GoDaddy

ADENDA SOBRE PROCESAMIENTO DE DATOS (CLIENTES)

Fecha de la última revisión: 27/09/2021

Esta Adenda sobre procesamiento de datos (la “Adenda”) se celebra entre GoDaddy.com, LLC, a Delaware limited liability company y sus Afiliados (“GoDaddy”) y usted (“Cliente”) y se anexa y complementa nuestros Términos universales del servicio, Política de privacidad y cualquiera de los acuerdos que rigen los Servicios Cubiertos (en conjunto, los “Términos del Servicio”).  A menos que esta Adenda indique lo contrario, todos los términos en mayúscula y no definidos en esta Adenda, tendrán el significado que se les dio en los Términos del Servicio.

1. Definiciones

Afiliadas” se refiere a cualquier entidad controlada por, que controla o ejerce el control en forma conjunta con GoDaddy.

"CCPA” se refiere a la Ley de Privacidad del Consumidor de California, Código Civil de California 1798.100 ss., incluida cualquier enmienda y cualquier reglamentación implementada a ello que entre en vigencia en la fecha de entrada vigencia de esta Adenda de Procesamiento de Datos o después de la misma.

Servicios cubiertos” se refiere a los servicios de hosting que podrían implicar nuestro Procesamiento de datos personales y que están sujetos a los términos y condiciones de los siguientes Contratos: (1) Servicios de Email Marketing, (2) Hosting, (3) Tienda en línea/Carrito de compras rápido, (4) Servicios de Creador de páginas web, (5) Servicio de Workspace.

Datos del Cliente” son los Datos Personales de cualquier Titular de los Datos Procesados por GoDaddy dentro de la red de GoDaddy en nombre del Cliente de conformidad o en relación con los Términos de Servicio.

Controlador de Datos” se refiere al Cliente, como la entidad que determina los propósitos y medios del Procesamiento de los Datos Personales.

Procesador de Datos” se refiere a GoDaddy, como la entidad que procesa Datos Personales en nombre del Controlador de los Datos, o el proveedor de servicios según la definición de CCPA de dicho término.

Leyes de protección de datos” se refiere a todas las leyes y reglamentos de protección de datos o privacidad aplicables al Tratamiento de Datos Personales en virtud del Acuerdo, incluidos (i) los Principios de Privacidad Australianos y la Ley de Privacidad Australiana (1988), (ii) la Lei Geral de Proteção de Dados (LGPD) de Brasil, (iii) la Ley de Privacidad del Consumidor de California (CCPA), (iv) la Ley Federal de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA) (v) el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, (vi) cualquier ley nacional de protección de datos elaborada en virtud del RGPD o de conformidad con el mismo, (vii) la Directiva sobre privacidad electrónica de la UE (Directiva 2002/58/CE), (viii) la Ley de Protección de Datos Personales de Singapur de 2012 (PDPA), (ix) la Ley Federal de Protección de Datos de Suiza de 19 de junio de 1992 y su Ordenanza, (x) el RGPD del Reino Unido o la Ley de Protección de Datos de 2018; en cada caso, tal y como se puedan modificar, sustituir o reemplazar.

Titular de los Datos” es la persona con quien están relacionados los Datos Personales.

EEE” significa Espacio Económico Europeo.

GDPR” se refiere a la Reglamentación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas naturales con respecto al procesamiento de datos personales y el libre movimiento de dichos datos, y deroga la Directiva 95/46/EC (Reglamentación de Protección de Datos General).

GoDaddy Red” se refiere a las instalaciones del centro de datos de GoDaddy, los servidores, el equipo de redes y los sistemas host de software (p. ej., los firewall virtuales) que están en control de GoDaddy y se usan para proporcionar los Servicios Cubiertos.

Datos personales” se refiere a cualquier información relacionada con una persona o grupo familiar identificados o identificables como se define según las leyes de Protección de datos.

