Última actualización: agosto de 2024
Anexo de Protección de Datos (“Anexo”)
Enlaces adicionales
Al firmar un Formulario de pedido en virtud del Contrato que hace referencia a este Anexo, el Cliente se compromete a quedar obligado por este Anexo.
1. Definiciones
En este Anexo, los siguientes términos tendrán los significados que se establecen a continuación:
1.1 “Contrato” significa el contrato entre el Cliente y Samsara que establece los términos y condiciones en virtud de los cuales el Cliente accederá a ciertas soluciones de Samsara y contratará ciertos servicios de Samsara.
1.2. “Datos Personales del Cliente” significa cualquier Dato personal sujeto a las Leyes de Protección de Datos contenido en los Datos del cliente que Samsara trate en nombre del Cliente de conformidad con el Contrato.
1.3. “Leyes de Protección de Datos” significa, según proceda, (i) el Reglamento General de Protección de Datos de la UE (UE 2016/679) (el "GDPR de la UE"), su incorporación a las leyes de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 (el "GDPR del Reino Unido"); (ii) la Ley Federal Suiza sobre Protección de Datos ("FADP"); (iii) los estatutos de privacidad o protección de datos federales y/o estatales de los Estados Unidos, que incluyen, entre otros, la Ley de Privacidad del Consumidor de California de 2018 modificada por la Ley de Derechos de Privacidad de California de 2020 (junto con sus reglamentos de aplicación, la "CPRA"); y/o (iv) cualquier otra legislación nacional aplicable en el Espacio Económico Europeo o el Reino Unido que complemente el RGPD de la UE o el RGPD del Reino Unido (según corresponda), y/o las leyes de privacidad y/o protección de datos aplicables en los EE. UU., Canadá y México; en cada caso, según pueda ser modificadas, sustituidas o reemplazadas ocasionalmente.
1.4. “Responsable del Tratamiento” se refiere a la entidad que determina los medios y fines del tratamiento de Datos Personales.
1.5. “Interesado” se refiere a la persona que es el sujeto de los Datos Personales.
1.6. "CEC de la UE" significa las Cláusulas Contractuales Tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión de la UE, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
1.7. “Datos Personales” significa “datos personales”, “información personal” o “información de carácter personal” o cualquier término análogo en virtud de las Leyes de Protección de Datos, según se definen estos términos en virtud de las Leyes de Protección de Datos,
1.8. “Violación de la seguridad de los datos personales” significa cualquier violación de la seguridad para la cual las Leyes de Protección de Datos requieran que (i) Samsara notifique al Cliente o (ii) que el Cliente informe a una Autoridad de Control o a los individuos afectados, o que mantenga un registro, que implique Datos Personales sujetos a este Anexo.
1.9. “Tratamiento” se refiere a cualquier operación o conjunto de operaciones que se realice con Datos Personales o con conjuntos de Datos Personales.
1.10. “Encargado del Tratamiento” significa una entidad que trata Datos Personales en nombre de un Responsable del Tratamiento.
1.11. “Autoridad de Control” se refiere a una autoridad gubernamental o reguladora responsable de administrar, supervisar el cumplimiento de, y/o hacer cumplir las Leyes de Protección de Datos.
1.12. Los términos en mayúscula que no se definan de otro modo en el presente documento tendrán el significado que se les otorga en el Contrato.
2. Tratamiento de los Datos Personales del Cliente
2.1. Entre las partes, Samsara actúa como Encargado del Tratamiento de los Datos Personales del Cliente en nombre del Cliente. Como Encargado del Tratamiento, Samsara:
2.1.1. Tratará los Datos Personales del Cliente tal y como se establece específicamente en el Contrato, el presente Anexo, la Documentación o las instrucciones documentadas del Cliente, o según lo requiera la legislación aplicable a la que Samsara esté sujeta (las "Instrucciones del cliente"). Si la legislación aplicable exige a Samsara que Trate Datos Personales del Cliente de forma distinta a la indicada en las Instrucciones del cliente, Samsara notificará al Cliente, en la medida permitida por la legislación aplicable, de ese requisito legal antes de dicho Tratamiento, a menos que dicha legislación prohíba dicha notificación por motivos importantes de interés público.
2.1.2. No será responsable de obtener el consentimiento, la autorización, la aprobación o el acuerdo según lo exijan las leyes o políticas aplicables, ni de proporcionar notificaciones con respecto a los Datos Personales del Cliente, con el fin de permitir que Samsara reciba y Trate los Datos Personales del Cliente de conformidad con el Contrato. El Cliente es el único responsable de la exactitud, calidad y legalidad de los Datos Personales del Cliente, los medios mediante los cuales adquiere y utiliza los Datos Personales del Cliente, y las Instrucciones del cliente con respecto al Tratamiento de los Datos Personales del Cliente. El Cliente se asegurará de que sus actos u omisiones, incluidas sus Instrucciones del cliente, no supongan para Samsara el incumplimiento de ninguna ley o normativa aplicable. En caso de que Samsara considere que una instrucción podría incumplir la legislación aplicable o si Samsara determina que ya no puede cumplir con sus obligaciones en virtud de la CPRA, Samsara lo notificará al Cliente sin demora injustificada. Samsara tendrá derecho a suspender la ejecución de dichas instrucciones hasta que el Cliente confirme o modifique dichas instrucciones.
3. Personal de Samsara
3.1. Samsara mantendrá la confidencialidad de los Datos Personales del Cliente de conformidad con las disposiciones sobre confidencialidad del Contrato y exigirá al personal de Samsara que tenga acceso a los Datos Personales del Cliente que proteja todos los Datos Personales del Cliente en consecuencia. Cualquier persona con derecho a Tratar Datos Personales del Cliente en nombre del Cliente ha asumido un compromiso de confidencialidad o está sujeta a una obligación legal de confidencialidad adecuada. Todas estas obligaciones de confidencialidad sobrevivirán a la extinción o vencimiento de dicho Tratamiento.
4. Seguridad
4.1. Samsara implementará las medidas técnicas y organizativas adecuadas diseñadas para salvaguardar los Datos Personales del Cliente y garantizar la protección adecuada de los Datos Personales del Cliente, medidas que abordarán los requisitos de las Leyes de Protección de Datos. Samsara implementará como mínimo las medidas contenidas en la Descripción de Seguridad adjunta al presente documento como Suplemento II de las Cláusulas Contractuales Tipo. Samsara puede modificar dichas medidas de vez en cuando, siempre que dichas modificaciones no reduzcan de forma significativa el nivel general de protección de los Datos Personales del Cliente.
5. Subtratamiento
5.1. El Cliente autoriza a cada filial de Samsara, así como a otros terceros indicados en la Documentación, a ser subencargados del tratamiento (cada uno de ellos un "Subencargado del tratamiento"). Samsara puede divulgar Datos Personales del Cliente a sus Subencargados del tratamiento con el fin de proporcionar los Productos, siempre que Samsara imponga obligaciones sustancialmente similares a sus Subencargados del tratamiento con respecto a la seguridad y confidencialidad de los Datos Personales del Cliente a las establecidas en este Anexo para cumplir con los requisitos de las Leyes de Protección de Datos.
