Términos de Protección de Datos entre Responsables del Tratamiento de Datos de Google Ads

1. Introducción

Estos Términos Aplicables a los Responsables del Tratamiento de Datos reflejan el acuerdo entre las partes con respecto al tratamiento de los Datos Personales del Responsable del Tratamiento de Datos.

2. Definiciones e interpretación

2.1 En estos Términos Aplicables a los Responsables del Tratamiento de Datos:

“Datos Personales del Responsable del Tratamiento de Datos” hace referencia a todos los datos personales tratados por una parte en virtud del Contrato en relación con la prestación o el uso (según corresponda) de los Servicios del Responsable del Tratamiento de Datos.

“Entidad Asociada” hace referencia a una entidad que, directa o indirectamente, controle a una parte, esté controlada por una parte o esté sujeta al mismo control que una parte.

“Entidad de Google” hace referencia a Google LLC, Google Ireland Limited o cualquier otra Entidad Asociada de Google LLC.

“FDPA de Suiza” hace referencia, según sea de aplicación, a la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza) (con la Ordenanza de la Ley Federal de Protección de Datos de 14 de junio de 1993), o a la Ley Federal de Protección de Datos revisada, de 25 de septiembre de 2020 (con la Ordenanza de la Ley Federal de Protección de Datos de 31 de agosto de 2022).

“Fecha de Entrada en Vigor de los Términos” hace referencia a la fecha en la que el Cliente haya hecho clic para aceptar o en la que las partes hayan acordado estos Términos Aplicables a los Responsables del Tratamiento de Datos.

“Google” hace referencia a la Entidad de Google que sea parte del Contrato.

“Interesado del Responsable del Tratamiento de Datos” hace referencia al interesado a quien conciernen los Datos Personales del Responsable del Tratamiento de Datos.

“Legislación Aplicable de Protección de Datos” hace referencia, en aplicación al tratamiento de Datos Personales por el Responsable de Protección de Datos, a cualquier legislación nacional, federal, de la UE, de estado, provincial u otra normativa o regulación, incluyendo la Legislación Europea de Protección de Datos, la LGPD y las Leyes de Privacidad de EE.UU.

“Legislación Europea de Protección de Datos” hace referencia, según corresponda, a) al RGPD y/o b) a la FDPA de Suiza.

“Leyes de Privacidad de los Estados de Estados Unidos” hace referencia, según corresponda: (i) a la Ley de Privacidad del Consumidor de California de 2018 (incluyendo las modificaciones añadidas por la Ley de los Derechos de Privacidad de California de 2020) junto con toda la normativa de aplicación (“CCPA”); (ii) a la Ley de Protección de Datos del Consumidor de Virginia,Va Code Ann. § 59.1-571 et seq.”; (iii) a la Ley de Privaciad de Colorado, Colo. Rev. Stat. § 6-1-1301 et seq.; (iv) a la Ley de Connecticut relativa a la Privacidad de los Datos y Monitorización en Línea, Pub. Act No. 22015; y (v) a la Ley de Privacidad del Consumidor de Utah, Utah Code Ann. § 13-61-101 et seq.

“LGPD” hace referencia a la Ley General Brasileña de Protección de Datos (Lei Geral de Proteção de Dados Pessoais).

“Responsable Final del Tratamiento de Datos” hace referencia, para cada parte, al responsable final del tratamiento de los Datos Personales del Responsable del Tratamiento de Datos.

“RGPD” hace referencia, según corresponda, a) al RGPD de la UE y/o b) al RGPD del Reino Unido.

“RGPD de la UE” hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril del 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, y por el que se deroga la Directiva 95/46/CE.

“RGPD de Reino Unido” hace referencia al RGPD de la UE tal y como se ha enmendado e incorporado a la legislación de Reino Unido en virtud de la ley del 2018 sobre la salida de Reino Unido de la Unión Europea, así como a la legislación secundaria aplicable que se haya creado en virtud de dicha ley.

“Servicios del Responsable del Tratamiento de Datos” hace referencia a los servicios aplicables indicados en business.safety.google/adsservices.

“Términos Adicionales” hace referencia a los términos adicionales que se mencionan en el Apéndice 1, que reflejan el acuerdo de las partes con respecto a los términos que rigen el tratamiento de los Datos Personales del Responsable del Tratamiento de Datos relacionados con alguna Legislación Aplicable de Protección de Datos.

2.2 Los términos “responsable”, “interesado”, “datos personales”, “tratamiento” y “encargado”, tal y como se usan en estos Términos Aplicables a los Responsables del Tratamiento de Datos, tienen los significados que se les atribuyen por (a) la Legislación Aplicable de Protección de Datos; o (b) en ausencia de tal significado o tal ley, el RGPD.

2.3 Las palabras “incluir” e “incluidos” significan “incluidos, entre otros”. Todos los ejemplos que se incluyen en estos Términos Aplicables a los Responsables del Tratamiento de Datos son ilustrativos y no pueden considerarse como únicos ejemplos de un concepto concreto.

2.4 Todas las referencias a un marco legal, estatuto u otra disposición legislativa es una referencia a la misma con sus ocasionales enmiendas o nuevas promulgaciones.

2.5 En caso de que alguna versión traducida de estos Términos Aplicables a los Responsables del Tratamiento de Datos no coincida con la versión en inglés, prevalecerá la versión en inglés.

3. Aplicación de estos Términos Aplicables a los Responsables del Tratamiento de Datos

3.1 General. Los presentes Términos Aplicables a los Responsables del Tratamiento de Datos solo se aplicarán a los Servicios del Responsable del Tratamiento de Datos para los que las partes hayan acordado estos Términos Aplicables a los Responsables del Tratamiento de Datos, por ejemplo, a) los Servicios del Responsable del Tratamiento de Datos para los cuales el Cliente haya hecho clic para aceptar estos Términos Aplicables a los Responsables del Tratamiento de Datos o, b) si el Contrato incorpora estos Términos Aplicables a los Responsables del Tratamiento de Datos mediante referencia, los Servicios del Responsable del Tratamiento de Datos que son el objeto del Contrato.

3.2 Incorporación de Términos Adicionales. Los Términos Adicionales complementan los presentes Términos Aplicables a los Responsables del Tratamiento de Datos.

4. Roles y restricciones al tratamiento

4.1 Responsables del Tratamiento de Datos independientes. En virtud de la sección 4.3 (Responsables Finales del Tratamiento de Datos), cada parte:

(a) Es un responsable del tratamiento de datos independiente de los Datos Personales del Responsable del Tratamiento de Datos;

(b) Determinará individualmente los propósitos y los medios del tratamiento que haga de los Datos Personales del Responsable del Tratamiento de Datos; y

(c)Cumplirá las obligaciones que le correspondan en virtud de la Legislación Aplicable de Protección de Datos en relación con el tratamiento de Datos Personales del Responsable del Tratamiento de Datos.

4.2 Restricciones al tratamiento. La sección 4.1 (Responsables del Tratamiento de Datos independientes) no afectará a ninguna restricción sobre los derechos de ninguna de las partes para usar o tratar Datos Personales del Responsable del Tratamiento de Datos en virtud del Contrato.

