Anexo de tratamiento de datos
El presente Anexo de tratamiento de datos (“ATD”) entra en vigor en la última de las siguientes fechas, el 27 de septiembre de 2021, o la fecha de entrada en vigor (“Fecha de entrada en vigor”) que será la fecha en la que usted, como cliente comercial (“usted” o el “Cliente”) obtenga Servicios (según se define a continuación) de Clipchamp Pty Ltd (ACN 162516556), una subsidiaria de Microsoft Corporation (“Clipchamp”,“nosotros”,“nos”,“nuestro”,o“Proveedor de servicios”) y forma parte de todos y cada uno de los acuerdos (incluidos, sin limitación, los Términos (seg�ún se definen a continuación)), órdenes de compra, declaraciones de trabajo y otros documentos contractuales entre las partes (individual y colectivamente, el “Contrato”). El presente ATD se establece entre Clipchamp y/o cualquier Filial asociada (según se define a continuación) que preste Servicios al Cliente y el Cliente y/o cualquier Filial asociada (según se define a continuación) que adquiera Servicios de Clipchamp en virtud de un Contrato. Este ATD se aplica en la medida en que el Proveedor de servicios reciba, almacene o trate Datos personales en nombre del Cliente en relación con cualquier Servicio. Clipchamp y el Cliente son individualmente una “parte” y, colectivamente, las “partes” de este ATD. El Contrato incorpora expresamente este ATD. En caso de conflicto entre el presente ATD y el Contrato, prevalecerá el Contrato en la medida en que rija (excepto en la medida limitada en que los términos del ATD rijan en virtud de la legislación aplicable, en cuyo caso prevalecerán los términos pertinentes del presente ATD en la medida del conflicto). Todos los términos con mayúscula inicial que no se definan en este ATD tendrán el mismo significado que el establecido en el Contrato.
1. DEFINICIONES.
Los siguientes términos tienen los significados establecidos a continuación a los efectos del ATD únicamente, y no se aplican a los Términos y condiciones de Clipchamp (“Términos”). Pueden definirse otros términos en línea en este ATD.
1.1 “Filiales” se refiere a entidades que poseen, son propiedad de o están bajo propiedad común con cualquiera de las partes.
1.2 Las “Operaciones comerciales” consisten en lo siguiente, cada una de ellas según incida en la prestación de los Servicios al Cliente: (1) facturación y gestión de cuentas; (2) remuneración (p. ej., calcular las comisiones de los empleados y los incentivos de los socios); (3) informes internos y modelos de negocio (p. ej., previsión, ingresos, planificación de capacidades, estrategia de producto); (4) combatir el fraude, los delitos cibernéticos, o ciberataques que puedan afectar a los Servicios de Clipchamp o a los productos y servicios de sus Filiales; (5) mejorar la funcionalidad principal de accesibilidad, privacidad o eficiencia energética; y (6) informes financieros y cumplimiento de obligaciones legales (con sujeción a las limitaciones sobre la divulgación de los Datos tratados descritas en la Sección 2.9 a continuación).
1.3 “Responsable del tratamiento” se refiere a la entidad que determina los fines y medios del Tratamiento de datos personales.
1.4 “Ley de protección de datos” se refiere a todas las leyes de protección de datos y privacidad aplicables al Tratamiento de datos personales en virtud del Contrato, incluida, cuando proceda, la Ley de protección de datos de la UE y la Ley de privacidad australiana de 1988 (Cth).
1.5 “Interesado” se refiere a la persona con la que se relacionan los Datos personales.
1.6 “Ley de protección de datos de la UE” se refiere (i) antes del 25 de mayo de 2018, la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos («Directiva»); (ii) a partir del 25 de mayo de 2018, el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (“RGPD”); y (iii) la Directiva y el RGPD según se transpongan a la legislación nacional de cada Estado miembro.
1.7 “Cláusulas contractuales tipo” se refiere a las cláusulas contractuales tipo aplicables para los Encargados del tratamiento aprobadas por la Comisión Europea que se incorporan a este ATD.
1.8 “Datos personales” se refiere a cualquier información relacionada con una persona física identificada o identificable que el Cliente envíe al Proveedor de servicios como parte de los Servicios.
1.9 “Violación de la seguridad de los datos personales” se refiere a una violación de la seguridad de los Servicios que lleve a la destrucción, pérdida o alteración accidentales o ilícitas, o a la divulgación o acceso no autorizados a Datos personales.
1.10 “Tratar” o “Tratamiento” se refiere a cualquier acción o conjunto de acciones que se realizan en los Datos personales, sean o no por medios automatizados, como la recopilación, grabación, organización, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión o puesta a disposición de cualquier otra forma, alineación o combinación, bloqueo, supresión o destrucción.
1.11 “Datos tratados” se refiere a: (a) Datos del cliente; (b) Datos de servicios profesionales; (c) Datos personales; y (d) cualquier otro dato tratado por Clipchamp en relación con los Servicios que sea información confidencial del Cliente en virtud del Contrato.
1.12 “Encargado del tratamiento” se refiere a una entidad que trata Datos personales en nombre del Responsable del tratamiento.
1.13 “Servicios profesionales” se refiere a los siguientes servicios: (a) los servicios de consultoría de Clipchamp, que consisten en los servicios de planificación, consultoría, orientación, migración de datos, implementación y desarrollo de soluciones/software proporcionados en virtud de un pedido de servicios a Clipchamp que incorpore este ATD por referencia; y (b) los servicios de soporte técnico proporcionados por Clipchamp que ayudan a los clientes a identificar y resolver problemas que afectan a los Servicios, incluido el soporte técnico proporcionado como parte de los servicios de soporte de Clipchamp y cualquier otro servicio de soporte técnico.
