Acuerdo de tratamiento de datos de Caseware

Versión 3.0

Última actualización: Nov 2024

1. Introducción y ámbito de aplicación

El presente Acuerdo de procesamiento de datos ("APD") se incorpora por referencia al Acuerdo principal de productos y servicios ("MPSA") suscrito por Caseware International Inc. y/o Caseware Cloud Ltd. (colectivamente "Caseware" o el "Procesador") y el cliente identificado en el mismo (el "Cliente" o el "Controlador"). (colectivamente"Caseware" o el"Procesador") y el cliente identificado en el mismo (el"Cliente" o el"Controlador").

Dado que el Procesador puede tener acceso a Datos Personales en la prestación de Servicios (definidos a continuación), el Cliente (como Controlador) y Caseware (como Procesador) requieren un acuerdo contractual relativo a la recopilación, procesamiento y uso de los datos personales a los que accede el Procesador para garantizar que los datos personales reciban una protección equivalente a la ofrecida por el Controlador. Este APD regula la duración del tratamiento, la naturaleza y la finalidad del tratamiento, el tipo de datos personales que se tratan, las categorías de interesados y los derechos y obligaciones del responsable y del encargado del tratamiento.

El Cliente y Caseware se denominan por separado"Parte" y colectivamente"Partes".

2. Definiciones

Capitalized terms not defined in this DPA shall have the meaning given to them in the MPSA.

• "CPRA" significa la Ley de Derechos de Privacidad de California, Cal. Civ. Código §§ 1798.100 y ss.

• "Información del cliente" hace referencia a la información de contacto empresarial (como nombre, dirección de correo electrónico del trabajo, número de teléfono del trabajo) relativa al personal del Cliente proporcionada por el Cliente a Caseware con el fin de acceder al software y/o a la base de datos de Caseware.

• "Leyes de Protección de Datos" significará todas las leyes de protección de datos y privacidad aplicables al tratamiento de Datos Personales según el origen territorial de los Datos Personales.

• "Sujeto de losDatos" se referirá a una persona física identificada o identificable relacionada con los Datos Personales. Sujeto de datos equivaldrá a "Consumidor" (tal y como se define en la Ley de Derechos de Privacidad de California ("CPRA").

• "Datos personales" o"datos personales" significará, a los efectos de esta DPA, cualquier información relativa a una persona física identificada o identificable, y también significará toda la"Información personal" tal como se define en la CPRA, pero excluye la Información del cliente.

• "Declaración de privacidad" significa la declaración de privacidad a la que se adhiere Caseware al proporcionar todas las Ofertas de Caseware, según pueda ser publicada y actualizada cada cierto tiempo en la página web de Caseware (https://www.caseware.com/ca);

• "Transferencia Restringida" significará (i) una transferencia de Datos Personales del Cliente a Caseware; o (ii) una transferencia ulterior de Datos Personales de Caseware a un Subencargado del Tratamiento, o iii) una transferencia ulterior entre dos establecimientos de Caseware o un Subencargado del Tratamiento; en cada caso, cuando dicha transferencia estuviera prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos), se aplicarán los mecanismos de autorización exigidos por las Leyes de Protección de Datos aplicables.

• "Servicios" se referirá a los servicios ofrecidos por Caseware con respecto al software proporcionado por Caseware como servicio (tal y como se define en el MPSA), o software con licencia pública, e incluirá cualquier servicio de soporte de software proporcionado por Caseware o sus Afiliadas.

• "Cláusulas Contractuales Tipo" significarán las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo aprobado por decisión de la Comisión Europea el 4 de junio de 2021.

• "Subencargado del tratamiento" hará referencia a cualquier persona o entidad designada por Caseware o en su nombre para procesar Datos personales en nombre de Caseware en relación con los Servicios e incluirá a cualquier Subencargado del tratamiento legítimamente designado por un Subencargado del tratamiento (un Subencargado del tratamiento) para procesar Datos personales en nombre de Caseware en relación con los Servicios, pero no incluirá a ningún empleado individual de Caseware o de un Subencargado del tratamiento.

3. Detalles del tratamiento

Caseware will collect, use, and disclose Personal Data in accordance with the Privacy Statement.

4. Tipo de datos

Los siguientes tipos/categorías de datos que pueden ser recogidos, procesados y/o utilizados por Caseware incluyen:

• Datos personales (por ejemplo, apellidos, nombre, dirección y fecha de nacimiento);

• Datos de comunicación (por ejemplo, número de teléfono, fax, correo electrónico);

• Datos contractuales (por ejemplo, detalles de facturación y pago);

• Datos de uso de TI (por ejemplo, ID de usuario, contraseñas y funciones);

• Datos bancarios (por ejemplo, datos de la cuenta bancaria y número de tarjeta de crédito); y/o

• Cualquier otra categoría establecida en la Declaración de privacidad.

5. Sujetos de los datos

Entre los interesados que pueden verse afectados por el uso de sus Datos Personales se incluyen:

• Los clientes/destinatarios de los servicios del Cliente;

• Los empleados o contratistas del Cliente; y/o;

• Los proveedores del cliente.

6. Lugar de tratamiento de los datos

Caseware utiliza proveedores de alojamiento de datos de terceros, como Amazon Web Services (AWS), para alojar los Servicios y actuar como Subprocesadores en servidores ubicados en todo el mundo. En la actualidad, Caseware utiliza servidores en Australia, Canadá, Irlanda y Estados Unidos.

En el momento de suscribirse a los Servicios de Caseware, se informará al Cliente sobre el servidor geográfico que alojará los Datos personales y se le dará la oportunidad de dar su consentimiento antes de que los Datos personales del Cliente se almacenen con dicho proveedor de alojamiento de datos.

Caseware intentará razonablemente asignar un servidor en una ubicación geográficamente próxima al Cliente para evitar la transferencia transfronteriza de los Datos Personales. Cuando ello no sea posible, se aplicarán los mecanismos de autorización legalmente exigidos con el consentimiento del Cliente, incluso para la prestación de servicios de soporte técnico y mantenimiento solicitados por el Cliente.

7. Instrucciones

Caseware tratará los Datos Personales con los fines de: (i) el tratamiento requerido por los Clientes en su uso de los Servicios; (ii) el tratamiento de conformidad con el MPSA, este DPA y cualquier otro acuerdo entre las Partes, (iii) el tratamiento para cumplir con otras instrucciones razonables proporcionadas por el Cliente cuando dichas instrucciones sean coherentes con los términos del MPSA, las leyes aplicables y el DPA. Caseware informará al Cliente si, en opinión de Caseware, las instrucciones o solicitudes del Cliente son contrarias a las Leyes de Protección de Datos, exponiendo los motivos por correo electrónico.

8. Compromiso de confidencialidad de Caseware

Caseware garantizará (a) la fiabilidad de todas las personas que potencialmente podrían acceder a los Datos Personales mediante la comprobación de antecedentes; (b) que todas estas personas están sujetas a encargos de confidencialidad al menos tan restrictivos como los establecidos en el MPSA y tratarán los Datos Personales como Información Confidencial; y (c) que todas estas personas han recibido formación en el cuidado, protección y manejo de Datos Personales.

