Apéndice sobre el tratamiento de datos GDPR de Skyfii

Apéndice sobre el tratamiento de datos de Skyfii

Última actualización: 27 de diciembre de 2022

Skyfii ("Procesador de datos") y el Cliente ("Controlador de datos" ) suscriben el presente Apéndice sobre procesamiento de datos ("APD") y sus Anexos, que complementan el Acuerdo con el Cliente (definido a continuación) cuando las Leyes de protección de datos sean de aplicación al uso que usted haga de los Servicios de Skyfii para procesar Datos personales.

El presente APD, incluidos sus Anexos, se incorpora al Acuerdo o Acuerdos con el Cliente en virtud de los cuales Skyfii ha acordado prestarle los Servicios, que podrán especificarse en su Acuerdo con el Cliente. En caso de conflicto o incoherencia con los términos de su Contrato de Cliente, el presente APD prevalecerá sobre los términos del Contrato de Cliente en la medida en que pueda surgir dicho conflicto o incoherencia. La vigencia del presente APD seguirá a la del Acuerdo con el Cliente.

El presente APD es un acuerdo entre usted y la entidad a la que representa ("Cliente", "usted" o "su") y Skyfii ("nosotros" o "nos") o un revendedor de los Servicios (según proceda), y refleja el acuerdo de las partes con respecto a los términos que rigen el Tratamiento de Datos Personales en virtud del Acuerdo de Cliente. En la presente DPA, una referencia al Acuerdo del Cliente es una referencia a uno de los siguientes:

• Contrato marco de servicios (MSA) de Skyfii;
• Acuerdo de servicios Skyfii;
• Acuerdo de revendedor de Skyfii;
• Condiciones de licencia para clientes de Skyfii - www.skyfii.io/customer-terms; o
•  Cualquier otro acuerdo entre el Cliente y Skyfii que rija el uso de los Servicios de Skyfii por parte del Cliente,

cada uno de ellos un "Acuerdo del Cliente" y denominados genéricamente en el presente APD como el "Acuerdo".

ESTE DPA INCLUYE:

1. Lista de Subprocesadores, adjunta como Anexo 1.
2. Cláusulas Contractuales Tipo, adjuntas como Anexo 2.

1. 1. Anexo I del Apéndice de las Cláusulas Contractuales Tipo, que incluye datos específicos sobre los Datos Personales transferidos por el exportador de datos al importador de datos.
   2. Anexo II del Apéndice de las Cláusulas Contractuales Tipo, que incluye una descripción de las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos al que se hace referencia.

3. El apéndice del Reino Unido, adjunto como anexo 3.

1. Definiciones

Los términos no definidos de otro modo en el presente APD tendrán el significado establecido en el Acuerdo con el Cliente. La vigencia del presente APD seguirá a la de su Acuerdo de Cliente.

"CCPA" significa la Ley de Privacidad del Consumidor de California, Código Civil de California, secciones 1798.100 y siguientes, y sus reglamentos de aplicación.

"Responsable del Tratamiento" significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del Tratamiento de Datos Personales y se considerará que incluye a la "Empresa", tal y como se define en la CCPA. En el presente APD, el Cliente (tal como se define en el Acuerdo) es el Responsable del Tratamiento.

"Ley de Protección de Datos" significa toda la legislación aplicable relativa a la protección de datos y la privacidad, incluyendo, sin limitación, el GDPR de la UE, junto con cualquier ley nacional de implementación en cualquier Estado miembro de la Unión Europea o, en la medida aplicable, en cualquier otro país, en su versión modificada, derogada, consolidada o reemplazada de vez en cuando; el GDPR del Reino Unido; POPIA; LGPD; y CCPA.

"Sujeto de los Datos" se refiere a la persona física viva a la que se refieren los Datos Personales y se considerará que incluye al "Consumidor" tal y como se define en la CCPA.

"Documentación" significa el registro de instrucciones, incluidas todas las especificaciones, cursadas por el Cliente o en su nombre para los Servicios objeto del Contrato.

"Usuarios finales" se refiere a los visitantes de los recintos cuyos dispositivos móviles son detectados por WiFi y cuyos dispositivos detallados son registrados y supervisados por Skyfii; y a las personas que se registran para utilizar los servicios WiFi para invitados proporcionados por el Cliente en sus locales, recintos y ubicaciones.

"GDPR de la UE" significa el Reglamento General de Protección de Datos (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

"Instrucción": la instrucción escrita y documentada, emitida por el Responsable del tratamiento al Encargado del tratamiento, y que ordena a éste realizar una acción específica con respecto a los Datos Personales (incluyendo, entre otras, la despersonalización, el bloqueo, la supresión, la puesta a disposición).

"LGPD" significa la Ley General de Protección de Datos Personales de Brasil (modificada por la Ley n.º 13.853, de 8 de julio de 2019).

"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable cuando dicha información esté contenida en los Datos del Cliente y esté protegida de forma similar a los datos personales o a la información de identificación personal en virtud de la Ley de Protección de Datos aplicable.

Por "violación de datospersonales" se entenderá una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a datos personales transmitidos, almacenados o tratados de otro modo.

"Plataforma" se refiere a la plataforma tecnológica desarrollada y operada por Skyfii y utilizada por los Clientes con fines de análisis de la ubicación de los visitantes, para recopilar información de los Usuarios Finales e interactuar con los Usuarios Finales.

"POPIA" significa la Ley sudafricana de Protección de la Información Personal de 2013.

Por "tratamiento" se entenderá cualquier operación o conjunto de operaciones que se realicen con Datos Personales y que abarquen la recogida, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación o supresión de Datos Personales. Los términos "tratar", "procesa" y "procesado" se interpretarán en consecuencia.

Por "Encargado del tratamiento" se entenderá una persona física o jurídica, autoridad pública, agencia u otro organismo que trate Datos Personales en nombre del Responsable del tratamiento y se considerará que incluye al "Proveedor de servicios", tal como se define en la CCPA. En el presente APD, Skyfii (tal como se define en el Acuerdo) es el Encargado del Tratamiento.

"Servicios" se refiere a los servicios que Skyfii prestará al Cliente según lo establecido en el Contrato.

"Skyfii" significa la entidad Skyfii especificada en el Acuerdo pertinente.

"Cláusulas Contractuales Tipo" se refiere a las cláusulas contractuales tipo adjuntas al presente documento como Anexo 2 de conformidad con la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, en su versión modificada, sustituida o reemplazada.

"Adenda del Reino Unido" significa la Adenda de Transferencia Internacional de Datos emitida por el Comisionado de Información del Reino Unido en virtud de la sección 119A (1) de la Ley de Protección de Datos de 2018como puede ser modificada, sustituida o reemplazada.

"GDPR del Reino Unido" significa el Reglamento General de Protección de Datos (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ya que forma parte de la legislación de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018.

