1. Introducción.
Este Apéndice 1A solo se aplicará en la medida en que la Legislación Europea de Protección de Datos se aplique
al tratamiento de los Datos Personales del Responsable del Tratamiento de Datos.
2. Definiciones.
2.1 En este Apéndice 1A:
“Datos Personales del Responsable del Tratamiento de Datos de Reino Unido” hace referencia a los
Datos Personales del Responsable del Tratamiento de Datos de los Responsables del Tratamiento de Datos ubicados
en el Reino Unido.
“Datos Personales del Responsable del Tratamiento de Datos Europeo” hace referencia a los Datos
Personales del Responsable del Tratamiento de Datos de los Responsables del Tratamiento de Datos ubicados en el
EEE o Suiza.
“EEE” hace referencia al Espacio Económico Europeo.
“Leyes Europeas” hace referencia, según corresponda, (a) a la legislación de la UE o de un
Estado miembro de la UE (si se aplica el RGPD de la UE al tratamiento de Datos Personales del Responsable del
Tratamiento de Datos); (b) a la legislación del Reino Unido o de una parte del Reino Unido (si se aplica el RGPD
del Reino Unido al tratamiento de Datos Personales del Responsable del Tratamiento de Datos); y (c) a la
legislación de Suiza (si se aplica la FDPA de Suiza al tratamiento de Datos Personales del Responsable del
Tratamiento de Datos).
“País Adecuado” hace referencia a lo siguiente:
(a) En relación con los datos tratados de acuerdo con el RGPD de la UE: el EEE o un país o
territorio reconocido por garantizar una protección de datos adecuada de acuerdo con el RGPD de la UE.
(b) En relación con los datos tratados de acuerdo con el RGPD del Reino Unido: el Reino Unido
o un país o territorio reconocido por garantizar una protección de datos adecuada de acuerdo con el RGPD de
Reino Unido y la Ley de Datos Personales 2018 y/o;
(c) En relación con los datos tratados de acuerdo con la Ley Federal de Protección de Datos de
Suiza (FDPA, por sus siglas en inglés): Suiza; un país o territorio que esté: (i) incluido en la lista de
estados cuya legislación asegure un nivel adecuado de protección de acuerdo con lo publicado por el
Comisario Federal de Protección de Datos e Información de Suiza, o (ii) reconocido por garantizar una
protección de datos adecuada por el Consejo Federal suizo en virtud de la FDPA de Suiza, en cada caso,
aparte de basarse en un marco de protección de datos.
“SCCs del Responsable del Tratamiento de Datos” hace referencia a los términos incluidos en: business.safety.google/adscontrollerterms/sccs/c2c/.
“Solución Alternativa de Transferencia” hace referencia a una solución, diferente a las
Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos (SCC, por sus siglas en inglés), que
permite la transferencia legítima de datos personales a un tercer país de acuerdo con la Legislación Europea de
Protección de Datos, por ejemplo, un marco de protección de datos reconocido que garantice que las entidades
participantes ofrecen una protección adecuada.
“Responsables Finales del Tratamiento de Datos de Google” hace referencia a los Responsables
Finales del Tratamiento de los Datos Personales del Responsable del Tratamiento de Datos de Google.
“Transferencias Europeas Permitidas” hace referencia al tratamiento de Datos Personales del
Responsable del Tratamiento de Datos en, o la transferencia de Datos Personales del Responsable del Tratamiento
de Datos a, un País Adecuado.
“Transferencia(s) Europea(s) Restringida(s)” hace referencia a las transferencia(s) de Datos
Personales del Responsable del Tratamiento de Datos que: (a) están sujetas a la Legislación Europea de
Protección de Datos; y (b) no son Transferencias Europeas Permitidas.
2.2Los términos “importador de datos” y “exportador de
datos” tienen los significados que les atribuyen en las SCCs del Responsable del Tratamiento de
Datos.
3. Responsables Finales del Tratamiento de Datos de Google
Los Responsables Finales del Tratamiento de Datos de Google son: (i) para los Datos Personales del Responsable del
Tratamiento de Datos Europeo tratados por Google, Google Ireland Limited; y (ii) para los Datos Personales del
Responsable del Tratamiento de Datos de Reino Unido tratados por Google, Google LLC. Cada una de las partes se
asegurará, cuando corresponda, de que sus Responsables Finales del Tratamiento de Datos cumplan con las SCCs del
Responsable del Tratamiento de Datos.
4. Transferencias de Datos
4.1 Transferencias Europeas Restringidas. Cualquiera de las partes podrá realizar
Transferencias Europeas Restringidas si cumple con las previsiones para Transferencias Europeas Restringidas de
la Legislación Europea de Protección de Datos.
4.2 Solución Alternativa de Transferencia.
(a)Si Google ha adoptado una Solución Alternativa de Transferencia para cualquier Transferencia
Europea Restringida, entonces: (i) Google asegurará que dicha Transferencia Europea Restringida se haga de
acuerdo con la Solución Alternativa de Transferencia; y (ii) el párrafo 5 del presente Apéndice 1A (SCCs del
Responsable del Tratamiento de Datos) se aplicará a dichas Transferencias Europeas Restringidas.
(b)Si Google no ha adoptado, o ha informado al Cliente de que no va a adoptar una Solución
Alternativa de Transferencia para alguna de las Transferencias Europeas Restringidas, entonces aplicará el
párrafo 5 (del presente Apéndice 1A (SCCs del Responsable del Tratamiento de Datos)).