5.2. En la medida en que lo exijan las Leyes de Protección de Datos, el Cliente tendrá derecho a oponerse a cualquier cambio de Subencargados del tratamiento según lo notifique Samsara ocasionalmente en un plazo de treinta (30) días naturales desde dicha notificación, y solo por motivos sustancialmente importantes. Cuando el Cliente no se oponga a dicho cambio dentro de dicho periodo de tiempo, se considerará que el Cliente ha dado su consentimiento para dicho cambio. Cuando exista una razón de importancia sustancial para dicha oposición y se proporcione por escrito a Samsara, y en caso de que las partes no resuelvan de forma amistosa este asunto (actuando cada una de las Partes de forma razonable y de buena fe), los Clientes sujetos al RGPD de la UE y del Reino Unido podrán rescindir el(los) Formulario(s) de pedido correspondientes únicamente en relación con las características o funcionalidades afectadas de los Productos.
5.3. Samsara seguirá siendo responsable de los actos u omisiones de los Subencargados del tratamiento en la misma medida requerida por las Leyes de Protección de Datos como si los actos u omisiones fueran realizados por Samsara ("Responsabilidad del subencargado del tratamiento"), y se le permitirá volver a cumplir o procurar el cumplimiento de cualquier obligación. El Cliente reconoce y acepta que dicho cumplimiento disminuirá cualquier reclamación que el Cliente tenga contra Samsara con respecto a cualquier Responsabilidad del subencargado del tratamiento.
6. Solicitudes de Interesados
6.1. Cuando Samsara reciba directamente solicitudes de los Interesados, o de cualquier persona que actúe en su nombre, para ejercer sus derechos en virtud de las Leyes de Protección de Datos ("Solicitud del Interesado"), y siempre que Samsara pueda identificar razonablemente a partir de la información proporcionada que dicha solicitud está relacionada con el Cliente y/o los Datos Personales del Cliente, a menos que lo prohíba la legislación aplicable, Samsara (a) notificará de inmediato al Cliente dicha solicitud; y (b) no responderá a ninguna solicitud de este tipo a menos que lo exija la legislación aplicable a la que Samsara esté sujeta, en cuyo caso, en la medida permitida por la legislación aplicable, Samsara informará al Cliente de ese requisito legal antes de responder a dicha solicitud. Samsara puede exigir al Cliente que asuma los costes reales incurridos como resultado de la asistencia proporcionada de acuerdo con esta Sección en función de las tarifas de servicio de Samsara aplicables en ese momento.
6.2. Para evitar dudas, como Responsable del Tratamiento, el Cliente es responsable de responder a las Solicitudes de Interesados. Los Productos de Samsara incluyen medidas técnicas y organizativas que se han diseñado, teniendo en cuenta la naturaleza de su Tratamiento, para ayudar al Cliente, en la medida de lo posible, a cumplir con sus obligaciones de responder a las Solicitudes de Interesados.
6.3. Si Samsara recibe una solicitud de los Datos del Cliente de un organismo encargado del cumplimiento de la ley o de una agencia gubernamental, Samsara evaluará su legalidad y cumplirá con ella solo si y en la medida en que Samsara la evalúe como válida, legal y obligatoria (una "Solicitud de un organismo encargado del cumplimiento de la ley o de una agencia gubernamental"). En la medida en que Samsara esté legalmente autorizada a hacerlo, Samsara informará al Cliente y/o, según sea necesario, a la Autoridad de Control pertinente de dicha Solicitud de un organismo encargado del cumplimiento de la ley o de una agencia gubernamental y, si procede, sobre si Samsara cumplirá con dicha Solicitud de un organismo encargado del cumplimiento de la ley o de una agencia gubernamental. En la medida en que Samsara pueda identificar a los Interesados pertinentes en el ámbito de cualquier Solicitud de un organismo encargado del cumplimiento de la ley o de una agencia gubernamental y siempre que Samsara actúe de conformidad con sus obligaciones en virtud del Contrato y las Leyes de Protección de Datos aplicables, el Cliente podrá notificar o autorizar expresamente a Samsara por escrito a que notifique a los Interesados pertinentes de la existencia de dicha Solicitud de un organismo encargado del cumplimiento de la ley o de una agencia gubernamental recibida con el fin de permitir a los Interesados buscar más información y ejercer los derechos disponibles. A menos que se prohíba legalmente hacerlo, Samsara hará todo lo razonablemente posible para documentar y demostrar al Cliente, a petición razonable del Cliente, las acciones que Samsara haya tomado en relación con cualquier Solicitud de un organismo encargado del cumplimiento de la ley o de una agencia gubernamental.
7. Violación de la seguridad de los Datos Personales
7.1. Samsara notificará al Cliente sin demora indebida cuando Samsara tenga conocimiento de una Violación de la seguridad de los Datos Personales que afecte a los Datos Personales del Cliente. Para evitar cualquier duda, las Violaciones de la seguridad de los Datos Personales no incluyen (i) actos u omisiones que no infrinjan la seguridad de Samsara o la seguridad de cualquier Subencargado del tratamiento; o (ii) cualquier acceso o Tratamiento de Datos Personales del Cliente que sea coherente con las Instrucciones del cliente. A petición del Cliente, Samsara proporcionará asistencia y cooperación razonables para ayudar al Cliente a cumplir con cualquier obligación de notificación correspondiente en virtud de las Leyes de Protección de Datos aplicables con respecto a la Violación de la seguridad de los Datos Personales. La notificación o respuesta de Samsara a una Violación de la seguridad de los Datos Personales no se interpretará como un reconocimiento por parte de Samsara o, si procede, de sus Subencargados del tratamiento de cualquier fallo o responsabilidad con respecto al rendimiento de los Productos. Samsara puede exigir al Cliente que asuma los costes reales incurridos como resultado de la asistencia proporcionada de acuerdo con esta Sección en función de las tarifas de servicio de Samsara aplicables en ese momento.
8. Evaluación del impacto de la protección de datos y consulta previa
8.1. A petición del Cliente, Samsara proporcionará asistencia razonable al Cliente con cualquier evaluación de impacto de la protección de datos y previa consulta con las Autoridades de Control requeridas por las Leyes de Protección de Datos, en cada caso únicamente en relación con el Tratamiento de los Datos Personales del Cliente por parte de Samsara en virtud del Contrato y teniendo en cuenta la naturaleza del Tratamiento y la información disponible para Samsara. Samsara se reserva el derecho de cobrar una tarifa razonable por dicha solicitud de asistencia, en la medida permitida por la legislación aplicable.
9. Derechos de auditoría
9.1. Samsara puede contratar auditores externos independientes para preparar un informe de Control de organización de servicios 2 (Tipo I o II), u otro informe estándar del sector que lo suceda (“Informe”). Previa solicitud por escrito del Cliente, Samsara proporcionará al Cliente sin coste alguno una copia del Informe más reciente, hasta una vez al año. Dichos Informes serán Información confidencial de Samsara en virtud de las disposiciones de confidencialidad del Contrato. El Cliente acepta que los Informes se utilizarán para satisfacer cualquier solicitud de auditoría o inspección por o en nombre del Cliente en relación con las Leyes de Protección de Datos, este Anexo y/o Contrato.
9.2. Si un Informe no está disponible, el Cliente puede solicitar, previo aviso por escrito con 30 días de antelación y hasta una vez por año natural, realizar una revisión a su cargo, con un alcance, fechas, duración, auditor y cualquier control de seguridad o confidencialidad que se acuerde mutuamente, de las políticas y procedimientos relevantes de Samsara que rigen el tratamiento de los Datos Personales del Cliente por parte de Samsara en relación con los Productos, con el fin de verificar el cumplimiento por parte de Samsara de este Anexo (incluido con respecto a la sección 6.3). Esta revisión se llevará a cabo de una manera que no afecte las obligaciones de confidencialidad de Samsara con los demás clientes de Samsara. Las partes reconocen y aceptan que las políticas y procedimientos de Samsara y todas las conclusiones de la revisión del Cliente son Información confidencial de Samsara en virtud de las disposiciones de confidencialidad del Contrato.