1.14 “Datos de servicios profesionales” se refiere a todos los datos, incluidos todos los textos, sonidos, vídeos, archivos de imagen o software, que se proporcionan a Clipchamp, por o en nombre de un Cliente (o que el Cliente autoriza a Clipchamp a obtener de los Servicios) u obtenidos o tratados de otro modo por o en nombre de Clipchamp a través de un contrato con Clipchamp para obtener Servicios profesionales.
1.15 “Servicios” se refiere, individual y colectivamente, a cualquier producto, servicio o documentación que el Proveedor de servicios proporcione al Cliente en virtud del Contrato.
1.16 “Subencargado del tratamiento” se refiere a cualquier Encargado del tratamiento utilizado o contratado por el Proveedor de servicios o cualquier miembro de su grupo de empresas que trate Datos del cliente, Datos de servicios profesionales o Datos personales de conformidad con el Contrato, tal como se describe en el Artículo 28 del RGPD. Un Subencargado del tratamiento puede incluir a terceros o a cualquier miembro del grupo de empresas del Proveedor de servicios (es decir, Filiales del Proveedor de servicios).
1.17 “Proporcionar servicios” consiste en [proporcionar] uno o más de los siguientes: (a) Proporcionar capacidades funcionales según licencia, configuración y uso por parte del Cliente y sus usuarios, lo que incluye proporcionar experiencias de usuario personalizadas; (b) Solución de problemas (prevenir, detectar y reparar problemas); y (c) Mejora continua (instalar las últimas actualizaciones y realizar mejoras en la productividad, fiabilidad, eficacia, calidad y seguridad del usuario).
1.18 “Proporcionar servicios profesionales” consiste en [proporcionar] uno o más de los siguientes: (a) Proporcionar los servicios profesionales, que incluye proporcionar soporte técnico, planificación profesional, consejo, orientación, migración de datos, implementación, y servicios de desarrollo de soluciones/software; (b) Resolución de problemas (prevenir, detectar, investigar, mitigar, y reparar problemas, incluidos los Incidentes de seguridad y los problemas identificados en los Servicios profesionales o Producto(s) relevante(s) durante la prestación de los Servicios profesionales); y (c) Mejora continua (mejora de la entrega, eficacia, calidad, y la seguridad de los Servicios profesionales y el(los) Producto(s) subyacente(s) en función de los problemas identificados al prestar Servicios profesionales, incluida la instalación de las últimas actualizaciones y la reparación de defectos de software).
2. ALCANCE, FUNCIONES, TRATAMIENTO Y SOLICITUDES DE LOS INTERESADOS.
2.1 Alcance. Para mayor claridad, este ATD solo se aplica al Tratamiento de datos en entornos controlados por Clipchamp y los Subencargados del tratamiento de datos de Clipchamp cuando Clipchamp actúe como Encargado del tratamiento en virtud de la legislación aplicable. Así que, este ATD se aplica a la relación contractual entre las partes si hay Datos del cliente, Datos personales, y/o Datos de servicios profesionales implicados y el Cliente los envía a Clipchamp, pero no se aplica si (a) los datos no incluyen Datos personales (según se define en la legislación aplicable), (b) los Datos del cliente, Datos personales, y Datos de servicios profesionales en todo momento durante y para la prestación de los Servicios permanecen en las instalaciones del Cliente o en los entornos operativos de terceros seleccionados por el Cliente o (c) Clipchamp actúa como Responsable del tratamiento en virtud de la legislación aplicable para la prestación de los Servicios. Si Clipchamp es el Responsable del tratamiento en virtud de la legislación aplicable para la prestación de los Servicios, o si así lo exige la legislación aplicable, las partes reconocen y acuerdan que la política de privacidad de Clipchamp en https://clipchamp.com/privacy/ se aplicará al tratamiento de datos asociado con los Servicios en lugar de este ATD. Además, el Cliente entiende y acepta que las vistas previas privadas, vistas previas públicas y cualquier otra prueba beta de características, herramientas o funcionalidades (individual y colectivamente, “Versiones preliminares”)pueden emplear medidas de privacidad y seguridad menores o diferentes a las que normalmente están presentes en los Servicios. A menos que se indique lo contrario, los Clientes no deben usar las Versiones preliminares para tratar Datos personales u otros datos sujetos a requisitos de cumplimiento más estrictos. Para los Servicios, los siguientes términos de este ATD no se aplican a las Versiones preliminares: Tratamiento de datos personales; RGPD, Ley de Privacidad del Consumidor de California [California Consumer Privacy Act] (CCPA) y seguridad de los datos.
2.2 Funciones de las Partes. Excepto según lo establecido en la Sección 2.9 (Tratamiento para operaciones comerciales), las partes reconocen y acuerdan que con respecto al Tratamiento de datos personales en virtud de este ATD, el Cliente puede actuar como Responsable del tratamiento o Encargado del tratamiento y el Proveedor de servicios puede actuar como Encargado del tratamiento o Subencargado del tratamiento. La Sección 2.9 establece circunstancias limitadas en las que Clipchamp puede actuar como Responsable del tratamiento independiente con el Cliente.
2.3 Tratamiento de Datos personales por parte del Cliente. El Cliente, en su uso de los Servicios, cumplirá con sus obligaciones en virtud de la Ley de protección de datos con respecto a su tratamiento de Datos personales y cualquier instrucción de tratamiento que emita al Proveedor de servicios. El Cliente declara y garantiza que cuenta con las autorizaciones necesarias para que el Proveedor de servicios trate Datos personales con el fin de prestar los Servicios al Cliente de conformidad con el Contrato. Para evitar dudas, en cualquier caso en que se aplique la Ley de protección de datos de la UE y el Cliente sea un Encargado del tratamiento, el Cliente declara y garantiza a Clipchamp que las instrucciones del Cliente, incluido el nombramiento de Clipchamp como Encargado o Subencargado del tratamiento, han sido autorizadas por el pertinente Responsable del tratamiento.
