Addéndum de Tratamiento de Datos

Última actualización: 25 de octubre de 2023

El presente Addéndum de tratamiento de datos (“ATD”) forma parte del contrato (“Contrato”) entre la entidad o entidades de LexisNexis Risk Solutions en virtud del cual LNRS proporciona determinados productos o servicios (“Servicios”) al Cliente o al Licenciatario (según se define en el Contrato y, en adelante, denominado el “Cliente”) y, si procede, a sus Filiales, y en cuyo contenido se hace referencia a este ATD.
I.          Definiciones
    
 
 
1.               “Leyes de protección de datos” se refiere a todas las leyes, normas, reglamentos, decretos, órdenes y demás requisitos gubernamentales sobre privacidad y protección de datos personales.
 
2.    Los términos “datos personales”, “violación de la seguridad de los datos personales”, “tratamiento”, “encargado del tratamiento” e “interesado” tendrán los mismos significados que se les atribuyen en las Leyes de protección de datos, y cuando estas utilicen términos equivalentes o correspondientes, como “información personal” en lugar de “datos personales”, se leerán en el presente documento como tales.
II.            Alcance
         
 
             Este ATD se aplica al tratamiento de datos personales por parte de LNRS en nombre del Cliente y, si procede, de las Filiales del Cliente en virtud del Contrato.
III.        Alcance del tratamiento
         
 
1.            El tratamiento por parte de LNRS se regirá por este ATD. En particular, LNRStratará los datos personales únicamente según las instrucciones documentadas del Cliente, incluido con respecto a transferencias de datos personales a un tercer país o a una organización internacional, a menos que lo exija de otro modo la legislación correspondiente a la que esté sujeta LNRS. En tal caso, LNRS informará al Cliente de ese requisito legal antes del tratamiento, salvo que dicha legislación le prohíba hacerlo por motivos importantes de interés público.
 
2.   El objeto del tratamiento son los datos personales que se proporcionan con respecto a los Servicios en virtud del presente Contrato. La duración del tratamiento es la duración de la prestación de los Servicios en virtud del Contrato hasta la eliminación de los datos personales de conformidad con el mismo. La naturaleza y la finalidad del tratamiento están relacionadas con la prestación de los Servicios en virtud del Contrato. Los tipos de datos personales tratados son los enviados a LNRS por el Cliente o de acuerdo con las indicaciones del Cliente como parte de los Servicios. Las categorías de interesados son aquellas cuyos datos personales se envían a LNRS por o de acuerdo con las indicaciones del Cliente como parte de los Servicios.
 
3.    El Contrato, incluido este ATD, junto con el uso y configuración de los Servicios por parte del Cliente, constituyen las instrucciones completas y finales documentadas para LNRS con respecto al tratamiento de los datos personales. Las partes deben acordar por separado cualesquiera instrucciones adicionales o alternativas. LNRS se asegurará de que su personal involucrado en el tratamiento de los datos personales trate dichos datos únicamente según las instrucciones documentadas que indique el Cliente, a menos que lo exija de otro modo la legislación aplicable.
         
IV.            Confidencialidad  
         
        LNRS se asegurará de que las personas autorizadas para tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sujetas a la correspondiente obligación legal de confidencialidad.
         
V.          Seguridad del tratamiento 
         
    1.    Teniendo en cuenta el estado de la tecnología, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Cliente y LNRS aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, tal como se describe en el Contrato e incluyendo, entre otros, y según corresponda:
         
         (a) la seudonimización y el cifrado de datos personales;
         
         (b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
         
         (c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; y
         
         (d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas a fin de garantizar la seguridad del tratamiento.
         
    2.    Al evaluar el nivel adecuado de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
         
    3.    El Cliente y LNRS tomarán medidas para garantizar que cualquier persona física que actúe bajo la autoridad del Cliente o de LNRS y que tenga acceso a datos personales solo los trate conforme a las instrucciones del Cliente, a menos que lo exija de otro modo la legislación aplicable.
         
    4.    Sin perjuicio de cualquier disposición en contrario, LNRS puede modificar o actualizar sus medidas de seguridad a su discreción, siempre que dicha modificación o actualización no dé lugar a una degradación sustancial en la protección ofrecida por el Contrato.

VI.  

         Subtratamiento
 
1.            Por el presente, el Cliente proporciona a LNRS una autorización general para contratar a otros encargados del tratamiento para el tratamiento de datos personales de conformidad con este ATD. LNRS mantendrá una lista de dichos encargados del tratamiento en https://risk.lexisnexis.com/corporate/dpa/sub-processors, que LNRS podrá actualizar ocasionalmente. Al menos 14 días antes de autorizar a un nuevo encargado del tratamiento a tratar los datos personales, LNRS actualizará dicha lista en su sitio web. El Cliente puede oponerse al cambio sin penalización, de conformidad con el proceso de resolución de disputas del Contrato o cualquier derecho de reembolso o cancelación correspondiente que tenga a su disposición el Cliente en virtud del Contrato.
         