9. Medidas técnicas y organizativas

Caseware aplicará las medidas técnicas y organizativas ("TOM") necesarias para garantizar un nivel de seguridad adecuado al riesgo. Estos pueden incluir, según proceda:

• la seudonimización y el cifrado de los Datos Personales;

• disponibilidad y resistencia de los sistemas y servicios de procesamiento;

• la capacidad de restablecer oportunamente la disponibilidad y el acceso a los Datos Personales en caso de incidente físico o técnico; y

• un proceso para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento y mantener dichas medidas durante la vigencia del contrato.

Caseware aplicará las medidas técnicas y organizativas apropiadas para proteger los Datos Personales del Cliente contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción, daño, alteración o divulgación accidentales. A la hora de aplicar y actualizar dichas medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado al riesgo, Caseware tendrá en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. Sin limitar la generalidad de lo anterior, Caseware ha llevado a cabo las medidas técnicas y organizativas ("TOMs") especificadas en el Anexo 1 de este DPA.

Caseware contrata a Subprocesadores autorizados para prestar parte de los Servicios. Por lo tanto, los TOM dependen parcialmente de estos Subprocesadores, como también se describe en el Anexo 1, siempre que Caseware siga siendo responsable de su cumplimiento de los TOM independientemente de su dependencia de los Subprocesadores. Caseware podrá decidir mejoras comercialmente razonables de los TOM y proporcionar al Cliente que lo solicite un Anexo 1actualizado.

10. Responsable mundial de privacidad

Caseware ha nombrado a su Director Jurídico como Director Global de Privacidad de Caseware.

11. Subprocesadores

El Cliente reconoce y acepta que Caseware puede contratar a Subprocesadores en la prestación de Servicios, con sujeción a los términos y condiciones del presente DPA, y que (i) una Filial de Caseware puede ser contratada como Subprocesador; y (ii) Caseware o una Filial de Caseware puede contratar a Subprocesadores terceros.

Cuando Caseware contrate a un Subprocesador para la prestación de Servicios, se celebrará un acuerdo de procesamiento de datos con el Subprocesador. En el Anexo 2figura una lista de los actuales Subprocesadores de Caseware.

Caseware proporcionará una lista actualizada de Subprocesadores al menos diez (10) días hábiles antes de su modificación. En un plazo de diez (10) días laborables a partir de la actualización de la lista de Subencargados del Tratamiento, el Cliente informará a Caseware, por escrito, de cualquier objeción a la designación de un Subencargado del Tratamiento cuando el Cliente considere razonablemente que dicho Subencargado no cumple con las Leyes de Protección de Datos aplicables, o que dicho tratamiento puede presentar un riesgo para su Información de Cliente o Datos Personales. En caso de que el Cliente se oponga razonablemente a un Subprocesador según lo descrito anteriormente, las Partes se esforzarán por resolver el asunto sin demoras indebidas. Caseware hará todos los esfuerzos razonables para poner a disposición del Cliente un cambio en los Servicios que evite el procesamiento de la Información del Cliente o los Datos Personales por parte del Subprocesador objetado, sin que ello suponga una carga excesiva para el Cliente. CasewareCasewareCaseware Si el Cliente se opone a un nuevo Subprocesador, aunque el nuevo Subprocesador sea necesario para Caseware y los Servicios, el Cliente podrá rescindir cualquier suscripción a los Servicios de Caseware afectados sin penalización alguna proporcionando, antes de que finalice el periodo de preaviso, una notificación de rescisión por escrito.

Si el uso de un Subprocesador implica una Transferencia Restringida, Caseware se asegurará de que la autorización requerida en virtud de la legislación aplicable se incorpore en todo momento relevante en un acuerdo entre Caseware y el Subprocesador; y entre el Subprocesador y cualquier Subsubprocesador.

12. Solicitudes de los interesados

Caseware apoyará razonablemente al Cliente en el caso de solicitudes de acceso, rectificación o supresión de datos por parte del interesado, en la medida en que el Cliente no pueda satisfacer dicha solicitud por sí mismo, en la medida en que esté legalmente permitido y sea técnicamente posible. Los clientes pagarán a Caseware los costes de dicha asistencia, en la medida en que la ley lo permita.

Si Caseware recibe una solicitud de un interesado relacionada con Datos personales transferidos por el Cliente, Caseware remitirá la solicitud al Cliente. Caseware no responderá a dicha solicitud, sino que apoyará al Cliente según lo dispuesto en esta Sección.

13. Notificación de violación de datos

Caseware informará al Cliente sin demora indebida, y a más tardar en 72 horas, tras tener conocimiento de una violación de los Datos Personales (es decir, una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales transmitidos, almacenados o tratados de otro modo), incluida una violación en un Subencargado del Tratamiento, y proporcionará la información necesaria para que el Cliente pueda informar a las autoridades y a los interesados. Caseware realizará esfuerzos razonables para remediar la causa de dicha violación de datos y mitigar los daños (potenciales) resultantes de la misma.

La notificación al Cliente incluirá al menos a) la naturaleza de la violación, b) las categorías de datos afectadas, c) las consecuencias identificadas y potenciales de la violación y d) las medidas que Caseware adopta para mitigar las consecuencias de la violación. A petición del Cliente, Caseware le ayudará a notificar la violación a una autoridad supervisora y/o a los interesados afectados.

14. Evaluación de impacto de la protección de datos (EIPD)

A petición del Cliente, Caseware proporcionará asistencia razonable al Cliente para llevar a cabo una DPIA, únicamente en relación con el tratamiento por parte de Caseware de los Datos personales del Cliente y teniendo en cuenta la naturaleza del tratamiento y la información disponible para Caseware y los Subencargados del tratamiento. Los clientes pagarán a Caseware los costes de dicha asistencia, en la medida en que la ley lo permita.

15. Supresión o devolución de datos personales

Caseware, a elección del Cliente, eliminará o devolverá irremediablemente todos los Datos Personales en un plazo de 120 días naturales a partir de la finalización o expiración del MPSA con el Cliente, a menos que la ley exija el almacenamiento de los datos.

16. Derechos de información y auditoría

Los clientes pueden obtener información sobre las certificaciones de seguridad existentes de Caseware en https://www.caseware.com/security-certifications/. A petición del Cliente, Caseware pondrá a disposición del Cliente, o de un auditor externo instruido por el Cliente, una vez al año, información relativa al cumplimiento por parte de Caseware de esta DPA y de la Ley de Procesamiento de Datos, incluidas auditorías in situ. Cualquier auditoría puede incluir que Caseware someta sus instalaciones de procesamiento de datos, archivos de datos y documentación necesaria para el procesamiento de Datos personales (y/o los de sus agentes, filiales y Subprocesadores) a revisión, auditoría y/o certificación por parte del Cliente (o de cualquier agente de inspección o auditor independiente o imparcial seleccionado por el Cliente y al que Caseware no se oponga razonablemente), con una antelación razonable y durante el horario laboral habitual. Antes de facilitar cualquier información o auditoría, las Partes acordarán mutuamente el alcance, el calendario y la duración de dicha auditoría.