9.3. En la medida requerida por las Leyes de Protección de Datos, el Cliente tiene derecho, previa notificación por escrito a Samsara, a tomar medidas razonables y apropiadas para detener y remediar cualquier uso de los Datos Personales del Cliente que infrinja el Contrato.
10. Transferencias de datos
10.1. Samsara puede transferir Datos Personales del Cliente a cualquier país o territorio, según sea razonablemente necesario para la provisión de los Productos, de conformidad con este Anexo. En la medida en que el suministro de Productos en virtud del Contrato implique una transferencia de Datos Personales del Cliente protegida por las Leyes de Protección de Datos aplicables en la Unión Europea, el Reino Unido y/o Suiza, y dichos Datos Personales del Cliente se transfieran a un país que no esté reconocido por la Comisión Europea (o, en el caso de transferencias desde Suiza, la autoridad competente para Suiza, y transferencias desde el Reino Unido, la autoridad reguladora u organismo gubernamental competente para el Reino Unido) como proveedor de un nivel adecuado de protección en virtud de las Leyes de Protección de Datos aplicables, Samsara y el Cliente acuerdan respetar y Tratar los Datos Personales del Cliente de conformidad con los mecanismos de transferencia especificados a continuación.
10.1.1. Transferencias desde el EEE. Con respecto a las transferencias de Datos Personales del Cliente protegidos por el RGPD de la UE, se aplicará el Módulo Dos de las CEC de la UE adjuntas al presente documento (incluidos los suplementos adjuntos) como se indica a continuación (a menos que el Cliente sea un Encargado del tratamiento, en cuyo caso se aplicará el Módulo Tres):
No se aplicará la cláusula de incorporación opcional de la Cláusula 7 de las CEC de la UE.
A efectos de la cláusula 8.1(a) de las CEC de la UE, lo siguiente se considera una instrucción por parte del Cliente para que Samsara y sus Subencargados del tratamiento Traten Datos Personales: (a) Tratamiento de conformidad con el Contrato; (b) Tratamiento iniciado por el Cliente en su uso de los Productos; y (c) Tratamiento para cumplir con otras instrucciones razonables proporcionadas por el Cliente a lo largo del tiempo (p. ej., por correo electrónico) cuando dichas instrucciones sean coherentes con los términos del Contrato.
El derecho de auditoría del Cliente en virtud de la cláusula 8.9 de las CEC de la UE puede ejercerse como se especifica en la Sección 9 de este Anexo.
De conformidad con la cláusula 9(a) de las CEC de la UE, las Filiales de Samsara podrán ser contratadas como Subencargados del tratamiento, y Samsara y sus Filiales, respectivamente, están generalmente autorizadas por el Cliente y pueden contratar a terceros Subencargados del tratamiento en relación con la entrega de los Productos. Samsara pondrá a disposición del Cliente su lista de Subencargados del tratamiento vigente en ese momento de acuerdo con la Sección 5 de este Anexo. De conformidad con la cláusula 9(a) de las CEC de la UE, Samsara puede contratar a nuevos Subencargados del tratamiento según se describe en la Sección 5.2 de este Anexo. Las partes acuerdan que las copias de los contratos con Subencargados del tratamiento que Samsara debe proporcionar al Cliente de conformidad con la cláusula 9(c) de las CEC de la UE pueden tener toda la información comercial, o cláusulas no relacionadas con las CEC de la UE o su equivalente, eliminadas por Samsara de antemano; y que Samsara proporcionará dichas copias, de la manera que determine a su discreción, solo a petición del Cliente. Dichos contratos proporcionados al Cliente de conformidad con esta Sección 10.1.1 de este Anexo se considerarán Información confidencial de Samsara.
A efectos de las cláusulas 8.5 y 16(d) de las CEC de la UE, Samsara cumplirá con sus obligaciones de devolver o destruir todos los Datos Personales según se especifica en la Sección 11 de este Anexo.
No se aplicará el lenguaje de reparación opcional de la Cláusula 11(a) de las CEC de la UE.
En la Cláusula 17, se aplicará la Opción 1, y las CEC de la UE se regirán por las leyes de la República de Irlanda.
E la Cláusula 18(b), la elección del foro y la jurisdicción para cualquier litigio se resolverá ante los tribunales de la República de Irlanda.
El Suplemento I se cumplimentará con la información establecida en el Suplemento I del presente CPD.
El Suplemento II se cumplimentará con la información establecida en el Suplemento II del presente CPD.
El Suplemento III se cumplimentará con la información establecida en el Suplemento III del presente CPD.
10.1.2. Transferencias desde Suiza. Con respecto a las transferencias de Datos de Samsara protegidos por la FADP suiza, se aplicarán las CEC de la UE como se especifica en la Sección 10.1.1 anterior, con las siguientes excepciones:
la autoridad de control competente es el Comisionado Federal de Información y Protección de Datos suizo;
las referencias a "Estado miembro" en las CEC de la UE se refieren a Suiza, y los interesados ubicados en Suiza pueden ejercer y hacer valer sus derechos en virtud de las CEC de la UE en Suiza; y
las referencias al "Reglamento General de Protección de Datos", al "Reglamento 2016/679" y al "RGPD" en las CEC de la UE se refieren a la FADP suiza (en su versión modificada o sustituida).
10.1.3. Transferencias desde el Reino Unido. Con respecto a las transferencias de Datos de Samsara protegidos por el RGPD del Reino Unido, la Cláusula adicional del Reino Unido a las Cláusulas Contractuales Tipo de la UE ("Cláusula adicional del Reino Unido") emitida por la Oficina del Comisionado de Información ("OIC") en virtud de la s.119A(1) de la Ley de Protección de Datos de 2018 se incorpora por la presente y se aplicará de la siguiente manera:
las CEC de la UE, completadas como se establece en la sección 10.1.1 anterior y como se adjunta al presente documento, también se aplicarán a las transferencias de dichos Datos Personales del Cliente;
la Cláusula adicional del Reino Unido se considerará ejecutada entre Samsara y el Cliente y las CEC de la UE se considerarán modificadas según lo especificado en la Cláusula adicional del Reino Unido con respecto a la transferencia de dichos Datos Personales del Cliente; y
la autoridad de control competente para dichos Datos de Samsara protegidos por el RGPD del Reino Unido será la OIC.
10.2. Si, en la ejecución de este Anexo, Samsara transfiere cualquier Dato Personal a un Subencargado del tratamiento que Trate Datos Personales fuera de la Unión Europea, Suiza o el Reino Unido, entonces Samsara se asegurará, antes de dicha transferencia, de que existe un mecanismo para lograr la adecuación con respecto a dicho Tratamiento, como por ejemplo: (a) el requisito de que Samsara suscriba o procure que el tercero suscriba Cláusulas Contractuales Tipo; o (b) cualquier otra garantía aprobada específicamente para las transferencias de datos (conforme a lo reconocido en las Leyes de Protección de Datos) o una conclusión de adecuación de la Comisión Europea.
10.3. En la medida en que el mecanismo de transferencia dependa de cualquier transferencia extraterritorial de Datos Personales de un Cliente en la Unión Europea, Suiza o el Reino Unido, según corresponda, en virtud del presente documento a una ubicación que ya no se considere que proporcione un nivel adecuado de protección en virtud de las Leyes de Protección de Datos aplicables, las Partes se reunirán de inmediato, en un plazo de 60 días desde que Samsara tenga conocimiento de dicha inadecuación, para discutir y acordar un mecanismo de transferencia alternativo o medidas complementarias alternativas de acuerdo con las directrices pertinentes proporcionadas con respecto a las Leyes de Protección de Datos tan pronto como sea razonablemente posible. Samsara hará todo lo razonablemente posible para supervisar la eficacia de sus medidas complementarias y podrá realizar los cambios o ajustes adecuados que considere necesarios (actuando de forma razonable y de buena fe).