4.3 Otras Disposiciones sobre Transferencias
(a) Aplicación del Párrafo 4.3. Los párrafos 4.3(b) (Uso de los Datos
Personales del Proveedor de Datos) y 4.3(c) (Protección de los Datos Personales del Proveedor de Datos) del
presente Apéndice 1A, solamente se aplicarán en la medida que:
(i)Una de las partes (el “Receptor de los Datos”) procese los Datos
Personales del Responsable del Tratamiento de Datos que han sido puestos a su disposición por la
otra parte (el “Proveedor de Datos”) en relación con el Contrato (dichos Datos Personales del
Responsable del Tratamiento, “Datos Personales del Proveedor de Datos”);
(ii)El Proveedor de Datos o su Filial cuente con la certificación de una Solución
Alternativa de Transferencia; y
(iii)El Proveedor de Datos notifique por escrito al Receptor de los Datos de dicha
certificación de una Solución Alternativa de Transferencia.
(b)Uso de los Datos Personales del Proveedor de Datos.
(i)En la medida en que una Solución Alternativa de Transferencia incluya otro principio de
transferencia, de conformidad con tal otro principio de transferencia en virtud de la Solución
Alternativa de Transferencia pertinente, el Receptor de los Datos solamente podrá utilizar los Datos
Personales del Proveedor de Datos de manera coherente con el consentimiento prestado por el Interesado
del Responsable del Tratamiento de Datos pertinente.
(ii)En la medida en que el Proveedor de Datos no consiga obtener el consentimiento de los
Interesados del Responsable del Tratamiento de Datos pertinentes según lo estipulado en el Contrato, el
Receptor de los Datos no estará incumpliendo el párrafo 4.3(b) si utiliza los Datos Personales del
Proveedor de Datos de forma coherente con el consentimiento requerido.
(c)Protección de los Datos Personales del Proveedor de Datos.
(i)El Receptor de los Datos proporcionará un nivel de protección a los Datos Personales del
Proveedor de Datos que será, al menos, equivalente al exigido por la Solución Alternativa de
Transferencia aplicable.
(ii)Si el Receptor de los Datos determina que no puede cumplir con el párrafo 4.3(c)(i),
deberá: (A) notificar por escrito al Proveedor de Datos; y (B) dejar de procesar los Datos Personales
del Proveedor de Datos o tomar las medidas razonables y adecuadas para remediar dicho incumplimiento.
(d)Adopción y Certificación de Soluciones Alternativas de Transferencia. La
información acerca de la adopción o certificación por Google y/o sus filiales de alguna Solución Alternativa
de Transferencia está disponible en: https://business.safety.google/adsdatatransfers. El
presente apartado 4.3.(d) constituye la notificación escrita de las certificaciones actuales de Google o sus
Entidades Asociadas en la Fecha de Entrada en Vigor de los Términos a los efectos de lo previsto en el
apartado 4.3.(a)(iii).
5. SCCs del Responsable del Tratamiento de Datos
5.1 Transferencias de Datos Personales del Responsable del Tratamiento de Datos Europeo al
Cliente. En la medida en que:
(a)Google transfiera Datos Personales del Responsable del Tratamiento de Datos Europeo al
Cliente; y
(b)Dicha transferencia sea una Transferencia Europea Restringida, se considerará que el
Cliente, como importador de datos, ha suscrito las SCCs del Responsable del Tratamiento con Google Ireland
Limited (el Responsable Final del Tratamiento de Google pertinente) como exportador de datos, y las
transferencias estarán sujetas a las SCCs del Responsable del Tratamiento.
5.2 Transferencias de Datos Personales del Responsable del Tratamiento de Datos de Reino
Unido al Cliente. En la medida en que:
(a)Google transfiera Datos Personales del Responsable del Tratamiento de Datos de Reino Unido
al Cliente; y
(b)Dicha transferencia sea una Transferencia Europea Restringida, se considerará que el
Cliente, como importador de datos, ha suscrito las SCCs del Responsable del Tratamiento con Google LLC (el
Responsable Final del Tratamiento de Google pertinente) como exportador de datos, y las transferencias
estarán sujetas a las SCCs del Responsable del Tratamiento.
5.3 Transferencias de Datos Personales del Responsable del Tratamiento de Datos Europeo a
Google. Las partes reconocen que, en la medida en que el Cliente transfiera Datos Personales del
Responsable del Tratamiento de Datos Europeo a Google, las SCCs del Responsable del Tratamiento de Datos no
serán necesarias porque la dirección de Google Ireland Limited (el Responsable Final del Tratamiento de Google
pertinente) está ubicada en un País Adecuado, y dichas transferencias son Transferencias Europeas Permitidas.
Esto no afecta a las obligaciones de Google en virtud del párrafo 4.1 del presente Apéndice 1A (Transferencias
Europeas Restringidas).
5.4Transferencias de Datos Personales del Responsable del Tratamiento de Datos de Reino
Unido a Google. En la medida en que el Cliente transfiera Datos Personales del Responsable del
Tratamiento de Datos de Reino Unido a Google, se considerará que el Cliente, como exportador de datos, ha
suscrito las SCCs del Responsable del Tratamiento de Datos con Google LLC (el Responsable Final del Tratamiento
de Google pertinente), como importador de datos, y dichas transferencias quedarán sujetas a las SCCs del
Responsable del Tratamiento de Datos, ya que la dirección de Google LLC no está ubicada en un País Adecuado.