4.3 Responsables Finales del Tratamiento de Datos. Sin reducir las obligaciones de ninguna de las partes en virtud de los presentes Términos de los Responsables del Tratamiento de Datos, cada una de las partes reconoce que: a) las Entidades Asociadas o los clientes de la otra parte pueden ser Responsables Finales del Tratamiento de Datos; y b) la otra parte puede actuar como encargado del tratamiento en nombre de sus Responsables Finales del Tratamiento de Datos. Cada una de las partes se asegurará de que sus Responsables Finales del Tratamiento de Datos cumplan con los Términos de los Responsables del Tratamiento de Datos.

4.4 Transparencia. El Cliente reconoce que Google ha publicado información sobre el modo en que Google utiliza la información de los sitios, aplicaciones u otras propiedades que utilizan sus servicios en https://business.safety.google/privacy/. Sin perjuicio de sus obligaciones en virtud de la sección 4.1(c), el Cliente puede acceder mediante el enlace a dicha página para proporcionar información a los Interesados del Responsable del Tratamiento de Datos sobre el Tratamiento que Google hace de los Datos Personales de los Responsables del Tratamiento de Datos.

5. Responsabilidad

Si el Contrato se rige por las leyes de:

(a) Un estado de Estados Unidos de América: en ese caso, independientemente de cualquier otro contenido del Contrato, la responsabilidad absoluta de cualquiera de las partes para con la otra parte en virtud de estos Términos Aplicables a los Responsables del Tratamiento de Datos o en relación con ellos estará limitada al máximo importe monetario o de pago establecido como tope de la responsabilidad de esa parte en virtud del Contrato (y, por consiguiente, cualquier exclusión de demandas de indemnización de la limitación de responsabilidad del Contrato no será aplicable a demandas de indemnización en virtud del Contrato en relación con la Legislación Aplicable de Protección de Datos); o

(b) una jurisdicción que no sea un estado de Estados Unidos de América: en ese caso, la responsabilidad de las partes en virtud de los presentes Términos Aplicables a los Responsables del Tratamiento de Datos, o en conexión con estos, estará sujeta a las exclusiones y limitaciones de responsabilidad que figuran en el Contrato.

6. Efectos de los Términos Aplicables a los Responsables del Tratamiento de Datos

6.1 Orden de prioridad. Si hay algún conflicto o discrepancia entre los Términos Adicionales, el resto de estos Términos Aplicables a los Responsables del Tratamiento de Datos y/o el resto del Contrato, de conformidad con las secciones 4.2 (Restricciones al tratamiento) y 6.2 (Ausencia de efecto sobre los Términos Aplicables al Encargado del Tratamiento de Datos), se aplicará el siguiente orden de prioridad:

(a) Los Términos Adicionales (si corresponde);

(b) el resto de estos Términos Aplicables a los Responsables del Tratamiento de Datos; y

(c) el resto del Contrato.

6.2 Ausencia de efectos sobre los Términos Aplicables al Encargado del Tratamiento de Datos. Estos Términos Aplicables a los Responsables del Tratamiento de Datos no afectarán a ningunos otros Términos independientes, suscritos entre Google y el Cliente, que reflejen una relación responsable-encargado, encargado-encargado ni encargado-responsable del tratamiento de datos para un servicio diferente a los Servicios del Responsable del Tratamiento de Datos.

7. Cambios en estos Términos Aplicables a los Responsables del Tratamiento de Datos

7.1 Cambios en las URLs. Ocasionalmente, Google puede cambiar cualquier URL a la que se haga referencia en estos Términos Aplicables a los Responsables del Tratamiento de Datos y el contenido de dichas URLs, con la salvedad de que Google solo puede cambiar la lista de posibles Servicios del Responsable del Tratamiento de Datos en business.safety.google/adsservices:

(a) Para reflejar un cambio en el nombre de un servicio;

(b) para añadir un nuevo servicio; o

(c) para quitar un servicio (o una característica de un servicio) en caso de que: i) todos los contratos sobre la prestación de dicho servicio se hayan resuelto; ii) Google tenga el consentimiento del Cliente; o (iii) el servicio, o una determinada característica del mismo haya sido recategorizado como servicio del encargado.

7.2 Cambios en los Términos Aplicables a los Responsables del Tratamiento de Datos. Google podrá cambiar estos Términos Aplicables a los Responsables del Tratamiento de Datos si el cambio:

(a)se realiza tal y como se describe en la sección 7.1 (Cambios en las URLs).

(b)refleja un cambio en el nombre o en la forma de una entidad jurídica;

(c) es necesario para cumplir la legislación y la normativa aplicables, una orden judicial o una directriz publicada por un ente regulador o una agencia gubernamentales, o refleja la adopción por parte de Google de una Solución Alternativa de Transferencia (en los términos definidos en el Apéndice 1A); o

(d)por el contrario: (i) no tiene como finalidad alterar la categorización de las partes como responsables del tratamiento de datos de los Datos Personales del Responsable del Tratamiento de Datos en virtud de la Legislación Aplicable de Protección de Datos, (ii) no amplía el alcance de, ni elimina ninguna restricción sobre los derechos de ninguna de las partes para usar o tratar, (x) en el caso de los Términos Adicionales, los datos en el ámbito de los Términos Adicionales o, (y) en el caso del resto de estos Términos Aplicables a los Responsables del Tratamiento de Datos, los Datos Personales del Responsable del Tratamiento de Datos, o (iii) no tiene un impacto material adverso en el Cliente, según determine Google razonablemente.

7.3 Notificación de los Cambios. Si Google tiene la intención de cambiar estos Términos Aplicables a los Responsables del Tratamiento de Datos en virtud de la sección 7.2(c) y dicho cambio va a tener un impacto material adverso en el Cliente, según determine Google razonablemente, entonces Google realizará los esfuerzos que considere razonables desde el punto de vista comercial para informar al Cliente al menos 30 días (o el periodo más corto que se requiera para cumplir la legislación y la normativa aplicables, una orden judicial o una directriz publicada por un ente regulador o una agencia gubernamentales) antes de que el cambio entre en vigor. Si el Cliente se opone a alguno de esos cambios, podrá resolver el Contrato mediante un aviso por escrito a Google en un plazo de 90 días contados a partir del momento en que Google le haya informado del cambio.

Apéndice 1: Términos Adicionales para Legislación Aplicable de Protección de Datos

PARTE A – TÉRMINOS ADICIONALES PARA LA LEGISLACIÓN EUROPEA DE PROTECCIÓN DE DATOS

1. Introducción.

Este Apéndice 1A solo se aplicará en la medida en que la Legislación Europea de Protección de Datos se aplique al tratamiento de los Datos Personales del Responsable del Tratamiento de Datos.

2. Definiciones.

2.1 En este Apéndice 1A:

“Datos Personales del Responsable del Tratamiento de Datos de Reino Unido” hace referencia a los Datos Personales del Responsable del Tratamiento de Datos de los Responsables del Tratamiento de Datos ubicados en el Reino Unido.

“Datos Personales del Responsable del Tratamiento de Datos Europeo” hace referencia a los Datos Personales del Responsable del Tratamiento de Datos de los Responsables del Tratamiento de Datos ubicados en el EEE o Suiza.