2.4 Tratamiento de Datos personales por parte del Proveedor de servicios. El Proveedor de servicios utilizará y tratará de otro modo los Datos del cliente, los Datos de servicios profesionales y los Datos personales únicamente según se describe y con sujeción a las limitaciones que se indican a continuación (a) para prestar al Cliente los Servicios de acuerdo con las instrucciones documentadas del Cliente y (b) para operaciones comerciales relacionadas con la prestación de los Servicios al Cliente. Sin perjuicio de lo anterior, el Cliente instruye al Proveedor de servicios para que trate los Datos del cliente, Datos de servicios profesionales y Datos personales: (i) de conformidad con el Contrato, (ii) como parte de cualquier Tratamiento iniciado por el Cliente en su uso de los Servicios, (iii) para cumplir con otras instrucciones razonables del Cliente en la medida en que sean coherentes con los términos del Contrato, y (iv) de conformidad con los derechos y deberes vinculados a los Datos personales. El Tratamiento de cualesquiera Datos del cliente, Datos de servicios profesionales y/o Datos personales fuera del ámbito del Contrato requerirá un contrato previo por escrito entre el Proveedor de servicios y el Cliente a modo de enmienda por escrito del Contrato. Previa notificación por escrito, el Cliente podrá rescindir el Contrato si el Proveedor de servicios se niega a seguir las instrucciones razonables del Cliente que no sean las acordadas para la prestación de los Servicios, en la medida en que dichas instrucciones sean necesarias para el cumplimiento de la Ley de protección de datos. El Proveedor de servicios notificará al Cliente si ya no puede cumplir con los derechos y obligaciones vinculados a los Datos personales y dejará de tratar inmediatamente dichos Datos personales y tomará las medidas necesarias para remediar cualquier tratamiento no autorizado.
2.5 Peticiones de los Interesados. El Proveedor de servicios hará todo lo posible para notificar al Cliente inmediatamente cualquier solicitud de acceso, corrección, enmienda o eliminación de los Datos personales de una persona por parte del Interesado. En la medida en que el Cliente no tenga acceso a dichos Datos personales a través de su uso de los Servicios para responder a dicha solicitud, el Proveedor de servicios proporcionará al Cliente una cooperación y asistencia comercialmente razonables en relación con la respuesta a la solicitud de acceso a los Datos personales de una persona por parte del Interesado en la medida en que lo permita la ley. El Cliente será responsable de cualquier coste derivado de la prestación de dicha asistencia por parte del Proveedor de servicios.
2.6 Duración. La duración del Tratamiento en virtud del Contrato continuará hasta que los Servicios aplicables se rescindan según lo establecido en el Contrato.
2.7 Propósito. El propósito del Tratamiento es la prestación de los Servicios por parte del Proveedor de servicios al Cliente de conformidad con el Contrato y según se especifique en cualquier pedido de servicio celebrado en virtud del Contrato.
2.8 Titularidad. Entre las partes, el Cliente conserva todo derecho, título e interés en y sobre los Datos del cliente. Clipchamp no adquiere ningún derecho sobre los Datos del cliente, aparte de los derechos que el Cliente otorga a Clipchamp en el Contrato o en esta Sección 2.8 del ATD. Sin perjuicio de lo anterior, esta Sección 2.8 no afecta a los derechos de Clipchamp sobre el software o los servicios que Clipchamp otorga bajo licencia al Cliente.
2.9 Tratamiento para operaciones comerciales. Durante el Tratamiento para operaciones comerciales, Clipchamp aplicará principios de minimización de datos y no utilizará ni tratará de otro modo Datos del cliente, Datos de servicios profesionales o Datos personales para: (a) perfiles de usuario, (b) fines publicitarios o comerciales similares no relacionados con los Servicios, o (c) cualquier otro fin que no sea para los fines establecidos en este ATD. En la medida en que Clipchamp utilice o trate de otro modo Datos personales sujetos a la Ley de protección de datos de la UE para operaciones comerciales, en relación con la prestación de los Servicios al Cliente, Clipchamp cumplirá con las obligaciones de un responsable del tratamiento de datos independiente en virtud de la Ley de protección de datos de la UE para su uso en dichas circunstancias limitadas. Para evitar dudas, Clipchamp acepta las responsabilidades añadidas de un “responsable del tratamiento” de datos en virtud de la Ley de protección de datos de la UE para el Tratamiento en relación con sus Operaciones comerciales para: (a) actuar de conformidad con los requisitos normativos, en la medida requerida por la Ley de protección de datos de la UE; y (b) proporcionar una mayor transparencia al Cliente y confirmar la responsabilidad de Clipchamp por dicho Tratamiento. Clipchamp emplea salvaguardas para proteger los Datos del cliente, los Datos de servicios profesionales y los Datos personales en Tratamiento, incluidos los identificados en este ATD y los contemplados en el Artículo 6(4) del RGPD. Con respecto al Tratamiento de Datos personales en virtud de esta Sección, Clipchamp asume los compromisos establecidos en la sección titulada Salvaguardas adicionales. A tales efectos (i) cualquier divulgación de Datos personales por parte de Clipchamp, tal como se describe en el Anexo II del Apéndice 1 (Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos) (individual y colectivamente, “Salvaguardas adicionales”)que se haya transferido en relación con las Operaciones comerciales se considera una “Divulgación relevante” y (ii) los compromisos en la sección titulada Salvaguardas adicionales se aplican a dichos Datos personales.