"Sedes" se refiere a los locales, sedes y ubicaciones del Cliente en los que se ofrecen servicios WiFi a los Particulares que utilizan la Plataforma.

"Servicio WiFi" hace referencia al acceso inalámbrico a Internet para invitados ofrecido por el Cliente en un Recinto utilizando su red inalámbrica junto con la Plataforma.

2. Detalles del tratamiento

1. Categorías de interesados: Categorías de interesados cuyos datos personales serán tratados por Skyfii:

• Usuarios finales
• Empleados, contratistas y otros trabajadores del Cliente
• Empleados, contratistas y otros trabajadores de proveedores del Cliente (como los Procesadores externos del Cliente).
• Otras personas cuyos Datos Personales sean facilitados a Skyfii o añadidos a la Plataforma por el Cliente.

1. Categorías de datos personales: Las categorías de Datos Personales que pueden ser Tratados por Skyfii incluyen:

• Nombre completo y prefijo
• Número de móvil
• Dirección de correo electrónico
• Fecha de nacimiento
• Género
• Edad
• Identidades en redes sociales y datos disponibles públicamente
• Código postal

• País o estado de residencia
• Detalles del dispositivo de navegación, incluida la dirección de control de acceso a medios
• La hora, la fecha y el lugar de registro de los interesados en el servicio WiFi
• La duración y frecuencia del uso del servicio WiFi y de las visitas a los locales por parte de los interesados.
• La ubicación aproximada de los dispositivos de navegación de los Sujetos de Datos mientras se encuentran en un Lugar de Actuación
• Historial de navegación por Internet de los interesados durante el uso del servicio WiFi
• Participación de los interesados en las publicaciones del cliente en las redes sociales y otras actividades sociales
• Información demográfica de los interesados
• Intereses y gustos de los interesados

1. Naturaleza y finalidad del tratamiento: Skyfii tratará los Datos Personales con el fin de prestar los Servicios al Cliente; las categorías de Datos Personales que se tratarán dependerán de los Servicios prestados al Cliente.
2. Duración del tratamiento: Skyfii tratará los Datos Personales hasta que el Cliente ponga fin al Servicio.

3. Responsabilidad del cliente

1. Las partes reconocen y acuerdan que el Cliente es el Controlador de los Datos Personales y Skyfii el Procesador de dichos datos. En lo que respecta a su uso de los Servicios, el Controlador será el único responsable del cumplimiento de los requisitos legales relativos a la protección de datos y la privacidad, en particular en lo que respecta a la divulgación y transferencia de Datos Personales al Procesador y al Procesamiento de Datos Personales.
2. Sin perjuicio de la generalidad de la cláusula 3.1, el Responsable del tratamiento se asegurará de contar con todos los consentimientos y notificaciones adecuados necesarios para permitir la transferencia legal de los Datos personales al Encargado del tratamiento durante la vigencia y a los efectos del Acuerdo con el cliente.
3. Para evitar cualquier duda, las instrucciones del Controlador para el Tratamiento de Datos Personales deberán cumplir con la Ley de Protección de Datos. Este APD es la instrucción completa y final del Cliente a Skyfii en relación con los Datos Personales y que las instrucciones adicionales fuera del ámbito del APD requerirían un acuerdo previo por escrito entre las partes. Las instrucciones se especificarán inicialmente en el Acuerdo y, posteriormente, podrán ser modificadas, ampliadas o sustituidas ocasionalmente por el Responsable del tratamiento en instrucciones escritas separadas (como instrucciones individuales).
4. El Responsable del Tratamiento informará al Encargado del Tratamiento, sin dilación indebida y de forma exhaustiva, de cualquier error o irregularidad relacionados con las disposiciones legales sobre el Tratamiento de Datos Personales.

4. Obligaciones del procesador

1. Cumplimiento de las instrucciones: El Encargado del tratamiento recogerá, tratará y utilizará los Datos personales únicamente en el ámbito de las Instrucciones del Responsable del tratamiento. Si el Encargado del tratamiento considera que una Instrucción del Responsable del tratamiento infringe la Ley de protección de datos, informará inmediatamente al Responsable del tratamiento sin demora. Si el Procesador no puede procesar Datos personales de acuerdo con las Instrucciones debido a un requisito legal en virtud de cualquier legislación aplicable de la Unión Europea o de un Estado miembro, el Procesador (i) notificará inmediatamente al Controlador dicho requisito legal antes del Procesamiento pertinente en la medida permitida por la Ley de protección de datos; y (ii) cesará todo Procesamiento (distinto del mero almacenamiento y mantenimiento de la seguridad de los Datos personales afectados) hasta el momento en que el Controlador emita nuevas instrucciones con las que el Procesador pueda cumplir. Si se invoca esta disposición, el encargado del tratamiento no será responsable ante el responsable del tratamiento en virtud del acuerdo por el incumplimiento de los servicios aplicables hasta el momento en que el responsable del tratamiento emita nuevas instrucciones con respecto al tratamiento.
2. Seguridad: El encargado del tratamiento adoptará las medidas técnicas y organizativas apropiadas para proteger adecuadamente los Datos Personales contra la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, descritos en el Anexo II del Apéndice de las Cláusulas Contractuales Tipo. Dichas medidas incluyen, entre otras:

1. La prevención del acceso de personas no autorizadas a los sistemas de tratamiento de datos personales (control de acceso físico);
2. Impedir que los sistemas de tratamiento de datos personales se utilicen sin autorización (control de acceso lógico);
3. Garantizar que las personas autorizadas a utilizar un sistema de Tratamiento de Datos Personales sólo tengan acceso a los Datos Personales a los que tienen derecho a acceder de acuerdo con sus derechos de acceso, y que, en el curso del Tratamiento o uso y después del almacenamiento, los Datos Personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización (control de acceso a los datos);
4. Garantizar que los Datos Personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización durante su transmisión electrónica, transporte o almacenamiento en soportes de almacenamiento, y que puedan establecerse y verificarse las entidades destinatarias de cualquier transferencia de Datos Personales mediante instalaciones de transmisión de datos (control de transferencia de datos);
5. Garantizar el establecimiento de una pista de auditoría para documentar si se han introducido, modificado o retirado Datos Personales de los sistemas de Tratamiento de Datos Personales y quién lo ha hecho (control de entrada);
6. Garantizar que los Datos Personales se tratan únicamente de conformidad con las instrucciones del Responsable del Tratamiento (control de las instrucciones);
7. Garantizar la protección de los Datos Personales contra su destrucción o pérdida accidental (control de disponibilidad).

A petición del Responsable del tratamiento, el Encargado del tratamiento facilitará un programa actualizado de protección y seguridad de los Datos Personales en relación con el Tratamiento en virtud del presente documento.