Procesamiento” se refiere a toda operación o conjunto de operaciones realizadas en los Datos Personales, por medios automáticos o no automáticos, como colección, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, la combinación o asociación, restricción, cancelación o destrucción. Los términos “proceso”, “procesos” y “procesado” se interpretarán según corresponda. Los detalles del procesamiento se mencionan en el Apéndice 1.

Incidente de Seguridad” es (a) una violación de la seguridad de los GoDaddy Estándares de Seguridad que lleva a la destrucción accidental o ilegal, pérdida, alteración, revelación no autorizada de cualquiera de los Datos del Cliente o el acceso a ellos; o (b) todo acceso no autorizado al GoDaddy equipo o las instalaciones donde en cualquiera de los casos el acceso produce la destrucción, pérdida, revelación no autorizada o alteración de los Datos del Cliente.

Estándares de seguridad” se refiere a los estándares de seguridad que se adjuntan a esta Adenda como Apéndice 2.

"Información confidencial" significa (a) número de seguridad social, número de pasaporte, número de permiso de conducir o identificador similar (o cualquier parte del mismo); (b) número de tarjeta de crédito o débito (que no sea el truncado (últimos cuatro dígitos) de una tarjeta de crédito o débito), información financiera, números de cuentas bancarias o contraseñas; (c) información laboral, financiera, genética, biométrica o de salud; (d) la afiliación racial, étnica, política o religiosa, la pertenencia a un sindicato o la información sobre la vida sexual o la orientación sexual; (e) las contraseñas de cuentas, el nombre de soltera de la madre o la fecha de nacimiento; (f) los antecedentes penales; o (g) cualquier otra información o combinación de información que entre dentro de la definición de "categorías especiales de datos" en virtud del GDPR o de cualquier otra ley o reglamento aplicable en materia de privacidad y protección de datos.

Cláusulas contractuales estándar” o “SCC” se refiere a las cláusulas estándar de protección de datos para la transferencia de datos personales de un responsable del tratamiento a un encargado del tratamiento establecido en terceros países que no garantizan un nivel adecuado de protección de datos, tal como se describe en el artículo 46 del RGPD y se aprobó mediante la Decisión 2021/914 de la Comisión Europea, de 4 de junio de 2021. Las Cláusulas Contractuales Tipo del Módulo Dos (Controlador a Procesador) se encuentran en el Apéndice 4.

Subprocesador” se refiere a cualquier Procesador de datos contratado por el Procesador para procesar datos en nombre del Controlador de Datos.

"Cláusulas contractuales estándar del RU” se refiere a las cláusulas estándar de protección de datos para la transferencia de datos personales a procesadores establecidos en países terceros que no garantizan un nivel adecuado de protección de datos, tal como se describe en el artículo 46 del RGPD del RU y se aprobó mediante la Decisión 2010/87 de la Comisión Europea, 2010/87/EU. Las Cláusulas Contractuales Estándar del RU están en el Apéndice 4.                            

2. Procesamiento de datos

2.1 Alcance y funciones. Esta Adenda se aplica cuando los Datos del Cliente se procesan mediante GoDaddy en cuyo caso GoDaddy, actúa como el Procesador de Datos en nombre del Cliente como el Controlador de Datos con respecto a los Datos del Cliente.

2.2 Detalles sobre el procesamiento de datos. El objeto del procesamiento de los Datos del Cliente por parte de GoDaddy es el desempeño de los Servicios Cubiertos conforme a los Términos de Servicio y contratos específicos del producto. GoDaddy solo procesará los Datos del Cliente en nombre de y de acuerdo con las instrucciones documentadas del Cliente y con la siguiente finalidad: (i) el procesamiento de acuerdo con los Términos del Servicio; (ii) el procesamiento iniciado por usuarios finales en el uso que hacen de los Servicios Cubiertos; (iii) el procesamiento para cumplir toda otras instrucciones documentadas y razonables proporcionadas por los Clientes (p. ej. por correo electrónico) donde esas instrucciones son compatibles con los términos del contrato. GoDaddy no hará lo siguiente: (a) no procesará, retendrá, usará, venderá ni divulgará Datos del cliente de acuerdo con los Términos de Servicio, o según lo exija la ley; (b) no venderá dichos Datos del Cliente a ningún tercero; (c) no retendrá, usará ni divulgará dichos Datos del Cliente fuera de la relación comercial directa entre GoDaddy y el Cliente.