10.4. Samsara sigue estando certificada en virtud de los Marcos de privacidad de datos de la UE-EE. UU., la ampliación del Reino Unido a la UE-EE. UU., y Suiza-EE. UU.
10.5. No es la intención del Cliente o de Samsara contradecir o restringir ninguna de las disposiciones establecidas en las CEC de la UE y la Cláusula adicional del Reino Unido, en consecuencia, si y en la medida en que las CEC de la UE y/o la Cláusula adicional del Reino Unido entren en conflicto con cualesquiera disposiciones del Contrato, las CEC de la UE y la Cláusula adicional del Reino Unido prevalecerán en la medida de dicho conflicto.
11. Recuperación y eliminación de Datos Personales del Cliente
11.1. Por el presente, el Cliente reconoce y acepta la funcionalidad de los Productos y las políticas de conservación y eliminación de datos proporcionadas al Cliente por Samsara, que pueden afectar a los Datos Personales del Cliente. Samsara permitirá al Cliente eliminar los Datos Personales del Cliente durante la vigencia del Contrato de forma coherente con la funcionalidad de los Productos. Tras la rescisión o vencimiento del Contrato, el Cliente podrá recuperar sus Datos Personales del Cliente de conformidad con el Contrato y Samsara eliminará inmediatamente los Datos Personales del Cliente de sus sistemas después de dicho periodo de recuperación, a menos que se indique lo contrario en el Contrato o la legislación aplicable requiera el almacenamiento de los Datos Personales del Cliente.
12. Responsabilidad
Cualquier reclamación presentada en virtud de este Anexo (incluidas las presentadas en virtud de las Cláusulas Contractuales Tipo) estará sujeta a los términos y condiciones establecidos en el Contrato, incluyendo, con carácter meramente enunciativo, las exclusiones y limitaciones de responsabilidad.
13. Disposiciones adicionales específicas para California
13.1. En la medida en que los Datos Personales del Cliente estén relacionados con residentes de California, Samsara es un proveedor de servicios, según la definición de la CPRA del Cliente.
13.2. En la medida en que los Datos Personales del Cliente estén relacionados con residentes de California, Samsara no conservará, utilizará, venderá, compartirá ni divulgará de ningún otro modo los Datos Personales del Cliente (incluidos los fines comerciales u otros fines ajenos a la relación comercial directa entre las partes) salvo en la medida en que lo permita la ley o sea necesario para proporcionar y dar soporte a los Productos, tal y como se establece en el Acuerdo. A efectos de esta sección, los términos "vender" y "compartir" tendrán el significado que se les da en la CPRA.
13.3. En la medida en que los Datos Personales del Cliente estén relacionados con residentes de California, Samsara cumplirá con cualquier restricción aplicable en virtud de la CPRA sobre la combinación de dichos Datos Personales del Cliente que Samsara reciba de, o en nombre de, el Cliente con los Datos Personales que Samsara reciba de, o en nombre de, otra persona o personas, o que Samsara recopile de cualquier interacción entre ella y un Sujeto de Datos.
13.4. En la medida en que los Datos Personales del Cliente estén relacionados con residentes de California, Samsara cumplirá con la CPRA y, teniendo en cuenta el papel de Samsara en el Procesamiento, proporcionará el nivel de protección de los Datos Personales del Cliente pertinentes requerido por la CPRA.
14. Cambios en las Leyes de Protección de Datos
Si una nueva Ley de Protección de Datos entra en vigor y es aplicable a Samsara, Samsara y el Cliente tomarán todas las medidas razonables exigidas por dicha Ley de Protección de Datos para garantizar la capacidad de las partes para cumplir con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos aplicables.
Cláusulas
Contractuales Tipo
Módulo dos - Transferencia de Responsable a Encargado del tratamiento
SECCIÓN I
Cláusula 1
Finalidad y ámbito de aplicación
(a) La finalidad de estas cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (Reglamento General de Protección de Datos o “RGPD”)(1) para la transferencia de datos personales a un tercer país.
(b) Las Partes:
(i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, “entidad” o “entidades”) que va(n) a transferir los datos personales, enumerada(s) en el Suplemento I.A (cada una denominada en lo sucesivo “exportador de datos”), y
(ii) la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directa o indirectamente por medio de otra entidad que también sea Parte en estas Cláusulas, enumerada(s) en el Suplemento I.A (cada una denominada en lo sucesivo “importador de datos”) han pactado estas cláusulas contractuales tipo (en adelante, las “Cláusulas”).
(c) Estas Cláusulas se aplican con respecto a la transferencia de datos personales según se especifica en el Suplemento I.B.
(d) El Apéndice de estas Cláusulas que contiene los Suplementos a los que se hace referencia en el mismo forma parte integral de estas Cláusulas.
Cláusula 2
Efecto e invariabilidad de las Cláusulas
(a) Estas Cláusulas establecen las garantías adecuadas, incluidos los derechos exigibles de los interesados y los recursos legales efectivos, de conformidad con el artículo 46(1) y el artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de responsables a encargados del tratamiento, las cláusulas contractuales tipo de conformidad con el artículo 28(7) del Reglamento (UE) 2016/679, siempre que no se modifiquen, excepto para seleccionar el Módulo o Módulos adecuados o para añadir o actualizar información en el Apéndice. Esto no es óbice para que las Partes incluyan las cláusulas contractuales tipo establecidas en estas Cláusulas en un contrato más amplio o añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
(b) Estas Cláusulas se entienden sin perjuicio de las obligaciones a las que el exportador de datos está sujeto en virtud del Reglamento (UE) 2016/679.
Cláusula 3
Terceros beneficiarios
(a) Los Interesados podrán invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, contra el exportador o importador de datos, con las siguientes excepciones:
(i) Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
(ii) Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
(iii) Cláusula 9(a), (c), (d) y (e);
(iv) Cláusula 12(a), (d) y (f);
(v) Cláusula 13;
(vi) Cláusula 15.1(c), (d) y (e);
(vii) Cláusula 16(e);
(viii) Cláusula 18(a) y (b).
(b) El párrafo (a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.
Cláusula 4
Interpretación
(a) Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
(b) Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
(c) Estas Cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.
Cláusula 5
Jerarquía
En caso de contradicción entre estas Cláusulas y las disposiciones de contratos relacionados entre las Partes, existentes en el momento en que acuerdan estas Cláusulas o suscritos posteriormente, prevalecerán estas Cláusulas.
Cláusula 6
Descripción de la(s) transferencia(s)
Los datos de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el Suplemento I.B.
Cláusula 7 – Omitida intencionadamente
SECCIÓN II: OBLIGACIONES DE LAS PARTES
Cláusula 8
Garantías en materia de protección de datos
El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos puede, mediante la implementación de medidas técnicas y organizativas adecuadas, satisfacer sus obligaciones en virtud de estas Cláusulas.
8.1 Instrucciones
(a) El importador de datos tratará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos puede dar dichas instrucciones durante toda la vigencia del contrato.
(b) El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.