2.10 Tratamiento de Datos personales; RGPD. Todos los Datos personales tratados por Clipchamp en relación con la prestación de los Servicios se obtienen como parte de (a) Datos del Cliente, (b) Datos de servicios profesionales o (c) datos generados, derivados o recopilados por Clipchamp para o en apoyo de la prestación de los Servicios (incluidos los datos enviados a Clipchamp como resultado del uso por parte de un Cliente de capacidades basadas en los servicios u obtenidos por Clipchamp a partir de software instalado localmente). Los Datos personales proporcionados a Clipchamp por o en nombre del Cliente a través del uso de los Servicios también son Datos del cliente. Los Datos personales proporcionados a Clipchamp por o en nombre del Cliente a través del uso de los Servicios profesionales también son Datos de servicios profesionales. Se pueden incluir identificadores seudonimizados en los datos tratados por Clipchamp en relación con la prestación de los Servicios y también son Datos personales. Cualquier Dato personal seudonimizado o desidentificado, pero no anonimizado, o Datos personales derivados de Datos personales también son Datos personales.
2.11 Divulgación de Datos tratados. Clipchamp no divulgará ni proporcionará acceso a ningún Dato tratado excepto: (1) según lo indique el Cliente; (2) según se describe en este ATD; o (3) según lo exija la legislación aplicable. Todo Tratamiento de datos tratados está sujeto a la obligación de confidencialidad de Clipchamp en virtud del Contrato. Clipchamp no divulgará ni proporcionará acceso a ningún Dato tratado a los cuerpos de seguridad a menos que lo exija la legislación aplicable. Si los cuerpos de seguridad se pusieran en contacto con Clipchamp exigiendo Datos personales, Clipchamp intentará redirigir a los cuerpos de seguridad para que solicite los datos directamente del Cliente. Si se ve obligado a divulgar o proporcionar acceso a cualquier Dato tratado a los cuerpos de seguridad, Clipchamp lo notificará de inmediato al Cliente y proporcionará una copia de la demanda a menos que Clipchamp sepa o crea razonablemente que está legalmente prohibido hacerlo. Tras la recepción de cualquier otra solicitud de un tercero con respecto a Datos tratados, Clipchamp lo notificará de inmediato al Cliente, a menos que la ley lo prohíba. Clipchamp rechazará la solicitud a menos que esté obligado por ley a satisfacerla. Si la solicitud es válida, Clipchamp intentará redirigir al tercero para que solicite los datos directamente al Cliente. Para evitar dudas, Clipchamp no proporcionará a ningún tercero: (a) acceso directo, indirecto, indiscriminado o sin restricciones a los Datos tratados; (b) claves de cifrado de plataforma utilizadas para asegurar los Datos tratados o la capacidad de romper dicho cifrado; o (c) acceso a Datos tratados si Clipchamp sabe que los datos se utilizarán para fines distintos a los indicados en la solicitud del tercero. Para aplicar lo anterior, Clipchamp puede proporcionar al tercero datos de contacto básicos del Cliente.
3. SUBTRATAMIENTO DE DATOS.
3.1 Uso de Subencargados del tratamiento. El Cliente reconoce y acepta que (a) las filiales del Proveedor de servicios y otros terceros proveedores de servicios pueden ser contratados como Subencargados del tratamiento en relación con la prestación de los Servicios. Dichos Subencargados podrán acceder a los Datos personales solo para prestar los servicios que el Proveedor de servicios haya contratado con ellos en relación con los Servicios, y tienen prohibido utilizar los Datos personales para cualquier otro fin. El Proveedor de servicios ha celebrado un contrato por escrito con cada Subencargado del tratamiento que contiene obligaciones de protección de datos coherentes con el ATD en la medida aplicable a la naturaleza de los servicios prestados por el Subencargado del tratamiento.
3.2 Responsabilidad por los Subencargados del tratamiento. El Proveedor de servicios será responsable de los actos de sus Subencargados del tratamiento en la misma medida en que el Proveedor de servicios sería responsable si prestase los servicios del Subencargado directamente en virtud de este ATD, salvo que se establezca lo contrario en el Contrato.
3.3 Objeción a los Subencargados del tratamiento. Previa solicitud, el Proveedor de servicios proporcionará una lista actualizada de Subencargados del tratamiento para los Servicios a los que el Cliente acceda. En caso de que el Cliente se oponga razonablemente a un Subencargado del tratamiento, el Proveedor de Servicios notificará al Cliente cualquier alternativa disponible para cambiar los Servicios o recibir los Servicios de un Subencargado alternativo, junto con cualquier cargo aplicable o cambio en los términos. Si no se encuentra disponible una alternativa aceptable para el Cliente dentro de un plazo razonable, entonces el Cliente podrá rescindir los Servicios que no pueda prestar el Proveedor de servicios sin el Subencargado del tratamiento contra el que se ha presentado la objeción, y recibir un reembolso prorrateado por el periodo restante de Servicios no utilizados.
4. PRIVACIDAD Y SEGURIDAD DE LOS DATOS.
4.1 Medidas de seguridad por parte del Proveedor de servicios. El Proveedor de servicios mantiene un programa de seguridad por escrito para proteger contra las Violaciones de la seguridad de los Datos personales y para preservar la seguridad y confidencialidad de los Datos personales tratados por el Proveedor de servicios en la prestación de los Servicios, de conformidad con la Ley de protección de datos. El programa de seguridad del Proveedor de Servicios incluye salvaguardas técnicas y físicas adecuadas para el tamaño y los recursos del Proveedor de servicios y los tipos de información que este trata. El Proveedor de servicios puede actualizar sus medidas de seguridad de vez en cuando de acuerdo con el desarrollo de las mejores prácticas del sector, siempre que dichas actualizaciones y modificaciones no den lugar a la degradación de la seguridad de los Servicios. Para cualquier Servicio para el que el Proveedor de servicios obtenga certificaciones o auditorías de terceros, previa solicitud, el Proveedor de servicios proporcionará una copia de la certificación o auditoría de terceros más reciente del Proveedor de servicios, según corresponda, que el Proveedor de servicios generalmente ponga a disposición de sus clientes en el momento de la solicitud.