Para evitar dudas, las instrucciones del Cliente para el Procesamiento de Datos Personales deben cumplir con todas las leyes de privacidad de datos pertinentes. El Cliente será el único responsable de la exactitud, calidad y legalidad de los Datos Personales y los medios por los cuales el Cliente adquiere los Datos Personales. GoDaddy no estará obligado a cumplir o a atenderse a las instrucciones del Cliente si estas instrucciones infringen leyes sobre Protección de datos. La duración, naturaleza y finalidad del Procesamiento, los tipos de datos personales y las categorías de Titulares de los Datos Procesados conforme a esta Adenda se especifican con más detalle en el Apéndice 1 (“Detalles del Procesamiento”) a esta Adenda.

3. Confidencialidad de los datos del cliente

GoDaddy no revelará los Datos del Cliente a ningún gobierno ni a ningún otro tercero, salvo que lo exija la ley o una orden válida y obligatoria de un organismo encargado del cumplimiento de la ley (por ejemplo una citación o una orden judicial). En caso de que GoDaddy reciba una citación civil válida, y en la medida de lo permitido, GoDaddy se esforzará por entregarle al Cliente una notificación razonable de la demanda por correo electrónico o postal para permitirle al Cliente buscar una orden de protección u otra solución adecuada.

4. Seguridad

4.1 GoDaddy ha implementado y mantendrá las medidas técnicas y organizativas para la red de GoDaddy de acuerdo con lo que se describe en esta sección y más adelante en el Anexo 2 a esta Adenda, Estándares de Seguridad. En particular, GoDaddy ha implementado y mantendrá las siguientes medidas técnicas y organizativas que abordan (i) la seguridad de la red de GoDaddy; (ii) la seguridad física de las instalaciones; (iii) los controles sobre el acceso de los empleados y contratistas a (i) y/o (ii); y (iv) los procesos para probar, analizar y evaluar la eficacia de las medidas técnicas y organizativas implementadas por GoDaddy. En caso de que no podamos cumplir con las obligaciones establecidas en el presente, proporcionaremos un aviso escrito (por correo electrónico o en nuestro sitio web) tan pronto como sea factible en la práctica.

4.2 GoDaddy pone a disponibilidad una cantidad de características y funcionalidades de seguridad que el Cliente puede elegir usar en relación con los Servicios Cubiertos. El cliente tiene la responsabilidad de (a) configurar adecuadamente los Servicios Cubiertos, (b) utilizar los controles disponibles en relación con los Servicios Cubiertos (incluidos los controles de seguridad) para garantizar la constante confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de procesamiento, (c) utilizar los controles disponibles en relación con los Servicios Cubiertos (incluidos los controles de seguridad) para que el cliente pueda restaurar la disponibilidad y acceder oportunamente a los Datos del Cliente ante la eventualidad de un incidente físico o técnico (p. ej., copias de seguridad y archivos de rutina de los Datos del Cliente) y (d) tomar las medidas que el Cliente considere adecuadas para mantener la adecuada seguridad, protección y eliminación de los Datos del Cliente; esto incluye el uso de tecnología de encriptación para proteger a los Datos del Cliente de accesos no autorizados y medidas para controlar los derechos de acceso a los Datos del Cliente.

