Acuerdo de Protección de Datos
ACUERDO DE PROTECCIÓN DE DATOS
1. ÍNDICE:
TÉRMINOS COMUNES
TÉRMINOS ESPECÍFICOS
- CONDICIONES A: CORRESPONSABLES DEL TRATAMIENTO (“CDT”)
- CONDICIONES B: ENCARGO DEL TRATAMIENTO (“EDT”)
ANEXO 1
ANEXO 2
Este Acuerdo de Protección de Datos (en adelante, el “APD”) complementa los Términos y Condiciones de ExoClick (en adelante, los “T&C“), y cualquier otro acuerdo aplicable con Anunciantes, Editores y cualquier otro cliente (colectivamente, el “Socio”), y se incorpora al acuerdo entre ExoClick y el Socio para la prestación de los servicios pertinentes (en adelante, los “Servicios de ExoClick“).
Este APD reflejará el acuerdo de las Partes con respecto al Tratamiento de Datos Personales. En el curso de la prestación de los Servicios de ExoClick, ExoClick puede Procesar Datos Personales en nombre o no del Socio, por lo tanto, las Partes acuerdan cumplir las siguientes disposiciones con respecto a cualquier Dato Personal, cada una actuando razonablemente y de buena fe, y de conformidad con los requisitos de la Ley de Protección de Datos.
This Data Processing Agreement (hereafter the “DPA”) complements the ExoClick Terms and Conditions (the “T&C”), and any other applicable agreement with Advertisers, Publishers, and any other clients (collectively, the “Partner”), and is hereby incorporated into the agreement between ExoClick and the Partner for the provision of the relevant services (the “ExoClick Services”).
This DPA shall reflect the Parties’ agreement with regard to the Processing of Personal Data. In the course of providing the ExoClick Services, ExoClick may Process Personal Data on behalf or not of the Partner, therefore, the Parties agree to comply with the following provisions with respect to any Personal Data, each acting reasonably and in good faith, and in accordance with the requirements of Data Protection Law.
TÉRMINOS COMUNES
1. Definiciones
Por “consentimiento” se entenderá toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado, mediante una declaración o una clara acción afirmativa, manifieste su conformidad con el tratamiento de los datos personales que le conciernen.
“Responsable del Tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del Tratamiento de Datos Personales. En virtud de las Condiciones A del presente APD, ExoClick y el Socio actúan como Corresponsables del Tratamiento, y en virtud de las Condiciones B del presente APD, el Socio actúa como Responsable del Tratamiento. El término “Responsable del Tratamiento” se considera un “Business “en virtud de la CPRA.
“Ley de Protección de Datos” significa, en la medida aplicable en la jurisdicción o jurisdicciones pertinentes para los Servicios, (a) el RGPD y todas las leyes y reglamentos, (b) la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”), (c) la Ley de Protección de Datos del Reino Unido de 2018 y el RGPD tal y como forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018 (“RGPD del Reino Unido”), (d) la Ley de Privacidad del Consumidor de California de 2018, Cal. Civ. Code § 1798.100 et seq. junto con cualquier legislación que la modifique o sustituya, incluida la Ley de Derechos de Privacidad de California de 2020 (colectivamente, “CPRA“) y cualquier normativa promulgada en virtud de la misma.
“Sujeto de los Datos” se refiere a una persona física identificable que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador (por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea) o a uno o más factores específicos de esa persona física. A los efectos de este APD, “Sujeto de Datos” se refiere a las personas físicas cuyos Datos Personales se procesan como parte de la prestación de los Servicios ExoClick pertinentes.
“Usuario final” se refiere a los Sujetos de datos que visitan y/o utilizan la Plataforma de los Socios.
“RGPD” significa el Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
“Corresponsables del Tratamiento” significa un Responsable del tratamiento que actúa conjuntamente con otro u otros. Decidirán conjuntamente sobre el tratamiento de datos y los fines de dicho tratamiento. En virtud de las Condiciones A del presente APD, ExoClick y el Socio actúan como Corresponsables de Tratamiento.