5.5 Ponerse en Contacto con Google; Información del Cliente.
(a)El Cliente podrá ponerse en contacto con Google Ireland Limited y/o con Google LLC en
relación con las SCCs del Responsable del Tratamiento de Datos a través de https://support.google.com/policies/troubleshooter/9009584 o a través de
otros medios que Google pueda habilitar en cada momento.
(b)El Cliente reconoce que, en la medida en que las SCCs del Responsable del Tratamiento exijan
a Google registrar determinada información, incluyendo (i) la identidad y los detalles de contacto del
importador de datos (incluida cualquier persona de contacto responsable de la protección de datos); y (ii)
las medidas técnicas y organizativas implementadas por el importador de datos. En consecuencia, el Cliente,
cuando se le solicite y le sea aplicable, deberá proveer tal información a Google a través de los medios que
Google pueda proporcionar, asegurándose de que toda la información facilitada sea precisa y esté
actualizada.
5.6Respuesta a las Consultas de los Interesados. Los importadores de datos
pertinentes serán los responsables de responder a las consultas de los interesados, así como la autoridad
supervisora en relación con el tratamiento de los Datos Personales del Responsable del Tratamiento pertinentes
por el importador de datos.
5.7Eliminación de Datos al Finalizar el Contrato. En la medida en que:
(a)Google LLC actúe como un importador de datos y el Cliente actúe como un exportador de Datos
en virtud de las SCCs del Responsable del Tratamiento de Datos; y
(b)El Cliente finalice el Contrato de acuerdo con la Cláusula 16(c) de las SCCs del Responsable
del Tratamiento de Datos, entonces, a los efectos de la Cláusula 16(d) de las SCCs del Responsable del
Tratamiento de Datos, el Cliente ordena a Google que elimine los Datos Personales del Responsable del
Tratamiento de Datos y, salvo que las Leyes Europeas exijan su almacenamiento, Google facilitará tal
eliminación tan pronto como sea razonablemente posible (teniendo en cuenta que Google es un Responsable del
Tratamiento de Datos independiente de dichos datos, además de la naturaleza y funcionalidad de los Servicios
del Responsable del Tratamiento de Datos).
6.Responsabilidades cuando apliquen las SCCs del Responsable del Tratamiento de Datos.
Cuando las SCCs del Responsable del Tratamiento de Datos apliquen en virtud del párrafo 5 del presente Apéndice 1A
(SCCs del Responsable del Tratamiento de Datos), serán responsables conjuntamente:
(a)Google, Google LLC y Google Ireland Limited frente al Cliente; y
(b)El Cliente frente a Google, Google LLC y Google Ireland Limited en relación con el Contrato y
con las SCCs del Responsable del Tratamiento de Datos que, estarán sometidas de manera conjunta a lo dispuesto
en la Sección 5 (Responsabilidad). La Cláusula 12 de las SCCs del Responsable del Tratamiento de Datos no
afectará a la oración anterior.
7.Terceros Beneficiarios
Cuando Google LLC y/o Google Ireland Limited no sean parte en el Contrato pero sí sean parte en las SCCs del
Responsable del Tratamiento de Datos aplicables, de acuerdo con lo dispuesto en el párrafo 5 del presente Apéndice
1A (SCCs del Responsable del Tratamiento de Datos), Google LLC y/o Google Ireland Limited (según corresponda) podrán
ser terceros beneficiarios en virtud de las Secciones 4.3 (Responsables Finales del Tratamiento de Datos), y los
párrafos 3 ( (Responsables Finales del Tratamiento de Datos de Google), , 5 (SCCs del Responsable del Tratamiento de
Datos) y 6 (Responsabilidades cuando apliquen las SCCs del Responsable del Tratamiento de Datos) del presente
Apéndice 1A. En la medida en que este párrafo 7 (Terceros Beneficiarios) entre en conflicto o sea incompatible con
otra cláusula del Contrato, se aplicará el presente párrafo 7 (Terceros Beneficiarios).
8. Prioridad
8.1Si hay algún conflicto o discrepancia entre las SCCs del Responsable del Tratamiento de Datos,
el presente Apéndice 1A, el resto de los Términos Aplicables a los Responsables del Tratamiento de Datos y/o el
resto del Contrato, prevalecerán las SCCs del Responsable del Tratamiento de Datos.
8.2Cláusulas Comerciales Adicionales. Sin perjuicio de las modificaciones
introducidas en estos Términos Aplicables a los Responsables del Tratamiento de Datos, el Contrato seguirá
vigente a todos los efectos. Los párrafos 5.5 (Ponerse en Contacto con Google) a 5.7 (Eliminación de Datos al
Finalizar el Contrato) y el párrafo 6 (Responsabilidades cuando apliquen las SCCs del Responsable del
Tratamiento de Datos) de este Apéndice 1A son cláusulas comerciales adicionales relativas a las SCCs del
Responsable del Tratamiento de Datos, según lo dispuesto en la Cláusula 2(a) de las SCCs del Responsable del
Tratamiento de Datos (Efectos e Invariabilidad de la Cláusulas).
8.3No Modificación de las SCCs del Responsable del Tratamiento de Datos. Nada de
lo dispuesto en el Contrato (incluyendo estos Términos Aplicables a los Responsables del Tratamiento de Datos)
tiene por objeto modificar o contradecir las SCCs del Responsable del Tratamiento de Datos ni menoscabar los
derechos o libertades fundamentales de los Interesados en virtud de la Legislación Europea de Protección de
Datos.