5. Derechos de los titulares de datos

Considerando la naturaleza de los Servicios cubiertos, GoDaddy ofrece al Cliente determinados controles, tal como se describe en la sección Seguridad de esta Adenda y que el Cliente puede elegir usar para recuperar, corregir, eliminar o restringir el uso y divulgación de los Datos del Cliente tal como se indica en los Servicios Cubiertos. El cliente puede usar estos controles como medidas técnicas y organizativas para que le ayuden con sus obligaciones conforme a las leyes aplicables sobre privacidad incluida sus obligaciones de responder a los pedidos de los Titulares de los Datos. Siempre que sea comercialmente razonable y en la medida que sea legítimamente solicitado o permitido, GoDaddy notificará inmediatamente al Cliente si GoDaddy recibe directamente una solicitud del Titular de los datos para ejercer esos derechos conforme a cualquier ley aplicable sobre privacidad de datos (“Solicitud del titular de los datos”). Además, cuando el uso de los Servicios Cubiertos por parte del Cliente limita su capacidad de resolver una solicitud del Titular de los Datos, GoDaddy podrá, cuando sea legítimamente permitido y adecuado y a pedido específico del cliente, proporcionar asistencia comercialmente razonable para resolver el pedido, con costos a cargo del cliente (si los hubiera).

6. Subprocesamiento

6.1 Subprocesadores autorizados. El Cliente acepta que GoDaddy use subprocesadores para cumplir con sus obligaciones contractuales de acuerdo con sus Términos de Servicio y esta Adenda o para proporcionar determinados servicios en su nombre, por ejemplo, servicios de soporte. Por el presente el cliente acepta que GoDaddyuse subprocesadores de la manera que se indica en esta Sección. Salvo por lo indicado en esta sección o según lo autorizado explícitamente por usted de otra manera, GoDaddy no permitirá ninguna otra actividad de subprocesamiento.

6.2 Obligaciones del subprocesador. Cuando GoDaddy usa cualquier Subprocesador autorizado tal como se indica en la Sección 6.1:

(i) GoDaddy limitará el acceso del subprocesador a los Datos del Cliente solo para lo que sea necesario para mantener los Servicios Cubiertos o para brindar Servicios Cubiertos al Cliente y cualquier usuario final de acuerdo con los Servicios Cubiertos. GoDaddy prohibirá al subprocesador que acceda a los Datos del Cliente con cualquier otra finalidad;

(ii) GoDaddy celebrará un contrato por escrito con el Subprocesador y en la medida en que el Subprocesador esté realizando los mismos servicios de procesamiento de datos que proporciona GoDaddy conforme a esta Adenda, GoDaddy impondrá al Subprocesador las mismas obligaciones contractuales que GoDaddy tiene conforme a esta Adenda; y

(iii) GoDaddy será responsable de cumplir con las obligaciones de esta Adenda y de los actos u omisiones del Subprocesador que hagan que GoDaddy no cumpla con cualquiera de las obligaciones de GoDaddy en virtud de esta Adenda.

6.3 Nuevos subprocesadores.  Periódicamente, contrataremos a nuevos subprocesadores de acuerdo con los términos de esta Adenda.  En ese caso, notificaremos con 30 días de antelación (a través de nuestro sitio web y correo electrónico) antes de que un nuevo subprocesador obtenga los Datos del cliente. Si tu Cliente no aprueba el nuevo subprocesador, el Cliente podrá dar por terminado los Servicios Cubiertos sin ninguna sanción y proporcionando, dentro de los 10 días de haber recibo nuestra notificación, una notificación por escrito de la terminación en la que explicará los motivos por los que no otorga la aprobación. Si los Servicios Cubiertos son parte de un paquete o compra en paquete, entonces la terminación se aplicará a la totalidad.

7. Incidente de seguridad

7.1 Incidente de seguridad. Si GoDaddy tiene conocimiento de un Incidente de seguridad, GoDaddy deberá, sin demora injustificada: (a) notificar el Incidente de seguridad al Cliente y (b) tomar las medidas necesarias para mitigar los efectos y minimizar los daños resultantes del Incidente de Seguridad.