8.2 Limitación de la finalidad
El importador de datos tratará los datos personales solo para los fines específicos de la transferencia, tal y como se establece en el Suplemento I.B, a menos que el exportador de datos le dé instrucciones adicionales.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del interesado una copia de estas Cláusulas, incluido el Apéndice cumplimentado por las Partes, de forma gratuita. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Suplemento II y datos personales, el exportador de datos podrá expurgar parte del texto del Apéndice a estas Cláusulas antes de compartir una copia, pero proporcionará un resumen significativo cuando, de no hacerlo, el interesado no pueda entender su contenido o ejercer sus derechos. Previa solicitud, las Partes proporcionarán al interesado los motivos de las expurgaciones, en la medida de lo posible, sin revelar la información expurgada. La presente Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.
8.4 Exactitud
Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o han quedado obsoletos, informará al exportador de datos sin demora indebida. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.
8.5 Duración del tratamiento y eliminación o devolución de los datos
El tratamiento por parte del importador de datos solo tendrá lugar durante la duración especificada en el Suplemento I.B. Después de la finalización de la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador de datos, eliminará todos los datos personales tratados en nombre del exportador de datos y certificará al exportador de datos que lo ha hecho, o devolverá al exportador de datos todos los datos personales tratados en su nombre y eliminará las copias existentes. Hasta que los datos se eliminen o devuelvan, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales, el importador de datos garantiza que continuará garantizando el cumplimiento de estas Cláusulas y que solo los tratará en la medida y durante el tiempo que exija dicha ley local. Lo anterior se entiende sin perjuicio de la Cláusula 14, en particular de la obligación que esta impone al importador de datos en virtud de la Cláusula 14(e) de notificar al exportador de datos durante la vigencia del contrato si tiene motivos para creer que está o ha quedado sujeto a leyes o prácticas no acordes con los requisitos de la Cláusula 14(a).
8.6 Seguridad del tratamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos, implementarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción, pérdida, alteración, divulgación o acceso no autorizados accidentales o ilícitos a esos datos (en adelante, “violación de la seguridad de los datos personales”). A la hora de determinar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del tratamiento y los riesgos que entraña el tratamiento para los interesados. Las Partes deberán considerar, en particular, recurrir al cifrado o la seudonimización, incluso durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento. En caso de seudonimización, la información adicional para atribuir los datos personales a un interesado específico permanecerá, cuando sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud de este párrafo, el importador de datos implementará al menos las medidas técnicas y organizativas especificadas en el Suplemento II. El importador de datos llevará a cabo comprobaciones periódicas para garantizar que estas medidas sigan proporcionando un nivel adecuado de seguridad.
(b) El importador de datos concederá acceso a los datos personales a los miembros de su personal solo en la medida estrictamente necesaria para la ejecución, gestión y supervisión del contrato. Se asegurará de que las personas autorizadas para tratar los datos personales se hayan comprometido a mantener la confidencialidad o están sujetas a una obligación legal de confidencialidad adecuada.
(c) En caso de una violación de la seguridad de los datos personales relativa a los datos personales tratados por el importador de datos en virtud de estas Cláusulas, el importador de datos tomará las medidas adecuadas para abordar la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de tener conocimiento de la violación. Dicha notificación contendrá los datos de un punto de contacto en el que se pueda obtener más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, categorías y número aproximado de interesados y registros de datos personales afectados), sus posibles consecuencias y las medidas adoptadas o propuestas para abordar la violación, incluidas, cuando proceda, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, a medida que esté disponible, la información adicional se proporcionará posteriormente sin demora indebida.
(d) El importador de datos deberá colaborar con el exportador de datos y ayudarle para que pueda cumplir las obligaciones que le atribuye el Reglamento (UE) 2016/679, especialmente en cuanto a la notificación a la autoridad de control competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que disponga el importador de datos.
8.7 Datos sensibles
Cuando la transferencia implique datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos, o datos biométricos con el fin de identificar de forma única a una persona física, datos relativos a la salud o la vida sexual u orientación sexual de una persona, o datos relacionados con condenas y delitos penales (en adelante, “datos sensibles”), el importador de datos aplicará las restricciones específicas o garantías adicionales descritas en el Suplemento I.B.
8.8 Transferencias ulteriores
El importador de datos solo divulgará los datos personales a un tercero siguiendo instrucciones documentadas del exportador de datos. Además, los datos solo pueden divulgarse a un tercero ubicado fuera de la Unión Europea(2) (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo una “transferencia ulterior”) si el tercero está o se compromete a quedar vinculado por estas Cláusulas, en virtud del Módulo correspondiente, o si:
(a) la transferencia ulterior va dirigida a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
(b) el tercero aporta de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
(c) la transferencia ulterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones en el contexto de procedimientos administrativos, normativos o judiciales específicos; o
(d) la transferencia ulterior es necesaria para proteger intereses vitales del interesado o de otra persona física.
Cualquier transferencia ulterior está sujeta al cumplimiento por parte del importador de datos de todas las demás garantías en virtud de estas Cláusulas, en particular la limitación de la finalidad.
8.9 Documentación y cumplimiento
(a) El importador de datos resolverá de forma inmediata y adecuada las consultas del exportador de datos relacionadas con el tratamiento en virtud de estas Cláusulas.
(b) Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento llevadas a cabo en nombre del exportador de datos.
(c) El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a petición del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por estas Cláusulas, a intervalos razonables o si existen indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos puede tener en cuenta las certificaciones pertinentes en poder del importador de datos.
(d) El exportador de datos puede optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías pueden incluir inspecciones en los locales o instalaciones físicas del importador de datos y, cuando proceda, se llevarán a cabo con un preaviso razonable.
(e) Las Partes pondrán a disposición de la autoridad de control competente, previa solicitud, la información mencionada en los párrafos (b) y (c), incluidos los resultados de cualquier auditoría.
Cláusula 9
Uso de subencargados del tratamiento
(a) El importador de datos tiene la autorización general del exportador de datos para la contratación de subencargados del tratamiento de datos de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en esa lista mediante la adición o sustitución de subencargados del tratamiento con al menos 10 días naturales de antelación, dando así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación de los subencargados del tratamiento. El importador de datos proporcionará al exportador de datos la información necesaria para permitir que el exportador de datos ejerza su derecho de oposición.
(b) Cuando el importador de datos contrate a un subencargado del tratamiento para llevar a cabo actividades de tratamiento específicas (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas Cláusulas, incluidos los derechos de terceros beneficiarios para los interesados. Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones en virtud de la Cláusula 8.8. El importador de datos se asegurará de que el subencargado del tratamiento cumpla con las obligaciones a las que el importador de datos está sujeto de conformidad con estas Cláusulas.
(c) El importador de datos proporcionará, a petición del exportador de datos, una copia de dicho contrato de subencargado del tratamiento y cualquier modificación posterior al exportador de datos. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, el importador de datos podrá expurgar textos del contrato antes de compartir una copia.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subencargado del tratamiento de sus obligaciones en virtud de ese contrato.
(e) El importador de datos pactará una cláusula de tercero beneficiario con el subencargado del tratamiento en virtud de la cual, en caso de que el importador de datos haya desaparecido de facto, ya no exista legalmente o haya sido declarado insolvente, el exportador de datos tendrá derecho a rescindir el contrato del subencargado del tratamiento y a indicar al subencargado del tratamiento que borre o devuelva los datos personales.
Cláusula 10
Derechos del interesado
(a) El importador de datos notificará inmediatamente al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a esa solicitud por sí mismo a menos que haya sido autorizado para hacerlo por el exportador de datos.
(b) El importador de datos ayudará al exportador de datos a cumplir con sus obligaciones de responder a las solicitudes de interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Suplemento II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se proporcionará la asistencia, así como el objeto y alcance de la asistencia requerida.