17. Transferencias restringidas

Cualquier transferencia de Datos Personales desde la UE, Suiza, el Reino Unido o el EEE a un país fuera de dichas zonas que no garantice un nivel adecuado de protección según lo determinado por decisión de la Comisión de la UE, o de las autoridades reguladoras del Reino Unido o Suiza, estará sujeta a las Cláusulas Contractuales Tipo aplicables (o al equivalente aplicable promulgado por las autoridades reguladoras del Reino Unido o Suiza), en el Anexo3, y cualquier transferencia de Datos Personales desde el Reino Unido o Suiza a un país que no garantice un nivel adecuado de protección, determinado por decisión de las autoridades reguladoras de la UE, el Reino Unido o Suiza, estará sujeta al equivalente aplicable a las CEC utilizadas en ese momento, incluido el Anexo sobre Transferencia Internacional de Datos del Reino Unido a las Cláusulas Contractuales Tipo de la Comisión de la UE, en el Anexo 4.

Los clientes que transfieran Datos Personales desde la UE, Suiza, el EEE o el Reino Unido a Caseware serán considerados un"Exportador de Datos", y Caseware será considerado un"Importador de Datos" (ambos términos según se definen en las Cláusulas Contractuales Tipo). Por la presente, el Cliente (como"exportador de datos") y Caseware (como"importador de datos") suscriben las Cláusulas Contractuales Tipo o el Anexo de Transferencia Internacional de Datos del Reino Unido a las Cláusulas Contractuales Tipo de la Comisión de la UE, según corresponda, en relación con cualquier Transferencia Restringida del Cliente a Caseware.

Las Cláusulas Contractuales Tipo o el Addendum de Transferencia Internacional de Datos de Suiza o Reino Unido equivalente a las Cláusulas Contractuales Tipo de la Comisión Europea, según proceda, entrarán en vigor en el momento de la ejecución del MPSA.

18. Disposiciones específicas de California

En la medida en que Caseware procese cualquier Dato personal relativo a individuos residentes en California, Caseware cumplirá con los requisitos de la CPRA, incluyendo cualquier enmienda y normativa de aplicación que entre en vigor en la fecha de entrada en vigor del presente DPA o con posterioridad a la misma, y proporcionará el mismo nivel de protección de la privacidad que exige la CPRA. Los términos en mayúsculas utilizados pero no definidos en esta Sección 18 tendrán el mismo significado que en la CPRA. A efectos de la CPRA, las partes acuerdan que Caseware es un "Proveedor de servicios" en el cumplimiento de sus obligaciones, y que el Cliente es una "Empresa", y que la transferencia de Datos personales a Caseware no se considerará una "Venta" o "Puesta en común" En la medida en que lo exija la CPRA, Caseware (a) otorgará al Cliente el derecho a tomar medidas razonables y adecuadas para ayudar a garantizar que Caseware utilice los Datos personales de forma coherente con las obligaciones del Cliente en virtud de la CPRA; (b) notificará al Cliente si Caseware determina que ya no puede cumplir sus obligaciones en virtud de la CPRA; y (c) otorgará al Cliente el derecho, previo aviso razonable, a tomar medidas razonables y adecuadas para detener y remediar cualquier uso no autorizado de los Datos personales. En la medida en que lo exija la CPRA, el Cliente informará a Caseware de cualquier solicitud de consumidores realizada en virtud de la CPRA que deba cumplir, y proporcionará toda la información necesaria para que Caseware pueda cumplir con dicha solicitud.

Caseware tratará los Datos personales únicamente para los "Fines comerciales" especificados en el MPSA y en la presente DPA, incluidos, entre otros, (a) los fines operativos de Caseware; (b) la prestación de los Servicios al Cliente; (c) la auditoría; (d) la ayuda para garantizar la seguridad y la integridad; (e) la depuración; (f) el uso transitorio a corto plazo; (g) la prestación de servicios de publicidad y marketing en la medida en que dichos servicios estén contemplados en el acuerdo de las Partes; y (h) la realización de investigaciones internas para el desarrollo tecnológico y la demostración. Las partes acuerdan que el Cliente revele Datos Personales a Caseware únicamente para estos fines limitados.

Como proveedor de servicios, Caseware no podrá:

• Vender o compartir datos personales;

• conservar, utilizar o divulgar Datos Personales para cualquier fin distinto de los fines comerciales especificados en la MPSA y en la presente DPA, incluida la conservación, utilización o divulgación de Datos Personales para un fin comercial distinto de los fines comerciales especificados en la MPSA y en la presente DPA, o de cualquier otra forma permitida por la CPRA;

• conservar, utilizar o revelar Datos Personales fuera de la relación comercial directa entre Caseware y el Cliente; o

• combinar Datos personales que Caseware reciba del Cliente, o en su nombre, con información personal que reciba de otra persona o personas, o en su nombre, o que recopile a partir de su propia interacción con el consumidor, siempre que Caseware pueda combinar información personal para llevar a cabo cualquier Propósito comercial según se define en la normativa adoptada de conformidad con el párrafo (10) de la subdivisión (a) de Cal. Civ. Code § 1798.185, salvo lo dispuesto en el apartado (6) de la subdivisión (e) de Cal. Civ. Código § 1798.140 y en la normativa adoptada por la Agencia de Protección de la Privacidad de California.

19. Otras leyes estadounidenses de protección de datos

En la medida en que Caseware procese datos personales relativos a individuos que sean "consumidores", tal y como se define este término en la Ley de Privacidad de Colorado, Colo. Rev. Stat. §§ 6-1-1301 et seq. ("CPA"), la Connecticut Data Privacy Act, Public Act No. 22-15 ("CTDPA"), la Utah Consumer Privacy Act, Utah Code Ann. §§ 13-61-101 y siguientes ("UCPA"), y la Ley de Protección de Datos de los Consumidores de Virginia, Va. Code Ann. §§59.1- 575 et seq. ("VCDPA") (colectivamente, las "Leyes de Privacidad del Consumidor" o "CPL"), respectivamente, y en las respectivas fechas de entrada en vigor de la CPL, Caseware cumplirá con los requisitos de la CPL, incluyendo cualquier enmienda y normativa de aplicación que entre en vigor en la fecha de entrada en vigor de este DPA o con posterioridad a la misma.

20. Pasivo

La responsabilidad de las Partes estará sujeta a las disposiciones sobre responsabilidad del MPSA.

21. PERÍODO DE VALIDEZ Y RESCISIÓN

El presente APD entra en vigor tras el acuerdo con el MPSA y permanecerá en vigor mientras Caseware procese Datos Personales o durante toda la vigencia del MPSA, lo que sea más largo.

22. Otras condiciones

En caso de conflicto entre el presente APD o cualquier otro acuerdo entre las partes y las Cláusulas Contractuales Tipo, prevalecerán las Cláusulas Contractuales Tipo. En caso de conflicto entre las disposiciones del presente APD y cualquier otro acuerdo entre las Partes, prevalecerá el presente APD. Si alguna de las disposiciones de este APD fuera o llegara a ser inválida, ello no afectará a la validez de las restantes condiciones de este APD. Sin perjuicio de la Cláusula 17 (Ley aplicable) y de la Cláusula 18 (Foro y jurisdicción) de las Cláusulas Contractuales Tipo, las Partes se someten a la elección de jurisdicción y competencia estipulada en el MPSA.