4.2 Personal del Proveedor de servicios. El Proveedor de servicios se asegurará de que el acceso del personal del Proveedor de servicios a los Datos personales se limite al personal del Proveedor de servicios que requiera dicho acceso para ejecutar el Contrato. El personal del Proveedor de servicios que acceda a los Datos personales será informado de la naturaleza confidencial de los Datos personales, estará sujeto a obligaciones de confidencialidad por escrito y habrá recibido la formación adecuada para sus responsabilidades y la naturaleza de los Datos personales.
4.3 Medidas de seguridad por parte del Cliente. Un Servicio puede poner a disposición características y funcionalidades de seguridad que el Cliente puede optar por utilizar (por ejemplo, cifrado de datos en tránsito). En la medida en que el Servicio proporcione al Cliente controles y funcionalidades para permitir al Cliente gestione el Servicio, el Cliente es responsable de configurar el Servicio de forma adecuada y de utilizar los controles disponibles que el Cliente considere adecuados para mantener la seguridad, protección, eliminación y copia de seguridad adecuadas de los Datos personales. El Cliente también es responsable de implementar las medidas técnicas y organizativas adecuadas relacionadas con su uso de los Servicios de forma que le permita cumplir con la Ley de protección de datos.
5. RESPUESTA A UNA VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS PERSONALES.
El Proveedor de servicios hará todo lo posible para notificar de inmediato al Cliente cualquier divulgación no autorizada o pérdida de Datos personales según lo requiera la Ley de protección de datos y de acuerdo con las disposiciones pertinentes del Contrato. El Proveedor de servicios tomará las medidas adecuadas para identificar y remediar la causa de dicha divulgación o pérdida no autorizada y proporcionará información relacionada con la Violación de la seguridad de los datos personales según lo solicite razonablemente el Cliente. Las notificaciones se entregarán a los administradores del Cliente para el Servicio por medios de notificación normales, si bien al ser el tiempo esencial en esta situación, se enviarán correos electrónicos al correo electrónico registrado con Clipchamp para el Cliente. Es responsabilidad del Cliente asegurarse de que el Cliente mantiene actualizada la información de contacto en la consola del Servicio correspondiente. El Cliente reconoce que el Proveedor de servicios no notificará al Cliente los intentos fallidos de violación de la seguridad que no den lugar a un acceso no autorizado o a la pérdida de Datos personales.
6. TRANSFERENCIAS Y EXPORTACIONES DE DATOS.
6.1 Transferencias de datos. El Cliente reconoce y consiente la transferencia de Datos personales por parte del Proveedor de servicios (lo que incluye, si el Cliente se encuentra en Europa, fuera del EEE y de Suiza de acuerdo con la Sección 6.2 a continuación, y si el Cliente se encuentra en Australia, fuera de Australia), con sujeción al cumplimiento por parte del Proveedor de servicios de la Ley de protección de datos aplicable y los requisitos de este ATD.
6.2 Transferencias de datos desde el EEE y Suiza. A menos que el Proveedor de servicios haya proporcionado un mecanismo de transferencia alternativo adecuado (según esté reconocido en la Ley de protección de datos) para el país correspondiente o que el Proveedor de servicios actúe como Subencargado del tratamiento, las Cláusulas contractuales tipo se aplicarán a los Datos personales transferidos por el Proveedor de servicios desde el Espacio Económico Europeo (“EEE”)y/o Suiza a un país que la Comisión Europea o la Autoridad Federal de Protección de Datos suiza no consideren que proporciona un nivel adecuado de protección de los Datos personales. Dichas transferencias de Datos personales fuera del EEE o de Suiza se regirán por el Módulo 2 de las Cláusulas contractuales tipo, según esté disponible en http://data.europa.eu/eli/dec_impl/2021/914/oj (las “CCT nuevas”) y las transferencias de Datos personales fuera del Reino Unido se regirán por las Cláusulas contractuales tipo disponibles en https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087 (las “CCT heredadas”). Las CCT nuevas y las CCT heredadas se incorporan y forman parte de este ATD. Según se utiliza en las CCT nuevas y las CCT heredadas, el término “importador de datos” significa el Proveedor de servicios, y el término “exportador de datos” significa el Cliente y sus Filiales. Sin perjuicio de lo anterior, a efectos de las Cláusulas contractuales tipo:
la Cláusula 7 opcional de las CCT nuevas no será aplicable,
la opción 1 de la Cláusula 9(a) de las CCT nuevas será aplicable y el periodo de tiempo se especificará como 30 días;
la opción 1 de la Cláusula 17 de las CCT nuevas será aplicable y hará referencia a la República de Irlanda;
el texto opcional de la Cláusula 11(a) de las CCT nuevas no será aplicable;
Los Anexos I, II y III de las CCT nuevas y el Apéndice I de las CCT heredadas se sustituirán en su totalidad por el Apéndice 1 adjunto al presente documento.
6.3 Mecanismo alternativo de exportación de datos. Si el Proveedor de servicios adopta otro mecanismo alternativo de exportación de datos (según lo reconocido por la Ley de protección de datos), las Cláusulas contractuales tipo dejarán de aplicarse con efecto a partir de la fecha en que el Proveedor de servicios implemente dicho nuevo mecanismo de exportación de datos.
7. ELIMINACIÓN DE DATOS.
Durante y después del Contrato, el Proveedor de servicios eliminará o devolverá al Cliente todos los Datos personales en posesión o control del Proveedor de servicios según lo dispuesto en el Contrato, excepto en la medida en que la legislación aplicable exija al Proveedor de servicios que conserve Datos personales específicos (en cuyo caso el Proveedor de servicios archivará los datos e implementará medidas razonables para evitar que los Datos personales se traten posteriormente). Los términos de este ATD seguirán aplicándose a dichos Datos personales.