1. Introducción
Google puede ofrecer y el Cliente puede permitir determinados ajustes, configuraciones u otras funcionalidades dentro del producto para los Servicios del Responsable del Tratamiento de Datos en relación con el tratamiento de datos restringido, según lo dispuesto en la documentación de apoyo disponible en business.safety.google/rdp/, actualizada periódicamente (“Tratamiento de Datos Restringido”). Este Apéndice 1B refleja el acuerdo de las partes sobre el tratamiento de los Datos Personales del Cliente y los Datos no Identificativos (tal y como se definen a continuación) en virtud del Contrato y en conexión con las Leyes de Privacidad de los Estados de Estados Unidos, y será efectivo únicamente en la medida en que se aplique la Ley de Privacidad de cada Estado de Estados Unidos.
2. Definiciones Adicionales e Interpretación.
En este Apéndice 1B:
(a)“Datos Personales del Cliente” hace referencia a los datos personales tratados por Google en nombre del Cliente durante la prestación de los Servicios del Responsable de Tratamiento por Google.
(b)“Datos no Identificativos” hace referencia a datos de información que está “desidentificada” (según la definición de este término en la CCPA) y “datos desidentificados” (según la definición de las demás Leyes de Privacidad de los Estados de Estados Unidos), cuando una de las partes los divulga a la otra.
(c)“Instrucciones” hace referencia, de manera colectiva, a la instrucciones del Cliente a Google para tratar los Datos Personales del Cliente únicamente en la media en que lo establezcan las Leyes de Privacidad de los Estados de Estados Unidos para: (a) proporcionar los Servicios TDR y cualquier asistencia técnica relacionada con ellos; (b) en la medida en que se especifique a través del uso que el Cliente haga de los Servicios TDR (incluyendo los ajustes y otras funcionalidades de dichos Servicios TDR) y cualquier asistencia técnica relacionada con ellos; (c) tal y como se documente en el formulario del Contrato, incorporado en el presente Apéndice 1B; (d) tal y como se documente en cualquier otra instrucción escrita facilitada por el Cliente y reconocida por Google como las instrucciones constitutivas a los efectos del propósito del presente Apéndice 1B; y (e) para procesar los Datos Personales del Cliente según lo permitido por las Leyes de Privacidad de los Estados de Estados Unidos para los proveedores de servicios y los Encargados del Tratamiento de Datos.
(d)“Plazo” hace referencia al período comprendido entre la Fecha de Entrada en Vigor de los Términos y el final de la prestación de los Servicios del Responsable del Tratamiento de Datos en virtud de estos Términos.
(e)“Servicios TDR” hace referencia a los Servicios del Responsable del Tratamiento en funcionamiento bajo el Tratamiento de Datos Restringidos.
(f) Los términos “empresa”, “consumidor”, “información personal”, “venta(s)”, “vender”, “proveedor de servicios”, y “compartir”, tal y como se usan en este Apéndice 1B, tienen los significados que se les atribuyen en las Leyes de Privacidad de los Estados de Estados Unidos.
(g)El Cliente es el único responsable del cumplimiento de cada una de las Leyes de Privacidad de los Estados de Estados Unidos en el uso que haga de los servicios de Google, incluyendo el Tratamiento de Datos Restringido.
3. Términos de las Ley de Privacidad de los Estados de Estados Unidos (bajo el Tratamiento de Datos Restringido).
Con respecto a los Datos Personales del Cliente tratados en el marco del Tratamiento de Datos Restringido, y en la medida en que una o más de las Leyes de Privacidad de los Estados de Estados Unidos apliquen al tratamiento de los Datos Personales del Cliente:
3.1.1Roles y Cumplimiento Normativo; Autorización.
(a)Responsabilidades del Responsable del Tratamiento y del Encargado del Tratamiento de Datos. Las partes reconocen y aceptan que:
(i) El párrafo 7 del presente Apéndice 1B (Objeto y Detalles del Tratamiento de Datos bajo las Leyes de Privacidad de los Estados de Estados Unidos) describe el objeto y los detalles del tratamiento de los Datos Personales del Cliente;
(ii)Google es un proveedor de servicios y un encargado de los Datos Personales del Cliente bajo las Leyes de Privacidad de los Estados de Estados Unidos;
(iii)El Cliente es un responsable o un encargado, según corresponda, de los Datos Personales del Cliente bajo las Leyes de Privacidad de los Estados de Estados Unidos; y
(b)Clientes Encargados del Tratamiento. Si el Cliente es un encargado:
(i)El Cliente garantiza de forma continuada que el responsable pertinente ha autorizado: (A) las Instrucciones, (B) la designación de Google como otro Encargado del Tratamiento por parte del Cliente, y (C) la contratación de subcontratistas, según lo descrito en el párrafo 3.6 (Subcontratistas) de este Apéndice 1B.
(ii)El Cliente remitirá de manera inmediata al Responsable del Tratamiento cualquier noticia facilitada por Google según lo dispuesto en los párrafos 3.3.2(a) (Notificación de Incidentes) y 3.6 (Subcontratistas); y
(iii)El Cliente podrá poner a disposición del Responsable del Tratamiento pertinente cualquier información facilitada por Google según lo dispuesto en los párrafos 3.3.3(c) (Derechos de auditoría del Cliente), y 3.6 (Subcontratistas).
3.1.2Instrucciones del Cliente. En virtud de este Apéndice 1B, el Cliente da instrucciones a Google para el tratamiento de los Datos Personales del Cliente únicamente de conformidad con las Instrucciones.