“Plataforma de los Socios” significa cualquier nombre de dominio, sitio web, aplicación de software, mundo virtual u otra plataforma digital que el Socio posea, opere o gestione a los efectos del presente APD.
“Datos Personales” significa cualquier información que identifique, se relacione con, describa, o sea capaz de asociarse con, o pueda razonablemente vincularse con, una persona física identificada o identificable o un hogar Procesados en relación con la prestación de los Servicios ExoClick pertinentes.
Por “Brecha de seguridad Datos Personales” se entenderá una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a datos personales transmitidos, almacenados o tratados de otro modo.
“Encargado del Tratamiento” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa Datos Personales en nombre del Responsable del Tratamiento. En virtud de las Condiciones A de este APD, los encargados que pueden ser contratados ya sea por ExoClick o por el Socio son Encargados del Tratamiento, y en virtud de las Condiciones B de este APD, ExoClick actúa como Encargado del Tratamiento.
Por “Tratamiento” se entenderá cualquier operación o conjunto de operaciones efectuadas sobre Datos Personales o sobre conjuntos de Datos Personales, por los Responsables o Encargados del Tratamiento, por medios automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
“Autoridad Reguladora” significa la autoridad pública o agencia gubernamental aplicable responsable de supervisar el cumplimiento de la Ley de Protección de Datos, pero sin limitarse a: la Agencia Española de Protección de Datos; la Oficina del Comisionado de Información del Reino Unido; las autoridades supervisoras de los Estados miembros de la UE; la Agencia de Protección de la Privacidad de California; y los fiscales generales de los estados de EE.UU..
2. Cumplimiento de la ley
Cada una de las Partes cumplirá y podrá demostrar el cumplimiento de sus respectivas obligaciones en virtud de la Ley de Protección de Datos y de conformidad con el presente APD.
El Socio reconoce y acepta específicamente que su uso de los Servicios de Corresponsables del Tratamiento y de Encargo del Tratamiento es conforme con la Ley de Protección de Datos.
3. Autorizaciones
Una Parte no revelará Datos Personales a la otra Parte, excepto cuando la Parte reveladora garantice a la otra Parte que esta revelación cumple con la Ley de Protección de Datos y que ha cumplido con cualquier requisito aplicable de información, notificación a, o de autorización o consentimiento de la(s) autoridad(es) pública(s) pertinente(s) o de los Sujetos de Datos pertinentes, con respecto a cualquier Dato Personal proporcionado por la Parte reveladora a la otra Parte. Cada una de las Partes reveladoras deberá conservar pruebas del cumplimiento de dichos requisitos durante la vigencia del APD y facilitarlas sin demora a la otra Parte cuando ésta lo solicite.
Nada en este APD prohibirá o limitará los derechos de ExoClick a implementar la anonimización de los Datos Personales procesados en relación con este acuerdo, y en la medida en que lo requiera la Ley de Protección de Datos, el Socio autoriza por la presente a ExoClick a implementar técnicas de anonimización en cumplimiento de la Ley de Protección de Datos. En aras de la claridad, los datos resultantes de una anonimización efectiva y conforme no están sujetos a este APD y, más en general, a la Ley de Protección de Datos. No obstante, estarán sujetos a las normas de confidencialidad acordadas en los T&C.
4. Cooperación
Las Partes cooperarán para cumplir la Ley de Protección de Datos y sus obligaciones en virtud del presente APD.
Las Partes conservarán la documentación adecuada sobre las actividades de tratamiento llevadas a cabo por cada una de ellas y sobre su cumplimiento de la Ley de protección de datos y del presente APD con respecto a los servicios de Corresponsables del Tratamiento y de Encargo del Tratamiento. Por ejemplo, las Partes facilitarán a la otra Parte, cuando proceda, el Registro de actividades de tratamiento, la Evaluación de impacto relativa a la protección de datos y las medidas de seguridad que hayan aplicado, entre otra documentación enumerada en las Condiciones A y B del presente APD.