El Procesador facilitará el cumplimiento por parte del Controlador de su obligación de implementar medidas de seguridad con respecto a los Datos Personales de conformidad con las Leyes de Protección de Datos mediante (i) la implementación y el mantenimiento de las medidas de seguridad descritas en el Apéndice 2, (ii) el cumplimiento de los términos de la Sección 4.4 (Violaciones de Datos Personales); y (iii) el suministro al Controlador de información en relación con el Procesamiento de conformidad con la Sección 5 (Auditorías).

3. Confidencialidad: El encargado del tratamiento se asegurará de que todo el personal al que autorice a tratar Datos Personales en su nombre esté sujeto a obligaciones de confidencialidad con respecto a dichos Datos Personales. El compromiso de confidencialidad se mantendrá una vez finalizadas las actividades mencionadas anteriormente.
4. Violación de datos personales: El procesador notificará al controlador tan pronto como sea posible después de que tenga conocimiento de cualquier violación de datos personales que afecte a cualquier dato personal. A petición del Controlador, el Procesador proporcionará de inmediato al Controlador toda la asistencia razonable necesaria para permitirle notificar las Violaciones de Datos Personales pertinentes a las autoridades competentes y/o a los Sujetos de Datos afectados, si el Controlador está obligado a hacerlo en virtud de la Ley de Protección de Datos.
5. Solicitudes del interesado: El responsable del tratamiento proporcionará asistencia razonable, incluso mediante medidas técnicas y organizativas adecuadas y teniendo en cuenta la naturaleza del tratamiento, para permitir al responsable del tratamiento responder a cualquier solicitud de los interesados que pretendan ejercer sus derechos en virtud de la Ley de protección de datos con respecto a los datos personales (incluido el acceso, la rectificación, la limitación, la supresión o la portabilidad de los datos personales, según proceda), en la medida en que lo permita la ley. Si dicha solicitud se realiza directamente al Responsable del tratamiento, éste informará sin demora al Responsable del tratamiento y aconsejará a los interesados que presenten su solicitud al Responsable del tratamiento. El responsable del tratamiento será el único responsable de responder a las solicitudes de los interesados. El responsable del tratamiento reembolsará al encargado del tratamiento los costes derivados de esta asistencia.
6. Subprocesadores: El Procesador tendrá derecho a contratar Sub-Procesadores para cumplir con las obligaciones del Procesador definidas en el Acuerdo sólo con el consentimiento por escrito del Controlador. A estos efectos, el Responsable del tratamiento autoriza la contratación como subencargados del tratamiento de las empresas afiliadas al Responsable del tratamiento y de los terceros enumerados en el Anexo 1. Para evitar cualquier duda, la autorización anterior constituye el consentimiento previo por escrito del Responsable al subtratamiento por parte del Procesador a efectos de la cláusula 8.8 de las Cláusulas Contractuales Tipo.

Si el Encargado del tratamiento tiene la intención de contratar a Subencargados del tratamiento distintos de las empresas enumeradas en el Anexo 1, el Encargado del tratamiento lo notificará al Responsable del tratamiento por escrito (mediante notificación in-app en el portal web Skyfii IO) y le dará la oportunidad de oponerse a la contratación de los nuevos Subencargados del tratamiento en un plazo de 30 días a partir de la notificación. La objeción deberá basarse en motivos razonables (por ejemplo, si el responsable del tratamiento demuestra que existen riesgos significativos para la protección de sus datos personales en el subencargado del tratamiento). Si el Encargado del tratamiento y el Responsable del tratamiento no consiguen resolver dicha objeción, cualquiera de las partes podrá resolver el Acuerdo mediante notificación por escrito a la otra parte. El Responsable del tratamiento recibirá el reembolso de todas las tarifas prepagadas pero no utilizadas durante el periodo posterior a la fecha efectiva de rescisión.

Cuando el Encargado del tratamiento contrate a Subencargados del tratamiento, el Encargado del tratamiento celebrará un contrato con el Subencargado del tratamiento que imponga a éste las mismas obligaciones que se aplican al Encargado del tratamiento en virtud del presente APD y cumpla los requisitos de la Ley de protección de datos. Si el subencargado del tratamiento incumple sus obligaciones en materia de protección de datos, el responsable del tratamiento seguirá siendo responsable ante el responsable del tratamiento del cumplimiento de las obligaciones de dicho subencargado.

Cuando se contrate a un subencargado del tratamiento, deberá concederse al responsable del tratamiento el derecho a supervisar e inspeccionar las actividades del subencargado de conformidad con la presente APD y la Ley de protección de datos, incluido el derecho a obtener información del encargado del tratamiento, previa solicitud por escrito, sobre el contenido del contrato y la aplicación de las obligaciones de protección de datos en virtud del contrato de subencargo del tratamiento, en su caso mediante la inspección de los documentos contractuales pertinentes.

7. Transferencias de datos: El Responsable del tratamiento reconoce y acepta que, en relación con la prestación de los servicios previstos en el Contrato, los Datos personales se transferirán a Skyfii Group Pty Ltd (ACN 165 152 241) y a otras filiales en Australia.

1. Transferencias al EEE: Las Cláusulas Contractuales Tipo (módulo 2) del Anexo 2 se aplicarán con respecto a los Datos Personales que se transfieran fuera del EEE, ya sea directamente o mediante transferencia ulterior, a Australia y a cualquier país que la Comisión Europea no reconozca que ofrece un nivel adecuado de protección de los datos personales (tal y como se describe en la Ley de Protección de Datos).
2. Transferencias al Reino Unido: La Adenda del Reino Unido que figura en el Anexo 3 y que se incorpora al presente Contrato se aplicará con respecto a los Datos Personales que se transfieran fuera del Reino Unido, ya sea directamente o mediante transferencia ulterior, a Australia y a cualquier país que no esté reconocido por el Gobierno del Reino Unido como proveedor de un nivel adecuado de protección de los datos personales (tal y como se describe en la Ley de Protección de Datos). (ii) la Tabla 1 del Addendum del Reino Unido se considerará completada con la información establecida en el Anexo 1 de las Cláusulas Contractuales Tipo; y (iii) cualquier conflicto entre los términos de las Cláusulas Contractuales Tipo y el Addendum del Reino Unido se resolverá de conformidad con la Sección 10 y la Sección 11 del Addendum del Reino Unido.

Si, en el marco de la aplicación del presente Acuerdo, Skyfii transfiere datos personales a un subencargado del tratamiento situado fuera del Reino Unido o del EEE, Skyfii se asegurará, antes de proceder a dicha transferencia, de que existe un mecanismo jurídico que garantice la adecuación de dicho tratamiento.

