Versión actual: 1.1
Linode Modelo de contrato de la UE
Última actualización: 11 de junio de 2019
La versión actual del Contrato Modelo de la UE puede encontrarse aquí.
Linode Acuerdo de procesamiento de datos
Este documento es el Contrato Modelo de la UE al que se hace referencia y que se incorpora en el Contrato Marco de Servicios Linode , tal y como ha sido enmendado o modificado de vez en cuando por Linode. El contrato modelo de la UE sólo se aplicará a los clientes de Linode (i) ubicados en la Unión Europea (la "UE") o en el Espacio Económico Europeo (el "EEE"); (ii) que estén autorizados a acceder, transferir o transmitir datos en la UE o el EEE; y (iii) que hayan aceptado afirmativamente el Acuerdo de Cliente y la Política de Privacidad de Linode , y sólo será válido y eficaz con respecto a los mismos.
Cláusulas contractuales tipo para los transformadores
A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE, modificada por el Reglamento 2016/679, para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de datos:
Usted, el titular de la cuenta, representante autorizado del cliente de Linode (el "exportador de datos")
Y
Nosotros, Linode, LLC, con dirección a efectos de este Contrato Modelo de la UE en 249 Arch Street, Philadelphia, Pennsylvania 08090, Estados Unidos de América (el "importador de datos")
Cada una de ellas es una"parte" y juntas las"partes".
HAN CONVENIDO en las siguientes Cláusulas Contractuales (las "Cláusulas") con el fin de establecer las garantías adecuadas con respecto a la protección de la intimidad y de los derechos y libertades fundamentales de las personas para la transferencia por parte del exportador de datos al importador de los datos personales especificados en el Apéndice 1.
Cláusula 1
Definiciones
A efectos de las cláusulas:
- Los términos "datos personales", "categorías especiales de datos", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
- el exportador de datos" es el responsable del tratamiento que transfiere los datos personales;
- "el importador de datos": el encargado del tratamiento que acepta recibir del exportador de datos los datos personales destinados al tratamiento en su nombre después de la transferencia, de conformidad con sus instrucciones y los términos de las cláusulas, y que no está sujeto a un sistema de un tercer país que garantice una protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE, modificada por el Reglamento 2016/679;
- subencargado del tratamiento": todo encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado del importador de datos que acepte recibir del importador de datos o de cualquier otro subencargado del importador de datos los datos personales destinados exclusivamente a las actividades de tratamiento que se llevarán a cabo por cuenta del exportador de datos después de la transferencia, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del subcontrato escrito;
- "la legislación aplicable en materia de protección de datos": la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la intimidad con respecto al tratamiento de datos personales aplicable a un responsable del tratamiento en el Estado miembro en el que está establecido el exportador de datos;
- medidas de seguridad de carácter técnico y organizativo": las destinadas a proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento implica la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento.
Cláusula 2
Detalles de la transferencia
Los detalles de la transferencia y, en particular, las categorías especiales de datos personales, cuando proceda, se especifican en el Apéndice 1, que forma parte integrante de las Cláusulas.
Cláusula 3
Cláusula de terceros beneficiarios
- El interesado puede hacer valer frente al exportador de datos la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12 como tercero beneficiario.
- El interesado podrá hacer valer frente al importador de datos la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que el exportador de datos haya desaparecido de hecho o haya dejado de existir jurídicamente, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos por contrato o por ministerio de la ley, como consecuencia de lo cual asuma los derechos y obligaciones del exportador de datos, en cuyo caso el interesado podrá hacerlos valer frente a dicha entidad.
- El interesado podrá hacer valer frente al subencargado del tratamiento la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en los casos en que tanto el exportador de datos como el importador de datos hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por efecto de la ley, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el interesado puede hacerlos valer frente a dicha entidad. Dicha responsabilidad del subencargado del tratamiento frente a terceros se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.
- Las partes no se oponen a que el interesado esté representado por una asociación u otro organismo si el interesado lo desea expresamente y si lo permite la legislación nacional.