    2.    Cuando LNRS contrate a otro encargado del tratamiento para llevar a cabo actividades de tratamiento específicas en nombre del Cliente, se impondrán las mismas obligaciones de protección de datos establecidas en este ATD a ese otro encargado del tratamiento mediante un contrato o en virtud de las Leyes de protección de datos. Cuando ese otro encargado del tratamiento no cumpla con esas obligaciones de protección de datos, LNRS seguirá siendo plenamente responsable ante el Cliente (con sujeción a los términos del Contrato) del cumplimiento de las obligaciones de ese otro encargado del tratamiento.

 VII. 
     Derechos del interesado
    
 
 
1.          Teniendo en cuenta la naturaleza del tratamiento, LNRS ayudará al Cliente con las medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Cliente de responder a las solicitudes de ejercicio de derechos del interesado.
         
    2.    LNRS, en la medida en que la ley lo permita, notificará de inmediato al Cliente cualquier solicitud de un interesado que reciba LNRS y cooperará razonablemente con el Cliente para cumplir con sus obligaciones en virtud de las Leyes de protección de datos en relación con dichas solicitudes. El Cliente será responsable de cualquier coste razonable incurrido por LNRS en la prestación de asistencia al Cliente para cumplir con dichas obligaciones.

VIII.              Asistencia al Cliente
         
 
         LNRS ayudará al Cliente a garantizar el cumplimiento de la seguridad de los datos, la notificación de violación de la seguridad de los datos personales y otras obligaciones que exijan las Leyes de protección de datos, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga LNRS.

IX.          Finalización del tratamiento
    
 
                          Una vez venza o finalice el uso de los Servicios por parte del Cliente, a menos que la legislación aplicable exija el almacenamiento de los datos personales, el Cliente ordenará a LNRS que suprima o devuelva los datos personales de acuerdo con los términos y plazos, si los hubiera, establecidos para los Servicios en el Contrato. Cuando el Contrato proporcione al Cliente la opción de suprimir o devolver los datos personales y el Cliente no tome esa decisión en un plazo de 30 días tras la extinción del Contrato, el Cliente por este medio ordena que LNRS suprima los datos personales, a menos que la legislación aplicable exija el almacenamiento de los mismos. En tales casos, LNRS suprimirá los datos personales tan pronto como sea posible.
X.                      Auditorías
                          
                  Los derechos a realizar auditorías se estipulan en el Contrato. En ausencia de dichos requisitos en el Contrato, cuando así lo exijan las Leyes de protección de datos, las auditorías: (i) estarán sujetas a la formalización de los correspondientes acuerdos de confidencialidad o no divulgación; (ii) se realizarán no más de una vez al año, a menos que se haya demostrado una sospecha razonable de incumplimiento del Contrato, previa notificación por escrito con 30 días de antelación y habiendo proporcionado un plan para dicha revisión; y (iii) se llevarán a cabo en un momento, lugar y forma acordados mutuamente.

XI.           Transferencia transfronteriza
         
                 LNRS se asegurará de que, en la medida en que cualquier dato personal originado en el país del Cliente sea transferido por LNRS a otro país, dicha transferencia esté sujeta a las garantías correctas que proporcionen un nivel adecuado de protección acorde con las Leyes de protección de datos.

XII.              Violación de la seguridad de los datos personales
                LNRS notificará al Cliente sin dilación indebida en cuanto tenga conocimiento de una violación de la seguridad de los datos personales que implique datos personales tratados en virtud de este ATD, y responderá razonablemente a la solicitud del Cliente de mayor información para que este pueda cumplir con sus obligaciones a tenor de las Leyes de protección de datos.

XIII.        Registros de actividades de tratamiento
       
             LNRS mantendrá todos los registros que exigen las Leyes de protección de datos y, en la medida aplicable al tratamiento de los datos personales en nombre del Cliente, los pondrá a disposición según sea necesario.

XIV.          Licitud del tratamiento
       
              El Cliente garantiza que, cuando lo exijan las Leyes de protección de datos, habrá informado a todos y cada uno de los interesados y recibido el consentimiento necesario del interesado o de su representante o tutor legal autorizado.
XV.              Cláusulas aplicables a jurisdicciones específicas
               
              En la medida en que LNRS trate cualquier dato personal que se origine en, o esté sujeto de otro modo a las Leyes de protección de datos de una jurisdicción de las enumeradas a continuación, se aplicarán las cláusulas específicas con respecto a la jurisdicción correspondiente, además de las cláusulas anteriores.
               