En caso de investigación, procedimiento, solicitud formal de información o documentación, o cualquier acontecimiento similar en relación con una autoridad de protección de datos y en relación conn los Servicios de Corresponsables del Tratamiento y Encargo del Tratamiento o con los Datos Personales, las Partes atenderán rápida y adecuadamente las consultas de la otra Parte que estén relacionadas con el Tratamiento de Datos Personales en virtud del APD.
5. Responsables de protección de datos
ExoClick y el Socio han designado un responsable de la protección de datos. Puede ponerse en contacto con el responsable de la protección de datos de ExoClick (“DPO de ExoClick”) en: dpo@exoclick.com. Los datos de contacto del responsable de protección de datos del Socio deberán comunicarse por correo electrónico al DPO de ExoClick tras haber aceptado el presente APD.
TÉRMINOS ESPECÍFICOS
Las Condiciones Comunes (cláusulas 1 a 5) se aplican siempre que un Socio haya solicitado Servicios a ExoClick, independientemente del tipo de Servicios solicitados. Además, la aplicación de las siguientes Condiciones Específicas (“Condición A” y “Condición B”) dependerá del estatus bajo el que opera ExoClick y que se especifica en los T&C o en cualquier otro acuerdo aplicable que se aplique al Servicio encargado por el Socio.
CONDICIONES A
CONDICIONES DE CORRESPONSABLE DEL TRATAMIENTO (“CDT”)
Se aplica cuando el Socio ha solicitado Servicios en los que ExoClick y el Socio actúan como Corresponsables del Tratamiento (los “Servicios de Corresponsables del Tratamiento”).
6. Ámbito de aplicación de CDT
Este CDT se aplicará únicamente en relación con el Tratamiento de Datos Personales llevado a cabo en el contexto de la prestación por parte de ExoClick de los Servicios de Corresponsables del Tratamiento solicitados por el Socio. En particular, para los fines enumerados en nuestra Política de Privacidad. Por ejemplo, el uso de datos limitados para seleccionar anuncios, medir el rendimiento de los anuncios, garantizar la seguridad, prevenir y detectar el fraude, corregir errores y mostrar anuncios contextuales (basados en criterios de retargeting).
De conformidad con el artículo 26 del RGPD, las Partes determinan por la presente sus responsabilidades respectivas en cuanto al cumplimiento de sus obligaciones en virtud del RGPD.
A efectos de la CPRA, el Socio será un “Business” y ExoClick será una “Third Party”.
7. Obligaciones de las Partes cuando actúan como Corresponsables del Tratamiento
Cuando traten Datos Personales como Corresponsables del Tratamiento en virtud de las Condiciones A del presente APD, cada una de las Partes se compromete a:
- Cumplir con cualquier requisito derivado de la Ley de Protección de Datos y no cumplir con sus obligaciones en virtud del presente APD y/o solicitar al otro Corresponsable del Tratamiento que cumpla con sus obligaciones de tal forma que provoque que el otro Corresponsable del Tratamiento incumpla cualquiera de sus obligaciones en virtud de la Ley de Protección de Datos;
- Tener en cuenta todos los principios de protección de datos previstos en la LOPD, entre otros, los principios de limitación de la finalidad, minimización de datos, exactitud, limitación del almacenamiento, seguridad, integridad y confidencialidad, transparencia y protección de Datos Personales desde el diseño y por defecto, en particular, supondrá adoptar las correspondientes cláusulas informativas y de consentimiento, analizar cualquiera de los tratamientos realizados y determinar qué protocolos, contratos o cualesquiera otras medidas deben implantarse;
- Mantener un Registro de actividades del tratamiento de los Datos Personales bajo su responsabilidad;
- Aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a los riesgos que presenta el Tratamiento de los Datos Personales que lleva a cabo (incluido, para el Socio, el relativo a la Plataforma de los Socios), en particular, para proteger los Datos Personales contra la destrucción accidental o ilícita o la pérdida accidental, la alteración, la difusión o el acceso no autorizados;
- Adoptar todas las medidas necesarias para hacer frente a cualquier Brecha de seguridad relacionados con los datos personales que trata, mitigar sus efectos, evitar nuevas violaciones de datos personales y, cuando sea necesario, notificarlo a la autoridad o autoridades competentes en materia de protección de datos y a los interesados;
- Cooperar en la preparación de las evaluaciones de impacto sobre la protección de datos requeridas;
- Llevar a cabo cualquier evaluación, consulta y/o notificación a las autoridades competentes en materia de protección de datos o a los interesados, en relación con el tratamiento que lleva a cabo.