8. Supresión o recuperación de datos personales: Salvo en la medida en que sea necesario para cumplir con la Ley de Protección de Datos, tras la rescisión o expiración del Acuerdo, el Procesador eliminará todos los Datos Personales (incluidas las copias de los mismos) procesados en virtud del presente APD. Si el procesador no puede eliminar los datos personales por razones técnicas o de otro tipo, el procesador aplicará medidas para garantizar que los datos personales están bloqueados para cualquier tratamiento posterior.

El Responsable del tratamiento, tras la rescisión o expiración del Contrato y mediante la emisión de una Instrucción, estipulará, en un plazo fijado por el Encargado del tratamiento, las medidas razonables para devolver los datos o suprimir los datos almacenados. Cualquier coste adicional derivado de la devolución o eliminación de los Datos Personales tras la resolución o expiración del Contrato correrá a cargo del Responsable del Tratamiento.

5. Auditorías

1. El Responsable del tratamiento podrá, antes del inicio del tratamiento y posteriormente a intervalos regulares, auditar las medidas técnicas y organizativas adoptadas por el Encargado del tratamiento. A tal efecto, el Responsable del tratamiento podrá:

1. obtener información del procesador;
2. solicitar al encargado del tratamiento que presente al responsable del tratamiento un atestado o certificado emitido por un experto profesional independiente; o bien
3. previo acuerdo razonable y oportuno, durante el horario laboral habitual y sin interrumpir las operaciones comerciales del Procesador, llevar a cabo una inspección in situ de las operaciones comerciales del Procesador o hacer que un tercero cualificado que no sea competidor del Procesador lleve a cabo la misma.

1. El procesador, previa solicitud por escrito del controlador y dentro de un período razonable de tiempo, proporcionará al controlador toda la información necesaria para dicha auditoría, en la medida en que dicha información esté bajo el control del procesador y el procesador no esté impedido de revelarla por la ley aplicable, un deber de confidencialidad o cualquier otra obligación debida a un tercero.

6. Disposiciones específicas de POPIA

1. Esta Sección 6 se aplica únicamente cuando el Cliente recopila y procesa Datos Personales sobre Sujetos de Datos en la República de Sudáfrica ("Responsable de SA").
2. A efectos del cumplimiento de la POPIA, se considerará que las referencias a los siguientes términos en el presente APD incluyen las siguientes definiciones de la POPIA:

1. Se entenderá que "responsable del tratamiento" incluye una referencia a un "responsable";
2. se entenderá que "responsable del tratamiento" incluye una referencia a un "operador"; y
3. Se entenderá que "datos personales" incluye una referencia a "información personal".

3. El presente APD constituirá un acuerdo de operador entre Skyfii y un responsable del tratamiento de los datos personales.
4. Las partes acuerdan que el Responsable del tratamiento de SA es la "parte responsable" y Skyfii es un "operador" a efectos de POPIA y que Skyfii actúa bajo el mandato del Responsable del tratamiento de SA cuando trata Datos personales en su nombre.
5. El Controlador de SA será el único responsable del cumplimiento de las obligaciones de notificación establecidas en el artículo 18 de la POPIA.
6. La obligación de Skyfii de aplicar medidas de seguridad según lo establecido en la sección 4.2 de la presente DPA se considerará una obligación de adoptar medidas técnicas y organizativas adecuadas y razonables a efectos de la sección 19 de POPIA.
7. El Controlador de SA reconoce y acepta que, en relación con la prestación de los servicios en virtud del Acuerdo, los Datos Personales serán transferidos a Skyfii Group Pty Ltd (ACN 165 152 241) y otras filiales en Australia y este DPA formará un acuerdo vinculante a los efectos de la sección 72 de POPIA y:

1. las medidas de seguridad que Skyfii aplicará a dichos Datos Personales, tal y como se establece en la sección 4.2, serán medidas técnicas y organizativas razonables y adecuadas; y
2. Skyfii aplicará las mismas medidas de seguridad con respecto a cualquier transferencia ulterior de Datos Personales a cualquier tercer país.

7. Disposiciones generales

En caso de conflicto, el presente APD prevalecerá sobre las disposiciones del Acuerdo. Cuando alguna de las disposiciones del presente APD sea inválida o inaplicable, la validez y aplicabilidad de las demás disposiciones del APD no se verán afectadas.

Al incorporar el presente APD al Acuerdo, las partes indicadas en la Sección 7 (Partes del presente APD) aceptan las Cláusulas Contractuales Tipo (cuando y como proceda) y todos los apéndices adjuntos al mismo. En caso de conflicto o incoherencia entre el presente APD y las Cláusulas Contractuales Tipo del Anexo 2, prevalecerán las Cláusulas Contractuales Tipo.

8. Partes de esta APD

El presente APD modifica el Acuerdo y forma parte del mismo. Tras la incorporación del presente APD al Acuerdo, el Responsable del tratamiento y Skyfii pasan a ser parte del presente APD.

La persona jurídica que acepta el presente APD en calidad de Responsable del tratamiento declara que está autorizada a aceptar y celebrar el presente APD y que lo hace exclusivamente en nombre del Responsable del tratamiento.

9. Firma

Las partes acuerdan que la ejecución del Acuerdo constituirá la ejecución del presente APD por ambas partes.

         

ANEXO 1

Subprocesadores

Los subprocesadores de Skyfii figuran en:

• https://skyfii.io/sub-processors

ANEXO 2

Cláusulas contractuales tipo

(Módulo 2: De controlador a procesador)

SECCIÓN I

Artículo 1

Objetivo y ámbito de aplicación

1. El objeto de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)^[1] para la transferencia de datos personales a un tercer país.

1. Las Partes:

1. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en lo sucesivo, "entidad(es)") que transfiere(n) los datos personales, enumerados en el anexo I.A. (en lo sucesivo, "exportador(es) de datos"), y
2. la(s) entidad(es) de un tercer país que reciba(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte de estas Cláusulas, según se enumera en el Anexo I.A. (en lo sucesivo, cada "importador de datos")

han aceptado las presentes cláusulas contractuales tipo (en adelante: "Cláusulas").

2. Las presentes Cláusulas se aplican a la transferencia de datos personales tal como se especifica en el Anexo I.B.
3. El Apéndice de las presentes Cláusulas que contiene los Anexos en él mencionados forma parte integrante de las presentes Cláusulas.