Cláusula 4
Obligaciones del exportador de datos
El exportador de datos acepta y garantiza:
- que el tratamiento, incluida la propia transferencia, de los datos personales se ha realizado y se seguirá realizando de conformidad con las disposiciones pertinentes de la legislación aplicable en materia de protección de datos (y, en su caso, se ha notificado a las autoridades competentes del Estado miembro en el que está establecido el exportador de datos) y no infringe las disposiciones pertinentes de dicho Estado;
- que ha dado instrucciones y que durante toda la duración de los servicios de tratamiento de datos personales dará instrucciones al importador de datos para que trate los datos personales transferidos únicamente en nombre del exportador de datos y de conformidad con la ley de protección de datos aplicable y las Cláusulas;
- que el importador de datos ofrezca garantías suficientes respecto a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;
- que, una vez evaluados los requisitos de la legislación aplicable en materia de protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento implica la transmisión de datos a través de una red, y contra cualquier otra forma ilícita de tratamiento, y que dichas medidas garantizan un nivel de seguridad adecuado a los riesgos que presenta el tratamiento y a la naturaleza de los datos que deben protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
- que garantizará el cumplimiento de las medidas de seguridad;
- que, si la transferencia implica categorías especiales de datos, el interesado ha sido informado o será informado antes, o tan pronto como sea posible después, de que sus datos podrían ser transmitidos a un tercer país que no ofrece una protección adecuada en el sentido de la Directiva 95/46/CE;
- remitir toda notificación recibida del importador de datos o de cualquier subencargado del tratamiento de conformidad con la cláusula 5(b) y la cláusula 8(3) a la autoridad de control de la protección de datos si el exportador de datos decide continuar la transferencia o levantar la suspensión;
- poner a disposición de los interesados que lo soliciten una copia de las Cláusulas, con excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, así como una copia de cualquier contrato de servicios de subprocesamiento que deba realizarse de conformidad con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
- que, en caso de subtratamiento, la actividad de tratamiento se lleve a cabo de conformidad con la cláusula 11 por un subencargado que ofrezca al menos el mismo nivel de protección de los datos personales y de los derechos del interesado que el importador de datos en virtud de las cláusulas; y
- que garantizará el cumplimiento de la cláusula 4(a) a (i).
Cláusula 5
Obligaciones del importador de datos
El importador de datos acepta y garantiza:
- procesar los datos personales sólo en nombre del exportador de datos y de acuerdo con sus instrucciones y las cláusulas; si no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar rápidamente al exportador de datos de su incapacidad para cumplir, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o a rescindir el contrato;
- que no tiene motivos para creer que la legislación que le es aplicable le impide cumplir las instrucciones recibidas del exportador de datos y sus obligaciones en virtud del contrato y que, en caso de que se produzca un cambio en dicha legislación que pueda tener un efecto adverso sustancial en las garantías y obligaciones previstas en las Cláusulas, notificará sin demora el cambio al exportador de datos en cuanto tenga conocimiento de ello, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o a rescindir el contrato;
- que ha aplicado las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 antes de tratar los datos personales transferidos;
- que notificará rápidamente al exportador de datos:
- cualquier solicitud legalmente vinculante de divulgación de los datos personales por parte de una autoridad policial, a menos que se prohíba lo contrario, como una prohibición en virtud del derecho penal para preservar la confidencialidad de una investigación policial,
- cualquier acceso accidental o no autorizado, y
- cualquier solicitud recibida directamente de los interesados, sin responder a dicha solicitud, a menos que se le haya autorizado a hacerlo;
- atender rápida y adecuadamente todas las consultas del exportador de datos relativas a su tratamiento de los datos personales objeto de la transferencia y acatar el consejo de la autoridad de control en relación con el tratamiento de los datos transferidos;
- a petición del exportador de datos, someter sus instalaciones de tratamiento de datos a una auditoría de las actividades de tratamiento cubiertas por las Cláusulas, que será realizada por el exportador de datos o por un organismo de inspección compuesto por miembros independientes y en posesión de las cualificaciones profesionales requeridas, sujeto a un deber de confidencialidad, seleccionado por el exportador de datos, en su caso, de acuerdo con la autoridad de control;
- poner a disposición del interesado que lo solicite una copia de las Cláusulas, o de cualquier contrato existente para el subtratamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, con la excepción del Apéndice 2, que se sustituirá por una descripción resumida de las medidas de seguridad en aquellos casos en que el interesado no pueda obtener una copia del exportador de datos;
- que, en caso de subprocesamiento, ha informado previamente al exportador de datos y ha obtenido su consentimiento previo por escrito;
- que los servicios de tratamiento por parte del subprocesador se llevarán a cabo de conformidad con la cláusula 11;
- enviar sin demora al exportador de datos una copia de cualquier acuerdo de subprocesamiento que celebre en virtud de las Cláusulas.
Cláusula 6
Responsabilidad
- Las partes acuerdan que cualquier sujeto de datos que haya sufrido daños como resultado de cualquier incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por parte de cualquier parte o subprocesador tiene derecho a recibir una compensación del exportador de datos por los daños sufridos.
- Si un interesado no puede presentar una reclamación de indemnización de conformidad con el apartado 1 contra el exportador de datos, derivada del incumplimiento por parte del importador de datos o de su subencargado de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, porque el exportador de datos ha desaparecido de hecho o ha dejado de existir jurídicamente o se ha declarado insolvente el importador de datos acepta que el interesado pueda presentar una reclamación contra el importador de datos como si fuera el exportador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos frente a dicha entidad. El importador de datos no podrá invocar el incumplimiento de sus obligaciones por parte de un subencargado del tratamiento para eludir sus propias responsabilidades.