- Los corresponsables del tratamiento no establecidos en la Unión designarán por escrito a un responsable de la protección de datos o a un representante legal establecido en uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales sean objeto de tratamiento en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento sea objeto de seguimiento; y
- Tramitar las solicitudes y/o reclamaciones del Titular de los Datos que reciba, en particular las solicitudes relativas al ejercicio de sus derechos en virtud de la Ley de Protección de Datos, incluidos los derechos de acceso, rectificación, supresión y oposición, y el derecho a retirar el Consentimiento. Cuando una de las Partes reciba una solicitud de derecho del Titular de los Datos en relación con los Datos Personales tratados por la otra Parte, dicha Parte receptora remitirá al Titular de los Datos a la política de privacidad de la otra Parte en la que se explique cómo ejercer su solicitud de derecho ante dicha otra Parte, para que ésta pueda responder directamente a la solicitud del Titular de los Datos.
8. Obligaciones de ExoClick
ExoClick será el único responsable, en virtud y en la medida en que lo exija la Ley de Protección de Datos, de incluir un enlace a la página de Política de Privacidad de ExoClick (https://www.exoclick.com/privacy-policy/) que incluirá información para los Sujetos de Datos sobre cómo desactivar el Servicio ExoClick en todos los anuncios publicados en la Plataforma de los Socios.
9. Obligaciones del socio
El Socio será el único responsable, de conformidad con la Ley de Protección de Datos y en la medida en que ésta lo exija, de:
- proporcionar a los Sujetos de Datos toda la información necesaria en virtud de la Ley de Protección de Datos, incluso de conformidad con los artículos 13 y 14 del RGPD, con respecto al Tratamiento de los Datos Personales relativos a los Servicios de Corresponsables del Tratamiento;
- proporcionar la notificación adecuada en la Plataforma del Socio para cualquier Procesamiento relevante de Datos Personales por parte de ExoClick para los Servicios de Corresponsables del Tratamiento, incluso proporcionando un enlace a la política de privacidad de ExoClick (https://www.exoclick.com/privacy-policy/);
- recabar y documentar el consentimiento o las disposiciones de exclusión voluntaria, según proceda, obtenidos de los interesados;
- aplicar mecanismos de elección para solicitar el Consentimiento válido de los Interesados o disposiciones de exclusión voluntaria, según proceda, de conformidad con la Ley de Protección de Datos y, en su caso, con los requisitos específicos de las autoridades de control locales competentes;
- cuando se apliquen disposiciones de exclusión voluntaria, ofrecer a los Sujetos de Datos el derecho a excluirse de la venta y el intercambio de sus Datos Personales o del uso de los Datos Personales con fines de publicidad dirigida;
- cumplir los requisitos aplicables al periodo de validez del Consentimiento recabado y solicitar el Consentimiento de los Interesados una vez expirado dicho periodo de validez; y
- proporcionar sin demora a ExoClick, previa solicitud y en cualquier momento, la prueba de que el Socio ha obtenido el Consentimiento del Interesado.