Artículo 2

Efecto e invariabilidad de las cláusulas

1. Las presentes Cláusulas establecen garantías adecuadas, incluidos derechos exigibles de los interesados y recursos jurídicos efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados del tratamiento y/o encargados del tratamiento a encargados del tratamiento, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información en el apéndice. Ello no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
2. Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Artículo 3

Terceros beneficiarios

1. Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:

1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
2. Cláusula 8 - Módulo Uno: Cláusula 8.5 (e) y Cláusula 8.9 (b); Módulo Dos: Cláusula 8.1 (b), 8.9 (a), (c), (d) y (e); Módulo Tres: Cláusula 8.1 (a), (c) y (d) y Cláusula 8.9 (a), (c), (d), (e), (f) y (g); Módulo Cuatro: Cláusula 8.1 (b) y Cláusula 8.3 (b);
3. Cláusula 9 - Módulo Dos: Cláusula 9(a), (c), (d) y (e); Módulo Tres: Cláusula 9(a), (c), (d) y (e);
4. Cláusula 12 - Módulo Uno: Cláusula 12(a) y (d); Módulos Dos y Tres: Cláusula 12(a), (d) y (f);
5. Artículo 13;
6. Cláusula 15.1(c), (d) y (e);
7. Cláusula 16(e);
8. Cláusula 18 - Módulos Uno, Dos y Tres: Cláusula 18(a) y (b); Módulo Cuatro: Cláusula 18.

2. El apartado a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Artículo 4

Interpretación

1. Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
2. Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.
3. Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Artículo 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.

Artículo 6

Descripción de la(s) transferencia(s)

Los detalles de la transferencia o transferencias, y en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

Artículo 7

Cláusula de atraque

1. Una entidad que no sea Parte en las presentes Cláusulas podrá, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el Apéndice y firmando el Anexo I.A.  
2. Una vez que haya cumplimentado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de las presentes Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de conformidad con su designación en el Anexo I.A.
3. La entidad adherente no tendrá ningún derecho ni obligación derivados de estas Cláusulas desde el periodo anterior a convertirse en Parte.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Artículo 8

Protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes cláusulas.

8.1 Instrucciones

1. El importador de datos tratará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la vigencia del contrato.

4. El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.

8.2 Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia de las presentes cláusulas, incluido el apéndice completado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del apéndice de las presentes cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el interesado no pudiera comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.  

8.4 Precisión

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora injustificada. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos sólo tendrá lugar durante el período especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados por cuenta del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados por cuenta suya y suprimirá las copias existentes. Hasta que se supriman o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo los tratará en la medida y durante el tiempo que exija dicha legislación local. Esto se entiende sin perjuicio de la Cláusula 14, en particular el requisito de que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la vigencia del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la Cláusula 14(a).

8.6 Seguridad del tratamiento

1. El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra quebrantamientos de la seguridad que provoquen la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de dichos datos (en lo sucesivo, "violación de datos personales"). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad o finalidades del tratamiento, así como los riesgos que entrañe el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que dichas medidas siguen proporcionando un nivel de seguridad adecuado.
2. El importador de datos sólo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.
3. En caso de violación de datos personales relativos a datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora injustificada tras haber tenido conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, cuando proceda, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información de que se disponga en ese momento y, posteriormente, a medida que se vaya disponiendo de ella, se facilitará más información sin dilaciones indebidas.
4. El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir las obligaciones que le impone el Reglamento (UE) 2016/679, en particular la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles

Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, "datos sensibles"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el Anexo I.B.

8.8 Transferencias ulteriores

El importador de datos sólo revelará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán comunicarse a terceros situados fuera de la Unión Europea.^[2] (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo "transferencia ulterior") si el tercero está o acepta estar vinculado por estas Cláusulas, en virtud del Módulo correspondiente, o si:

1. la transferencia ulterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
2. el tercero garantiza de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
3. la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o
4. la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Toda transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en las presentes cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y conformidad

1. El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento previsto en las presentes cláusulas.
2. Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas por cuenta del exportador de datos.
3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si existen indicios de incumplimiento. A la hora de decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.  
4. El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.
5. Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en las letras b) y c), incluidos los resultados de cualquier auditoría.

Artículo 9

Uso de subprocesadores

1. El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargados del tratamiento de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento con una antelación mínima de 30 días, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subencargado o subencargados del tratamiento. El importador de datos facilitará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.
2. Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (por cuenta del exportador de datos), deberá hacerlo mediante un contrato escrito que establezca, en esencia, las mismas obligaciones en materia de protección de datos que las que vinculan al importador de datos en virtud de las presentes cláusulas, incluso en términos de derechos de terceros beneficiarios para los interesados.^[3] Las Partes acuerdan que, mediante el cumplimiento de la presente Cláusula, el importador de datos cumple las obligaciones que le incumben en virtud de la Cláusula 8.8. El importador de datos velará por que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes Cláusulas.
3. El importador de datos facilitará al exportador de datos, a petición de éste, una copia de dicho acuerdo de subencargado del tratamiento y de cualquier modificación posterior. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.
4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de dicho contrato.
5. El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado que borre o devuelva los datos personales.

Artículo 10

Derechos del interesado

1. El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá por sí mismo a dicha solicitud a menos que haya sido autorizado para ello por el exportador de datos.
2. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos con arreglo al Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.
3. En el cumplimiento de sus obligaciones en virtud de las letras a) y b), el importador de datos deberá atenerse a las instrucciones del exportador de datos.

Artículo 11

Reparación

1. El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Tratará sin demora cualquier reclamación que reciba de un interesado.
2. En caso de litigio entre un interesado y una de las Partes en lo que respecta al cumplimiento de las presentes cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y en el momento oportuno. Las Partes se mantendrán mutuamente informadas de tales litigios y, en su caso, cooperarán para resolverlos.  
3. Cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, el importador de datos aceptará la decisión del interesado de:

1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o de su lugar de trabajo, o ante la autoridad de control competente en virtud de la cláusula 13;
2. remitir el litigio a los tribunales competentes en el sentido de la cláusula 18.

4. Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
5. El importador de datos acatará una decisión que sea vinculante con arreglo a la legislación aplicable de la UE o de los Estados miembros.
6. El importador de datos acepta que la elección realizada por el interesado no menoscabará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación aplicable.

Artículo 12

Responsabilidad

1. Cada una de las Partes será responsable ante la/s otra/s de los daños y perjuicios que cause a la/s otra/s por el incumplimiento de las presentes Cláusulas.
2. El importador de datos será responsable ante el interesado, y éste tendrá derecho a ser indemnizado, por cualquier daño material o moral que el importador de datos o su subencargado le cause por infringir los derechos de terceros beneficiarios previstos en las presentes cláusulas.
3. No obstante lo dispuesto en la letra b), el exportador de datos será responsable ante el interesado, y este tendrá derecho a recibir una indemnización, por cualquier daño material o moral que el exportador de datos o el importador de datos (o su subencargado del tratamiento) cause al interesado por vulnerar los derechos de terceros beneficiarios en virtud de las presentes cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según proceda.
4. Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del apartado (c) de los daños causados por el importador de datos (o su subencargado del tratamiento), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.
5. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia de un incumplimiento de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.
6. Las Partes acuerdan que si una de las Partes es considerada responsable en virtud del apartado (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su responsabilidad por el daño.
7. El importador de datos no puede invocar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.