Anexo 1

Medidas técnicas y organizativas ("MTO")

Descripción de la acción	Medidas técnicas y organizativas
Pseudonimización	Caseware emplea herramientas para anonimizar selectivamente datos sensibles, que pueden incluir Datos Personales. La seudonimización no se utiliza necesariamente en todos los elementos de datos personales, ya que no todos los Datos Personales son identificables como tales para Caseware.
Cifrado	El cifrado se utiliza para los datos en reposo, y este cifrado lo proporciona Amazon Web Services Inc. ("AWS"), un Subprocesador autorizado (véase el Anexo 2). Existen certificados digitales para gestionar las comunicaciones cifradas con los servidores web de Amazon.
Confidencial	Todos los empleados de Caseware deben firmar un acuerdo de confidencialidad y aceptar las políticas y procedimientos de la empresa en el momento de su contratación. Existe una Política y un Procedimiento de Respuesta a Incidentes de Seguridad de la Información para hacer frente a las violaciones de datos reales y potenciales.
Integración	Los Servicios proporcionan controles administrativos para que los clientes controlen quién puede acceder a los archivos de su empresa. Caseware no tiene estos derechos. Caseware cuenta con las certificaciones ISO 27001 y SOC 2 Tipo 2, y se han establecido controles para garantizar que sólo tengan acceso las personas necesarias para realizar operaciones administrativas. Existe una política de control de acceso y procedimientos para revisar las listas de control de acceso. Los riesgos potenciales y su mitigación se revisan periódicamente.
Disponibilidad	La supervisión se realiza a través de un chequeo externo e internamente con soluciones de supervisión de la gestión de la capacidad. Existen procesos de aseguramiento de la calidad que se revisan periódicamente para mitigar los posibles tiempos de inactividad.
Resistencia de los sistemas de procesamiento	Los servicios están alojados en la plataforma AWS. Los Servicios cuentan con las certificaciones ISO 27001 y SOC 2 Tipo 2 en materia de seguridad, confidencialidad, integridad, privacidad y disponibilidad.
Restauración	Se han establecido políticas y procedimientos de copia de seguridad, con informes diarios automatizados para garantizar que la restauración es posible. Los informes son supervisados por un equipo operativo.
Auditoría/pruebas	Se llevan a cabo auditorías periódicas a efectos del cumplimiento de las normas ISO 27001 y SOC 2 Tipo 2. Además, de vez en cuando la empresa contrata con un tercero servicios de pruebas de penetración.
Certificación(es)	ISO 27001 y SOC 2 Tipo 2.

Anexo 2

Subprocesadores de Caseware

Subprocesador	Finalidad del tratamiento	Almacenamiento y tratamiento de datos
Amazon Web Services Inc. 440 Terry Ave N. Seattle, WA 98108-1226, EE.UU	Los Servicios y los Datos del Suscriptor se procesan con software con licencia de CaseWare, en la infraestructura de Amazon Web Services Inc.	Región seleccionada por el cliente de Caseware durante la contratación: Canadá Irlanda US Australia
Google Analytics - Google Inc. 1600 Amphitheatre Pkwy. Mountain View, CA 94043, EE.UU	Un servicio de análisis web ofrecido por Google que rastrea e informa sobre el tráfico del sitio web y que puede ayudar a identificar tendencias y patrones en el modo en que los visitantes interactúan con el sitio web de CaseWare.	US
HubSpot 25 First Street, 2ª planta Cambridge, MA 02141, EE.UU	Plataforma de gestión de relaciones con los clientes (CRM) y plataforma de automatización de marketing (MAP) para CaseWare y sus clientes, clientes potenciales y socios, utilizada por el equipo de ventas y marketing de CaseWare para comunicarse con los clientes.	US
NetSuite 2300 Oracle Way Austin, TX 78741, EE.UU	Una plataforma empresarial basada en la nube que proporciona servicios de planificación de recursos empresariales (ERP) para el 'Back Office' de CaseWare, facturación y gestión de cuentas financieras, inventario y gestión de la cadena de suministro. Los datos recogidos, almacenados y procesados son específicos para el cumplimiento de servicios empresariales en ejecución de contratos.	US
New Relic 188 Spear St #1000 San Francisco, CA 94105, EE.UU	Una plataforma de supervisión de registros, el servicio técnico y los registros de aplicaciones de CaseWare se envían a New Relic para su búsqueda, análisis y supervisión del sistema. Los campos de datos sensibles se enmascaran, como los nombres de usuario y los correos electrónicos, mientras que algunos datos poco sensibles, como la IP y el host, se capturan directamente.	US
Pendo.io Inc. 418 South Dawson Street Raleigh, NC 27601, EE.UU	Una herramienta de análisis de productos que permite a los equipos de gestión de productos comprender mejor el comportamiento de los usuarios. Las acciones de los usuarios a través de las plataformas CaseWare son enviadas a Pendo como "Eventos" junto con las propiedades del usuario que realizó ese evento. Datos de baja sensibilidad, los nombres de las empresas de contabilidad se capturan como propiedades de usuario.	US
Salesforce Torre Salesforce 415 Mission Street, 3ª planta San Francisco, CA 94105, EE.UU	Una plataforma de gestión de las relaciones con los clientes (CRM), para CaseWare y sus clientes y socios. Se utiliza para la gestión de campañas de marketing, captación de clientes potenciales y comunicación	Canadá

Anexo 3

Cláusulas contractuales tipo

SECCIÓN I

Artículo 1

Objetivo y ámbito de aplicación

1. La finalidad de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) para la transferencia de datos personales a un tercer país.

2. Las Partes:

   1. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en lo sucesivo, "entidad(es)") que transfiere(n) los datos personales, enumerados en el anexo I.A. (en lo sucesivo, "exportador de datos"), y

   2. la(s) entidad(es) de un tercer país que reciba(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte de estas Cláusulas, según se enumera en el Anexo I.A. (en lo sucesivo, "importador de datos")

   han aceptado las presentes cláusulas contractuales tipo (en lo sucesivo: "Cláusulas").

3. Las presentes Cláusulas se aplican a la transferencia de datos personales tal como se especifica en el Anexo I.B.

4. El Apéndice de las presentes Cláusulas, que contiene los Anexos en él mencionados, forma parte integrante de las mismas.

Artículo 2

Efecto e invariabilidad de las cláusulas

1. Las presentes Cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados del tratamiento y/o encargados del tratamiento a encargados del tratamiento, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para seleccionar el Módulo o Módulos adecuados o para añadir o actualizar información en el Apéndice. Ello no impide a las Partes incluir las cláusulas contractuales tipo establecidas en las presentes Cláusulas en un contrato más amplio y/o añadir otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, las presentes Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.

2. Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Artículo 3

Terceros beneficiarios

1. Los interesados podrán invocar y hacer valer las presentes Cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:

   1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;

   2. Artículo 8 - Módulo uno: Cláusula 8.5 (e) y Cláusula 8.9 (b); Módulo Dos: Cláusula 8.1(b), 8.9(a), (c), (d) y (e); Módulo Tres: Cláusula 8.1(a), (c) y (d) y Cláusula 8.9(a), (c), (d), (e), (f) y (g); Módulo Cuatro: Cláusula 8.1 (b) y Cláusula 8.3 (b);

   3. Artículo 9 - Módulo dos: Cláusula 9(a), (c), (d) y (e); Módulo Tres: Cláusula 9(a), (c), (d) y (e);

   4. Artículo 12 - Módulo uno: Cláusula 12(a) y (d); Módulos Dos y Tres: Cláusula 12(a), (d) y (f);

   5. Artículo 13;

   6. Cláusula 15.1(c), (d) y (e);

   7. Cláusula 16(e);

   8. Artículo 18 - Módulos uno, dos y tres: Cláusula 18(a) y (b); Módulo Cuatro: Artículo 18.

2. El apartado a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Artículo 4

Interpretación

1. Cuando en las presentes Cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

2. Las presentes Cláusulas se leerán e interpretarán a la luz de lo dispuesto en el Reglamento (UE) 2016/679.

3. Las presentes Cláusulas no se interpretarán de forma contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Artículo 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrados con posterioridad, prevalecerán estas Cláusulas.

Artículo 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

Artículo 7

Cláusula de atraque

1. Una entidad que no sea Parte en las presentes Cláusulas podrá, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el Apéndice y firmando el Anexo I.A.

2. Una vez que haya cumplimentado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de las presentes Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de conformidad con su designación en el Anexo I.A.

3. La entidad adherente no tendrá ningún derecho ni obligación derivados de estas Cláusulas desde el periodo anterior a convertirse en Parte.

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Artículo 8

Protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir las obligaciones que le incumben en virtud de las presentes cláusulas.

8.1 Instrucciones

1. El importador de datos tratará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar estas instrucciones durante toda la duración del contrato.

2. El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.

8.2 Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

Previa solicitud, el exportador de datos pondrá gratuitamente a disposición del interesado una copia de las presentes cláusulas, incluido el apéndice completado por las Partes. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del apéndice de las presentes cláusulas antes de compartir una copia, pero facilitará un resumen significativo cuando, de otro modo, el interesado no pudiera comprender el contenido o ejercer sus derechos. Previa solicitud, las Partes comunicarán al interesado los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Precisión

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora injustificada. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos sólo tendrá lugar durante el periodo especificado en el Anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, suprimirá todos los datos personales tratados por cuenta del exportador de datos y certificará al exportador de datos que así lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados por cuenta suya y suprimirá las copias existentes. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo los tratará en la medida y durante el tiempo que exija dicha legislación local. Esto se entiende sin perjuicio de la cláusula 14, en particular el requisito de que el importador de datos en virtud de la cláusula 14(e) notifique al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la cláusula 14(a).

8.6 Seguridad del tratamiento

1. El importador de datos y, durante la transmisión, también el exportador de datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados, de dichos datos (en lo sucesivo, "violación de los datos personales"). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad o finalidades del tratamiento, así como los riesgos que entraña el tratamiento para los interesados. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado concreto permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos realizará comprobaciones periódicas para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.

2. El importador de datos sólo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.

3. En caso de violación de datos personales relativos a datos personales tratados por el importador de datos con arreglo a las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida tras haber tenido conocimiento de la infracción. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), sus consecuencias probables y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible facilitar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y posteriormente, a medida que se vaya disponiendo de ella, se facilitará información adicional sin demora injustificada.

4. El importador de datos cooperará con el exportador de datos y le prestará asistencia para que este pueda cumplir las obligaciones que le incumben en virtud del Reglamento (UE) 2016/679, en particular la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.

8.7 Datos sensibles

Cuando la transferencia incluya datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, "datos sensibles"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el Anexo I.B.

8.8 Traslados

El importador de datos sólo revelará los datos personales a terceros siguiendo instrucciones documentadas del exportador de datos. Además, los datos sólo podrán ser comunicados a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de los datos o en otro tercer país, en lo sucesivo "transferencia ulterior") si el tercero está o acepta estar vinculado por las presentes Cláusulas, en virtud del Módulo correspondiente, o si:

1. la transferencia ulterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;

2. el tercero garantiza de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

3. la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o

4. la transferencia ulterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.

Toda transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en las presentes cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y conformidad

1. El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento previsto en las presentes cláusulas.

2. Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas por cuenta del exportador de datos.

3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por las presentes cláusulas, a intervalos razonables o si existen indicios de incumplimiento. A la hora de decidir sobre una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.

4. El exportador de datos puede optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con un preaviso razonable.

5. Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en las letras b) y c), incluidos los resultados de cualquier auditoría.

Artículo 9

Uso de subprocesadores

1. El importador de datos cuenta con la autorización general del exportador de datos para la contratación de subencargados del tratamiento de una lista acordada. El importador de datos informará específicamente por escrito al exportador de datos de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subencargados del tratamiento al menos una vez al año. El importador de datos facilitará al exportador de datos la información necesaria para que éste pueda ejercer su derecho de oposición.

2. Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), deberá hacerlo mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de las presentes cláusulas, incluso en términos de derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, mediante el cumplimiento de la presente Cláusula, el importador de datos cumple las obligaciones que le incumben en virtud de la Cláusula 8.8. El importador de datos velará por que el subencargado del tratamiento cumpla las obligaciones a las que está sujeto el importador de datos en virtud de las presentes cláusulas.

3. El importador de datos facilitará al exportador de datos, a petición de éste, una copia de dicho acuerdo de subencargado del tratamiento y de cualquier modificación posterior. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos podrá redactar el texto del acuerdo antes de compartir una copia.

4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de las obligaciones derivadas de dicho contrato.

5. El importador de datos acordará con el subencargado del tratamiento una cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de facto, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a rescindir el contrato de subencargado del tratamiento y a ordenar al subencargado que borre o devuelva los datos personales.

Artículo 10

Derechos del interesado

1. El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá por sí misma a dicha solicitud a menos que haya sido autorizada a hacerlo por el exportador de datos.

2. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la amplitud de la asistencia requerida.

3. En el cumplimiento de sus obligaciones en virtud de las letras a) y b), el importador de datos deberá atenerse a las instrucciones del exportador de datos.

Artículo 11

Reparación

1. El importador de datos informará a los interesados en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Atenderá sin demora cualquier reclamación que reciba de un interesado.

   El importador de datos acepta que los interesados también puedan presentar una reclamación ante un organismo independiente de resolución de litigios sin coste alguno para el interesado. Informará a los interesados, en la forma establecida en la letra a), de dicho mecanismo de recurso y de que no están obligados a utilizarlo ni a seguir una secuencia determinada para solicitar el recurso.

2. En caso de litigio entre un interesado y una de las Partes en relación con el cumplimiento de las presentes Cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y en el momento oportuno. Las Partes se mantendrán mutuamente informadas sobre dichos litigios y, en su caso, cooperarán para resolverlos.

3. Cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, el importador de datos aceptará la decisión del interesado de:

   1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o de su lugar de trabajo, o ante la autoridad de control competente en virtud de la cláusula 13;

   2. remitir el litigio a los tribunales competentes en el sentido de la cláusula 18.

4. Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.

5. El importador de datos acatará una decisión que sea vinculante con arreglo a la legislación aplicable de la UE o de los Estados miembros.

6. El importador de datos acepta que la elección realizada por el interesado no menoscabará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación aplicable.

Artículo 12

Pasivo

1. Cada una de las Partes será responsable ante la/s otra/s de los daños y perjuicios que cause a la/s otra/s por el incumplimiento de las presentes Cláusulas.

2. Cada una de las Partes será responsable ante el interesado, y éste tendrá derecho a recibir una indemnización, por cualquier daño material o moral que la Parte cause al interesado por infringir los derechos del tercero beneficiario en virtud de las presentes Cláusulas. Todo ello sin perjuicio de la responsabilidad del exportador de datos en virtud del Reglamento (UE) 2016/679.

3. Cuando más de una Parte sea responsable de cualquier daño causado al interesado como consecuencia del incumplimiento de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el interesado tendrá derecho a interponer una acción judicial contra cualquiera de dichas Partes.

4. Las Partes acuerdan que si una Parte es considerada responsable en virtud del apartado (c), tendrá derecho a reclamar a la otra Parte o Partes la parte de la indemnización correspondiente a su responsabilidad por el daño.

5. El importador de datos no podrá invocar la conducta de un encargado o subencargado del tratamiento para eludir su propia responsabilidad.

Artículo 13

Supervisión

1. Cuando el exportador de datos esté establecido en un Estado miembro de la UE: Actuará como autoridad de control competente la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C.

   Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, y haya designado a un representante con arreglo al artículo 27, apartado 1, del Reglamento (UE) 2016/679: La autoridad de supervisión del Estado miembro en el que esté establecido el representante en el sentido del artículo 27, apartado 1, del Reglamento (UE) 2016/679, tal como se indica en el anexo I.C, actuará como autoridad de supervisión competente.

   Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero entre en el ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3, apartado 2, sin que, no obstante, deba designar a un representante con arreglo al artículo 27, apartado 2, del Reglamento (UE) 2016/679: Actuará como autoridad de control competente la autoridad de control de uno de los Estados miembros en los que se encuentren los interesados cuyos datos personales se transfieran en virtud de las presentes cláusulas en relación con la oferta de bienes o servicios a los mismos, o cuyo comportamiento se controle, tal como se indica en el anexo I.C.

2. El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos se compromete a responder a las investigaciones, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctoras y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III - LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

Artículo 14

Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas

1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluido cualquier requisito de revelación de datos personales o medidas que autoricen el acceso de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Ello se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.

2. Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:

   1. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;

   2. las leyes y prácticas del tercer país de destino -incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables;

   3. todas las garantías contractuales, técnicas u organizativas pertinentes establecidas para complementar las garantías previstas en las presentes cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

3. El importador de datos garantiza que, al llevar a cabo la evaluación prevista en la letra b), ha hecho todo lo posible por facilitar al exportador de datos la información pertinente y acepta que seguirá cooperando con el exportador de datos para garantizar el cumplimiento de las presentes Cláusulas.

4. Las Partes acuerdan documentar la evaluación prevista en la letra b) y ponerla a disposición de la autoridad de control competente a petición de ésta.

5. El importador de datos se compromete a notificar sin demora al exportador de datos si, tras haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos de la letra a).

6. Tras una notificación con arreglo a la letra e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le incumben en virtud de las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación [para el módulo tres: si procede, en consulta con el responsable del tratamiento]. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las garantías adecuadas para dicha transferencia, o si así se lo ordena [para el Módulo Tres: el responsable del tratamiento o] la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, se aplicarán las letras d) y e) de la cláusula 16.

Artículo 15

Obligaciones del importador de datos en caso de acceso de las autoridades públicas

15.1 Notificación

1. El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario, con la ayuda del exportador de datos) si:

   1. reciba una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de los datos personales transferidos en virtud de las presentes cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o bien

   2. tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes cláusulas de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.

2. Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al interesado, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar la mayor cantidad de información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.

3. Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad/es solicitante/s, si se han impugnado las solicitudes y el resultado de dichas impugnaciones, etc.).

4. El importador de datos se compromete a conservar la información con arreglo a las letras a) a c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente a petición de ésta.

5. Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 14(e) y la Cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir estas Cláusulas.

15.2 Revisión de la legalidad y minimización de datos.

1. El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal en virtud de la legislación del país de destino, de las obligaciones aplicables en virtud del Derecho internacional y de los principios de cortesía internacional. En las mismas condiciones, el importador de datos podrá interponer recurso. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que sea requerido para ello en virtud de las normas de procedimiento aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la cláusula 14(e).

2. El importador de datos acepta documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, poner la documentación a disposición del exportador de datos. Asimismo, la pondrá a disposición de la autoridad de control competente a petición de ésta. [Para el Módulo Tres: El exportador de datos pondrá la evaluación a disposición del responsable del tratamiento]

3. El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV - DISPOSICIONES FINALES

Artículo 16

Incumplimiento de las cláusulas y rescisión

1. El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes cláusulas.

2. En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Esto se entiende sin perjuicio de la cláusula 14(f).

3. El exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas, cuando:

   1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y no se restablezca el cumplimiento de las presentes Cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes a partir de la suspensión;

   2. el importador de datos incumple de forma sustancial o persistente las presentes cláusulas; o

   3. el importador de datos incumple una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes cláusulas.

   En estos casos, informará de dicho incumplimiento a la autoridad de control competente. Cuando el contrato implique a más de dos Partes, el exportador de datos sólo podrá ejercer este derecho de rescisión con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa.

4. Los datos personales que se hayan transferido antes de la rescisión del contrato con arreglo a la letra c) se devolverán inmediatamente al exportador de datos, a elección de éste, o se suprimirán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos sean suprimidos o devueltos, el importador de datos seguirá garantizando el cumplimiento de las presentes cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o supresión de los datos personales transferidos, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.

5. Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Artículo 17

Legislación aplicable

Las presentes cláusulas se regirán por la legislación del Estado miembro de la UE en el que esté establecido el exportador de datos. Cuando dicha legislación no permita los derechos de terceros beneficiarios, se regirán por la legislación de otro Estado miembro de la UE que sí permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la ley de Irlanda.

Artículo 18

Elección de foro y jurisdicción

1. Cualquier litigio derivado de las presentes cláusulas será resuelto por los tribunales de un Estado miembro de la UE.

2. Las Partes acuerdan que serán los tribunales de Irlanda.

3. El interesado también podrá emprender acciones legales contra el exportador o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

4. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

ANEXO I

Los términos definidos utilizados en el presente Anexo 1 tendrán el significado que se les atribuye en el MPSA entre Caseware y el Cliente, y/o en el DPA.

A. LISTA DE LAS PARTES

Exportador(es) de datos:

Nombre El exportador de datos es la entidad jurídica especificada como "Caseware" en la DPA

Dirección Consulte la DPA

Nombre, cargo y datos de la persona de contacto: Consulte la DPA

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Consulte la DPA

Función (controlador/procesador): Procesador

Importar datos

Nombre El importador de datos es la persona jurídica especificada como "Cliente" en la DPA.

