes y en posesión de las calificaciones profesionales requeridas y vinculadas al deber de confidencialidad, seleccionado por el exportador de datos, cuando proceda, de acuerdo con la autoridad de control;
7. poner a disposición del interesado, previa solicitud, una copia de las Cláusulas, o de cualquier contrato existente para el subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se podrá eliminar dicha información comercial, con excepción del Apéndice 2, que será sustituido por una descripción resumida de las medidas de seguridad en los casos en que el interesado no pueda obtener una copia del exportador de datos;
8. que, en caso de subtratamiento, ha informado previamente al exportador de datos y obtenido su consentimiento previo por escrito;
9. que los servicios de tratamiento del subencargado del tratamiento se llevarán a cabo de conformidad con la Cláusula 11;
10. enviar rápidamente al exportador de datos una copia de cualquier acuerdo del subencargado del tratamiento que celebre en virtud de las Cláusulas.

Cláusula 6

Responsabilidad

1. Las partes convienen en que todo interesado que haya sufrido un daño como resultado del incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subencargado del tratamiento tiene derecho a recibir una indemnización del exportador de datos por el daño sufrido.

2. Si un interesado no puede presentar una reclamación de indemnización de conformidad con el párrafo 1 contra el exportador de datos, derivada del incumplimiento por el importador de datos o su subencargado del tratamiento de cualquiera de sus obligaciones a que se hace referencia en la Cláusula 3 o en la Cláusula 11, porque el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha declarado insolvente, el importador de datos conviene en que el interesado puede presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad.

   El importador de datos no puede confiar en el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para evitar sus propias responsabilidades.

3. Si un interesado no puede presentar una reclamación contra el exportador o el importador de datos a que se hace referencia en los párrafos 1 y 2, debido al incumplimiento por el subencargado del tratamiento de cualquiera de sus obligaciones a que se hace referencia en la Cláusula 3 o en la Cláusula 11, porque tanto el exportador como el importador de datos han desaparecido de hecho o han dejado de existir jurídicamente o se han declarado insolventes, el subencargado del tratamiento conviene en que el interesado puede presentar una reclamación contra el subencargado del tratamiento de datos en relación con sus propias operaciones de tratamiento de datos con arreglo a las cláusulas como si fuera el exportador o el importador de datos, a menos que cualquier entidad sucesora haya asumido todas las obligaciones jurídicas del exportador o del importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las Cláusulas.

Cláusula 7

Mediación y jurisdicción

1. El importador de datos acepta que si el interesado invoca contra él derechos de beneficiario de terceros y/o reclama una indemnización por daños y perjuicios en virtud de las Cláusulas, el importador de datos aceptará la decisión del interesado:

   1. a remitir la controversia a la mediación, por una persona independiente o, en su caso, por la autoridad de control;
   2. a remitir la controversia a los tribunales del Estado Miembro en que esté establecido el exportador de datos.
2. Las partes convienen en que la elección hecha por el interesado no menoscabará sus derechos sustantivos o de procedimiento de buscar recursos de conformidad con otras disposiciones del derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control

1. El exportador de datos se compromete a depositar una copia de este contrato en la autoridad de control si ésta lo solicita o si dicho depósito es necesario en virtud de la ley de protección de datos aplicable.
2. Las partes convienen en que la autoridad de control tiene derecho a realizar una auditoría del importador de datos, y de cualquier subencargado del tratamiento, que tiene el mismo alcance y está sujeto a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la ley de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, o de cualquier subencargado del tratamiento, de conformidad con el párrafo 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en el apartado (b) de la Cláusula 5.

Cláusula 9

Ley Aplicable

Las cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos o en el que resida el cliente.

Cláusula 10

Variación de Contrato

Las partes se comprometen a no variar o modificar las cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones comerciales cuando sea necesario, siempre que no contradigan la cláusula.

Cláusula 11

Sub-procesamiento

1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos con arreglo a las cláusulas sin el consentimiento previo por escrito de este. Cuando el importador de datos subcontrate sus obligaciones en virtud de las cláusulas con el consentimiento del exportador de datos, lo hará mediante un acuerdo escrito con el sub-procesador que imponga al sub-procesador las mismas obligaciones que las que se imponen al importador de datos en virtud de las cláusulas. Si el sub-procesador no cumple sus obligaciones de protección de datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del sub-procesador en virtud de dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el sub-procesador incluirá también una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda presentar la reclamación de indemnización mencionada en el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos debido a que han desaparecido de hecho o han dejado de existir legalmente o se han declarado insolventes, y ninguna entidad sucesora haya asumido íntegramente las obligaciones jurídicas del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Esta responsabilidad frente a terceros del sub-procesador se limitará a sus propias operaciones de tratamiento con arreglo a las cláusulas.
3. Las disposiciones relativas a los aspectos de protección de datos para el tratamiento parcial del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
4. El exportador de datos mantendrá una lista de los acuerdos de sub-procesamiento celebrados en virtud de las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.

Cláusula 12

Obligación tras la terminación de los servicios de procesamiento de datos personales

1. Las Partes acuerdan que, al término de la prestación de servicios de tratamiento de datos, el importador y el sub-procesador, a elección del exportador de datos, devolverán todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que lo ha hecho, a menos que la legislación impuesta al importador de datos impida que devuelva o destruya la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que ya no procesará activamente los datos personales transferidos.
2. El importador de datos y el sub-procesador garantizan que, a petición del exportador de datos o de la autoridad de control, someterá sus instalaciones de procesamiento de datos a una auditoría de las medidas a que se refiere el apartado 1.

****************************

Apéndice 1 de las Cláusulas Contractuales Tipo

Exportador de Datos
El exportador de datos es la entidad identificada como "Cliente" en la adenda.

Importador de Datos
El importador de datos es DreamHost, LLC, el proveedor de servicios de alojamiento web.

Sujetos de Datos
Los sujetos y el procesamiento de los datos se definen en la Sección 2 de la DPA.

Categorías de Datos
Las categorías de datos se definen en la sección 2 de la DPA.

Operaciones de Procesamiento
Las operaciones de procesamiento se definen en la Sección 2 de la DPA.

Apéndice 2 de las Cláusulas Contractuales Tipo

Este apéndice forma parte de las cláusulas. Al comprar Servicios de DreamHost, este Apéndice y el DPA se consideran aceptados y ejecutados por y entre las partes.

Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con la letra d) de la cláusula 4 y la letra c) de la cláusula 5:

Las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos se describen en el anexo A de la DPA.