Artículo 13

Supervisión

1. Actuará como autoridad de control competente la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C.
2. El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes cláusulas. En particular, el importador de datos acepta responder a las investigaciones, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han adoptado las medidas necesarias.

SECCIÓN III - LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

Artículo 14

Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas

1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluido cualquier requisito de revelar datos personales o medidas que autoricen el acceso de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con las presentes Cláusulas.
2. Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:

1. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
2. las leyes y prácticas del tercer país de destino -incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables^[4];
3. todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

3. El importador de datos garantiza que, al llevar a cabo la evaluación prevista en la letra b), ha hecho todo lo posible por facilitar al exportador de datos la información pertinente y acepta que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de las presentes Cláusulas.
4. Las Partes acuerdan documentar la evaluación prevista en la letra b) y ponerla a disposición de la autoridad de control competente a petición de ésta.
5. El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos de la letra a).
6. Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el contrato se rescinda en virtud de la presente Cláusula, se aplicarán las letras d) y e) de la Cláusula 16.

Artículo 15

Obligaciones del importador de datos en caso de acceso de las autoridades públicas

15.1 Notificación

1. El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (en caso necesario, con la ayuda del exportador de datos) si:

1. reciba una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de los datos personales transferidos en virtud de las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o bien
2. tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.

2. Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar toda la información posible, lo antes posible. El importador de datos acepta documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.
3. Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.).
4. El importador de datos se compromete a conservar la información contemplada en las letras a) a c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente a petición de ésta.
5. Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, en virtud de la cláusula 14(e) y de la cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir estas cláusulas.

15.2 Revisión de la legalidad y minimización de datos

1. El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, tras una evaluación cuidadosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal con arreglo a la legislación del país de destino, las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que sea requerido para ello en virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos con arreglo a la letra e) de la cláusula 14.
2. El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente a petición de ésta.
3. El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Artículo 16

Incumplimiento de las cláusulas y rescisión

1. El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes cláusulas.
2. En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Todo ello sin perjuicio de lo dispuesto en la letra f) de la cláusula 14.
3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas, cuando:

1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se restablezca el cumplimiento de las presentes cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;
2. el importador de datos incumple de forma sustancial o persistente las presentes cláusulas; o
3. el importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes cláusulas.

En estos casos, informará de dicho incumplimiento a la autoridad de control competente. Cuando el contrato implique a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, salvo que las Partes hayan acordado otra cosa.

4. Los datos personales que se hayan transferido antes de la rescisión del contrato con arreglo a la letra c) se devolverán inmediatamente al exportador de datos, a elección de éste, o se suprimirán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales transferidos, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes cláusulas y que sólo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.
5. Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Artículo 17

Legislación aplicable

Las presentes Cláusulas se regirán por la legislación del Estado miembro de la UE en el que esté establecido el exportador de datos. Cuando dicha legislación no permita los derechos de terceros beneficiarios, se regirán por la legislación de otro Estado miembro de la UE que sí permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación de la República de Irlanda(especifíquese el Estado miembro).

Artículo 18

Elección de foro y jurisdicción

1. Cualquier litigio derivado de las presentes cláusulas será resuelto por los tribunales de un Estado miembro de la UE.
2. Las Partes acuerdan que serán los tribunales de la República de Irlanda(especificar Estado miembro).
3. El interesado también podrá emprender acciones legales contra el exportador o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
4. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

---

ANEXO

ANEXO I

A. LISTA DE LAS PARTES

Exportador(es) de datos:

Nombre: Cliente

Dirección: Como se especifica en el Acuerdo

Nombre, cargo y datos de la persona de contacto: Los datos de contacto del exportador de datos se especifican en el Acuerdo.

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Los servicios que Skyfii prestará al Cliente según lo descrito en el Acuerdo.

Firma y fecha: Las partes acuerdan que la ejecución del Acuerdo constituirá la ejecución de estas Cláusulas por ambas partes.

Función (controlador/procesador): Controlador

Importador(es) de datos:

Nombre: Skyfii

Dirección: Como se especifica en el Acuerdo

Nombre, cargo y datos de la persona de contacto:

Michael Walker 5 Ward Avenue POTTS POINT NSW 2011 AUSTRALIA privacy@skyfii.com

Datos de contacto del responsable de la protección de datos:

Evalian Limited West Lodge Colden Common Winchester, Reino Unido, SO21 1TH dpo@evalian.co.uk

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Los servicios que Skyfii prestará al Cliente según lo descrito en el Acuerdo.

Firma: Las partes acuerdan que la ejecución del Acuerdo constituirá la ejecución de estas Cláusulas por ambas partes.

Función (controlador/procesador): Procesador

---

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren

• Categorías de interesados establecidas en la Sección 2 del Acuerdo de Tratamiento de Datos al que se incorporan las presentes Cláusulas.

Categorías de datos personales transferidos

• Categorías de datos personales establecidas en la Sección 2 del Acuerdo de Procesamiento de Datos al que se incorporan estas Cláusulas.

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales.

• Las partes no prevén la transferencia de categorías especiales de datos.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

• Continuo

Naturaleza del tratamiento

• Categorías de datos personales establecidas en la Sección 2 del Acuerdo de Tratamiento de Datos al que se adjuntan las presentes Cláusulas.

Finalidad o finalidades de la transferencia y el tratamiento posterior de los datos

• Prestación de los Servicios que Skyfii debe prestar al exportador de datos, tal como se establece en los Acuerdos de Cliente de Skyfii.

El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo.

• Vigencia de los contratos de cliente de Skyfii.

Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento

• Como se ha indicado anteriormente

C. AUTORIDAD DE CONTROL COMPETENTE

Identifique a la autoridad o autoridades de control competentes de conformidad con la cláusula 13:

• La autoridad de control competente del Estado miembro de la UE en el que esté establecido el exportador de datos.

---

ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

• Políticas y sensibilización

Políticas de seguridad de la información y procedimientos operativos relacionados, así como formación del personal en materia de seguridad de la información.

• Control de acceso

Control de acceso con privilegios mínimos basado en el acceso por funciones. Proceso definido de gestión de acceso de usuarios con auditoría continua de los permisos de acceso de los usuarios. Acceso restringido privilegiado y administrativo basado en la necesidad de conocer, con auditoría continua de los permisos de acceso de los usuarios.

• Identificación y autenticación

Controles de gestión de identidades y accesos para garantizar que sólo los usuarios identificados de forma única, autorizados y autentificados tengan acceso a los sistemas de tratamiento de datos personales.

• Seguridad de los datos

Clasificación y etiquetado de datos. Cifrado de datos en reposo y en tránsito. Gestión centralizada de claves, incluida la rotación.