“EEE” hace referencia al Espacio Económico Europeo.

“Leyes Europeas” hace referencia, según corresponda, (a) a la legislación de la UE o de un Estado miembro de la UE (si se aplica el RGPD de la UE al tratamiento de Datos Personales del Responsable del Tratamiento de Datos); (b) a la legislación del Reino Unido o de una parte del Reino Unido (si se aplica el RGPD del Reino Unido al tratamiento de Datos Personales del Responsable del Tratamiento de Datos); y (c) a la legislación de Suiza (si se aplica la FDPA de Suiza al tratamiento de Datos Personales del Responsable del Tratamiento de Datos).

“País Adecuado” hace referencia a lo siguiente:

(a) En relación con los datos tratados de acuerdo con el RGPD de la UE: el EEE o un país o territorio reconocido por garantizar una protección de datos adecuada de acuerdo con el RGPD de la UE.

(b) En relación con los datos tratados de acuerdo con el RGPD del Reino Unido: el Reino Unido o un país o territorio reconocido por garantizar una protección de datos adecuada de acuerdo con el RGPD de Reino Unido y la Ley de Datos Personales 2018 y/o;

(c) En relación con los datos tratados de acuerdo con la Ley Federal de Protección de Datos de Suiza (FDPA, por sus siglas en inglés): Suiza; un país o territorio que esté: (i) incluido en la lista de estados cuya legislación asegure un nivel adecuado de protección de acuerdo con lo publicado por el Comisario Federal de Protección de Datos e Información de Suiza, o (ii) reconocido por garantizar una protección de datos adecuada por el Consejo Federal suizo en virtud de la FDPA de Suiza, en cada caso, aparte de basarse en un marco de protección de datos.

“SCCs del Responsable del Tratamiento de Datos” hace referencia a los términos incluidos en: business.safety.google/adscontrollerterms/sccs/c2c/.

“Solución Alternativa de Transferencia” hace referencia a una solución, diferente a las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos (SCC, por sus siglas en inglés), que permite la transferencia legítima de datos personales a un tercer país de acuerdo con la Legislación Europea de Protección de Datos, por ejemplo, un marco de protección de datos reconocido que garantice que las entidades participantes ofrecen una protección adecuada.

“Responsables Finales del Tratamiento de Datos de Google” hace referencia a los Responsables Finales del Tratamiento de los Datos Personales del Responsable del Tratamiento de Datos de Google.

“Transferencias Europeas Permitidas” hace referencia al tratamiento de Datos Personales del Responsable del Tratamiento de Datos en, o la transferencia de Datos Personales del Responsable del Tratamiento de Datos a, un País Adecuado.

“Transferencia(s) Europea(s) Restringida(s)” hace referencia a las transferencia(s) de Datos Personales del Responsable del Tratamiento de Datos que: (a) están sujetas a la Legislación Europea de Protección de Datos; y (b) no son Transferencias Europeas Permitidas.

2.2Los términos “importador de datos” y “exportador de datos” tienen los significados que les atribuyen en las SCCs del Responsable del Tratamiento de Datos.

3. Responsables Finales del Tratamiento de Datos de Google

Los Responsables Finales del Tratamiento de Datos de Google son: (i) para los Datos Personales del Responsable del Tratamiento de Datos Europeo tratados por Google, Google Ireland Limited; y (ii) para los Datos Personales del Responsable del Tratamiento de Datos de Reino Unido tratados por Google, Google LLC. Cada una de las partes se asegurará, cuando corresponda, de que sus Responsables Finales del Tratamiento de Datos cumplan con las SCCs del Responsable del Tratamiento de Datos.

4. Transferencias de Datos

4.1 Transferencias Europeas Restringidas. Cualquiera de las partes podrá realizar Transferencias Europeas Restringidas si cumple con las previsiones para Transferencias Europeas Restringidas de la Legislación Europea de Protección de Datos.

4.2 Solución Alternativa de Transferencia.

(a)Si Google ha adoptado una Solución Alternativa de Transferencia para cualquier Transferencia Europea Restringida, entonces: (i) Google asegurará que dicha Transferencia Europea Restringida se haga de acuerdo con la Solución Alternativa de Transferencia; y (ii) el párrafo 5 del presente Apéndice 1A (SCCs del Responsable del Tratamiento de Datos) se aplicará a dichas Transferencias Europeas Restringidas.

(b)Si Google no ha adoptado, o ha informado al Cliente de que no va a adoptar una Solución Alternativa de Transferencia para alguna de las Transferencias Europeas Restringidas, entonces aplicará el párrafo 5 (del presente Apéndice 1A (SCCs del Responsable del Tratamiento de Datos)).

4.3 Otras Disposiciones sobre Transferencias

(a) Aplicación del Párrafo 4.3. Los párrafos 4.3(b) (Uso de los Datos Personales del Proveedor de Datos) y 4.3(c) (Protección de los Datos Personales del Proveedor de Datos) del presente Apéndice 1A, solamente se aplicarán en la medida que:

(i)Una de las partes (el “Receptor de los Datos”) procese los Datos Personales del Responsable del Tratamiento de Datos que han sido puestos a su disposición por la otra parte (el “Proveedor de Datos”) en relación con el Contrato (dichos Datos Personales del Responsable del Tratamiento, “Datos Personales del Proveedor de Datos”);

(ii)El Proveedor de Datos o su Filial cuente con la certificación de una Solución Alternativa de Transferencia; y

(iii)El Proveedor de Datos notifique por escrito al Receptor de los Datos de dicha certificación de una Solución Alternativa de Transferencia.

(b)Uso de los Datos Personales del Proveedor de Datos.

(i)En la medida en que una Solución Alternativa de Transferencia incluya otro principio de transferencia, de conformidad con tal otro principio de transferencia en virtud de la Solución Alternativa de Transferencia pertinente, el Receptor de los Datos solamente podrá utilizar los Datos Personales del Proveedor de Datos de manera coherente con el consentimiento prestado por el Interesado del Responsable del Tratamiento de Datos pertinente.

(ii)En la medida en que el Proveedor de Datos no consiga obtener el consentimiento de los Interesados del Responsable del Tratamiento de Datos pertinentes según lo estipulado en el Contrato, el Receptor de los Datos no estará incumpliendo el párrafo 4.3(b) si utiliza los Datos Personales del Proveedor de Datos de forma coherente con el consentimiento requerido.

(c)Protección de los Datos Personales del Proveedor de Datos.

(i)El Receptor de los Datos proporcionará un nivel de protección a los Datos Personales del Proveedor de Datos que será, al menos, equivalente al exigido por la Solución Alternativa de Transferencia aplicable.

(ii)Si el Receptor de los Datos determina que no puede cumplir con el párrafo 4.3(c)(i), deberá: (A) notificar por escrito al Proveedor de Datos; y (B) dejar de procesar los Datos Personales del Proveedor de Datos o tomar las medidas razonables y adecuadas para remediar dicho incumplimiento.