Dirección Consulte la DPA

Nombre, cargo y datos de la persona de contacto: Consulte la DPA

Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Consulte la DPA

Función (controlador/procesador): control

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados cuyos datos personales se transfieren:

• Consulte la DPA, que describe las categorías de datos personales transferidos:

• Consulte la DPA, que describe las categorías de datos.

Datos sensibles transferidos (si procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales.

• Las partes no prevén la transferencia de categorías especiales de datos.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua).

• Consulte la DPA

Naturaleza del tratamiento

• Consulte la DPA

Finalidad o finalidades de la transferencia y el tratamiento posterior de los datos

• Consulte la DPA

El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo

• Consulte la DPA

Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del tratamiento

• Consulte la DPA

C. AUTORIDAD DE CONTROL COMPETENTE

Identifique a la autoridad o autoridades de control competentes de conformidad con la cláusula 13

• La autoridad de control competente que se aplicará será la autoridad de control competente del país en el que se originen los datos del cliente del Cliente

ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Véase el Anexo 1 del APD, que describe las medidas de seguridad técnicas y organizativas aplicadas por Caseware.

ANEXO III

LISTA DE SUBPROCESADORES

Véase el Anexo 3 del APD, en el que se describen los Subprocesadores de Caseware.

Anexo 4:

Anexo británico sobre transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión Europea

Este apéndice ha sido publicado por el Comisario de Información para las partes que realizan transferencias restringidas. El Comisario de Información considera que ofrece garantías adecuadas para las transferencias restringidas cuando se celebra como un contrato jurídicamente vinculante.

Primera parte: Tabla

• Table 1: Fiestas

  Fecha de inicio
  Las Partes	Exportador (que envía la transferencia restringida)	Importador (que recibe la transferencia restringida)
  Datos de las partes	Nombre legal completo: Nombre comercial (si es diferente): Dirección principal (si se trata del domicilio social de una empresa): Número de registro oficial (en su caso) (número de empresa o identificador similar):	Nombre legal completo: Nombre comercial (si es diferente): Dirección principal (si se trata del domicilio social de una empresa): Número de registro oficial (en su caso) (número de empresa o identificador similar):
  Contacto clave	Nombre completo (opcional): Puesto Datos de contacto, incluido el correo electrónico:	Nombre completo (opcional): Puesto Datos de contacto, incluido el correo electrónico:
  Firma (si es necesaria a efectos de la sección 2)

• Table 2: SCC, módulos y cláusulas seleccionados

  Adenda CCE UE

  La versión de las CEC aprobadas de la UE a la que se adjunta este apéndice, que se detalla a continuación, incluida la información del apéndice: Fecha: Referencia (en su caso): Otro identificador (en su caso): O las CEC aprobadas de la UE, incluido el apéndice de información y con sólo los siguientes módulos, cláusulas o disposiciones opcionales de las CEC aprobadas de la UE puestas en vigor a los efectos del presente apéndice:

  

• Table 3: Apéndice Información

  "Información del Apéndice" se refiere a la información que debe facilitarse para los módulos seleccionados según lo establecido en el Apéndice de las CEC aprobadas de la UE (distintas de las Partes), y que para el presente Addendum se establece en:

  • Anexo 1A: Lista de Partes:
  • Anexo 1B: Descripción del traslado:
  • Anexo II: Medidas técnicas y organizativas que incluyen medidas técnicas y organizativas para garantizar la seguridad de los datos:
  • Anexo III: Lista de subprocesadores (sólo módulos 2 y 3):

• Table 4: Finalización de esta Adenda cuando cambie la Adenda aprobada

  Finalización de esta Adenda cuando cambie la Adenda aprobada

  Las Partes podrán poner fin al presente Addendum según lo dispuesto en la Sección 19: Importar Exportar Ninguna de las partes

Segunda parte: Cláusulas obligatorias

• Adhesión al presente apéndice

  1. Cada una de las Partes acepta quedar vinculada por los términos y condiciones establecidos en el presente Addendum, a cambio de que la otra Parte también acepte quedar vinculada por el presente Addendum.

  2. Aunque el Anexo 1A y la Cláusula 7 de los CEC aprobados de la UE requieren la firma de las Partes, a efectos de realizar Transferencias Restringidas, las Partes pueden suscribir el presente Addendum de cualquier forma que los haga jurídicamente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo establecido en el presente Addendum. La suscripción del presente Addendum tendrá el mismo efecto que la firma de las CEC aprobadas de la UE y de cualquier parte de las CEC aprobadas de la UE.

• Interpretación del presente apéndice

  3. Cuando en el presente apéndice se utilicen términos definidos en las CEC aprobadas de la UE, dichos términos tendrán el mismo significado que en las CEC aprobadas de la UE. En el Contrato, los siguientes términos tendrán los siguientes significados:

     Anexo	La presente Adenda de Transferencia Internacional de Datos, que se compone de la presente Adenda que incorpora la Adenda CCE UE.
     Adenda CCE UE	La(s) versión(es) de las CEC aprobadas de la UE a las que se adjunta el presente apéndice, tal como se establece en el cuadro 2, incluido el apéndice informativo.
     Apéndice Información	Como se indica en el cuadro 3.
     Garantías adecuadas	El nivel de protección de los datos personales y de los derechos de los interesados, exigido por las leyes de protección de datos del Reino Unido cuando se realiza una transferencia restringida basada en cláusulas estándar de protección de datos en virtud del artículo 46, apartado 2, letra d), del GDPR del Reino Unido.
     Adenda aprobada	La plantilla Addendum emitida por la OIC y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, ya que se revisa en virtud de la Sección 18.
     SCC aprobados por la UE	Las cláusulas contractuales tipo establecidas en el anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
     ICO	El Comisario de Información.
     Transferencia restringida	Una transferencia cubierta por el capítulo V del GDPR del Reino Unido.
     REINO UNIDO	Reino Unido de Gran Bretaña e Irlanda del Norte.
     Legislación británica sobre protección de datos	Todas las leyes relativas a la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluidos el GDPR del Reino Unido y la Ley de Protección de Datos de 2018.
     GDPR DEL REINO UNIDO	Según se define en la sección 3 de la Ley de Protección de Datos de 2018.

  4. El presente apéndice debe interpretarse siempre de forma coherente con la legislación británica en materia de protección de datos y de modo que cumpla la obligación de las Partes de proporcionar las garantías adecuadas.

  5. Si las disposiciones incluidas en el Addendum a las CEC de la UE modifican las CEC aprobadas de alguna manera que no esté permitida por las CEC de la UE aprobadas o el Addendum aprobado, dicha(s) modificación(es) no se incorporará(n) al presente Addendum y la disposición equivalente de las CEC de la UE aprobadas ocupará su lugar.

  6. En caso de incoherencia o conflicto entre las leyes de protección de datos del Reino Unido y el presente apéndice, se aplicarán las leyes de protección de datos del Reino Unido.