Además, ExoClick se reserva el derecho de auditar los mecanismos de recopilación de Consentimiento del Socio para garantizar el cumplimiento de la Ley de Protección de Datos aplicable. Dichas auditorías consistirán en una revisión de los formularios de Consentimiento y la documentación pertinentes, con la debida antelación, no más de una vez al año, a menos que surjan problemas de cumplimiento significativos. El Socio se compromete a proporcionar la cooperación y el acceso necesarios.
CONDICIONES B
CONDICIONES DE ENCARGO DEL TRATAMIENTO (“EDT”)
Se aplica cuando el Socio ha solicitado Servicios en los que el Socio actúa como Responsable del Tratamientoy ExoClick actúa como Encargado de Tratamiento, procesando Datos Personales en nombre del Socio (los “Servicios de Encargo del Tratamiento”).
10. Ámbito de aplicación del EDT
El presente EDT se aplicará únicamente al Tratamiento de Datos Personales llevado a cabo en el contexto de los Servicios de Encargo del Tratamiento encargados por el Socio, actuando como Responsable del Tratamiento o Empresa (según proceda), para los que ExoClick actúa como Encargado del Tratamiento o Proveedor de Servicios (según proceda), y para los que el objeto, la naturaleza y la finalidad, el tipo de Datos Personales, las categorías de Interesados y la duración del Tratamiento se establecen en el Anexo 1 “Servicios de Encargo del Tratamiento – Detalles del Tratamiento de Datos Personales“.
11. Obligaciones del socio
El Socio no proporcionará Datos Personales a ExoClick excepto cuando sea necesario para la prestación de los Servicios de ExoClick y a menos que el Socio haya dado los avisos necesarios y obtenido los consentimientos necesarios, en cada caso, de los Sujetos de Datos aplicables cuyos Datos Personales sean Procesados por ExoClick de acuerdo con el APD. El Socio, en su uso de los Servicios de ExoClick, Procesará los Datos Personales conforme a los requisitos de la Ley de Protección de Datos y notificará inmediatamente a ExoClick si el Socio infringe cualquier Ley de Protección de Datos. Las instrucciones del Socio a ExoClick relacionadas con el Tratamiento de Datos Personales deberán cumplir con la Ley de Protección de Datos. El Socio será el único responsable de garantizar la exactitud, legalidad y calidad de los Datos Personales y de garantizar que el Procesamiento confiado a ExoClick tenga una base legal adecuada en virtud de la Ley de Protección de Datos.
12. Obligaciones de ExoClick
Instrucciones del Socio. ExoClick procesará los Datos Personales para los Servicios de Encargo del Tratamiento pertinentes únicamente siguiendo las instrucciones documentadas del Socio. El Socio no podrá dar instrucciones a ExoClick para que procese Datos Personales de un modo que no sea compatible con el presente APD. ExoClick informará inmediatamente al Socio si considera razonablemente que no puede seguir las instrucciones del Socio, o si dichas instrucciones no son compatibles con los T&C y con el APD.
Datos inexactos u obsoletos. ExoClick informará al Socio si tiene conocimiento de que los Datos Personales son inexactos o han quedado obsoletos, y ExoClick cooperará a petición del Socio para borrar o rectificar dichos datos.
Tratamiento de Datos Personales. En la medida en que así lo exija la Ley de Protección de Datos aplicable, el Socio sólo dará instrucciones a ExoClick para que Procese Datos Personales para aquellos Fines Comerciales permitidos en virtud de la Ley de Protección de Datos aplicable y sólo revelará Datos Personales a ExoClick para los fines limitados y especificados en los T&C y en el presente APD. El Socio se reserva el derecho, previo aviso razonable, a tomar las medidas razonables y apropiadas para ayudar a garantizar que ExoClick utilice los Datos Personales transferidos de forma coherente con las obligaciones del Socio en virtud de la Ley de Protección de Datos aplicable, incluidas las medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales.