3.1.3Cumplimiento de las Instrucciones por parte de Google. Google cumplirá las instrucciones a menos que lo prohíban las Leyes de Privacidad de los Estados de Estados Unidos.
3.1.4 Productos Adicionales. Si el Cliente usa algún producto, servicio o aplicación provista por Google o por un tercero que: (a) no sea parte de los Servicios TDR; y (b) sea accesible para su uso dentro de la interfaz de usuario de los Servicios TDR o esté integrada de algún otro modo en los Servicios TDR (el “Producto Adicional”), los Servicios TDR podrán permitir que dicho Producto Adicional acceda a los Datos Personales del Cliente en la medida en que la interoperación del Producto Adicional con los Servicios TDR así lo requiera. Para mayor claridad, este Apéndice 1B no aplica al tratamiento de datos personales en relación con el suministro de algún Producto Adicional utilizado por el Cliente, incluyendo datos personales transmitidos a o desde dicho Producto Adicional.
3.2Eliminación de Datos al Expirar el Plazo. El Cliente ordena a Google borrar los restantes Datos Personales del Cliente en su totalidad (incluyendo las copias existentes) de los sistemas de Google al terminar el plazo de acuerdo con la ley aplicable. Google cumplirá con esta orden tan pronto como sea razonablemente posible dentro del período máximo de 180 días, salvo que las leyes aplicables requieran su almacenamiento.
3.3 Seguridad de los Datos.
3.3.1Medidas de Seguridad y Asistencia de Google.
(a)Medidas de Seguridad de Google. Google implementará y mantendrá medidas técnicas y organizativas para proteger los Datos Personales del Cliente frente a la destrucción accidental o ilícita, la pérdida, la alteración y la divulgación o el acceso no autorizados (“Medidas de Seguridad”). Las Medidas de Seguridad incluyen medidas: (i) para cifrar datos personales; (ii) para ayudar a asegurar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y los servicios de Google; (iii) para ayudar a restaurar el acceso oportuno a los datos personales después de un incidente; y (iv) para hacer pruebas periódicas de efectividad. Google podrá actualizar o modificar las Medidas de Seguridad ocasionalmente, siempre y cuando dichas actualizaciones y modificaciones no provoquen una degradación de la seguridad general de los Datos Personales del Cliente.
(b)Acceso y cumplimiento. Google se asegurará de que todas las personas autorizadas para tratar los Datos Personales del Cliente se hayan comprometido a mantener la confidencialidad de estos datos o tengan una obligación legal pertinente de confidencialidad.
(c)Asistencia de Seguridad de Google. Google (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Cliente y la información que Google tenga a su disposición) ayudará al Cliente a asegurar el cumplimiento de las obligaciones del Cliente (o, si el Cliente es un encargado, del responsable que corresponda) relativas a la seguridad de los datos personales y las brechas de seguridad de datos personales, incluyendo las obligaciones del Cliente (o, cuando el Cliente es un encargado, del responsable que corresponda) relativas a la seguridad de los datos personales y a las brechas de seguridad de datos personales bajo las Leyes de Privacidad de los Estados de Estados Unidos, de la siguiente manera:
(i)implementar y mantener las Medidas de Seguridad de conformidad con el párrafo 3.3.1(a) (Medidas de Seguridad de Google);
(ii)cumplir los términos del párrafo 3.3.2 (Incidentes de Datos); y
(iii)proporcionar al Cliente los derechos garantizados en virtud del párrafo 3.3.3(c) (Derechos de Auditoría del Cliente).
3.3.2Incidentes de Datos.
(a)Notificación de Incidentes. Si Google tiene conocimiento de un Incidente de Datos (tal y como se define a continuación), Google: (i) notificará al Cliente el Incidente de Datos sin retrasos indebidos; y (ii) tomará medidas razonables lo antes posible para minimizar los daños y proteger los Datos Personales del Cliente. En este Apéndice 1B, “Incidentes de Datos” se refiere a una brecha de la seguridad de Google que provoque de manera accidental o ilegal la destrucción, pérdida, alteración, divulgación no autorizada, o acceso a los Datos Personales del Cliente en los sistemas gestionados o controlados de algún otro modo por Google. Los “Incidentes de Datos” no incluirán los intentos o actividades infructuosos que no comprometan la seguridad de los Datos Personales del Cliente, incluyendo los intentos fallidos de inicio de sesión, los pings, los escaneos de puertos, los ataques de denegación de servicio y demás ataques contra cortafuegos o sistemas en red.
(b)Entrega de la Notificación. Google entregará su notificación de cualquier Incidente de Datos mediante la Dirección de Correo Electrónico de Notificaciones designado por el Cliente, a través de la interfaz de usuario de los Servicios TDR o a través de otro medio provisto por Google, para recibir determinadas notificaciones de Google relacionadas con este Apéndice 1B (“Correo Electrónico de Notificaciones”) o, a discreción de Google (incluido el caso de que el Cliente no haya proporcionado ninguna Dirección de Correo Electrónico de Notificaciones), a través de otro medio de comunicación directa (por ejemplo, por teléfono, correo electrónico o en una reunión presencial). El Cliente es el único responsable de proporcionar la Dirección de Correo Electrónico de Notificaciones y de asegurarse de que esté actualizada y sea válida.
(c)Notificaciones de Terceros. El Cliente es el único responsable de cumplir las leyes de notificación de incidentes aplicables al Cliente y de satisfacer cualquier obligación de notificación a terceros relacionada con cualquier Incidente de Datos.