8. COOPERACIÓN.
8.1 EIPD, registros de actividades de tratamiento y consultas previas. En la medida en que lo exija la Ley de protección de datos de la UE, el Proveedor de servicios, previa notificación razonable y a expensas del Cliente, proporcionará la información razonablemente solicitada sobre los Servicios para permitir al Cliente llevar a cabo evaluaciones de impacto de la protección de datos (“EIPD”), registros de actividades de tratamiento y/o consultas previas con las autoridades de protección de datos. Para evitar dudas, Clipchamp proporcionará (cuando se solicite) registros e información al Cliente y mantendrá dichos registros e información precisos y actualizados en la medida requerida por la Ley de protección de datos de la UE.
8.2 Solicitudes legales de divulgación. Si el Proveedor de servicios recibe una solicitud legalmente vinculante para la divulgación de Datos personales que estén sujetos a este ATD, dicha solicitud se enviará inmediatamente al Cliente para que este tenga la oportunidad de participar en cualquier proceso legal que considere apropiado con respecto a la protección o divulgación de Datos personales. Sin perjuicio de ello, Clipchamp puede poner dicha información a disposición de la autoridad de control si así lo exige la Ley de protección de datos.
8.3 Auditorías. Con respecto a las auditorías descritas en las Cláusulas 5(f), 11 y 12(2) de las Cláusulas modelo de la UE, el Cliente acepta que las auditorías se llevarán a cabo de acuerdo con las siguientes especificaciones: A petición del exportador de datos, y con sujeción a las obligaciones de confidencialidad establecidas en el Contrato, el Proveedor de servicios deberá: en un plazo razonable tras dicha solicitud, poner a disposición del exportador de datos (o del auditor independiente, externo del exportador de datos que no sea un competidor del Proveedor de servicios) información relativa al cumplimiento por parte del Proveedor de servicios de las obligaciones establecidas en el ATD, que puede consistir en informes y certificaciones de auditoría de terceros, en la medida en que el Proveedor de servicios tenga dichos informes o certificaciones al día y los ponga a disposición de los clientes de forma general. El Cliente reembolsará al Proveedor de servicios cualquier tiempo invertido y los gastos incurridos por cualquier auditoría in situ a las tarifas de servicios profesionales estándar del Proveedor de servicios. Antes del inicio de cualquier auditoría, el Proveedor de servicios y el exportador de datos acordarán el alcance, el momento y la duración.
9. LIMITACIÓN DE RESPONSABILIDAD.
9.1 Exclusión de daños. EN NINGÚN CASO NINGUNA DE LAS PARTES SERÁ RESPONSABLE ANTE LA OTRA PARTE POR DAÑOS INDIRECTOS, INCIDENTALES, EJEMPLARES, ESPECIALES O CONSECUENTES, QUE SURJAN DE O EN RELACIÓN CON ESTE ATD O EL CONTRATO, INCLUSO SI LA POSIBILIDAD DE DICHA PÉRDIDA O DAÑO SE NOTIFICA CON ANTELACIÓN.
9.2 Responsabilidad total. LAS RESPONSABILIDADES ASOCIADAS CON ESTE ATD ESTARÁN SUJETAS A LA LIMITACIÓN DE RESPONSABILIDAD ESTABLECIDA EN EL CONTRATO. SI NO SE ESTABLECE NINGUNA LIMITACIÓN DE RESPONSABILIDAD EN EL CONTRATO, LA RESPONSABILIDAD TOTAL DE CUALQUIERA DE LAS PARTES HACIA LA OTRA PARTE POR TODOS LOS FUNDAMENTOS PARA UNA DEMANDA Y BAJO TODAS LAS TEORÍAS DE RESPONSABILIDAD NO EXCEDERÁ EN NINGÚN CASO DE UNA (1) VEZ EL IMPORTE REAL PAGADO POR EL CLIENTE AL PROVEEDOR DE SERVICIOS EN EL PERIODO ANTERIOR DE DOCE (12) MESES EN VIRTUD DEL CONTRATO.
10. DISPOSICIONES GENERALES.
10.1 Modificación y complementos. Las partes acuerdan determinar y ejecutar mutuamente modificaciones adecuadas a los términos de este ATD que no alteren sustancialmente la economía o la asignación del riesgo establecido por el Contrato (i) si así lo requiere una autoridad de control u otra entidad gubernamental o reguladora, (ii) si es necesario para cumplir con la Ley de protección de datos, o (iii) implementar o cumplir las cláusulas contractuales tipo revisadas que puedan emitirse en virtud de la Ley de protección de datos. Para evitar dudas, las cláusulas contractuales tipo establecidas en el Acuerdo Internacional de Transferencia de Datos del Reino Unido [UK International Data Transfer Agreement] (“ITDA”) en https://ico.org.uk/media/for-organisations/documents/4019483/international-data-transfer-addendum.pdf se aplicarán a las transferencias de datos personales desde el Reino Unido a los Estados Unidos y otras jurisdicciones no adecuadas en virtud de este ATD. Pueden añadirse términos complementarios en forma de Anexo o Apéndice a este ATD cuando dichos términos solo se apliquen al tratamiento de Datos personales en virtud de la Ley de protección de datos de países o jurisdicciones específicos. Cualquiera de las partes podrá notificar dichos cambios a la otra, y el ATD modificado entrará en vigor, de acuerdo con los términos del Contrato.
10.2 Legislación aplicable y lugar para la resolución de litigios. Salvo que se requiera lo contrario para cumplir con la Ley de protección de datos (incluida, entre otras, la Ley de protección de datos de la UE), este ATD se interpretará y aplicará de conformidad con el Contrato sin tener en cuenta los principios de conflicto de leyes (“ley aplicable”). Cada una de las partes acepta que cualquier acción, demanda u otro procedimiento basado en o derivado de este ATD (cada uno, un “Litigio”)se presentará y mantendrá de acuerdo con el Contrato, y cada parte consiente a la jurisdicción y al foro obligatorios de dichos árbitros y tribunales y renuncia a cualquier derecho de oposición a la jurisdicción y al foro. La parte ganadora de cualquier Litigio tendrá derecho a la recuperación de los honorarios y costes razonables de sus abogados, excepto en el arbitraje, donde la recuperación de los honorarios y costes de los abogados se regirá por el Contrato y las normas de arbitraje. La Ley Uniforme de Transacciones de Información Informática y la Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías no se aplicarán a este ATD.