ExoClick no podrá: (a) Vender o Compartir Datos Personales; (b) retener, utilizar o divulgar Datos Personales para cualquier fin distinto de los Fines Comerciales especificados en los T&C y en este APD; (c) retener, utilizar o divulgar Datos Personales fuera de la relación comercial directa entre el Socio y ExoClick; o (d) combinar Datos Personales que reciba del Socio con Datos Personales que reciba de, o en nombre de, otra persona o personas, o que recopile de su propia interacción con los Sujetos de Datos, siempre que ExoClick pueda combinar Datos Personales para llevar a cabo un Propósito Empresarial (excepto para “servicios de publicidad y marketing”, tal y como se definen en la Ley de Protección de Datos aplicable). ExoClick cumplirá con las obligaciones aplicables y proporcionará el mismo nivel de protección de la privacidad que exige la Ley de Protección de Datos aplicable y ayudará al Socio mediante las medidas técnicas y organizativas adecuadas para cumplir con los requisitos de la Ley de Protección de Datos, teniendo en cuenta la naturaleza del procesamiento. ExoClick notificará al Socio si decide que ya no puede cumplir con sus obligaciones en virtud de la Ley de Protección de Datos aplicable.
Medidas técnicas y organizativas. ExoClick aplicará las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los Datos Personales, incluida la protección frente a una Vulneración de Datos Personales. En cumplimiento de sus obligaciones en virtud del presente apartado, ExoClick aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo 2 “Medidas técnicas y organizativas”. Por la presente, el Socio confirma a ExoClick que considera que las medidas técnicas y organizativas de ExoClick especificadas en el Anexo 2 “Medidas técnicas y organizativas” proporcionan un nivel de seguridad adecuado. ExoClick también asistirá al Socio en el cumplimiento de sus obligaciones con respecto a la seguridad del Procesamiento de Datos Personales, incluso en virtud del artículo 32 del RGPD.
Brecha de seguridad de Datos Personales. En caso de violación de Datos Personales relativos a Datos Personales procesados por ExoClick, ExoClick tomará las medidas apropiadas para hacer frente a la violación, incluyendo medidas para mitigar sus efectos adversos. ExoClick también notificará al Socio sin demora indebida después de haber tenido conocimiento de la violación y proporcionando el tiempo necesario para proporcionar la información pertinente, incluyendo, por ejemplo, una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de Sujetos de Datos y registros de Datos Personales afectados), sus posibles consecuencias y las medidas adoptadas o propuestas para hacer frente a la violación, incluyendo, en su caso, medidas para mitigar sus posibles efectos adversos. En caso de violación de Datos Personales relativos a Datos Personales procesados por ExoClick, el Socio será el único responsable de notificar a los Titulares de los Datos y/o a las Autoridades Reguladoras, tal y como exige la Ley de Protección de Datos, y ExoClick cooperará y ayudará al Socio para permitir el cumplimiento de cualquier solicitud de una autoridad competente y/o de los Titulares de los Datos afectados, teniendo en cuenta la naturaleza del Procesamiento y la información disponible para ExoClick. Antes de realizar dicha notificación, el Socio consultará a ExoClick y le dará la oportunidad de comentar cualquier notificación realizada en relación con una Vulneración de Datos Personales. Nada de lo dispuesto en el presente APD se interpretará en el sentido de exigir a ExoClick que incumpla o retrase el cumplimiento de cualquier obligación legal que pueda tener en relación con una Vulneración de Datos Personales. ExoClick no será responsable de las obligaciones de gestión y notificación de la violación de Datos Personales descritas en las Condiciones B a menos que la violación de Datos Personales esté causada por el incumplimiento por parte de ExoClick de las obligaciones de seguridad de este APD o por otra violación de la Ley de Protección de Datos por parte de ExoClick.
Acceso a los Datos Personales. ExoClick concederá acceso a los Datos Personales a los miembros de su personal sólo en la medida estrictamente necesaria para la aplicación, gestión y supervisión de conformidad con los T&C y el APD. Se asegurará de que las personas autorizadas a procesar los Datos Personales se hayan comprometido a uno o varios acuerdos de confidencialidad o estén bajo una obligación legal apropiada de confidencialidad.