(d) Ausencia de reconocimiento de culpa por parte de Google. La notificación por parte de Google de un Incidente de Datos o la respuesta de Google a un Incidente de Datos en virtud de este párrafo 3.3.2 (Incidentes de Datos) no deberá interpretarse como un reconocimiento por parte de Google de ninguna culpa ni responsabilidad con respecto al Incidente de Datos.
3.3.3 Responsabilidades y evaluación de seguridad del Cliente.
(a)Responsabilidades de seguridad del Cliente. El Cliente acepta que, sin perjuicio de las obligaciones de Google en virtud de los párrafos 3.3.1 (Medidas de Seguridad y asistencia de Google) y 3.3.2 (Incidentes de Datos):
(i)El Cliente es responsable del uso que haga de los Servicios TDR, incluyendo: (1) hacer un uso adecuado de los Servicios TDR para asegurar un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales del Cliente; y (2) proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que use el Cliente para acceder a los Servicios TDR; y
(ii)Google no tiene ninguna obligación de proteger los Datos Personales del Cliente que el Cliente decida almacenar o transferir fuera de los sistemas de Google y de los de sus subcontratistas.
(b)Evaluación de seguridad del Cliente. El Cliente reconoce y acepta que las Medidas de Seguridad implementadas y mantenidas por Google según lo estipulado en el párrafo 3.3.1(a) (Medidas de Seguridad de Google) proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales del Cliente, teniendo en cuenta los últimos avances técnicos, los costes de implementación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento de los Datos Personales del Cliente, así como los riesgos para las personas.
(c)Derechos de Auditoría del Cliente.
(i)El Cliente puede llevar a cabo una auditoría para verificar el cumplimiento por parte de Google de sus obligaciones en virtud del presente Apéndice 1B, solicitando y revisando (1) un certificado emitido para la verificación de seguridad que refleje el resultado de una auditoría realizada por un auditor externo (por ejemplo, una certificación SOC 2 Tipo II o ISO/IEC 27001, otra certificación comparable u otra certificación de seguridad de una auditoría realizada por un auditor externo acordado por el Cliente y Google) dentro de los 12 primeros meses desde la fecha de la solicitud del Cliente y (2) cualquier otra información que Google determine que es razonablemente necesaria para que el Cliente verifique dicho cumplimiento.
(ii)Alternativamente, Google podrá, a su entera discreción y en respuesta a una solicitud del Cliente, iniciar una auditoría externa para verificar el cumplimiento de Google con sus obligaciones en virtud del presente Apéndice 1B. Durante dicha auditoría, Google pondrá a disposición del auditor externo toda la información necesaria para demostrar dicho cumplimiento. Cuando el Cliente solicite dicha auditoría, Google podrá cobrar una tarifa (basada en los costes razonables de Google) para cualquier auditoría. Google proporcionará al Cliente los detalles de la tarifa aplicable y la manera de calcularla antes de comenzar la realización de dicha auditoría. El Cliente será responsable de las tarifas cobradas por cualquier auditor externo designado por el Cliente para llevar a cabo cualquier auditoría.
(iii)Nada de lo dispuesto en el presente Apéndice 1B obligará a Google a revelar al Cliente o a su auditor externo, ni permitir al Cliente o a su auditor externo el acceso a:
(1)cualquier dato o cualquier otro cliente de la Entidad de Google;
(2)cualquier contabilidad interna o información financiera de una Entidad de Google;
(3)cualquier secreto comercial de una Entidad de Google;
(4)cualquier información que, según la opinión razonable de Google, pueda: (A) comprometer la seguridad de alguno de los sistemas o instalaciones de alguna Entidad de Google; o (B) causar que alguna Entidad de Google tenga que incumplir alguna de sus obligaciones bajo las Leyes de Privacidad de los Estados de Estados Unidos o alguna de sus obligaciones de seguridad y/o privacidad con el Cliente o con un tercero; o
(5)cualquier información a la que el Cliente o su auditor externo pretendan acceder por cualquier otra razón que no sea el cumplimiento de la buena fe y de las obligaciones del Cliente bajo las Leyes de Privacidad de los Estados de Estados Unidos.
3.4Asistencia con las Evaluaciones de Impacto. Google (teniendo en cuenta la naturaleza del tratamiento y la información disponible para Google) ayudará al Cliente a asegurar el cumplimiento de las obligaciones del Cliente (o, si el Cliente es un encargado, de las obligaciones del responsable que corresponda) relativas a las evaluaciones de impacto sobre protección de datos y consultas regulatorias previas en la medida en que lo requieran las Leyes de Privacidad de los Estados de Estados Unidos:
(a) proporcionando la Documentación de Seguridad;
(b) proporcionando la información incluida en el Contrato (incluido el presente Apéndice 1B); y
(c) proporcionando o poniendo a disposición, de acuerdo con las prácticas estándar de Google, otros materiales relacionados con la naturaleza de los Servicios TDR y el tratamiento de los Datos Personales del Cliente (por ejemplo, materiales del centro de ayuda).
3.5Derechos de los Interesados..
3.5.1Respuestas a Solicitudes de los Interesados. Si Google recibe una solicitud de un interesado en relación con los Datos Personales del Cliente, el Cliente autoriza a Google a hacer lo siguiente (y Google, por la presente, notifica al Cliente que lo hará):
(a) responder directamente a la solicitud del interesado de acuerdo con la funcionalidad estándar de una herramienta (en su caso) puesta a disposición de los interesados por una Entidad de Google que permita a Google responder directamente y de manera estandarizada a determinadas solicitudes de interesados en relación con los Datos Personales del Cliente (por ejemplo, la configuración de la publicidad online o un plugin de inhabilitación del navegador) (“Herramienta del Interesado”) (si la solicitud se realiza a través de una Herramienta del Interesado); o
(b) informar al interesado para que envíe su solicitud al Cliente y el Cliente será responsable de responder a dicha solicitud (si la solicitud no se realiza a través de una Herramienta del Interesado).