(d)Adopción y Certificación de Soluciones Alternativas de Transferencia. La información acerca de la adopción o certificación por Google y/o sus filiales de alguna Solución Alternativa de Transferencia está disponible en: https://business.safety.google/adsdatatransfers. El presente apartado 4.3.(d) constituye la notificación escrita de las certificaciones actuales de Google o sus Entidades Asociadas en la Fecha de Entrada en Vigor de los Términos a los efectos de lo previsto en el apartado 4.3.(a)(iii).

5. SCCs del Responsable del Tratamiento de Datos

5.1 Transferencias de Datos Personales del Responsable del Tratamiento de Datos Europeo al Cliente. En la medida en que:

(a)Google transfiera Datos Personales del Responsable del Tratamiento de Datos Europeo al Cliente; y

(b)Dicha transferencia sea una Transferencia Europea Restringida, se considerará que el Cliente, como importador de datos, ha suscrito las SCCs del Responsable del Tratamiento con Google Ireland Limited (el Responsable Final del Tratamiento de Google pertinente) como exportador de datos, y las transferencias estarán sujetas a las SCCs del Responsable del Tratamiento.

5.2 Transferencias de Datos Personales del Responsable del Tratamiento de Datos de Reino Unido al Cliente. En la medida en que:

(a)Google transfiera Datos Personales del Responsable del Tratamiento de Datos de Reino Unido al Cliente; y

(b)Dicha transferencia sea una Transferencia Europea Restringida, se considerará que el Cliente, como importador de datos, ha suscrito las SCCs del Responsable del Tratamiento con Google LLC (el Responsable Final del Tratamiento de Google pertinente) como exportador de datos, y las transferencias estarán sujetas a las SCCs del Responsable del Tratamiento.

5.3 Transferencias de Datos Personales del Responsable del Tratamiento de Datos Europeo a Google. Las partes reconocen que, en la medida en que el Cliente transfiera Datos Personales del Responsable del Tratamiento de Datos Europeo a Google, las SCCs del Responsable del Tratamiento de Datos no serán necesarias porque la dirección de Google Ireland Limited (el Responsable Final del Tratamiento de Google pertinente) está ubicada en un País Adecuado, y dichas transferencias son Transferencias Europeas Permitidas. Esto no afecta a las obligaciones de Google en virtud del párrafo 4.1 del presente Apéndice 1A (Transferencias Europeas Restringidas).

5.4Transferencias de Datos Personales del Responsable del Tratamiento de Datos de Reino Unido a Google. En la medida en que el Cliente transfiera Datos Personales del Responsable del Tratamiento de Datos de Reino Unido a Google, se considerará que el Cliente, como exportador de datos, ha suscrito las SCCs del Responsable del Tratamiento de Datos con Google LLC (el Responsable Final del Tratamiento de Google pertinente), como importador de datos, y dichas transferencias quedarán sujetas a las SCCs del Responsable del Tratamiento de Datos, ya que la dirección de Google LLC no está ubicada en un País Adecuado.

5.5 Ponerse en Contacto con Google; Información del Cliente.

(a)El Cliente podrá ponerse en contacto con Google Ireland Limited y/o con Google LLC en relación con las SCCs del Responsable del Tratamiento de Datos a través de https://support.google.com/policies/troubleshooter/9009584 o a través de otros medios que Google pueda habilitar en cada momento.

(b)El Cliente reconoce que, en la medida en que las SCCs del Responsable del Tratamiento exijan a Google registrar determinada información, incluyendo (i) la identidad y los detalles de contacto del importador de datos (incluida cualquier persona de contacto responsable de la protección de datos); y (ii) las medidas técnicas y organizativas implementadas por el importador de datos. En consecuencia, el Cliente, cuando se le solicite y le sea aplicable, deberá proveer tal información a Google a través de los medios que Google pueda proporcionar, asegurándose de que toda la información facilitada sea precisa y esté actualizada.

5.6Respuesta a las Consultas de los Interesados. Los importadores de datos pertinentes serán los responsables de responder a las consultas de los interesados, así como la autoridad supervisora en relación con el tratamiento de los Datos Personales del Responsable del Tratamiento pertinentes por el importador de datos.

5.7Eliminación de Datos al Finalizar el Contrato. En la medida en que:

(a)Google LLC actúe como un importador de datos y el Cliente actúe como un exportador de Datos en virtud de las SCCs del Responsable del Tratamiento de Datos; y

(b)El Cliente finalice el Contrato de acuerdo con la Cláusula 16(c) de las SCCs del Responsable del Tratamiento de Datos, entonces, a los efectos de la Cláusula 16(d) de las SCCs del Responsable del Tratamiento de Datos, el Cliente ordena a Google que elimine los Datos Personales del Responsable del Tratamiento de Datos y, salvo que las Leyes Europeas exijan su almacenamiento, Google facilitará tal eliminación tan pronto como sea razonablemente posible (teniendo en cuenta que Google es un Responsable del Tratamiento de Datos independiente de dichos datos, además de la naturaleza y funcionalidad de los Servicios del Responsable del Tratamiento de Datos).

6.Responsabilidades cuando apliquen las SCCs del Responsable del Tratamiento de Datos.

Cuando las SCCs del Responsable del Tratamiento de Datos apliquen en virtud del párrafo 5 del presente Apéndice 1A (SCCs del Responsable del Tratamiento de Datos), serán responsables conjuntamente:

(a)Google, Google LLC y Google Ireland Limited frente al Cliente; y

(b)El Cliente frente a Google, Google LLC y Google Ireland Limited en relación con el Contrato y con las SCCs del Responsable del Tratamiento de Datos que, estarán sometidas de manera conjunta a lo dispuesto en la Sección 5 (Responsabilidad). La Cláusula 12 de las SCCs del Responsable del Tratamiento de Datos no afectará a la oración anterior.

7.Terceros Beneficiarios

Cuando Google LLC y/o Google Ireland Limited no sean parte en el Contrato pero sí sean parte en las SCCs del Responsable del Tratamiento de Datos aplicables, de acuerdo con lo dispuesto en el párrafo 5 del presente Apéndice 1A (SCCs del Responsable del Tratamiento de Datos), Google LLC y/o Google Ireland Limited (según corresponda) podrán ser terceros beneficiarios en virtud de las Secciones 4.3 (Responsables Finales del Tratamiento de Datos), y los párrafos 3 ( (Responsables Finales del Tratamiento de Datos de Google), , 5 (SCCs del Responsable del Tratamiento de Datos) y 6 (Responsabilidades cuando apliquen las SCCs del Responsable del Tratamiento de Datos) del presente Apéndice 1A. En la medida en que este párrafo 7 (Terceros Beneficiarios) entre en conflicto o sea incompatible con otra cláusula del Contrato, se aplicará el presente párrafo 7 (Terceros Beneficiarios).

8. Prioridad

8.1Si hay algún conflicto o discrepancia entre las SCCs del Responsable del Tratamiento de Datos, el presente Apéndice 1A, el resto de los Términos Aplicables a los Responsables del Tratamiento de Datos y/o el resto del Contrato, prevalecerán las SCCs del Responsable del Tratamiento de Datos.