(c) Al cumplir con sus obligaciones en virtud de los párrafos (a) y (b), el importador de datos cumplirá con las instrucciones del exportador de datos.
Cláusula 11
Reparación
(a) El importador de datos informará a los interesados de forma transparente y en un formato de fácil acceso, mediante una notificación individual o en su sitio web, del punto de contacto autorizado para tramitar reclamaciones. Tramitará con prontitud cualquier reclamación que reciba de un interesado.
(b) En caso de disputa entre un interesado y una de las Partes en relación con el cumplimiento de estas Cláusulas, esa Parte hará todo lo posible por resolver el problema de forma amistosa y oportuna. Las Partes se mantendrán informadas sobre dichas disputas y, cuando proceda, cooperarán para resolverlas.
(c) Cuando el interesado invoque un derecho de tercero beneficiario de conformidad con la Cláusula 3, el importador de datos aceptará la decisión del interesado de:
(i) presentar una reclamación ante la autoridad de control en el Estado miembro de su residencia o lugar de trabajo habitual, o ante la autoridad de control competente de conformidad con la Cláusula 13;
(ii) remitir la disputa a los tribunales competentes en el sentido de la Cláusula 18.
(d) Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80(1) del Reglamento (UE) 2016/679.
(e) El importador de datos deberá acatar las decisiones que sean vinculantes en virtud de la legislación aplicable de la UE o del Estado miembro.
(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales para obtener una reparación de conformidad con las leyes aplicables.
Cláusula 12
Responsabilidad
(a) Cada Parte será responsable ante las otras Partes por cualquier daño que cause a las otras Partes por cualquier incumplimiento de estas Cláusulas.
(b) El importador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una compensación, por cualquier daño material o no material que el importador de datos o su subencargado del tratamiento cause al interesado incumpliendo los derechos de terceros beneficiarios en virtud de estas Cláusulas.
(c) Sin perjuicio del párrafo (b), el exportador de datos será responsable ante el interesado, y el interesado tendrá derecho a recibir una compensación, por cualquier daño material o no material que el exportador de datos o el importador de datos (o su subencargado del tratamiento) cause al interesado al incumplir los derechos de terceros beneficiarios en virtud de estas Cláusulas. Lo anterior se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un encargado del tratamiento que actúe en nombre de un responsable del tratamiento, de la responsabilidad del responsable del tratamiento en virtud del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, según corresponda.
(d) Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo (c) por daños causados por el importador de datos (o su subencargado) del tratamiento, tendrá derecho a reclamar al importador de datos esa parte de la compensación correspondiente a la responsabilidad del importador de datos por el daño.
(e) Cuando más de una Parte sea responsable de cualquier daño causado al interesado como resultado de un incumplimiento de estas Cláusulas, todas las Partes responsables serán responsables solidariamente y el interesado tiene derecho a iniciar una acción judicial contra cualquiera de estas Partes.
(f) Las Partes acuerdan que si una Parte es considerada responsable en virtud del párrafo (e), tendrá derecho a reclamar a las otras Partes la parte de la compensación correspondiente a su responsabilidad por el daño.
(g) El importador de datos no podrá alegar la conducta de un subencargado del tratamiento para eludir su propia responsabilidad.
Cláusula 13
Supervisión
(a) Cuando el exportador de datos esté establecido en un Estado miembro de la UE: La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en relación con la transferencia de datos, como se indica en el Suplemento I.C, actuará como autoridad de control competente.
Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3(2) y haya nombrado a un representante de conformidad con el artículo 27(1) del Reglamento (UE) 2016/679: la autoridad de control del Estado miembro en el que esté establecido el representante en el sentido del artículo 27(1) del Reglamento (UE) 2016/679, tal como se indica en el Suplemento I.C, actuará como autoridad de control competente.
Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3(2) sin tener que nombrar a un representante de conformidad con el artículo 27(2) del Reglamento (UE) 2016/679: la autoridad de control de uno de los Estados miembros en el que se encuentren los interesados cuyos datos personales se transfieran en virtud de estas Cláusulas en relación con una oferta de bienes o servicios que se les haga, o cuyo comportamiento se supervise, tal y como se indica en el Suplemento I.C., actuará como autoridad de control competente.
(b) El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de estas Cláusulas. En particular, el importador de datos se compromete a responder a las consultas, someterse a auditorías y cumplir con las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Proporcionará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.
SECCIÓN III: LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS
Cláusula 14
Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas
(a) Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos para divulgar datos personales o las medidas que autorizan el acceso por parte de las autoridades públicas, impidan al importador de datos cumplir con sus obligaciones en virtud de estas Cláusulas. Dicha aseveración se fundamenta en la premisa de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23(1) del Reglamento (UE) 2016/679, no entran en contradicción con estas Cláusulas.
(b) Las Partes declaran que al proporcionar la garantía a la que se refiere el párrafo (a), han tenido debidamente en cuenta en particular los siguientes elementos:
(i) las circunstancias específicas de la transferencia, incluida la duración de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
(ii) las leyes y prácticas del tercer país de destino, incluidas aquellas que requieran la divulgación de datos a las autoridades públicas o que autoricen el acceso por parte de dichas autoridades, que sean pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables(3);
(iii) cualquier garantía contractual, técnica u organizativa pertinente implementada para complementar las garantías previstas en estas Cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.
(c) El importador de datos garantiza que, al llevar a cabo la evaluación en virtud del párrafo (b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.
(d) Las Partes acuerdan documentar la evaluación a que se refiere el párrafo (b) y ponerla a disposición de la autoridad de control competente previa solicitud.
(e) El importador de datos se compromete a notificar al exportador de datos inmediatamente si, tras haber aceptado estas Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha pasado a estar sujeto a leyes o prácticas que no están en línea con los requisitos del párrafo (a), incluso a raíz de un cambio en las leyes del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no se ajuste a los requisitos del párrafo (a).
(f) Tras una notificación de conformidad con el párrafo (e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir con sus obligaciones en virtud de estas Cláusulas, el exportador de datos identificará inmediatamente las medidas adecuadas (p. ej., medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos o el importador de datos para abordar la situación. El exportador de datos suspenderá la transferencia de datos si considera que no hay garantías adecuadas para dicha transferencia, o si así lo indica la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de estas Cláusulas. Si el contrato tiene más de dos Partes contratantes, el exportador de datos solo podrá ejercer este derecho de rescisión con respecto a la Parte pertinente, a menos que las Partes hayan acordado lo contrario. Cuando el contrato se rescinda de conformidad con esta Cláusula, se aplicarán las Cláusulas 16(d) y (e).
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
15.1 Notificación
(a) El importador de datos se compromete a notificar al exportador de datos y, cuando sea posible, al interesado de inmediato (si es necesario con la ayuda del exportador de datos) si:
(i) recibe una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, en virtud de las leyes del país de destino para la divulgación de datos personales transferidos de conformidad con estas Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica para la solicitud y la respuesta proporcionada; o
(ii) tiene conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos de conformidad con estas Cláusulas de conformidad con las leyes del país de destino; dicha notificación incluirá toda la información disponible para el importador.
(b) Si el importador de datos tiene prohibido enviar la notificación al exportador de datos o al interesado en virtud de las leyes del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar tanta información como sea posible, lo antes posible. El importador de datos se compromete a documentar las acciones que realice a tal fin, para poder demostrar así su diligencia a petición del exportador de datos.
(c) Cuando lo permitan las leyes del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información relevante posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, las autoridades solicitantes, si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).
(d) El importador de datos se compromete a conservar la información de conformidad con los párrafos (a) a (c) durante la vigencia del contrato y ponerla a disposición de la autoridad de control competente previa solicitud.