3.5.2Asistencia de Google en relación con la solicitud del interesado. Google ayudará al Cliente a cumplir sus obligaciones (o, si el Cliente es un encargado, las del responsable que corresponda) contraídas en virtud de las Leyes de Privacidad de los Estados de Estados Unidos para responder a solicitudes de ejercicio de los derechos del interesado, teniendo en cuenta en todo caso la naturaleza del tratamiento de los Datos Personales del Cliente y:
(a) proporcionando la funcionalidad de los Servicios TDR;
(b) cumpliendo los compromisos establecidos en el párrafo 3.5.1 (Respuestas a Solicitudes de los Interesados); y
(c) si se aplica a los Servicios TDR, poniendo a disposición Herramientas del Interesado.
3.5.3Rectificación. Si el Cliente detecta que cualquier Dato Personal del Cliente es impreciso o está obsoleto, el Cliente será responsable de rectificar o eliminar ese dato si así lo exigen las Leyes de Privacidad de los Estados de Estados Unidos, incluso (si estuviesen disponibles) mediante las funciones de los Servicios TDR.
3.6Subcontratistas.
(a) El Cliente autoriza de manera general a Google para contratar a otras entidades como subcontratistas en relación con la prestación de los Servicios TDR. Cuando se contrata a un subcontratista, Google lo hará:
(i) asegurándose a través de un contrato escrito de que: (1) el subcontratista solamente accede a los Datos Personales del Cliente en la medida necesaria para cumplir con las obligaciones subcontratadas, y lo hace de conformidad al Contrato (incluyendo el presente Apéndice 1B); y (2) si el tratamiento de los Datos Personales del Cliente está sujeto a las Leyes de Privacidad de los Estados de Estados Unidos, garantice que se impongan al subcontratista las obligaciones de protección de datos descritas en el presente Apéndice 1B;
(ii) cuando se contrate a algún nuevo subcontratista, informando de dicha subcontratación cuando así lo requieran las Leyes de Privacidad de los Estados de Estados Unidos, y, ofreciendo la oportunidad al Cliente de oponerse a dicha subcontratación cuando así lo exijan las Leyes de Privacidad de los Estados de Estados Unidos; y
(iii) siendo plenamente responsable de todas las obligaciones subcontratadas, así como de todos los actos y omisiones del subcontratista.
(b) El Cliente podrá oponerse a cualquier nuevo subcontratista, resolviendo el Contrato por conveniencia de manera inmediata, mediante una notificación por escrito a Google, con la condición de que el Cliente presente dicha notificación en el plazo de 90 días desde que fue informado de la contratación del nuevo subcontratista en virtud de lo descrito en la Sección 3.6(a)(ii) del presente Contrato.
3.7Ponerse en contacto con Google. El Cliente podrá ponerse en contacto con Google en relación con el ejercicio de sus derechos en virtud de este Apéndice 1B mediante los métodos descritos en privacy.google.com/businesses/processorsupport o a través de otros medios que pueda proporcionar Google cada cierto tiempo.
4. Términos de la Ley de Privacidad del Estado de los Estados Unidos
4.1Datos no Identificativos. Con respecto a los Datos Personales del Cliente procesados con o sin el Tratamiento de Datos Restringido habilitado, y en la medida en que una o más de las Leyes de Privacidad de los Estados de los Estados Unidos se apliquen al tratamiento de los Datos Personales del Cliente, cada parte cumplirá con los requisitos para el tratamiento de los Datos no Identificativos establecidos en las Leyes de Privacidad de los Estados de Estados Unidos respecto a cualquier Dato no Identificativo que reciba la otra parte en virtud del Contrato. A efectos del presente apartado 4.1 (Datos no Identificativos), se entenderá por Datos Personales del Cliente a cualquier dato personal que sea procesado por una de las partes en virtud del Contrato y en relación con su prestación o uso de los Servicios del Responsable del Tratamiento de Datos.
5. Obligaciones de Google en virtud de la CCPA.
5.1Con respecto a los Datos Personales del Cliente procesados bajo el Tratamiento de Datos Restringido y en la medida en que la CCPA se aplique a dicho tratamiento de los Datos Personales del Cliente, Google actuará como un proveedor de servicios del Cliente y, como tal, salvo que la CCPA permita lo contrario a los proveedores de servicios, según determine Google de manera razonable:
(a)Google no venderá ni compartirá ningún Dato Personal del Cliente que obtenga del Cliente en relación con el Contrato;
(b)Google no retendrá, usará o publicará los Datos Personales del Cliente (incluso fuera de la relación comercial directa entre Google y el Cliente) más allá de los fines comerciales en virtud de la CCPA, en nombre del Cliente y con el fin específico de prestar los Servicios TDR, tal y como se describe con más detalle en la documentación de apoyo disponible en: https://business.safety.google/rdp/, actualizados periódicamente;
(c)Google no combinará los Datos Personales del Cliente que Google recibe de o en nombre del Cliente con (i) las informaciones personales que Google recibe de o en nombre de otra persona o personas o (ii) las informaciones personales recogidas por la propia interacción de Google con un consumidor, tal y como se describe con más detalle en la documentación de apoyo disponible en: https://business.safety.google/rdp/, excepto en la medida en que lo permita la CCPA;
(d)Google procesará dichos Datos Personales del Cliente con el fin específico de realizar los Servicios TDR, como se describe de manera más extensa en el Contrato y en la documentación de apoyo (por ejemplo, los artículos del centro de ayuda), o si la CCPA lo permitiese de otra manera y las partes estuvieran de acuerdo en que el Cliente está poniendo dichos Datos Personales del Cliente a disposición de Google para tales fines;
(e)Google permitirá auditorías para verificar el cumplimiento de Google con sus obligaciones bajo estos Apéndice 1B de acuerdo con el párrafo 3.3.3(c) (Derechos de Auditoría del Cliente).