8.2Cláusulas Comerciales Adicionales. Sin perjuicio de las modificaciones introducidas en estos Términos Aplicables a los Responsables del Tratamiento de Datos, el Contrato seguirá vigente a todos los efectos. Los párrafos 5.5 (Ponerse en Contacto con Google) a 5.7 (Eliminación de Datos al Finalizar el Contrato) y el párrafo 6 (Responsabilidades cuando apliquen las SCCs del Responsable del Tratamiento de Datos) de este Apéndice 1A son cláusulas comerciales adicionales relativas a las SCCs del Responsable del Tratamiento de Datos, según lo dispuesto en la Cláusula 2(a) de las SCCs del Responsable del Tratamiento de Datos (Efectos e Invariabilidad de la Cláusulas).

8.3No Modificación de las SCCs del Responsable del Tratamiento de Datos. Nada de lo dispuesto en el Contrato (incluyendo estos Términos Aplicables a los Responsables del Tratamiento de Datos) tiene por objeto modificar o contradecir las SCCs del Responsable del Tratamiento de Datos ni menoscabar los derechos o libertades fundamentales de los Interesados en virtud de la Legislación Europea de Protección de Datos.

PARTE B – TÉRMINOS ADICIONALES PARA LAS LEYES DE PRIVACIDAD DE LOS ESTADOS DE ESTADOS UNIDOS

1. Introducción

Google puede ofrecer y el Cliente puede permitir determinados ajustes, configuraciones u otras funcionalidades dentro del producto para los Servicios del Responsable del Tratamiento de Datos en relación con el tratamiento de datos restringido, según lo dispuesto en la documentación de apoyo disponible en business.safety.google/rdp/, actualizada periódicamente (“Tratamiento de Datos Restringido”). Este Apéndice 1B refleja el acuerdo de las partes sobre el tratamiento de los Datos Personales del Cliente y los Datos no Identificativos (tal y como se definen a continuación) en virtud del Contrato y en conexión con las Leyes de Privacidad de los Estados de Estados Unidos, y será efectivo únicamente en la medida en que se aplique la Ley de Privacidad de cada Estado de Estados Unidos.

2. Definiciones Adicionales e Interpretación.

En este Apéndice 1B:

(a)“Datos Personales del Cliente” hace referencia a los datos personales tratados por Google en nombre del Cliente durante la prestación de los Servicios del Responsable de Tratamiento por Google.

(b)“Datos no Identificativos” hace referencia a datos de información que está “desidentificada” (según la definición de este término en la CCPA) y “datos desidentificados” (según la definición de las demás Leyes de Privacidad de los Estados de Estados Unidos), cuando una de las partes los divulga a la otra.

(c)“Instrucciones” hace referencia, de manera colectiva, a la instrucciones del Cliente a Google para tratar los Datos Personales del Cliente únicamente en la media en que lo establezcan las Leyes de Privacidad de los Estados de Estados Unidos para: (a) proporcionar los Servicios TDR y cualquier asistencia técnica relacionada con ellos; (b) en la medida en que se especifique a través del uso que el Cliente haga de los Servicios TDR (incluyendo los ajustes y otras funcionalidades de dichos Servicios TDR) y cualquier asistencia técnica relacionada con ellos; (c) tal y como se documente en el formulario del Contrato, incorporado en el presente Apéndice 1B; (d) tal y como se documente en cualquier otra instrucción escrita facilitada por el Cliente y reconocida por Google como las instrucciones constitutivas a los efectos del propósito del presente Apéndice 1B; y (e) para procesar los Datos Personales del Cliente según lo permitido por las Leyes de Privacidad de los Estados de Estados Unidos para los proveedores de servicios y los Encargados del Tratamiento de Datos.

(d)“Plazo” hace referencia al período comprendido entre la Fecha de Entrada en Vigor de los Términos y el final de la prestación de los Servicios del Responsable del Tratamiento de Datos en virtud de estos Términos.

(e)“Servicios TDR” hace referencia a los Servicios del Responsable del Tratamiento en funcionamiento bajo el Tratamiento de Datos Restringidos.

(f) Los términos “empresa”, “consumidor”, “información personal”, “venta(s)”, “vender”, “proveedor de servicios”, y “compartir”, tal y como se usan en este Apéndice 1B, tienen los significados que se les atribuyen en las Leyes de Privacidad de los Estados de Estados Unidos.

(g)El Cliente es el único responsable del cumplimiento de cada una de las Leyes de Privacidad de los Estados de Estados Unidos en el uso que haga de los servicios de Google, incluyendo el Tratamiento de Datos Restringido.

3. Términos de las Ley de Privacidad de los Estados de Estados Unidos (bajo el Tratamiento de Datos Restringido).

Con respecto a los Datos Personales del Cliente tratados en el marco del Tratamiento de Datos Restringido, y en la medida en que una o más de las Leyes de Privacidad de los Estados de Estados Unidos apliquen al tratamiento de los Datos Personales del Cliente:

3.1.1Roles y Cumplimiento Normativo; Autorización.

(a)Responsabilidades del Responsable del Tratamiento y del Encargado del Tratamiento de Datos. Las partes reconocen y aceptan que:

(i) El párrafo 7 del presente Apéndice 1B (Objeto y Detalles del Tratamiento de Datos bajo las Leyes de Privacidad de los Estados de Estados Unidos) describe el objeto y los detalles del tratamiento de los Datos Personales del Cliente;

(ii)Google es un proveedor de servicios y un encargado de los Datos Personales del Cliente bajo las Leyes de Privacidad de los Estados de Estados Unidos;

(iii)El Cliente es un responsable o un encargado, según corresponda, de los Datos Personales del Cliente bajo las Leyes de Privacidad de los Estados de Estados Unidos; y

(b)Clientes Encargados del Tratamiento. Si el Cliente es un encargado:

(i)El Cliente garantiza de forma continuada que el responsable pertinente ha autorizado: (A) las Instrucciones, (B) la designación de Google como otro Encargado del Tratamiento por parte del Cliente, y (C) la contratación de subcontratistas, según lo descrito en el párrafo 3.6 (Subcontratistas) de este Apéndice 1B.

(ii)El Cliente remitirá de manera inmediata al Responsable del Tratamiento cualquier noticia facilitada por Google según lo dispuesto en los párrafos 3.3.2(a) (Notificación de Incidentes) y 3.6 (Subcontratistas); y

(iii)El Cliente podrá poner a disposición del Responsable del Tratamiento pertinente cualquier información facilitada por Google según lo dispuesto en los párrafos 3.3.3(c) (Derechos de auditoría del Cliente), y 3.6 (Subcontratistas).

3.1.2Instrucciones del Cliente. En virtud de este Apéndice 1B, el Cliente da instrucciones a Google para el tratamiento de los Datos Personales del Cliente únicamente de conformidad con las Instrucciones.

3.1.3Cumplimiento de las Instrucciones por parte de Google. Google cumplirá las instrucciones a menos que lo prohíban las Leyes de Privacidad de los Estados de Estados Unidos.