• Seguridad de los recursos humanos

Comprobación previa de los antecedentes laborales de los posibles miembros del personal que vayan a tener acceso a datos personales, exigiéndoles que estén sujetos a obligaciones de confidencialidad y disponiendo de un proceso disciplinario para gestionar las violaciones de la confidencialidad o el incumplimiento de las políticas de seguridad de la información o protección de datos.

• Seguridad física

Implantar controles de seguridad física para impedir el acceso no autorizado a los datos personales y a los sistemas de información utilizados para procesar los datos personales.

• Seguridad técnica

Normas y construcciones de configuración seguras. Controles de seguridad del perímetro de la red. Software antimalware instalado en todos los ordenadores.

• Gestión de incidentes

Procedimientos de gestión de incidentes de seguridad de la información.

• Garantía independiente

Revisiones de garantía por terceros, incluidas pruebas de penetración de los sistemas de información apropiados, al menos una vez al año.  

---

ANEXO III - LISTA DE SUBTRANSFORMADORES

El responsable del tratamiento ha autorizado el uso de los siguientes subencargados del tratamiento:

Los subprocesadores que figuran en:

- https://skyfii.io/sub-processors

---

ANEXO 3

Apéndice IDT

Módulo 2: De controlador a procesador

Cláusulas tipo de protección de datos que publicará el Comisionado en virtud de la S119A(1) Ley de Protección de Datos de 2018

Adenda sobre transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión Europea

VERSION B1.0, en vigor el 21 de marzo de 2022

Este apéndice ha sido publicado por el Comisario de Información para las partes que realizan transferencias restringidas. El Comisario de Información considera que ofrece garantías adecuadas para las transferencias restringidas cuando se celebra como un contrato jurídicamente vinculante.

Parte 1: Tablas

Cuadro 1: Partes

Fecha de inicio	Fecha del APD
Las Partes	Exportador (que envía la transferencia restringida)	Importador (que recibe la transferencia restringida)
Datos de las partes	Como se indica en el Anexo 1.A de las Cláusulas Contractuales Tipo	Como se indica en el Anexo 1.A de las Cláusulas Contractuales Tipo
Contacto clave	Como se indica en el Anexo 1.A de las Cláusulas Contractuales Tipo	Como se indica en el Anexo 1.A de las Cláusulas Contractuales Tipo
Firma (si es necesaria a efectos de la sección 2)	Las partes acuerdan que la ejecución del Acuerdo constituirá la ejecución del presente Addendum por ambas partes.	Las partes acuerdan que la ejecución del Acuerdo constituirá la ejecución del presente Addendum por ambas partes.

Cuadro 2: SCC, módulos y cláusulas seleccionados

Adenda CCE UE

☒ La versión de las CEC aprobadas de la UE a las que se adjunta el presente apéndice, que se detalla a continuación, incluida la información del apéndice: Fecha Fecha del APD Referencia (en su caso): N/A Otros identificadores (en su caso): Según lo dispuesto en el Anexo 2 del presente APD. O ☐ las CEC aprobadas de la UE, incluido el apéndice de información y con sólo los siguientes módulos, cláusulas o disposiciones opcionales de las CEC aprobadas de la UE puestas en vigor a efectos del presente apéndice:

Cuadro 3: Información del apéndice

"Información del Apéndice" se refiere a la información que debe facilitarse para los módulos seleccionados según lo establecido en el Apéndice de las CEC aprobadas de la UE (distintas de las Partes), y que para el presente Addendum se establece en:

Anexo 1A: Lista de Partes: Tal y como figura en el Anexo I.A. de las Cláusulas Contractuales Tipo.

Anexo 1B: Descripción de la transferencia: Según el Anexo I.B. de las Cláusulas Contractuales Tipo

Anexo II: Medidas técnicas y organizativas que incluyen medidas técnicas y organizativas para garantizar la seguridad de los datos: De conformidad con el anexo II de las Cláusulas Contractuales Tipo

Anexo III: Lista de subprocesadores (sólo módulos 2 y 3): Según el Anexo III de las Cláusulas Contractuales Tipo

Tabla 4: Finalización de este apéndice cuando cambia el apéndice aprobado

Finalización de esta Adenda cuando cambie la Adenda aprobada

Las Partes podrán poner fin al presente Addendum según lo dispuesto en la Sección 19: Importador Exportador ☒ ni Partido

Parte 2: Cláusulas obligatorias

Adhesión al presente apéndice

1. Cada una de las Partes acepta quedar vinculada por los términos y condiciones establecidos en el presente Addendum, a cambio de que la otra Parte también acepte quedar vinculada por el presente Addendum.
2. Aunque el anexo 1A y la cláusula 7 de las CEC aprobadas de la UE requieren la firma de las Partes, a efectos de realizar transferencias restringidas, las Partes podrán celebrar el presente apéndice de cualquier forma que los haga jurídicamente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo dispuesto en el presente apéndice. La suscripción del presente apéndice tendrá el mismo efecto que la firma de los CEC aprobados de la UE y de cualquier parte de los CEC aprobados de la UE.

Interpretación del presente apéndice

3. Cuando en la presente Adenda se utilicen términos definidos en las CEC aprobadas de la UE, dichos términos tendrán el mismo significado que en las CEC aprobadas de la UE. Además, los siguientes términos tienen el siguiente significado:

Anexo	La presente Adenda de Transferencia Internacional de Datos, que se compone de la presente Adenda que incorpora la Adenda CCE UE.
Adenda CCE UE	La(s) versión(es) de las CEC aprobadas de la UE a las que se adjunta el presente apéndice, tal como se establece en el cuadro 2, incluido el apéndice informativo.
Apéndice Información	Como se indica en el cuadro 3.
Garantías adecuadas	El nivel de protección de los datos personales y de los derechos de los interesados, exigido por las leyes de protección de datos del Reino Unido cuando se realiza una transferencia restringida basada en cláusulas estándar de protección de datos en virtud del artículo 46, apartado 2, letra d), del GDPR del Reino Unido.
Adenda aprobada	La plantilla Addendum emitida por la OIC y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, ya que se revisa en virtud de la Sección 18.
SCC aprobados por la UE	Las cláusulas contractuales tipo establecidas en el anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
ICO	El Comisario de Información.
Transferencia restringida	Una transferencia cubierta por el capítulo V del GDPR del Reino Unido.
REINO UNIDO	Reino Unido de Gran Bretaña e Irlanda del Norte.
Legislación británica sobre protección de datos	Todas las leyes relativas a la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluidos el GDPR del Reino Unido y la Ley de Protección de Datos de 2018.
GDPR DEL REINO UNIDO	Según se define en la sección 3 de la Ley de Protección de Datos de 2018.