(f)Google notificará al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA. Este párrafo 5.1(f) no reduce los derechos ni las obligaciones de ninguna de las partes en el resto del Contrato;
(g)si el Cliente razonablemente considera que Google está tratando los Datos Personales del Cliente de una manera no autorizada, el Cliente tiene el derecho de informar a Google de tal suposición a través de los métodos descritos
enprivacy.google.com/businesses/processorsupport, y las partes trabajarán juntas y con buena fe para remediar las actividades de tratamiento presuntamente ilegítimas, si es necesario; y
(h)Google cumplirá con las obligaciones aplicables bajo la CCPA y proveerá el mismo nivel de protección de la privacidad requerido por la CCPA.
5.2 Respecto de los Datos Personales del Cliente procesados sin el Tratamiento de Datos Restringido habilitado, y en la medida en que la CCPA aplique al procesamiento de los Datos Personales del Cliente:
(a)Google procesará dichos Datos Personales del Cliente con el fin específico de realizar los Servicios del Responsable del Tratamiento, cuando corresponda, tal y como se describe en el Contrato y en la documentación de apoyo (por ejemplo, los artículos del centro de ayuda), o si la CCPA lo permitiese de otra manera y las partes estuvieran de acuerdo en que el Cliente está poniendo dichos Datos Personales del Cliente a disposición de Google para tales fines;
(b)Google permitirá auditorías para verificar el cumplimiento de Google con sus obligaciones bajo este Apéndice 1B de acuerdo con el párrafo 3.3.3(c) (Derechos de Auditoría del Cliente);
(c)Google notificará al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA;
(d)Si el Cliente razonablemente considera que Google está tratando los Datos Personales del Cliente de una manera no autorizada, el Cliente tiene el derecho de informar a Google de tal suposición a través de los métodos descritos en
privacy.google.com/businesses/processorsupport, y las partes trabajarán juntas y con buena fe para remediar las actividades de tratamiento presuntamente ilegítimas, si es necesario; y
(e)Google cumplirá con las obligaciones aplicables bajo la CCPA y proveerá el mismo nivel de protección de la privacidad requerido por la CCPA.
6. Cambios al presente Apéndice 1B.
Además de lo dispuesto en la Sección 7 de los Términos Aplicables a los Responsables del Tratamiento de Datos (Cambios en estos Términos Aplicables a los Responsables del Tratamiento de Datos), Google podrá, cuando corresponda, modificar este Apéndice 1B sin notificar el cambio si dicho cambio (a) se basa en la legislación aplicable, en la normativa aplicable, en una orden judicial, o en una directriz emitida por un gobierno o agencia reguladora; o (b) no produce un impacto material adverso en el Cliente bajo las Leyes de Privacidad de los Estados de Estados Unidos, según razonablemente lo determine Google.
7. Objeto y Detalles del Tratamiento de Datos en virtud de las Leyes de Privacidad de los Estados de Estados Unidos
Objeto
La prestación por parte de Google de los Servicios TDR y de cualquier soporte técnico relacionado con el Cliente.
Duración del tratamiento
La Vigencia más el periodo desde el final de esta hasta la eliminación de todos los Datos Personales del Cliente por parte de Google de acuerdo con este Apéndice 1B.
Naturaleza y Finalidad del Tratamiento
Google tratará (incluyendo, según corresponda a los Servicios TDR y las Instrucciones, recogiendo, registrando, organizando, estructurando, almacenando, alterando, recuperando, utilizando, divulgando, combinando, borrando y destruyendo) los Datos Personales del Cliente con la finalidad de proporcionar los Servicios TDR y cualquier soporte técnico relacionado al Cliente de acuerdo con el presente Apéndice 1B, o según lo permitido por los procesadores en virtud de las Leyes de Privacidad de los Estados de Estados Unidos.
Tipos de Datos Personales
Los datos Personales del Cliente pueden incluir los tipos de datos personales descritos en virtud de las Leyes de Privacidad de los Estados de Estados Unidos.
Categorías de Interesados
Los Datos Personales del Cliente afectarán a las siguientes categorías de interesados:
- interesados sobre los que Google recopila datos personales al prestar sus Servicios TDR; y/o
- interesados cuyos datos personales se transfieren a Google en relación con los Servicios TDR por parte del Cliente, siguiendo las indicaciones del Cliente o en su nombre.
En función de la naturaleza de los Servicios TDR, estos interesados pueden incluir individuos: (a) a quienes haya ido o vaya dirigida en un futuro la publicidad online; (b) que hayan visitado sitios web o aplicaciones específicos con respecto a los cuales Google proporcione los Servicios TDR y/o c) que sean clientes o usuarios de los productos o servicios del Cliente.