(e) Los párrafos (a) a (c) se entenderán sin perjuicio de la obligación del importador de datos de conformidad con la Cláusula 14(e) y la Cláusula 16 de informar al exportador de datos inmediatamente cuando no pueda cumplir con estas Cláusulas.
15.2 Revisión de la legalidad y minimización de datos
(a) El importador de datos se compromete a revisar la legalidad de la solicitud de divulgación, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, después de una evaluación cuidadosa, concluye que hay motivos razonables para considerar que la solicitud es ilícita en virtud de las leyes del país de destino, las obligaciones aplicables en virtud del derecho internacional y los principios de la cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos solicitará medidas provisionales con vistas a suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No revelará los datos personales solicitados hasta que así lo exijan las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).
(b) El importador de datos se compromete a documentar su evaluación jurídica y cualquier impugnación a la solicitud de divulgación y, en la medida permitida por las leyes del país de destino, poner la documentación a disposición del exportador de datos. También deberá ponerla a disposición de la autoridad de control competente previa solicitud.
(c) El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, basándose en una interpretación razonable de la solicitud.
SECCIÓN IV: DISPOSICIONES FINALES
Cláusula 16
Incumplimiento de las Cláusulas y resolución del contrato
(a) El importador de datos informará inmediatamente al exportador de datos si no puede cumplir con estas Cláusulas, por cualquier motivo.
(b) En caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se rescinda el contrato. Lo anterior se entiende sin perjuicio de la Cláusula 14(f).
(c) El exportador de datos tendrá derecho a resolver el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de estas Cláusulas, cuando:
(i) el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el párrafo (b) y el cumplimiento de estas Cláusulas no se reanude en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión;
(ii) el importador de datos incumpla de forma sustancial o persistente estas Cláusulas; o
(iii) el importador de datos incumpla una resolución vinculante de un tribunal o autoridad de control competente con respecto a sus obligaciones en virtud de estas Cláusulas.
En estos casos, informará a la autoridad de control competente de dicho incumplimiento. Cuando el contrato tenga más de dos Partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución solo con respecto a la Parte pertinente, a menos que las Partes hayan acordado lo contrario.
(d) Los datos personales que se hayan transferido antes de la resolución del contrato de conformidad con el párrafo (c) se devolverán inmediatamente al exportador de datos a elección del exportador de datos o se eliminarán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos se eliminen o devuelvan, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de que las leyes locales aplicables al importador de datos prohíban la devolución o eliminación de los datos personales transferidos, el importador de datos garantiza que continuará garantizando el cumplimiento de estas Cláusulas y que solo tratará los datos en la medida y durante el tiempo que exija dicha ley local.
(e) Cualquiera de las partes podrá revocar su consentimiento a quedar vinculada por estas Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el Artículo 45(3) del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco legal del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
Cláusula 17
Legislación aplicable
Estas Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita derechos de terceros beneficiarios. Las Partes acuerdan que esta será la legislación de la República de Irlanda.
Cláusula 18
Elección de foro y jurisdicción
(a) Cualquier litigio que surja de estas Cláusulas será resuelto por los tribunales de un Estado miembro de la UE.
(b) Las Partes acuerdan que serán los tribunales de la República de Irlanda.
(c) Los interesados también pueden ejercer acciones judiciales contra el exportador o importador de datos ante los tribunales del Estado miembro en el que tengan su residencia habitual.
(d) Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.
APÉNDICE
SUPLEMENTO I
A. LISTA DE PARTES
Exportador(es) de datos:
Nombre: el Cliente, tal como se detalla en el Formulario de pedido pertinente (sin perjuicio de que el Cliente pueda ser una entidad o entidades ubicadas fuera de la Unión Europea/Suiza/Reino Unido, según corresponda)
Dirección: como se detalla en el Formulario de pedido pertinente
Nombre, puesto y datos de contacto de la persona de contacto: DPD de la FAO, Equipo de privacidad/jurídico
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: como se detalla en el Suplemento I.B
Función: Responsable del tratamiento
Importador(es) de datos:
Nombre: Samsara Inc.
Dirección: 1 De Haro Street, San Francisco, CA 94107, EE. UU.
Nombre, puesto y datos de contacto de la persona de contacto: legalnotices@samsara.com
Actividades relevantes para los datos transferidos en virtud de estas Cláusulas: como se detalla en el Suplemento I.B
Función: Encargado del tratamiento
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de interesados cuyos datos personales se transfieren
Los interesados incluyen a las personas cuyos Datos Personales se proporcionan a Samsara a través de los Productos por (o bajo la dirección de) el Cliente o por cualquier empleado o usuario final del Cliente, que pueden incluir, con carácter meramente enunciativo, Datos Personales relacionados con los usuarios, empleados, directivos, directores, contratistas, agentes, proveedores, clientes, visitantes, y otras personas que puedan ser capturados por los Productos; el alcance de los cuales, en todos y cada uno de los casos, es determinado y controlado por el exportador de datos a su entera discreción, dependiendo de su uso de los Productos.
Categorías de datos personales transferidos
Datos Personales relativos a personas proporcionados a Samsara a través de los Productos, por (o bajo la dirección de) el Cliente o por cualquier empleado o usuario final del Cliente que pueden incluir, con carácter meramente enunciativo, Datos Personales relacionados con las siguientes categorías de Datos Personales: nombres, información de contacto (p. ej., empresa, correo electrónico, dirección, número de teléfono), datos de identificación, datos de conexión, datos de ubicación, imágenes de perfil, imágenes y vídeos capturados por los Productos (p. ej., imágenes de personas dentro de un vehículo utilizando una cámara de salpicadero, y otra información que permita identificar a personas a partir de dichas imágenes, p. ej., matrículas de vehículos, señales para edificios, casas y otros puntos de referencia); cuyo alcance, en todos y cada uno de los casos, es determinado y controlado por el exportador de datos a su entera discreción, dependiendo de su uso de los Productos.
Los datos sensibles transferidos (si procede) y las restricciones o garantías aplicadas que tengan en cuenta plenamente la naturaleza de los datos y los riesgos que entrañan, como, por ejemplo, la limitación estricta de la finalidad, las restricciones de acceso (incluido el acceso solo para el personal que haya seguido formación especializada), el mantenimiento de un registro del acceso a los datos, las restricciones para transferencias ulteriores o las medidas de seguridad adicionales. El exportador de datos puede enviar categorías especiales de datos a los Productos o Samsara puede crear categorías especiales de datos dentro de los Productos, cuyo alcance será determinado y controlado por el exportador de datos a su entera discreción, dependiendo de su uso de los Productos. Si procede, el exportador de datos confirma que ha revisado y evaluado las restricciones y garantías aplicadas a dichas categorías especiales de Datos Personales, incluidas las medidas descritas en el Suplemento II del Anexo, y ha determinado que dichas restricciones y garantías son suficientes para cumplir con las Leyes de Protección de Datos.
La frecuencia de la transferencia (p. ej., si los datos se transfieren de forma puntual o continua). Samsara Tratará los Datos Personales del Cliente durante el tiempo que sea necesario para proporcionar los Productos al Cliente de acuerdo con, y según lo permita, el Contrato, y para cualquier divulgación exigida por la ley.
Naturaleza del tratamiento Samsara Tratará los Datos Personales del Cliente con el fin de proporcionar los Productos al Cliente de acuerdo con, y según lo permita, el Contrato, y para cualquier divulgación exigida por la ley.
Finalidad(es) de la transferencia de datos y el tratamiento posterior Samsara Tratará los Datos Personales del Cliente con el fin de proporcionar los Productos al Cliente de acuerdo con, y según lo permita, el Contrato, y para cualquier divulgación exigida por la ley.