3.1.4 Productos Adicionales. Si el Cliente usa algún producto, servicio o aplicación provista por Google o por un tercero que: (a) no sea parte de los Servicios TDR; y (b) sea accesible para su uso dentro de la interfaz de usuario de los Servicios TDR o esté integrada de algún otro modo en los Servicios TDR (el “Producto Adicional”), los Servicios TDR podrán permitir que dicho Producto Adicional acceda a los Datos Personales del Cliente en la medida en que la interoperación del Producto Adicional con los Servicios TDR así lo requiera. Para mayor claridad, este Apéndice 1B no aplica al tratamiento de datos personales en relación con el suministro de algún Producto Adicional utilizado por el Cliente, incluyendo datos personales transmitidos a o desde dicho Producto Adicional.

3.2Eliminación de Datos al Expirar el Plazo. El Cliente ordena a Google borrar los restantes Datos Personales del Cliente en su totalidad (incluyendo las copias existentes) de los sistemas de Google al terminar el plazo de acuerdo con la ley aplicable. Google cumplirá con esta orden tan pronto como sea razonablemente posible dentro del período máximo de 180 días, salvo que las leyes aplicables requieran su almacenamiento.

3.3 Seguridad de los Datos.

3.3.1Medidas de Seguridad y Asistencia de Google.

(a)Medidas de Seguridad de Google. Google implementará y mantendrá medidas técnicas y organizativas para proteger los Datos Personales del Cliente frente a la destrucción accidental o ilícita, la pérdida, la alteración y la divulgación o el acceso no autorizados (“Medidas de Seguridad”). Las Medidas de Seguridad incluyen medidas: (i) para cifrar datos personales; (ii) para ayudar a asegurar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y los servicios de Google; (iii) para ayudar a restaurar el acceso oportuno a los datos personales después de un incidente; y (iv) para hacer pruebas periódicas de efectividad. Google podrá actualizar o modificar las Medidas de Seguridad ocasionalmente, siempre y cuando dichas actualizaciones y modificaciones no provoquen una degradación de la seguridad general de los Datos Personales del Cliente.

(b)Acceso y cumplimiento. Google se asegurará de que todas las personas autorizadas para tratar los Datos Personales del Cliente se hayan comprometido a mantener la confidencialidad de estos datos o tengan una obligación legal pertinente de confidencialidad.

(c)Asistencia de Seguridad de Google. Google (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Cliente y la información que Google tenga a su disposición) ayudará al Cliente a asegurar el cumplimiento de las obligaciones del Cliente (o, si el Cliente es un encargado, del responsable que corresponda) relativas a la seguridad de los datos personales y las brechas de seguridad de datos personales, incluyendo las obligaciones del Cliente (o, cuando el Cliente es un encargado, del responsable que corresponda) relativas a la seguridad de los datos personales y a las brechas de seguridad de datos personales bajo las Leyes de Privacidad de los Estados de Estados Unidos, de la siguiente manera:

(i)implementar y mantener las Medidas de Seguridad de conformidad con el párrafo 3.3.1(a) (Medidas de Seguridad de Google);

(ii)cumplir los términos del párrafo 3.3.2 (Incidentes de Datos); y

(iii)proporcionar al Cliente los derechos garantizados en virtud del párrafo 3.3.3(c) (Derechos de Auditoría del Cliente).

3.3.2Incidentes de Datos.

(a)Notificación de Incidentes. Si Google tiene conocimiento de un Incidente de Datos (tal y como se define a continuación), Google: (i) notificará al Cliente el Incidente de Datos sin retrasos indebidos; y (ii) tomará medidas razonables lo antes posible para minimizar los daños y proteger los Datos Personales del Cliente. En este Apéndice 1B, “Incidentes de Datos” se refiere a una brecha de la seguridad de Google que provoque de manera accidental o ilegal la destrucción, pérdida, alteración, divulgación no autorizada, o acceso a los Datos Personales del Cliente en los sistemas gestionados o controlados de algún otro modo por Google. Los “Incidentes de Datos” no incluirán los intentos o actividades infructuosos que no comprometan la seguridad de los Datos Personales del Cliente, incluyendo los intentos fallidos de inicio de sesión, los pings, los escaneos de puertos, los ataques de denegación de servicio y demás ataques contra cortafuegos o sistemas en red.

(b)Entrega de la Notificación. Google entregará su notificación de cualquier Incidente de Datos mediante la Dirección de Correo Electrónico de Notificaciones designado por el Cliente, a través de la interfaz de usuario de los Servicios TDR o a través de otro medio provisto por Google, para recibir determinadas notificaciones de Google relacionadas con este Apéndice 1B (“Correo Electrónico de Notificaciones”) o, a discreción de Google (incluido el caso de que el Cliente no haya proporcionado ninguna Dirección de Correo Electrónico de Notificaciones), a través de otro medio de comunicación directa (por ejemplo, por teléfono, correo electrónico o en una reunión presencial). El Cliente es el único responsable de proporcionar la Dirección de Correo Electrónico de Notificaciones y de asegurarse de que esté actualizada y sea válida.

(c)Notificaciones de Terceros. El Cliente es el único responsable de cumplir las leyes de notificación de incidentes aplicables al Cliente y de satisfacer cualquier obligación de notificación a terceros relacionada con cualquier Incidente de Datos.

(d) Ausencia de reconocimiento de culpa por parte de Google. La notificación por parte de Google de un Incidente de Datos o la respuesta de Google a un Incidente de Datos en virtud de este párrafo 3.3.2 (Incidentes de Datos) no deberá interpretarse como un reconocimiento por parte de Google de ninguna culpa ni responsabilidad con respecto al Incidente de Datos.

3.3.3 Responsabilidades y evaluación de seguridad del Cliente.

(a)Responsabilidades de seguridad del Cliente. El Cliente acepta que, sin perjuicio de las obligaciones de Google en virtud de los párrafos 3.3.1 (Medidas de Seguridad y asistencia de Google) y 3.3.2 (Incidentes de Datos):

(i)El Cliente es responsable del uso que haga de los Servicios TDR, incluyendo: (1) hacer un uso adecuado de los Servicios TDR para asegurar un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales del Cliente; y (2) proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que use el Cliente para acceder a los Servicios TDR; y

(ii)Google no tiene ninguna obligación de proteger los Datos Personales del Cliente que el Cliente decida almacenar o transferir fuera de los sistemas de Google y de los de sus subcontratistas.

(b)Evaluación de seguridad del Cliente. El Cliente reconoce y acepta que las Medidas de Seguridad implementadas y mantenidas por Google según lo estipulado en el párrafo 3.3.1(a) (Medidas de Seguridad de Google) proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales del Cliente, teniendo en cuenta los últimos avances técnicos, los costes de implementación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento de los Datos Personales del Cliente, así como los riesgos para las personas.

(c)Derechos de Auditoría del Cliente.

(i)El Cliente puede llevar a cabo una auditoría para verificar el cumplimiento por parte de Google de sus obligaciones en virtud del presente Apéndice 1B, solicitando y revisando (1) un certificado emitido para la verificación de seguridad que refleje el resultado de una auditoría realizada por un auditor externo (por ejemplo, una certificación SOC 2 Tipo II o ISO/IEC 27001, otra certificación comparable u otra certificación de seguridad de una auditoría realizada por un auditor externo acordado por el Cliente y Google) dentro de los 12 primeros meses desde la fecha de la solicitud del Cliente y (2) cualquier otra información que Google determine que es razonablemente necesaria para que el Cliente verifique dicho cumplimiento.