10.3 Varios. A los efectos de este ATD, cualquier término definido que se refiera al singular incluye el plural y viceversa. Excepto en la medida en que se haya ejecutado o se formalice un ATD diferente entre las partes con respecto al objeto del presente documento, este ATD constituye el contrato completo entre las partes y sustituye a todas las propuestas, orales o escritas, todas las negociaciones, conversaciones o discusiones entre las partes relacionadas con el objeto de este ATD y todas las transacciones anteriores o normas o costumbres del sector.
10.4 Ley de Privacidad del Consumidor de California (CCPA). Si Clipchamp está tratando Datos personales dentro del ámbito de la CCPA, Clipchamp asume los siguientes compromisos adicionales con el Cliente. Clipchamp tratará los Datos del cliente, Datos de servicios profesionales y Datos personales en nombre del Cliente y, no conservará, utilizará ni divulgará esos datos para ningún fin que no sea para los fines establecidos en la ATD y según lo permitido en virtud de la CCPA, incluso bajo cualquier exención de “venta”. En ningún caso Clipchamp venderá ninguno de dichos datos. Estos términos de la CCPA no limitan ni reducen ningún compromiso de protección de datos que Clipchamp asuma con el Cliente en el ATD y/o Contrato entre Clipchamp y el Cliente. En la medida en que lo exija la legislación aplicable, el Anexo de la CCPA adjunto como Apéndice 2 a este ATD se aplicará a los Servicios.
10.5 Datos biométricos. Si el Cliente utiliza los Servicios para tratar Datos biométricos, en la medida en que lo permita la legislación aplicable, el Cliente es responsable de: (i) notificar a los interesados, incluido con respecto a los periodos de conservación y destrucción; (ii) obtener el consentimiento de los interesados; y (iii) eliminar los Datos biométricos, todo según corresponda y requerido en virtud de los Requisitos de protección de datos aplicables. Clipchamp tratará los Datos biométricos siguiendo las instrucciones documentadas del Cliente (como se describe en la sección anterior “Alcance, funciones, tratamiento y solicitudes de los interesados”) y protegerá dichos Datos biométricos de acuerdo con los términos de seguridad y protección de datos en virtud de este ATD. A los efectos de esta sección, “Datos biométricos” tendrá el significado establecido en el artículo 4 del RGPD y, si procede, términos equivalentes en otra Ley de protección de datos.
APÉNDICE 1
ANEXO I
A. LISTA DE PARTES
Exportador(es) de datos:
Nombre: El Cliente o las entidades afiliadas del Cliente o sus respectivos clientes y filiales de clientes que sean usuarios de los productos o servicios del Proveedor de servicios (“Soluciones del Proveedor de servicios”) y estén ubicados en el Espacio Económico Europeo o Suiza. Dirección: Dirección especificada en el Contrato. Nombre, puesto y datos de contacto de la persona de contacto: Como se describa en el Contrato; si no se describe en el Contrato, entonces el signatario del Contrato. Teléfono: Según se describa en la sección de notificaciones del Contrato; si no se describe en el Contrato, entonces “No aplicable”. Correo electrónico: Según se describa en la sección de notificaciones del Contrato; si no se describe en el Contrato, entonces “No aplicable”. Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: Uso de los Servicios de Clipchamp según se describe en el Contrato. Firma y fecha: Mismo firmante y fecha que el Contrato. Función (responsable/encargado del tratamiento): Responsable del tratamiento
Importador(es) de datos:
Nombre: Clipchamp Pty Ltd (ACN 162516556) Dirección: Level 1, 315 Brunswick Street, Fortitude Valley QLD 4006, Australia Nombre, puesto y datos de contacto de la persona de contacto: Clipchamp Pty Ltd, a cargo de Microsoft Corporation, a la atención de: Chief Privacy Officer, 1 Microsoft Way, Redmond, WA 98052 EE. UU. Teléfono: n/a correo electrónico: privacy@clipchamp.com Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: Prestación de los Servicios de Clipchamp según se describe en el Contrato. Firma y fecha: Mismo firmante y fecha que el Contrato. Función (responsable/encargado del tratamiento): Encargado del tratamiento B. DESCRIPCIÓN DE TRANSFERENCIA
El Cliente, como exportador de datos, puede enviar datos personales a Clipchamp (importador de datos), siendo el alcance del envío determinado y controlado por el exportador de datos a su entera discreción, y podrá incluir, entre otras, las siguientes categorías de interesados cuyos datos personales se transfieren:
Clientes potenciales, clientes, socios comerciales, proveedores y empleados del exportador de datos (que sean personas físicas)
Empleados o personas de contacto del exportador de datos y/o clientes potenciales, clientes, socios comerciales y proveedores del exportador de datos
Usuarios de los exportadores [sic: del exportador] de datos autorizados por el exportador de datos para utilizar los Servicios
Personas cuyas imágenes pueden aparecer en vídeos cargados por usuarios de los exportadores [sic: del exportador] de datos
El Cliente, como exportador de datos, puede enviar datos personales a Clipchamp (importador de datos), siendo el alcance del envío determinado y controlado por el exportador de datos a su entera discreción, y podrá incluir, entre otras, las siguientes categorías de datos personales transferidos:
Información de contacto, información de empleo y educación, dirección IP, datos de conexión, datos de localización y datos personales incluidos en el contenido creado por o sobre el usuario (incluidos, entre otros, vídeos e imágenes que aparecen en vídeos cargados por los usuarios de los exportadores [sic: del exportador] de datos).