7.2 GoDaddy Asistencia.  Para ayudar al Cliente con relación a cualquier notificación de incumplimiento de los datos personales que se requiere que el Cliente haga conforme a las leyes aplicables sobre privacidad, GoDaddy incluirá en la notificación la información sobre el Incidente de Seguridad en la medida que GoDaddy pueda razonablemente revelar al cliente, considerando la naturaleza de los Servicios Cubiertos, la información disponible para GoDaddy y toda restricción sobre la revelación de la información, por ejemplo, la confidencialidad  

7.3 Incidentes de falla de seguridad. El Cliente acepta que:

(i) Un Incidente de Seguridad fallido no estará sujeto a los términos de esta Adenda. Un Incidente de Seguridad fallido es el que resulta en un acceso no autorizado a los Datos del Cliente o a cualquiera de las redes, equipos o instalaciones para almacenar Datos del Cliente pertenecientes a GoDaddy, y pueden incluir, entre otros, pings y otros ataques de difusión (broadcast) en firewalls o servidores perimetrales, exploraciones de puertos, intentos sin éxito de inicio de sesión, ataques de denegación de servicio, detección de paquetes (u otro acceso no autorizado a los datos de tráfico que no implique un acceso más allá de los encabezados) o incidentes similares; y

(ii) La obligación de GoDaddy de informar o responder a un Incidente de Seguridad en virtud de esta Sección no es ni se considerará como un reconocimiento por parte de GoDaddy de alguna falta o responsabilidad de GoDaddy con respecto al Incidente de Seguridad.

7.4 Notificación. La notificación de los Incidentes de seguridad, si las hubiera, se entregará a uno o más administradores del Cliente por cualquiera de los medios que elija GoDaddy, incluido el correo electrónico. Es responsabilidad exclusiva del Cliente garantizar que los administradores del Cliente mantengan información de contacto exacta en la GoDaddy consola de administración y garanticen la transmisión en todo momento.

8. Derechos del cliente

8.1 Determinación independiente. El Cliente tiene la responsabilidad de revisar la información que GoDaddy puso a disposición y que está relacionada con la seguridad de los datos y sus Estándares de Seguridad y de tomar una decisión independiente en cuanto a si los Servicios Cubiertos cumplen con los requisitos y las obligaciones legales del Cliente además de la obligaciones del Cliente conforme a esta Adenda. La información disponible es para ayudar al Cliente a cumplir con las obligaciones del Cliente conforme a las leyes aplicables sobre privacidad, incluida la RGPD, con relación a las evaluaciones y consulta previa del impacto de la protección de datos.

8.2 Derechos de auditoría del cliente. El Cliente tiene derecho a confirmar el cumplimiento de GoDaddy de este Apéndice en lo que respecta a los Servicios Cubiertos mediante una solicitud específica por escrito, a intervalos razonables, a la dirección establecida en los Términos de servicio. Si GoDaddy se niega a seguir cualquiera de las instrucciones del Cliente con relación a una auditoría o inspección debidamente solicitada y enfocada, el Cliente tiene derecho a finalizar esta Adenda y los Términos del Servicio.

9. Transferencias de datos de clientes

9.1 U.S. Procesamiento basado. Excepto cuando se lo indique específicamente en los Términos de Servicio, los Datos del Cliente se transferirán fuera del Reino Unido o el AEE y se procesarán en Estados Unidos.