- Si el interesado no puede presentar una reclamación contra el exportador de datos o el importador de datos a que se refieren los apartados 1 y 2, derivada del incumplimiento por el subencargado del tratamiento de cualquiera de sus obligaciones mencionadas en la cláusula 3 o en la cláusula 11, porque tanto el exportador de datos como el importador de datos han desaparecido de hecho o han dejado de existir jurídicamente o se han declarado insolventes el subencargado del tratamiento acepta que el interesado pueda presentar una reclamación contra el subencargado del tratamiento de datos en relación con sus propias operaciones de tratamiento en virtud de las cláusulas como si fuera el exportador o el importador de datos, a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador o del importador de datos por contrato o por ministerio de la ley, en cuyo caso el interesado podrá hacer valer sus derechos contra dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.
Cláusula 7
Mediación y jurisdicción
- El importador de datos acepta que si el interesado invoca contra él derechos de terceros beneficiarios y/o reclama una indemnización por daños y perjuicios en virtud de las cláusulas, el importador de datos aceptará la decisión del interesado:
- remitir el litigio a la mediación de una persona independiente o, en su caso, de la autoridad de control;
- remitir el litigio a los tribunales del Estado miembro en el que esté establecido el exportador de datos.
- Las partes acuerdan que la elección realizada por el interesado no perjudicará sus derechos sustantivos o procesales para interponer recursos de conformidad con otras disposiciones de la legislación nacional o internacional.
Cláusula 8
Cooperación con las autoridades de supervisión
- El exportador de datos se compromete a depositar una copia de este contrato ante la autoridad de control si ésta lo solicita o si dicho depósito es exigido por la ley de protección de datos aplicable.
- Las partes acuerdan que la autoridad de control tiene derecho a realizar una auditoría del importador de datos, y de cualquier subprocesador, que tiene el mismo alcance y está sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la ley de protección de datos aplicable.
- El importador de datos informará sin demora al exportador de datos de la existencia de legislación aplicable a él o a cualquier subencargado del tratamiento que impida la realización de una auditoría del importador de datos, o de cualquier subencargado del tratamiento, con arreglo al apartado 2. En tal caso, el exportador de datos tendrá derecho a adoptar las medidas previstas en la letra b) de la cláusula 5.
Cláusula 9
Derecho aplicable
Las cláusulas se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
Cláusula 10
Variación del contrato
Las partes se comprometen a no variar o modificar las Cláusulas. Esto no impide que las partes añadan cláusulas sobre cuestiones relacionadas con el negocio cuando sea necesario, siempre que no contradigan la Cláusula.
Cláusula 11
Subproceso
- El importador de datos no subcontratará ninguna de sus operaciones de tratamiento realizadas en nombre del exportador de datos en virtud de las cláusulas sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, sólo lo hará mediante un acuerdo escrito con el subencargado del tratamiento que imponga al subencargado las mismas obligaciones que se imponen al importador de datos en virtud de las Cláusulas. Si el subencargado del tratamiento no cumple sus obligaciones en materia de protección de datos en virtud de dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado en virtud de dicho acuerdo.
- El contrato previo por escrito entre el importador de datos y el subencargado del tratamiento también establecerá una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la reclamación de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos porque hayan desaparecido de hecho o hayan dejado de existir jurídicamente o se hayan declarado insolventes y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos por contrato o por ministerio de la ley. Dicha responsabilidad frente a terceros del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento en virtud de las cláusulas.
- Las disposiciones relativas a los aspectos de protección de datos para el subtratamiento del contrato a que se refiere el apartado 1 se regirán por la legislación del Estado miembro en el que esté establecido el exportador de datos.
- El exportador de datos mantendrá una lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de la protección de datos del exportador de datos.
Cláusula 12
Obligación tras la finalización de los servicios de tratamiento de datos personales
- Las partes acuerdan que, al finalizar la prestación de servicios de tratamiento de datos, el importador de datos y el subencargado del tratamiento devolverán, a elección del exportador de datos, todos los datos personales transferidos y las copias de los mismos al exportador de datos o destruirán todos los datos personales y certificarán al exportador de datos que así lo han hecho, a menos que la legislación impuesta al importador de datos le impida devolver o destruir la totalidad o parte de los datos personales transferidos. En ese caso, el importador de datos garantiza que garantizará la confidencialidad de los datos personales transferidos y que no volverá a tratar activamente los datos personales transferidos.