Derechos de los interesados. En la medida en que la ley lo permita, ExoClick notificará inmediatamente por correo electrónico al responsable de protección de datos o al representante legal designado del Socio cualquier solicitud que haya recibido de un Sujeto de datos para ejercer los derechos del Sujeto de datos, incluidos los derechos de conocimiento/acceso; corrección; eliminación; restricción; objeción; portabilidad de datos; exclusión voluntaria del Procesamiento y/o de la Venta o Uso Compartido de Datos Personales; limitación del uso o divulgación de Datos Personales sensibles; o cualquier otra solicitud con respecto a los Datos Personales del Sujeto de datos aplicable, según lo establecido en la Ley de Protección de Datos aplicable. ExoClick no responderá por sí mismo a la solicitud. ExoClick asistirá razonablemente al Socio mediante la implementación de medidas técnicas y organizativas adecuadas, en la medida en que sea posible, en el cumplimiento de sus obligaciones de responder a las solicitudes de los Titulares de los Datos para ejercer sus derechos en virtud de la Ley de Protección de Datos, teniendo en cuenta la naturaleza del Tratamiento. En la medida en que la ley lo permita, el Socio será responsable de cualquier coste derivado de la prestación de dicha asistencia por parte de ExoClick. Nada de lo dispuesto en la presente cláusula obligará a ExoClick a divulgar o revelar secretos comerciales.
Evaluación del impacto de la protección de datos. A petición del Socio, a costa del Socio, y en la medida en que lo exija la Ley de Protección de Datos, ExoClick ayudará al Socio a cumplir con cualquier evaluación de impacto de protección de datos requerida a petición del Socio, teniendo en cuenta la información disponible para ExoClick. En la medida en que lo exija el RGPD o el RGPD del Reino Unido, ExoClick proporcionará asistencia razonable al Socio en su cooperación o consulta previa con una Autoridad Reguladora en el desempeño de sus tareas relacionadas con esta cláusula.
Subencargados del tratamiento. ExoClick puede contratar a subencargados del tratamiento según lo establecido en el Anexo 1 “Servicios de Encargo del Tratamiento – Detalles del Tratamiento de Datos Personales“. El Socio proporciona a ExoClick la autorización general para contratar a otros subencargados del Tratamiento para llevar a cabo el Tratamiento de los Servicios de Encargo del Tratamiento pertinentes. Previa solicitud por escrito del Socio, ExoClick informará al Socio de cualquier cambio relativo a la adición o sustitución de subencargados. Si el Socio se opone a dichos cambios por motivos razonables en un plazo de treinta (30) días a partir de la notificación de ExoClick al Socio, las Partes debatirán de buena fe para encontrar una solución mutuamente aceptable. Si las Partes no llegan a un acuerdo, ExoClick podrá rescindir el APD en su totalidad o en parte con respecto únicamente a los Servicios de Encargo del Tratamiento afectados. Cuando contrate a otro Encargado del Tratamiento, ExoClick aceptará vincular a dicho Encargado y establecer las mismas obligaciones de protección de datos o más estrictas que las establecidas en el presente APD, en particular proporcionando garantías suficientes para aplicar medidas técnicas y organizativas similares.
Tratamiento de Datos Personales al margen de las instrucciones del Socio. No obstante lo anterior, si la legislación aplicable o una decisión vinculante de una autoridad competente exige que ExoClick procese Datos Personales al margen de las instrucciones del Socio para prestar los Servicios de Encargo de Tratamiento, ExoClick informará al Socio, a menos que la legislación aplicable prohíba lo contrario.
Auditoría. El Socio puede solicitar por escrito, a intervalos razonables, que ExoClick ponga a disposición del Socio información relativa al cumplimiento por parte de ExoClick de sus obligaciones en virtud de las Condiciones B de este APD en forma de una copia de las auditorías o certificaciones de terceros más recientes de ExoClick.