(ii)Alternativamente, Google podrá, a su entera discreción y en respuesta a una solicitud del Cliente, iniciar una auditoría externa para verificar el cumplimiento de Google con sus obligaciones en virtud del presente Apéndice 1B. Durante dicha auditoría, Google pondrá a disposición del auditor externo toda la información necesaria para demostrar dicho cumplimiento. Cuando el Cliente solicite dicha auditoría, Google podrá cobrar una tarifa (basada en los costes razonables de Google) para cualquier auditoría. Google proporcionará al Cliente los detalles de la tarifa aplicable y la manera de calcularla antes de comenzar la realización de dicha auditoría. El Cliente será responsable de las tarifas cobradas por cualquier auditor externo designado por el Cliente para llevar a cabo cualquier auditoría.

(iii)Nada de lo dispuesto en el presente Apéndice 1B obligará a Google a revelar al Cliente o a su auditor externo, ni permitir al Cliente o a su auditor externo el acceso a:

(1)cualquier dato o cualquier otro cliente de la Entidad de Google;

(2)cualquier contabilidad interna o información financiera de una Entidad de Google;

(3)cualquier secreto comercial de una Entidad de Google;

(4)cualquier información que, según la opinión razonable de Google, pueda: (A) comprometer la seguridad de alguno de los sistemas o instalaciones de alguna Entidad de Google; o (B) causar que alguna Entidad de Google tenga que incumplir alguna de sus obligaciones bajo las Leyes de Privacidad de los Estados de Estados Unidos o alguna de sus obligaciones de seguridad y/o privacidad con el Cliente o con un tercero; o

(5)cualquier información a la que el Cliente o su auditor externo pretendan acceder por cualquier otra razón que no sea el cumplimiento de la buena fe y de las obligaciones del Cliente bajo las Leyes de Privacidad de los Estados de Estados Unidos.

3.4Asistencia con las Evaluaciones de Impacto. Google (teniendo en cuenta la naturaleza del tratamiento y la información disponible para Google) ayudará al Cliente a asegurar el cumplimiento de las obligaciones del Cliente (o, si el Cliente es un encargado, de las obligaciones del responsable que corresponda) relativas a las evaluaciones de impacto sobre protección de datos y consultas regulatorias previas en la medida en que lo requieran las Leyes de Privacidad de los Estados de Estados Unidos:

(a) proporcionando la Documentación de Seguridad;

(b) proporcionando la información incluida en el Contrato (incluido el presente Apéndice 1B); y

(c) proporcionando o poniendo a disposición, de acuerdo con las prácticas estándar de Google, otros materiales relacionados con la naturaleza de los Servicios TDR y el tratamiento de los Datos Personales del Cliente (por ejemplo, materiales del centro de ayuda).

3.5Derechos de los Interesados..

3.5.1Respuestas a Solicitudes de los Interesados. Si Google recibe una solicitud de un interesado en relación con los Datos Personales del Cliente, el Cliente autoriza a Google a hacer lo siguiente (y Google, por la presente, notifica al Cliente que lo hará):

(a) responder directamente a la solicitud del interesado de acuerdo con la funcionalidad estándar de una herramienta (en su caso) puesta a disposición de los interesados por una Entidad de Google que permita a Google responder directamente y de manera estandarizada a determinadas solicitudes de interesados en relación con los Datos Personales del Cliente (por ejemplo, la configuración de la publicidad online o un plugin de inhabilitación del navegador) (“Herramienta del Interesado”) (si la solicitud se realiza a través de una Herramienta del Interesado); o

(b) informar al interesado para que envíe su solicitud al Cliente y el Cliente será responsable de responder a dicha solicitud (si la solicitud no se realiza a través de una Herramienta del Interesado).

3.5.2Asistencia de Google en relación con la solicitud del interesado. Google ayudará al Cliente a cumplir sus obligaciones (o, si el Cliente es un encargado, las del responsable que corresponda) contraídas en virtud de las Leyes de Privacidad de los Estados de Estados Unidos para responder a solicitudes de ejercicio de los derechos del interesado, teniendo en cuenta en todo caso la naturaleza del tratamiento de los Datos Personales del Cliente y:

(a) proporcionando la funcionalidad de los Servicios TDR;

(b) cumpliendo los compromisos establecidos en el párrafo 3.5.1 (Respuestas a Solicitudes de los Interesados); y

(c) si se aplica a los Servicios TDR, poniendo a disposición Herramientas del Interesado.

3.5.3Rectificación. Si el Cliente detecta que cualquier Dato Personal del Cliente es impreciso o está obsoleto, el Cliente será responsable de rectificar o eliminar ese dato si así lo exigen las Leyes de Privacidad de los Estados de Estados Unidos, incluso (si estuviesen disponibles) mediante las funciones de los Servicios TDR.

3.6Subcontratistas.

(a) El Cliente autoriza de manera general a Google para contratar a otras entidades como subcontratistas en relación con la prestación de los Servicios TDR. Cuando se contrata a un subcontratista, Google lo hará:

(i) asegurándose a través de un contrato escrito de que: (1) el subcontratista solamente accede a los Datos Personales del Cliente en la medida necesaria para cumplir con las obligaciones subcontratadas, y lo hace de conformidad al Contrato (incluyendo el presente Apéndice 1B); y (2) si el tratamiento de los Datos Personales del Cliente está sujeto a las Leyes de Privacidad de los Estados de Estados Unidos, garantice que se impongan al subcontratista las obligaciones de protección de datos descritas en el presente Apéndice 1B;

(ii) cuando se contrate a algún nuevo subcontratista, informando de dicha subcontratación cuando así lo requieran las Leyes de Privacidad de los Estados de Estados Unidos, y, ofreciendo la oportunidad al Cliente de oponerse a dicha subcontratación cuando así lo exijan las Leyes de Privacidad de los Estados de Estados Unidos; y

(iii) siendo plenamente responsable de todas las obligaciones subcontratadas, así como de todos los actos y omisiones del subcontratista.

(b) El Cliente podrá oponerse a cualquier nuevo subcontratista, resolviendo el Contrato por conveniencia de manera inmediata, mediante una notificación por escrito a Google, con la condición de que el Cliente presente dicha notificación en el plazo de 90 días desde que fue informado de la contratación del nuevo subcontratista en virtud de lo descrito en la Sección 3.6(a)(ii) del presente Contrato.

3.7Ponerse en contacto con Google. El Cliente podrá ponerse en contacto con Google en relación con el ejercicio de sus derechos en virtud de este Apéndice 1B mediante los métodos descritos en privacy.google.com/businesses/processorsupport o a través de otros medios que pueda proporcionar Google cada cierto tiempo.

4. Términos de la Ley de Privacidad del Estado de los Estados Unidos

4.1Datos no Identificativos. Con respecto a los Datos Personales del Cliente procesados con o sin el Tratamiento de Datos Restringido habilitado, y en la medida en que una o más de las Leyes de Privacidad de los Estados de los Estados Unidos se apliquen al tratamiento de los Datos Personales del Cliente, cada parte cumplirá con los requisitos para el tratamiento de los Datos no Identificativos establecidos en las Leyes de Privacidad de los Estados de Estados Unidos respecto a cualquier Dato no Identificativo que reciba la otra parte en virtud del Contrato. A efectos del presente apartado 4.1 (Datos no Identificativos), se entenderá por Datos Personales del Cliente a cualquier dato personal que sea procesado por una de las partes en virtud del Contrato y en relación con su prestación o uso de los Servicios del Responsable del Tratamiento de Datos.

