Addéndum de Protección de Datos

Última actualización: 25 de octubre de 2023

El presente Addéndum de protección de datos (“APD”) forma parte del contrato (“Contrato”) entre la entidad o entidades de LexisNexis Risk Solutions (“LNRS”) en virtud del cual LNRS proporciona determinados productos o servicios (“Servicios”) al Cliente o al Licenciatario (según se define en el Contrato y, en adelante, denominado el “Cliente”) y, si procede, a sus Filiales, y en cuyo contenido se hace referencia a este APD.

I.          Definiciones
    
 
 
   1.          “Leyes de protección de datos” se refiere a todas las leyes, normas, reglamentos, decretos, órdenes y demás requisitos gubernamentales sobre privacidad y protección de datos personales.

 
   2.      Los términos “responsable del tratamiento”, “datos personales”, “tratamiento” e “interesado” tendrán los mismos significados que se les atribuyen en las Leyes de protección de datos, y cuando estas utilicen términos equivalentes o correspondientes, como “información personal” en lugar de “datos personales”, se leerán en el presente documento como tales.

II.                    Alcance
    
 


 
             Este APD se aplica al tratamiento de datos personales que cada Parte reciba de la otra y, si procede, de sus Filiales, en virtud del Contrato, excluyendo datos personales que cualquiera de las Partes trate en nombre de la otra.

III.  

        Funciones y restricciones de las partes
 
1.       Las Partes reconocen que cada una de ellas determina por separado e independientemente los fines y medios del tratamiento y, por lo tanto, cada una es un responsable independiente del tratamiento de los datos personales. Las Partes no tratan ni tratarán los datos personales como responsables conjuntos del tratamiento.
         
 
2.    Cada Parte cumplirá con sus obligaciones en virtud de las Leyes de protección de datos y será responsable de forma individual e independiente de su propio cumplimiento. Nada de lo contenido en este APD modificará ninguna restricción aplicable a los derechos de cualquiera de las Partes a utilizar o tratar de otro modo los datos personales en virtud del Contrato.
         
    3.    El Cliente acepta que los datos personales que reciba LNRS han sido recopilados, transferidos y tratados de acuerdo con las Leyes de protección de datos, incluyendo proporcionar la información según se indica en el correspondiente Aviso de Tratamiento de LexisNexis Risk Solutions, disponible en https://risk.lexisnexis.com/corporate/processing-notices.
         
    4.    El Cliente acepta que LNRS trata cualquier detalle de autenticación, datos de cuenta, datos de uso, registros de servicio y demás datos personales tratados según lo necesario para proporcionar, gestionar o proteger los Servicios sujetos a la Política de privacidad de LexisNexis Risk Solutions disponible en https://risk.lexisnexis.com/corporate/privacy-policy.
         
    5.    El Cliente acepta que el personal que trate datos personales recibirá la formación de privacidad apropiada (incluida la que exijan las Leyes de protección de datos).
IV.                   Derechos del interesado
    
 


 
             Cada Parte será responsable de responder a las consultas de los interesados. Ninguna de las Partes tiene obligación alguna de notificar a la otra una solicitud de un interesado o de responder en nombre de la otra Parte.
V.                      Asistencia
 
               Cada Parte cooperará y ayudará a la otra según sea razonablemente necesario para permitir a la otra Parte cumplir con su obligación en virtud de las Leyes de protección de datos, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga la Parte.
VI.                      Transferencia transfronteriza
 
               Cada Parte se asegurará de que, en la medida en que cualquier dato personal sea transferido por la Parte a otro país, dicha transferencia esté sujeta a las garantías correctas que proporcionen un nivel adecuado de protección acorde con las Leyes de protección de datos.
VII.            Cláusulas aplicables a jurisdicciones específicas
           
            En la medida en que cualquiera de las Partes trate cualquier dato personal que se origine en, o esté sujeto de otro modo a las Leyes de protección de datos de una jurisdicción de las enumeradas a continuación, se aplicarán las cláusulas específicas con respecto a la jurisdicción correspondiente, además de las cláusulas anteriores.
             