9.2 Aplicación de las Cláusulas Contractuales Estándar. Las Cláusulas Contractuales Estándar se aplicarán a los Datos del Cliente que se transfieran fuera del EEE, ya sea directamente o mediante transferencias sucesivas, a cualquier país donde la Comisión Europea considere que no se proporciona el nivel adecuado de protección para los Datos del cliente. Las Cláusulas Contractuales Estándar no se aplicarán a los Datos del Cliente no transferidos, ya sea directamente o mediante transferencias sucesivas, fuera del EEE. No obstante esto, las Cláusulas Contractuales Estándar no se aplicarán cuando los datos se transfieran de acuerdo con los estándares de cumplimiento reconocidos para la transferencia legal de los Datos personales fuera del EEE, cuando sea necesario para los Servicios cubiertos de acuerdo con los Términos de servicio o con su consentimiento.

9.3 Application of UK Standard Contractual Clauses. The UK Standard Contractual Clauses will apply to Customer Data transferred via Covered Services from the United Kingdom, either directly or via onward transfer, to any country not recognized by the competent United Kingdom regulatory authority or governmental body as providing an adequate level of protection for Customer Data. The UK Standard Contractual Clauses will not apply to Customer Data that is not transferred, either directly or via onward transfer, outside the United Kingdom. Notwithstanding the foregoing, the UK Standard Contractual Clauses will not apply where the data is transferred in accordance with a recognized compliance standard for the lawful transfer of Customer Data outside the United Kingdom, such as when necessary for the performance of Covered Services pursuant to the Terms of Service or with your consent.

10. Vigencia de la Adenda

Esta Adenda seguirá vigente hasta la finalización de nuestro procesamiento de acuerdo con los Términos del Servicio (la “Fecha de terminación”).   

11. Devolución o eliminación de Datos del Cliente

Tal como se indica en los Servicios Cubiertos, se podrá proporcionar al Cliente controles que puede usar para retirar o eliminar Datos del Cliente. La eliminación de los Datos del Cliente tendrá lugar treinta (30) días después de la Fecha de finalización, de acuerdo con los términos de los Servicios Cubiertos particulares.

12. Limitaciones de responsabilidad

La responsabilidad de cada parte conforme a esta Adenda, estará sujeta a las exclusiones y limitaciones de la responsabilidad que se indican en los Términos del Servicio. El Cliente acepta que se considerará cualquier sanción reglamentaria incurrida por GoDaddy con relación a los Datos del Cliente y que surja como resultado de o esté relacionada con el incumplimiento por parte del Cliente de sus obligaciones conforme a esta Adenda y cualquier legislación aplicable sobre privacidad y reducirá la responsabilidad de GoDaddy conforme a los Términos del Servicio como si fuera responsabilidad del Cliente según los Términos del Servicio.

13. Totalidad de los Términos de Servicio; Conflicto

Esta Adenda sustituye y reemplaza todas las declaraciones, entendimientos, acuerdos o comunicaciones anteriores o actuales entre el Cliente y GoDaddy, escritas o verbales, con referencia al asunto de esta Adenda, incluida cualquier adenda sobre procesamiento de datos celebrada entre GoDaddy y el Cliente con relación al procesamiento de los datos personales y la libre circulación de estos datos.  Excepto lo modificado por esta Adenda, los Términos del Servicio seguirán teniendo plena vigencia y efecto.  Si hay algún conflicto entre los Términos del Servicio y esta Adenda, prevalecerán los términos de esta Adenda.

Apéndice 1

 DETALLES DEL PROCESAMIENTO

 1. **Naturaleza y propósito del procesamiento. ** GoDaddy procesará los Datos del cliente en la medida en que sea necesario para realizar los Servicios Cubiertos de conformidad con los Términos del Servicio y según las instrucciones posteriores del Cliente durante el uso que haga de los Servicios Cubiertos.

 2. Duración del procesamiento. Sujeto a las Secciones 10 y 11 de esta Adenda, GoDaddy procesará los Datos del cliente durante la fecha de entrada en vigor de los Términos del servicio. Sin perjuicio de lo anterior, GoDaddy podrá conservar los Datos del cliente, o cualquier parte de estos, si así lo exigen las leyes o reglamentos aplicables, incluidas las Leyes de Protección de Datos aplicables, siempre y cuando dichos Datos del cliente sigan estando protegidos de acuerdo con los términos de esta Adenda y las Leyes de Protección de Datos aplicables.