5. Obligaciones de Google en virtud de la CCPA.

5.1Con respecto a los Datos Personales del Cliente procesados bajo el Tratamiento de Datos Restringido y en la medida en que la CCPA se aplique a dicho tratamiento de los Datos Personales del Cliente, Google actuará como un proveedor de servicios del Cliente y, como tal, salvo que la CCPA permita lo contrario a los proveedores de servicios, según determine Google de manera razonable:

(a)Google no venderá ni compartirá ningún Dato Personal del Cliente que obtenga del Cliente en relación con el Contrato;

(b)Google no retendrá, usará o publicará los Datos Personales del Cliente (incluso fuera de la relación comercial directa entre Google y el Cliente) más allá de los fines comerciales en virtud de la CCPA, en nombre del Cliente y con el fin específico de prestar los Servicios TDR, tal y como se describe con más detalle en la documentación de apoyo disponible en: https://business.safety.google/rdp/, actualizados periódicamente;

(c)Google no combinará los Datos Personales del Cliente que Google recibe de o en nombre del Cliente con (i) las informaciones personales que Google recibe de o en nombre de otra persona o personas o (ii) las informaciones personales recogidas por la propia interacción de Google con un consumidor, tal y como se describe con más detalle en la documentación de apoyo disponible en: https://business.safety.google/rdp/, excepto en la medida en que lo permita la CCPA;

(d)Google procesará dichos Datos Personales del Cliente con el fin específico de realizar los Servicios TDR, como se describe de manera más extensa en el Contrato y en la documentación de apoyo (por ejemplo, los artículos del centro de ayuda), o si la CCPA lo permitiese de otra manera y las partes estuvieran de acuerdo en que el Cliente está poniendo dichos Datos Personales del Cliente a disposición de Google para tales fines;

(e)Google permitirá auditorías para verificar el cumplimiento de Google con sus obligaciones bajo estos Apéndice 1B de acuerdo con el párrafo 3.3.3(c) (Derechos de Auditoría del Cliente).

(f)Google notificará al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA. Este párrafo 5.1(f) no reduce los derechos ni las obligaciones de ninguna de las partes en el resto del Contrato;

(g)si el Cliente razonablemente considera que Google está tratando los Datos Personales del Cliente de una manera no autorizada, el Cliente tiene el derecho de informar a Google de tal suposición a través de los métodos descritos enprivacy.google.com/businesses/processorsupport, y las partes trabajarán juntas y con buena fe para remediar las actividades de tratamiento presuntamente ilegítimas, si es necesario; y

(h)Google cumplirá con las obligaciones aplicables bajo la CCPA y proveerá el mismo nivel de protección de la privacidad requerido por la CCPA.

5.2 Respecto de los Datos Personales del Cliente procesados sin el Tratamiento de Datos Restringido habilitado, y en la medida en que la CCPA aplique al procesamiento de los Datos Personales del Cliente:

(a)Google procesará dichos Datos Personales del Cliente con el fin específico de realizar los Servicios del Responsable del Tratamiento, cuando corresponda, tal y como se describe en el Contrato y en la documentación de apoyo (por ejemplo, los artículos del centro de ayuda), o si la CCPA lo permitiese de otra manera y las partes estuvieran de acuerdo en que el Cliente está poniendo dichos Datos Personales del Cliente a disposición de Google para tales fines;

(b)Google permitirá auditorías para verificar el cumplimiento de Google con sus obligaciones bajo este Apéndice 1B de acuerdo con el párrafo 3.3.3(c) (Derechos de Auditoría del Cliente);

(c)Google notificará al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de la CCPA;

(d)Si el Cliente razonablemente considera que Google está tratando los Datos Personales del Cliente de una manera no autorizada, el Cliente tiene el derecho de informar a Google de tal suposición a través de los métodos descritos en privacy.google.com/businesses/processorsupport, y las partes trabajarán juntas y con buena fe para remediar las actividades de tratamiento presuntamente ilegítimas, si es necesario; y

(e)Google cumplirá con las obligaciones aplicables bajo la CCPA y proveerá el mismo nivel de protección de la privacidad requerido por la CCPA.

6. Cambios al presente Apéndice 1B.

Además de lo dispuesto en la Sección 7 de los Términos Aplicables a los Responsables del Tratamiento de Datos (Cambios en estos Términos Aplicables a los Responsables del Tratamiento de Datos), Google podrá, cuando corresponda, modificar este Apéndice 1B sin notificar el cambio si dicho cambio (a) se basa en la legislación aplicable, en la normativa aplicable, en una orden judicial, o en una directriz emitida por un gobierno o agencia reguladora; o (b) no produce un impacto material adverso en el Cliente bajo las Leyes de Privacidad de los Estados de Estados Unidos, según razonablemente lo determine Google.

7. Objeto y Detalles del Tratamiento de Datos en virtud de las Leyes de Privacidad de los Estados de Estados Unidos

Objeto

La prestación por parte de Google de los Servicios TDR y de cualquier soporte técnico relacionado con el Cliente.

Duración del tratamiento

La Vigencia más el periodo desde el final de esta hasta la eliminación de todos los Datos Personales del Cliente por parte de Google de acuerdo con este Apéndice 1B.

Naturaleza y Finalidad del Tratamiento

Google tratará (incluyendo, según corresponda a los Servicios TDR y las Instrucciones, recogiendo, registrando, organizando, estructurando, almacenando, alterando, recuperando, utilizando, divulgando, combinando, borrando y destruyendo) los Datos Personales del Cliente con la finalidad de proporcionar los Servicios TDR y cualquier soporte técnico relacionado al Cliente de acuerdo con el presente Apéndice 1B, o según lo permitido por los procesadores en virtud de las Leyes de Privacidad de los Estados de Estados Unidos.

Tipos de Datos Personales

Los datos Personales del Cliente pueden incluir los tipos de datos personales descritos en virtud de las Leyes de Privacidad de los Estados de Estados Unidos.

Categorías de Interesados

Los Datos Personales del Cliente afectarán a las siguientes categorías de interesados:

interesados sobre los que Google recopila datos personales al prestar sus Servicios TDR; y/o
interesados cuyos datos personales se transfieren a Google en relación con los Servicios TDR por parte del Cliente, siguiendo las indicaciones del Cliente o en su nombre.

En función de la naturaleza de los Servicios TDR, estos interesados pueden incluir individuos: (a) a quienes haya ido o vaya dirigida en un futuro la publicidad online; (b) que hayan visitado sitios web o aplicaciones específicos con respecto a los cuales Google proporcione los Servicios TDR y/o c) que sean clientes o usuarios de los productos o servicios del Cliente.

Términos de Protección de Datos entre Responsables del Tratamiento de Datos de Google Ads, versión 7.0

1 de septiembre del 2023

Versiones anteriores