Datos sensibles transferidos (si procede) y restricciones o salvaguardas aplicadas que tengan en cuenta plenamente la naturaleza de los datos y los riesgos implicados, como por ejemplo, una limitación estricta del propósito, restricciones de acceso (incluido el acceso solo para el personal que haya seguido formación especializada), mantener un registro del acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales:
A partir de la Fecha de entrada en vigor del Contrato, las partes no prevén que se transfieran categorías especiales de datos personales. Sin perjuicio de ello, el Cliente, como exportador de datos, puede enviar categorías especiales de datos a Clipchamp (importador de datos), siendo el alcance del envío determinado y controlado por el exportador de datos a su entera discreción, a través de cargas de vídeo, campos de texto u otro contenido, y que es [sic] en aras de la claridad puede revelar el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical y/o salud o vida sexual.
La frecuencia de la transferencia (p. ej., si los datos se transfieren de forma única o continua):
Continua.
Naturaleza del tratamiento:
Prestar los Servicios según se describe en el Contrato.
Finalidad(es) de la transferencia de datos y su posterior tratamiento:
Prestar los Servicios según se describe en el Contrato.
El periodo durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese periodo:
Durante la vigencia del Contrato.
Para las transferencias a (sub)encargados del tratamiento, especifique también el asunto, la naturaleza y la duración del tratamiento:
De acuerdo con este ATD, el importador de datos puede contratar a otras compañías para que brinden servicios limitados en nombre del importador de datos, como proporcionar soporte al cliente. A dichos subcontratistas solo se les permitirá obtener datos personales para prestar los servicios que el importador de datos haya contratado con ellos, y se les prohíbe utilizar los datos del cliente para cualquier otro propósito.
C. AUTORIDAD DE CONTROL COMPETENTE
La autoridad de control competente será:
La autoridad de control de la República de Irlanda
ANEXO II -
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Clipchamp mantiene políticas de seguridad documentadas para los Servicios aplicables, que están disponibles para el Cliente en un Apéndice en virtud de los términos de confidencialidad del Contrato.
Subencargados del tratamiento
La lista de Subencargados del tratamiento aprobados de Clipchamp está disponible con sujeción a los términos de confidencialidad del Contrato enviando una solicitud a su representante de ventas de Clipchamp. Para evitar dudas, Clipchamp puede actualizar dicha lista de Subencargados del tratamiento según se establece en el Contrato y/o en este ATD.
APÉNDICE 2
Anexo de la Ley de Privacidad del Consumidor de California
Este Anexo de la CCPA (“Anexo”) con fecha igual a la Fecha de entrada en vigor del Contrato (según se define a continuación) se incorpora y forma parte del pedido de compra, contrato y/o contrato/apéndice de protección de datos celebrado entre Clipchamp y/o sus Filiales identificadas a continuación (“Proveedor de servicios”) y el Cliente y/o sus Filiales para el Contrato. El Proveedor de servicios y el Cliente son individualmente una “parte” y, colectivamente, las “partes”. A los efectos de este Anexo, “Afiliadas” significa cualquier entidad que directa o indirectamente sea propiedad de o esté controlada por una parte, donde “control” se define como la posesión, directa o indirecta, del poder para controlar u orientar la administración y políticas de una entidad, ya sea a través de la propiedad de acciones con derecho a voto, por contrato o de otra manera. A menos que se establezca lo contrario en el presente documento, cualquier término no definido en este Anexo tendrá el significado establecido en el Contrato.
Este Anexo establece los términos y condiciones relacionados con el cumplimiento de la Ley de Privacidad del Consumidor de California de 2018, Código Civil de California Artículo 1798.100 et seq. y las normativas relacionadas (“CCPA”),con sus oportunas modificaciones. En caso de conflicto entre este Anexo y el Contrato, prevalecerá este Anexo, cuando proceda. Los términos en mayúscula identificados en este Anexo tendrán el mismo significado que se define en la CCPA, a menos que se indique lo contrario.
Las partes acuerdan lo siguiente:
En la medida aplicable, el Proveedor de servicios cumplirá en todo momento con la CCPA, incluidas sus enmiendas. Además, en la medida en que cualquier Información personal (según se defina en la CCPA) (“Información personal”) sea recopilada por el Proveedor de servicios como resultado de este Contrato, el Proveedor de servicios no conservará, utilizará ni divulgará la Información personal para ningún fin que no sea la prestación de los Servicios especificados en el Contrato. Específicamente, el Proveedor de servicios no conservará, utilizará ni divulgará la Información personal con fines distintos a los permitidos en virtud del Contrato.
Conservar, usar, o revelar la Información personal fuera de la relación comercial directa entre el Proveedor de servicios y el Cliente; teniendo en cuenta, sin embargo, que el Proveedor de servicios puede divulgar Información personal y permitir el tratamiento de Información personal por parte de proveedores de servicios que presten servicios para o en nombre del Proveedor de servicios, siempre que dichos proveedores de servicios estén sujetos a requisitos contractuales equivalentes con respecto a la Información personal que los que se aplican al Proveedor de servicios en virtud del Contrato y de este Anexo. El Proveedor de servicios seguirá siendo responsable de las acciones de sus proveedores de servicios.
Sin perjuicio de cualquier disposición en sentido contrario en el presente Contrato, las partes acuerdan que cualquier provisión de Información personal por parte del Cliente al Proveedor de servicios es necesaria para llevar a cabo un propósito comercial y no forma parte del intercambio de contraprestaciones ni de cualquier otra cosa de valor entre las partes y queda explícitamente excluida de ello.
Si se requiere alguna modificación de este Anexo debido a un cambio en las leyes o normativas de protección de datos, cualquiera de las partes podrá notificar por escrito a la otra parte dicho cambio en la ley. Las partes discutirán y negociarán de buena fe cualquier enmienda necesaria a este Anexo para abordar dicho cambio tan pronto como sea razonablemente posible.