3. Categorías de titulares de los datos. El Cliente puede cargar los Datos Personales mientras hace uso de los Servicios Cubiertos; su alcance está determinado y controlado por el Cliente a su criterio y puede incluir, entre otros, a los Datos Personales relacionados con las siguientes categorías de Titulares de los Datos:

  • Clientes potenciales, clientes, socios comerciales y proveedores del Cliente (que son personas físicas)
  • Empleados o personas de contacto del Cliente, clientes potenciales, clientes, socios comerciales y proveedores
  • Empleados, agentes, asesores, trabajadores independientes del Cliente (que son personas físicas)
  • Usuarios del Cliente autorizados por el Cliente a usar los Servicios Cubiertos

4. Categorías de datos personales. El Cliente puede cargar Datos Personales durante su uso de los Servicios Cubiertos; su tipo y en qué medida lo hace lo determina y controla el Cliente según su criterio, y puede incluir, entre otras, a la siguientes categorías de Datos Personales de los Titulares de los datos: 

  • Nombre
  • Dirección
  • Número telefónico
  • Fecha de nacimiento
  • Dirección de correo electrónico
  • Otros datos coleccionados que podrían identificar directa o indirectamente al titular de los datos.

5. Información confidencial o Categorías especiales de los datos. El Cliente puede cargar Información confidencial en el transcurso de su uso de los Servicios cubiertos, cuyo tipo y alcance determina y controla el Cliente a su entera discreción. El Cliente es responsable de aplicar restricciones o salvaguardias que tengan plenamente en cuenta la naturaleza de los datos y los riesgos implicados antes de transmitir o procesar cualquier Información confidencial a través de los Servicios Cubiertos.

Apéndice 2

Estándares de Seguridad

I.  Medidas técnicas y organizativas  

Nos comprometemos a proteger la información de nuestros clientes.  Considerando las mejores prácticas, los costos de la implementación y la naturaleza, el alcance, las circunstancias y el propósito del procesamiento como así también las distintas posibilidades de ocurrencia y la gravedad del riesgo para los derechos y libertades de las personas naturales, tomamos las siguientes medidas técnicas y organizativas.  En la selección de las medidas se tomó en cuenta la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. Se garantiza la rápida recuperación después de un incidente físico o técnico.

II.  Programa de privacidad de datos  

Nuestro Programa de privacidad de datos se creó para mantener la estructura global del gobierno de datos y garantizar la información durante todo su ciclo de vida. Este programa está a cargo de la oficina del responsable de protección de datos que supervisa la implementación de las prácticas de privacidad y medidas de seguridad. Periódicamente probamos, evaluamos y analizamos la eficacia del Programa de Privacidad de Datos y los Estándares de Seguridad.

1. Confidencialidad. “Confidencialidad quiere decir que los datos personales están protegidos contra la revelación no autorizada”.  

Usamos distintas medidas físicas y lógicas para proteger la confidencialidad de los datos personales de los clientes. Esas medidas incluyen:   

  Seguridad física  

  • Sistemas de control de acceso físico implementados (control de acceso con credencial, monitoreo de eventos de seguridad, etc.) 
  • Sistemas de vigilancia, incluidas alarmas y, si corresponde, monitoreo por CCTV  
  • Políticas de escritorio limpio y controles (bloqueo de computadoras que están desatendidas, gabinetes cerrados con llave, etc.)  
  •  Administración de acceso de visitante 
  • Destrucción de datos en medios físicos y documentos;(trituración, desmagnetización, etc.)