- El importador de datos y el subprocesador garantizan que, a petición del exportador de datos y/o de la autoridad de control, someterán sus instalaciones de tratamiento de datos a una auditoría de las medidas mencionadas en el apartado 1.
Estas Cláusulas han sido revisadas y aceptadas por el Titular de la Cuenta en nombre del exportador de datos, sin reservas, en la fecha indicada por la aceptación del Titular de la Cuenta en el portal del cliente y aceptadas por el Responsable de Privacidad de Datos de Linode, en nombre del importador de datos en fecha par.
Apéndice 1 del Contrato Modelo de la UE
Estas Cláusulas han sido revisadas y aceptadas por el Titular de la Cuenta en nombre del exportador de datos, sin reservas, en la fecha indicada por la aceptación del Titular de la Cuenta en el portal del cliente y aceptadas por el Responsable de Privacidad de Datos de Linode, en nombre del importador de datos en fecha par.
- Fecha de entrada en vigor. El presente Contrato Modelo de la UE y todos sus apéndices, tal y como se enmienden o modifiquen de vez en cuando según lo exija o permita la ley, son efectivos y válidos a partir de la fecha de entrada en vigor del Acuerdo de Procesamiento de Datos y del Cliente.
- Subcontratistas. El exportador de datos acepta y reconoce que el importador de datos, a su única y absoluta discreción, puede contratar a personas o entidades para que presten servicios limitados en nombre del importador de datos (los "Subcontratistas"). Todos los Subcontratistas estarán autorizados a acceder, mantener y/o transmitir los Datos del Cliente, tal y como se define este término en el Acuerdo de Procesamiento de Datos y del Cliente, para cualquier propósito permitido por el Acuerdo de Procesamiento de Datos y del Cliente.
- Exportador de datos. El exportador de datos es la parte noLinode del Acuerdo de Procesamiento de Datos y del Cliente al que se anexa este Contrato Modelo de la UE. El exportador de datos es un usuario de los Servicios de Linode tal y como se define en el Acuerdo de Procesamiento de Datos y del Cliente.
- Importador de datos. El importador de datos es Linode, LLC, un proveedor global de servicios de datos.
- Sujetos de los datos. Los sujetos de los datos incluyen todas las partes que están autorizadas por el importador o el exportador de datos para acceder, mantener y/o transmitir los datos del exportador de datos, incluyendo, sin limitación, los representantes del exportador de datos, los usuarios finales, los empleados, los contratistas, las filiales, los asociados, los agentes y todas las demás partes descritas en el Acuerdo de Procesamiento de Datos y del Cliente.
- Categorías de datos. Los datos personales transferidos incluyen todos los Datos del Cliente, tal y como se define este término en el Acuerdo de Procesamiento de Datos y del Cliente, a los que el exportador de datos o los sujetos de datos autorizados del exportador acceden, mantienen y/o transmiten con respecto a los Servicios de Linode .
- Operaciones de tratamiento. Los datos personales transferidos estarán sujetos a las capacidades y políticas de procesamiento establecidas por el Acuerdo de Procesamiento de Datos y del Cliente.
Apéndice 2 del Contrato Modelo de la UE
Estas Cláusulas han sido revisadas y aceptadas por el Titular de la Cuenta en nombre del exportador de datos, sin reservas, en la fecha indicada por la aceptación del Titular de la Cuenta en el portal del cliente y aceptadas por el Responsable de Privacidad de Datos de Linode, en nombre del importador de datos en fecha par.
Descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos de conformidad con las cláusulas 4(d) y 5(c) (o documento/legislación adjunta):
-
- 1. Controles generales. Como se describe mejor en el Procesamiento de Datos y el Acuerdo con el Cliente, el importador de datos mantendrá políticas de seguridad administrativas, físicas y técnicas razonablemente apropiadas para mitigar el riesgo de acceso, transmisión o divulgación no autorizados de los Datos del Cliente, tal como se define este término en el Procesamiento de Datos y el Acuerdo con el Cliente. El responsable de privacidad de datos del importador de datos puede ser contactado en la siguiente dirección
Linode, LLC
Atención: James Ackley, Responsable de Privacidad de Datos
249 Arch Street
Filadelfia, Pensilvania 19106
2. Personal. Como se describe mejor en el Acuerdo de Tratamiento de Datos y del Cliente, el personal del importador de datos no tratará los datos personales sin la autorización del exportador de datos. El importador de datos mantendrá las medidas razonablemente adecuadas para mantener la confidencialidad de los datos personales durante el período legalmente establecido tras la finalización de este acuerdo.
El exportador de datos puede ponerse en contacto con el responsable de la protección de datos del importador por correo electrónico en privacy@linode.com (o a través de cualquier otro medio que pueda proporcionar el importador de datos).