El periodo durante el cual se conservarán los datos personales o, si ello no es posible, los criterios utilizados para determinar ese periodo La vigencia del Contrato más el periodo desde el vencimiento o la rescisión del Contrato hasta la eliminación de todos los Datos del Cliente por parte de Samsara de conformidad con el Contrato. Puede haber Datos Personales específicos del Cliente que tengan políticas específicas de conservación y eliminación de datos (p. ej., los datos de vídeo de las cámaras de salpicadero utilizadas por los clientes ubicados en el EEE, que se cargan en el Software alojado tienen una política de conservación y un calendario de eliminación de seis meses como configuración predeterminada; que el Cliente acepta, que puede modificarse debido a los requisitos del Cliente).
Para transferencias a (sub)encargados del tratamiento, especifique también el asunto, la naturaleza y la duración del tratamiento Como se detalla aquí. También puede optar por recibir actualizaciones de los Subencargados del tratamiento a través de ese enlace.
C. AUTORIDAD DE CONTROL COMPETENTE
Identificar a la autoridad o autoridades de control competentes de acuerdo con la Cláusula 13 Cuando el exportador de datos esté establecido en un Estado miembro de la UE: la autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en relación con la transferencia de datos, actuará como autoridad de control competente. Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3(2) y haya nombrado a un representante de conformidad con el artículo 27(1) del Reglamento (UE) 2016/679: la autoridad de control del Estado miembro en el que esté establecido el representante en el sentido del artículo 27(1) del Reglamento (UE) 2016/679, actuará como autoridad de control competente. Cuando el exportador de datos no esté establecido en un Estado miembro de la UE, pero se encuentre dentro del ámbito territorial de aplicación del Reglamento (UE) 2016/679 de conformidad con su artículo 3(2) sin tener que nombrar a un representante de conformidad con el artículo 27(2) del Reglamento (UE) 2016/679: La autoridad de control de uno de los Estados miembros en el que se encuentren los interesados cuyos datos personales se transfieran en virtud de estas Cláusulas en relación con una oferta de bienes o servicios que se les haga, o cuyo comportamiento se supervise, actuará como autoridad de control competente.
SUPLEMENTO II
MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS
Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los intereses legalmente protegidos de las personas físicas, Samsara implementará las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo al Tratar Datos Personales, en particular en lo que respecta al tratamiento de categorías especiales de Datos Personales.
Estas medidas pueden incluir la seudonimización y el cifrado de datos personales, si dichos medios son posibles en vista de los fines del Tratamiento.
En particular:
Samsara toma medidas para restringir el acceso a los Datos Personales del Cliente y que solo accedan a ellos el Cliente, sus usuarios y el personal y Subencargados del tratamiento autorizados de Samsara. Además, Samsara tiene procesos diseñados para proteger sus sistemas que contienen o acceden a los Datos Personales del Cliente contra Violaciones de la seguridad de los datos personales. La infraestructura subyacente utiliza Amazon AWS, que cuenta con las certificaciones ISO 27001 y SOC 1 Tipo II. Los dispositivos de red, incluidos los cortafuegos y otros dispositivos de límite, están en marcha para supervisar y controlar las comunicaciones en el límite externo de la red y en los límites internos clave dentro de la red. Estos dispositivos límite emplean conjuntos de reglas, listas de control de acceso (ACL) y configuraciones para aplicar el flujo de información a servicios específicos del sistema de información. Las ACL, o políticas de flujo de tráfico, se establecen en cada interfaz gestionada, que gestiona y aplica el flujo de tráfico.
Los datos se separan lógicamente en bases de datos distribuidas con comprobaciones de autenticación requeridas para cada capa de aplicación y acceso a la capa de datos para los datos de cualquier inquilino. La separación lógica está diseñada para asociar datos con exactamente un cliente y las comprobaciones de autenticación requeridas en la aplicación y los niveles de datos tienen como objetivo aislar los datos por cliente y cuentas aprovisionadas para ese cliente.
Los Productos emplean una nube privada virtual para proporcionar aislamiento de recursos y minimizar el área de la superficie de ataque. Los Productos están protegidos por cortafuegos basados en puertos e IP. AWS Identity and Access Management restringen y verifican el acceso administrativo a la infraestructura de Samsara. Los ataques de denegación de servicio distribuido (DDoS) se pueden mitigar con un equilibrio de carga elástico y servicios DNS altamente disponibles.
Cuando un dispositivo de almacenamiento que contiene Datos Personales del Cliente ha llegado al final de su vida útil, los procedimientos incluyen un proceso de retirada del servicio diseñado para evitar que los datos se expongan a personas no autorizadas. Las técnicas detalladas en el DoD 5220.22-M ("Manual de funcionamiento del Programa de seguridad industrial nacional") o NIST 800-88 ("Directrices para la limpieza completa de medios") se utilizan para destruir datos como parte del proceso de desmantelamiento. Todos los dispositivos de almacenamiento magnético que se desmantelan se desmagnetizan y destruyen físicamente de acuerdo con las prácticas estándar del sector.
Samsara implementa medidas diseñadas para mejorar la seguridad física de sus redes, servidores, nube y otros sistemas de información en los que se almacenen, procesen, transmitan o acceda a los Datos del cliente y para mantenerlos de una forma segura que satisfaga los requisitos de este Apéndice.
Samsara revisa anualmente las medidas de seguridad de la tecnología de la información. Anualmente, un tercero independiente cualificado realiza pruebas de penetración del sistema de Samsara para detectar vulnerabilidades de seguridad. Samsara mantiene procesos adecuados para identificar, aislar y remediar las vulnerabilidades de seguridad.
SUPLEMENTO III
LISTA DE SUBENCARGADOS DEL TRATAMIENTO
El responsable del tratamiento ha autorizado el uso de los subencargados del tratamiento indicados aquí.
______________________________________________________________________________
Notas al pie:
(1) Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe en nombre de una institución u organismo de la Unión como responsable del tratamiento, el uso de estas Cláusulas al contratar a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del artículo 29(4) del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.° 45/2001 y la Decisión n.° 1247/2002/CE (DO L 295, 21.11.2018, pág. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto legal entre el responsable y el encargado del tratamiento de conformidad con el artículo 29(3) del Reglamento (UE) 2018/1725 estén alineadas. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento utilicen las cláusulas contractuales tipo incluidas en la Decisión 2021/915.
(2) El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interno de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al Suplemento XI del mismo. Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero ubicado en el EEE no se considera una transferencia ulterior a los efectos de estas Cláusulas.
(3) En cuanto al impacto de dichas leyes y prácticas en el cumplimiento de estas Cláusulas, se pueden considerar diferentes elementos como parte de una evaluación general. Dichos elementos pueden incluir experiencia práctica pertinente y documentada con casos previos de solicitudes de divulgación de autoridades públicas, o la ausencia de dichas solicitudes, durante un periodo suficientemente representativo. Esto se refiere, en particular, a registros internos u otra documentación, redactada de forma continua de acuerdo con la diligencia debida y certificada a nivel de la alta dirección, siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir estas Cláusulas, dicha conclusión deberá estar respaldada por otros elementos relevantes y objetivos, y corresponde a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las Partes deben tener en cuenta si su experiencia práctica se ve corroborada y no desmentida por información fiable y de dominio público o accesible de otro modo sobre la existencia o ausencia de solicitudes dentro del mismo sector o la aplicación de la ley en la práctica, como jurisprudencia e informes por parte de organismos de supervisión independientes.