              Espacio Económico Europeo, Reino Unido y Suiza
               
   
    1.            En la medida en que el Cliente transfiera datos personales desde el Espacio Económico Europeo (“EEE”), el Reino Unido (“RU”) o Suiza a ubicaciones de LNRS fuera del EEE, Reino Unido o Suiza, a menos que las partes puedan acogerse a un mecanismo o base de transferencia alternativa en virtud de las Leyes de protección de datos, se considerará que las partes han suscrito las cláusulas contractuales tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, disponibles para su consulta en http://data.europa.eu/eli/dec_impl/2021/914/oj (“Cláusulas”) con respecto a dicha transferencia, por las cuales:
  1.  El Cliente es el “exportador de datos” y LNRS el “importador de datos”;
  2.  se omiten las notas al pie de página, la Opción 1 de la Cláusula 9(a), la Opción de la Cláusula 11(a) y la Opción 1 de la Cláusula 17, el periodo de tiempo en la Opción 2 de la Cláusula 9(a) es de 14 días, y los anexos aplicables se cumplimentan respectivamente con la información establecida en el ATD y el Contrato;
  3.  en la medida en que el Cliente actúe como responsable del tratamiento y LNRS actúe como encargado del tratamiento, se aplicará el Módulo dos y se omitirán los Módulos uno, tres y cuatro, y en la medida en que cada parte actúe como encargado del tratamiento, se aplicará el Módulo tres y se omitirán los Módulos uno, dos y cuatro;
  4.  la “autoridad de control competente” es la autoridad de control en Irlanda;
  5.  las Cláusulas se rigen por la legislación irlandesa;
  6.  cualquier disputa derivada de las Cláusulas será resuelta por los tribunales de Irlanda; y
  7.  si existe algún conflicto entre los términos del Contrato y las Cláusulas, las Cláusulas prevalecerán.
             
   
    2.   En relación con las transferencias de datos personales desde el Reino Unido, las Cláusulas implementadas en virtud de la sección 1 anterior se aplicarán con sujeción a las siguientes modificaciones:
  1.  las Cláusulas se modifican según lo especificado en la Parte 2 del anexo de transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión Europea emitidas en virtud del artículo 119A de la Ley de Protección de datos del Reino Unido de 2018, con sus pertinentes modificaciones o sustituciones (“Anexo del Reino Unido”);
  2.  las tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se cumplimentan respectivamente con la información establecida en el ATD y el Contrato (según corresponda); y
  3.  la tabla 4 de la Parte 1 del Anexo del Reino Unido se cumplimenta seleccionando “ninguna de las partes”.
               
   
    3.    En relación con las transferencias de datos personales desde Suiza, las Cláusulas implementadas en virtud de la sección 1 anterior se aplicarán con sujeción a las siguientes modificaciones:
  1.  las referencias al “Reglamento (UE) 2016/679” se interpretarán como referencias a la Ley federal suiza de Protección de datos (“LFPD”);
  2.  las referencias a artículos específicos del “Reglamento (UE) 2016/679” se sustituirán por el artículo o sección equivalente de la LFPD;
  3.  las referencias a “UE”, “Unión”, “un Estado miembro” y “Legislación de un Estado miembro” se sustituirán por referencias a “Suiza” o “Legislación suiza”, según corresponda;
  4.  el término “Estado miembro” no se interpretará de manera que excluya a los interesados en Suiza de la posibilidad de acceder a sus derechos;
  5.  la cláusula 13(a) y la parte C del Anexo I no se utilizan y la “autoridad de control competente” es el Comisionado Federal de Información de Protección de Datos de Suiza;
  6.  las Cláusulas se rigen por la legislación suiza; y
  7.  cualquier disputa derivada de las Cláusulas será resuelta por los tribunales de Suiza.
               
              Estados Unidos 
               
              U.S. Privacy Laws Addendum
               
              Sudáfrica 
               
          1.    En la medida en que LNRS trate para el Cliente información personal dentro del alcance de la Ley de Protección de Información Personal de Sudáfrica, n.º 4 de 2013 (Protection of Personal Information Act, POPIA), LNRS establecerá y mantendrá además las medidas de seguridad mencionadas en la sección 19 de la POPIA.  
          2. 
LNRS informará al Cliente inmediatamente cuando existan motivos razonables para sospechar que la información personal de un interesado ha sido objeto de acceso o adquisición por parte de cualquier persona no autorizada.