4. El presente apéndice debe interpretarse siempre de forma coherente con la legislación británica en materia de protección de datos y de modo que cumpla la obligación de las Partes de proporcionar las garantías adecuadas.
5. Si las disposiciones incluidas en el Addendum a las CEC de la UE modifican las CEC aprobadas de alguna manera que no esté permitida en virtud de las CEC de la UE aprobadas o del Addendum aprobado, dicha(s) modificación(es) no se incorporará(n) al presente Addendum y la disposición equivalente de las CEC de la UE aprobadas ocupará su lugar.
6. En caso de incoherencia o conflicto entre las leyes de protección de datos del Reino Unido y el presente apéndice, se aplicarán las leyes de protección de datos del Reino Unido.
7. Si el significado de este apéndice no está claro o hay más de un significado, se aplicará el que más se ajuste a las leyes de protección de datos del Reino Unido.
8. Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa que la legislación (o disposición específica), ya que puede cambiar con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, promulgada de nuevo y/o sustituida después de la celebración del presente apéndice.

Jerarquía

9. Aunque la cláusula 5 de las CEC aprobadas de la UE establece que las CEC aprobadas de la UE prevalecen sobre todos los acuerdos relacionados entre las partes, éstas acuerdan que, para las transferencias restringidas, prevalecerá la jerarquía de la sección 10.
10. En caso de incoherencia o conflicto entre la Adenda aprobada y las CEC de la UE de la Adenda (según proceda), la Adenda aprobada prevalecerá sobre las CEC de la UE de la Adenda, excepto cuando (y en la medida en que) los términos incoherentes o conflictivos de las CEC de la UE de la Adenda ofrezcan una mayor protección a los interesados, en cuyo caso dichos términos prevalecerán sobre la Adenda aprobada.
11. En caso de que la presente Adenda incorpore CCE de la UE de la Adenda que se hayan suscrito para proteger las transferencias sujetas al Reglamento general de protección de datos (UE) 2016/679, las Partes reconocen que nada de lo dispuesto en la presente Adenda afecta a dichos CCE de la UE de la Adenda.

Incorporación y modificaciones de las CEC de la UE

12. El presente Addendum incorpora el Addendum EU SCCs que se modifica en la medida necesaria para que:

1. se aplican conjuntamente a las transferencias de datos efectuadas por el exportador de datos al importador de datos, en la medida en que la legislación británica sobre protección de datos se aplique al tratamiento efectuado por el exportador de datos al realizar esa transferencia de datos, y ofrecen garantías adecuadas para esas transferencias de datos;
2. Las Secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) del Addendum CCE UE; y
3. El presente Addendum (incluidos los CCE UE del Addendum incorporados al mismo) (1) se rige por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja del mismo será resuelta por los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.

13. A menos que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.
14. No podrán introducirse modificaciones en las CEC aprobadas de la UE que no sean para cumplir los requisitos de la Sección 12.
15. Se introducen las siguientes modificaciones en el Addendum EU SCC (a efectos de la Sección 12):

1. Las referencias a las "Cláusulas" significan este Addendum, incorporando el Addendum EU SCCs;
2. En la cláusula 2, suprimir las palabras:

"y, con respecto a las transferencias de datos de responsables a encargados y/o encargados a encargados, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679";

3. La cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por:

"Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren) son los que se especifican en el Anexo I.B, cuando las Leyes de Protección de Datos del Reino Unido se aplican al tratamiento del exportador de datos al realizar dicha transferencia";

4. La cláusula 8.7 (i) del Módulo 1 se sustituye por:

"es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del GDPR del Reino Unido que cubre la transferencia posterior";

5. La cláusula 8.8(i) de los Módulos 2 y 3 se sustituye por:

"la transferencia ulterior es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del GDPR del Reino Unido que cubre la transferencia ulterior;"

6. Las referencias al "Reglamento (UE) 2016/679", "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)" y "dicho Reglamento" se sustituyen por "Leyes de protección de datos del Reino Unido". Las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o sección equivalente de la legislación británica sobre protección de datos;
7. Se eliminan las referencias al Reglamento (UE) 2018/1725;
8. Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se sustituyen por "Reino Unido";
9. La referencia a la "Cláusula 12(c)(i)" en la Cláusula 10(b)(i) del Módulo uno, se sustituye por "Cláusula 11(c)(i)";
10. La cláusula 13(a) y la parte C del anexo I no se utilizan;
11. Tanto la "autoridad de control competente" como la "autoridad de supervisión" se sustituyen por el "Comisario de Información";
12. En la cláusula 16(e), la subsección (i) se sustituye por:

"el Secretario de Estado elabora reglamentos de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;";

13. La cláusula 17 se sustituye por:

"Estas Cláusulas se rigen por las leyes de Inglaterra y Gales";

14. La cláusula 18 se sustituye por:

"Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de Inglaterra y Gales. El interesado también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales"; y

15. Las notas a pie de página de las CEC aprobadas de la UE no forman parte de la adenda, salvo las notas 8, 9, 10 y 11.

Modificaciones del presente apéndice

16. Las Partes podrán acordar cambiar las Cláusulas 17 y/o 18 del Addendum EU SCCs para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.
17. Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Cuadros del Addendum Aprobado, podrán hacerlo acordando el cambio por escrito, siempre que éste no reduzca las Salvaguardias Adecuadas.
18. De vez en cuando, el ICO puede publicar un Apéndice Aprobado revisado que:

1. introduce cambios razonables y proporcionados en el apéndice aprobado, incluida la corrección de errores en el apéndice aprobado; y/o
2. refleja los cambios en la legislación británica sobre protección de datos;

El Addendum Aprobado revisado especificará la fecha a partir de la cual entrarán en vigor las modificaciones del Addendum Aprobado y si las Partes necesitan revisar este Addendum, incluido el Apéndice Informativo. El presente Addendum se modificará automáticamente según lo establecido en el Addendum Aprobado revisado a partir de la fecha de inicio especificada.

19. Si el ICO emite un Addendum Aprobado revisado en virtud de la Sección 18, si alguna de las Partes seleccionadas en la Tabla 4 "Finalización del Addendum cuando cambie el Addendum Aprobado", como resultado directo de los cambios en el Addendum Aprobado tendrá un incremento sustancial, desproporcionado y demostrable en:

1. sus costes directos de ejecución de sus obligaciones en virtud del Addendum; y/o
2. su riesgo en virtud del Addendum,

y, en cualquier caso, haya adoptado previamente medidas razonables para reducir dichos costes o riesgos de modo que no sean sustanciales y desproporcionados, entonces esa Parte podrá poner fin al presente Addendum al término de un plazo razonable de preaviso, notificándolo por escrito a la otra Parte antes de la fecha de inicio del Addendum Aprobado revisado.

20. Las Partes no necesitan el consentimiento de terceros para introducir cambios en el presente Addendum, pero cualquier modificación deberá realizarse de conformidad con sus términos.