            Espacio Económico Europeo, Reino Unido y Suiza
             
     
1.   En la medida en que cualquiera de las Partes transfiera datos personales desde el Espacio Económico Europeo (“EEE”), el Reino Unido (“RU”) o Suiza a ubicaciones de la otra Parte fuera del EEE, Reino Unido o Suiza, a menos que las Partes puedan acogerse a un mecanismo o base de transferencia alternativa en virtud de las Leyes de protección de datos, se considerará que las Partes han suscrito las cláusulas contractuales tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, disponibles para su consulta en http://data.europa.eu/eli/dec_impl/2021/914/oj (“Cláusulas”) con respecto a dicha transferencia, por las cuales:
  1.  la Parte receptora constituye el “importador de datos” y la otra Parte es el “exportador de datos”;
  2.  se aplica el Módulo uno, se omiten los Módulos dos, tres y cuatro, las notas al pie de página, la Opción de la Cláusula 11(a) y la Opción 2 de la Cláusula 17; asimismo, los anexos correspondientes se cumplimentan respectivamente con la información establecida en el APD y el Contrato (según corresponda);
  3.  la “autoridad de control competente” es la autoridad de control en Irlanda;
  4.  las Cláusulas se rigen por la legislación irlandesa;
  5.  cualquier disputa derivada de las Cláusulas será resuelta por los tribunales de Irlanda; y
  6.  si existe algún conflicto entre los términos del Contrato y las Cláusulas, las Cláusulas prevalecerán.

     
2.   En relación con las transferencias de datos personales desde el Reino Unido, las Cláusulas implementadas en virtud de la sección 1 anterior se aplicarán con sujeción a las siguientes modificaciones:
  1.  las Cláusulas se modifican según lo especificado en la Parte 2 del anexo de transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión Europea emitidas en virtud del artículo 119A de la Ley de Protección de datos del Reino Unido de 2018, con sus pertinentes modificaciones o sustituciones (“Anexo del Reino Unido”);
  2.  las tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se cumplimentan respectivamente con la información establecida en el APD y el Contrato (según corresponda); y
  3.  la tabla 4 de la Parte 1 del Anexo del Reino Unido se cumplimenta seleccionando “ninguna de las partes”.

     
3.    En relación con las transferencias de datos personales desde Suiza, las Cláusulas implementadas en virtud de la sección 1 anterior se aplicarán con sujeción a las siguientes modificaciones:
  1.  las referencias al “Reglamento (UE) 2016/679” se interpretarán como referencias a la Ley Federal Suiza de Protección de Datos (“LFPD”);
  2.  las referencias a artículos específicos del “Reglamento (UE) 2016/679” se sustituirán por el artículo o sección equivalente de la LFPD;
  3.  las referencias a “UE”, “Unión”, “un Estado miembro” y “Legislación de un Estado miembro” se sustituirán por referencias a “Suiza” o “Legislación suiza”, según corresponda;
  4.  el término “Estado miembro” no se interpretará de manera que excluya a los interesados en Suiza de la posibilidad de acceder a sus derechos;
  5.  la cláusula 13(a) y la parte C del Anexo I no se utilizan y la “autoridad de control competente” es el Comisionado Federal de Información de Protección de Datos de Suiza;
  6.  las Cláusulas se rigen por la legislación suiza; y
  7.  cualquier disputa derivada de las Cláusulas será resuelta por los tribunales de Suiza.
             
            Estados Unidos 
             
       
  U.S. Privacy Laws Addendum  
             
            Brasil
             
         1.            Cada Parte deberá:
  1. cumplir con sus obligaciones en virtud de la Ley General de Protección de Datos de Brasil, n.º 13.709 de 2018 (Lei Geral de Proteção de Dados Pessoais) (LGPD);
  2. mantener un registro de las operaciones de tratamiento de datos personales que realice;
  3. nombrar a un delegado de protección de datos; y
  4. adoptar medidas de seguridad, técnicas y administrativas capaces de proteger los datos personales contra el acceso no autorizado y contra la destrucción, pérdida, alteración y comunicación accidentales o ilícitas o cualquier forma de tratamiento indebido o ilegal, incluidos los estándares técnicos mínimos correspondientes que establezcan las autoridades nacionales.
         2.            En la medida en que cualquiera de las Partes transfiera información personal de Brasil a ubicaciones de la otra Parte fuera de Brasil, la Parte receptora cumplirá con los principios y derechos del interesado y el régimen de protección de datos dispuesto en virtud de la LGPD.