  7. Si el significado de este apéndice no está claro o hay más de un significado, se aplicará el que más se ajuste a las leyes de protección de datos del Reino Unido.

  8. Cualquier referencia a la legislación (o a disposiciones específicas de la legislación) significa que la legislación (o disposición específica), ya que puede cambiar con el tiempo. Ello incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, promulgada de nuevo y/o sustituida con posterioridad a la entrada en vigor del presente apéndice.

• Jerarquía

  9. Aunque la cláusula 5 de las CEC aprobadas de la UE establece que las CEC aprobadas de la UE prevalecen sobre todos los acuerdos relacionados entre las partes, éstas acuerdan que, para las transferencias restringidas, prevalecerá la jerarquía de la sección 10.

  10. En caso de incoherencia o conflicto entre la Adenda aprobada y las CEC de la UE de la Adenda (según proceda), la Adenda aprobada prevalecerá sobre las CEC de la UE de la Adenda, excepto cuando (y en la medida en que) los términos incoherentes o conflictivos de las CEC de la UE de la Adenda ofrezcan una mayor protección a los interesados, en cuyo caso dichos términos prevalecerán sobre la Adenda aprobada.

  11. En caso de que la presente Adenda incorpore CCE de la UE de la Adenda que se hayan suscrito para proteger las transferencias sujetas al Reglamento general de protección de datos (UE) 2016/679, las Partes reconocen que nada de lo dispuesto en la presente Adenda afecta a dichos CCE de la UE de la Adenda.

• Incorporación y modificaciones de las CEC de la UE

  12. El presente Addendum incorpora el Addendum EU SCCs que se modifica en la medida necesaria para que:

      1. se aplican conjuntamente a las transferencias de datos efectuadas por el exportador de datos al importador de datos, en la medida en que la legislación británica sobre protección de datos se aplique al tratamiento efectuado por el exportador de datos al realizar esa transferencia de datos, y ofrecen garantías adecuadas para esas transferencias de datos;

      2. Las Secciones 9 a 11 anulan la Cláusula 5 (Jerarquía) del Addendum CCE UE; y

      3. el presente Addendum (incluidos los CCE de la UE del Addendum incorporados al mismo) (1) se rige por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja del mismo será resuelta por los tribunales de Inglaterra y Gales, en cada caso a menos que las leyes y/o tribunales de Escocia o Irlanda del Norte hayan sido expresamente seleccionados por las Partes.

  13. A menos que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.

  14. No podrán introducirse modificaciones en las CEC aprobadas de la UE que no sean para cumplir los requisitos de la Sección 12.

  15. Se introducen las siguientes modificaciones en el Addendum EU SCC (a efectos de la Sección 12):

      1. Las referencias a las "Cláusulas" significan este Addendum, incorporando el Addendum EU SCCs;

      2. En la cláusula 2, suprimir las palabras:

         "y, con respecto a las transferencias de datos de responsables a encargados y/o encargados a encargados, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679";

      3. La cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por:

         "Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren) son los que se especifican en el Anexo I.B, cuando las Leyes de Protección de Datos del Reino Unido se aplican al tratamiento del exportador de datos al realizar dicha transferencia";

      4. La cláusula 8.7 (i) del Módulo 1 se sustituye por:

         "es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del GDPR del Reino Unido que cubre la transferencia posterior";

      5. La cláusula 8.8(i) de los Módulos 2 y 3 se sustituye por:

         "la transferencia ulterior es a un país que se beneficia de las regulaciones de adecuación de conformidad con la Sección 17A del GDPR del Reino Unido que cubre la transferencia ulterior;"

      6. Las referencias a "Reglamento (UE) 2016/679", "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)" y "dicho Reglamento" se sustituyen todas por "Leyes de protección de datos del Reino Unido". Las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituyen por el artículo o sección equivalente de las leyes de protección de datos del Reino Unido;

      7. Se eliminan las referencias al Reglamento (UE) 2018/1725;

      8. Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se sustituyen por "Reino Unido";

      9. La referencia a la "Cláusula 12(c)(i)" en la Cláusula 10(b)(i) del Módulo uno, se sustituye por "Cláusula 11(c)(i)";

      10. La cláusula 13(a) y la parte C del anexo I no se utilizan;

      11. Tanto la "autoridad de control competente" como la "autoridad de supervisión" se sustituyen por el "Comisario de Información";

      12. En la cláusula 16(e), la subsección (i) se sustituye por:

          "el Secretario de Estado elabora reglamentos de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a los que se aplican estas cláusulas;";

      13. La cláusula 17 se sustituye por:

          "Estas Cláusulas se rigen por las leyes de Inglaterra y Gales";

      14. La cláusula 18 se sustituye por:

          "Cualquier disputa derivada de estas Cláusulas será resuelta por los tribunales de Inglaterra y Gales. El interesado también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales"; y

      15. Las notas a pie de página de las CEC aprobadas de la UE no forman parte de la adenda, salvo las notas 8, 9, 10 y 11.

• Modificaciones del presente apéndice

16. Las Partes podrán acordar cambiar las Cláusulas 17 y/o 18 del Addendum EU SCCs para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.

17. Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Addendum Aprobado, podrán hacerlo aceptando el cambio por escrito, siempre que éste no reduzca las Salvaguardias Adecuadas.

18. De vez en cuando, el ICO puede publicar un Apéndice Aprobado revisado que:

    1. introduce cambios razonables y proporcionados en el apéndice aprobado, incluida la corrección de errores en el apéndice aprobado; y/o

    2. refleja los cambios en la legislación británica sobre protección de datos;

    El Addendum Aprobado revisado especificará la fecha a partir de la cual entrarán en vigor los cambios del Addendum Aprobado y si las Partes necesitan revisar este Addendum, incluido el Apéndice Informativo. La presente Adenda se modifica automáticamente según lo establecido en la Adenda aprobada revisada a partir de la fecha de inicio especificada.

19. Si el ICO emite un Addendum Aprobado revisado en virtud de la Sección 18, si alguna de las Partes seleccionadas en la Tabla 4 "Finalización del Addendum cuando cambie el Addendum Aprobado", como resultado directo de los cambios en el Addendum Aprobado tendrá un incremento sustancial, desproporcionado y demostrable en:

    1. sus costes directos de ejecución de sus obligaciones en virtud del Addendum; y/o

    2. su riesgo en virtud del Addendum,

    y, en cualquier caso, haya adoptado previamente medidas razonables para reducir dichos costes o riesgos de modo que no sean sustanciales y desproporcionados, entonces dicha Parte podrá poner fin al presente Addendum al término de un plazo de preaviso razonable, notificándolo por escrito a la otra Parte antes de la fecha de inicio del Addendum Aprobado revisado.

20. Las Partes no necesitan el consentimiento de terceros para introducir cambios en el presente Addendum, pero cualquier modificación deberá realizarse de conformidad con sus términos.

• Alternativa Parte 2 Cláusulas obligatorias:

  Cláusulas obligatorias

  Segunda parte: Cláusulas Obligatorias de la Adenda Aprobada, siendo la plantilla Adenda B.1.0 emitida por la OIC y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, ya que se revisa en virtud de la Sección 18 de dichas Cláusulas Obligatorias.