El Socio puede solicitar una auditoría in situ de las actividades de Procesamiento de ExoClick descritas en las Condiciones B de este APD notificándolo a ExoClick con una antelación razonable. Dicha auditoría in situ solo podrá llevarse a cabo cuando (i) la información facilitada por ExoClick según lo establecido anteriormente sea insuficiente, (ii) se haya producido una Vulneración de Datos Personales o (iii) dicha auditoría sea exigida por la Ley de Protección de Datos o por una Autoridad Reguladora.
Las Partes acordarán el alcance, el calendario y la duración de la auditoría. La auditoría no podrá interferir injustificadamente en las actividades de ExoClick.
El Socio sólo podrá nombrar a un auditor externo que no sea competidor de ExoClick. Dicho auditor externo deberá firmar un acuerdo de confidencialidad con ExoClick y el Socio antes de llevar a cabo la auditoría.
Tras la auditoría in situ, el Socio compartirá sin demora los resultados de dicha auditoría con ExoClick.
Las Partes pondrán a disposición de las Autoridades de Protección de Datos que lo soliciten la información mencionada en la presente cláusula, incluidos los resultados de cualquier auditoría.
El Socio correrá con todos los gastos relacionados con las auditorías.
Transferencias de datos personales. Cualquier transferencia de datos a un tercer país o a una organización internacional por parte de ExoClick se realizará únicamente sobre la base de instrucciones documentadas del Socio de conformidad con el Capítulo V del RGPD. El Socio acepta que cuando ExoClick contrate a un subencargado del tratamiento para llevar a cabo actividades específicas de Tratamiento (en nombre del Socio) y dichas actividades de Tratamiento impliquen una transferencia de Datos Personales en el sentido del Capítulo V del RGPD, ExoClick y el subencargado del tratamiento pueden garantizar el cumplimiento del Capítulo V del RGPD mediante el uso de cláusulas contractuales estándar adoptadas por la Comisión Europea en virtud del artículo 46, apartado 2, del RGPD, siempre que se cumplan las condiciones para el uso de dichas cláusulas contractuales estándar.
Consecuencias de la terminación. Si el Socio rescinde un Servicio de Encargo del Tratamiento, o si el APD expira o finaliza por cualquier motivo, ExoClick deberá, a elección del Socio, eliminar todos los Datos Personales procesados únicamente para ese Servicio de Encargo del Tratamiento, o devolver todos esos Datos Personales al Socio. ExoClick proporcionará certificación, según proceda, de que se han eliminado copias de dichos Datos Personales, a petición por escrito del Socio, sin perjuicio de las copias de seguridad operativas que ExoClick mantenga durante un período razonable conforme a las normas del sector. En caso de que la legislación aplicable prohíba a ExoClick eliminar los Datos Personales, ExoClick garantiza que seguirá velando por el cumplimiento de los T&C y de la presente APD, y que sólo procesará dichos Datos Personales en la medida y durante el tiempo que exija la legislación aplicable.
ANEXO 1
Servicios de Encargo del Tratamiento- Detalles del tratamiento de datos personales
1. Categoría de interesados
2. Subencargados
El Socio reconoce y autoriza el uso por parte de ExoClick de las siguientes entidades como Subencargados, según corresponda, en relación con los Servicios de Encargo del Tratamiento pertinentes:
ANEXO 2
Servicios de Encargo del Tratamiento – Medidas técnicas y organizativas
El tratamiento de los Datos Personales del Socio, por parte de ExoClick, se realizará siguiendo la normativa vigente en la materia, aplicando las medidas técnicas y organizativas correspondientes, por el tipo de datos tratados.
De acuerdo con lo anterior, ExoClick garantiza que ha implementado todas las medidas necesarias para el tratamiento de los Datos Personales titularidad del Socio y, asimismo, se compromete a realizar controles periódicos de verificación, bajo las medidas que se describen a continuación.