  Control de acceso y Prevención de acceso no autorizado 

  • Restricciones de acceso del usuario; permisos de acceso aplicados y basados en la función provistos/revisados en base al principio de segregación de funciones  
  • Autenticación y métodos de autorización sólidos (autenticación multifactor, autorización basada en certificado, desactivación/desconexión automática, etc.) 
  • Gestión de contraseña centralizada y políticas de contraseñas seguras/complejas (largo mínimo, complejidad de caracteres, vencimiento de la contraseña, etc.)   
  • Acceso controlado a correos electrónicos e Internet 
  • Administración del antivirus  
  • Administración del Sistema de Prevención de Intrusiones

Encriptación   

  • Encriptación de comunicaciones externas e internas por medio de protocolos de criptografía segura  
  • Encriptación de datos de información de identificación personal (IIP)/información de identificación personal sensible (IIPS) almacenados (bases de datos, directorios compartidos, etc.)   
  • Encriptación completa del disco para las PC y las computadoras portátiles de la empresa   
  • Encriptación de los medios de almacenamiento  
  • Las conexiones remotas a las redes de la compañía están encriptadas por medio de VPN  
  • Garantizar el ciclo de vida de las claves de encriptación

 Minimización de datos    

  • Minimización de IIP/IPS en registros de aplicación, depuración y seguridad  
  • Seudonimización de los datos personales para evitar la identificación directa de una persona 
  • Segregación de datos almacenados por función (pruebas, pruebas en simulación, datos activos) 
  • Segregación lógica de datos por derechos de acceso basados en la función 
  • Período definido de retención de datos para datos personales

Prueba de seguridad     

  • Prueba de penetración para redes y plataformas críticas de empresas que brindan servicios de hosting a datos personales 
  • Análisis periódicos de la red y la vulnerabilidad

2. Integridad. “La integridad se refiere a garantizar la exactitud (integridad) de los datos y el correcto funcionamiento de los sistemas. Cuando el término integridad se usa en relación con el término “datos”, significa que los datos están completos y no tienen cambios”.  

Se han implementado los controles adecuados de administración de cambios y registros, además de controles de acceso para poder mantener la integridad de los datos personales, como:    

Gestión de cambio y versiones    

  • Proceso de gestión de cambio y versiones que incluye (análisis del impacto, aprobaciones, pruebas, revisiones de seguridad, pruebas en simulación, monitoreo, etc.)  
  • Provisión de acceso basado en el papel y la función (Segregación de Funciones) sobre entornos de producción

Registro y monitoreo

  • Registro de acceso y cambios en los datos  
  • Auditoría centralizada y registros de seguridad   
  • Monitoreo de la integridad y exactitud de la transferencia de datos (verificación de principio a fin)

3. Disponibilidad. “La disponibilidad de los servicios y de los sistemas de TI, las aplicaciones de TI y las funciones de la red de TI o de la información está garantizada si los usuarios pueden usarlos en todo momento que deseen”.    

Implementamos medidas adecuadas de continuidad y seguridad para mantener la disponibilidad de sus servicios y datos que residen dentro de esos servicios:    

  • Pruebas periódicas de recuperación ante fallos aplicadas a servicios críticos  
  • Monitoreo exhaustivo de desempeño/disponibilidad e informes para sistemas críticos  
  • Programa de respuesta a incidentes  
  • Datos críticos replicados o guardados (replicación en la nube de Copias de seguridad/Discos duros/Base de datos, etc.) 
  • Mantenimiento planificado del software, la infraestructura y la seguridad (actualizaciones del software, parches de seguridad, etc.)   
  • Sistemas redundantes y resilientes (grupos de servidores, bases de datos en espejo, configuraciones de alta disponibilidad, etc.) ubicados fuera del sitio y/o en lugares separados geográficamente    
  • Uso de sistemas de suministro de energía ininterrumpido, sistema redundante contra fallas del hardware y la red  
  • Alarma, sistemas de seguridad incorporados  
  • Medidas de protección física incorporadas para sitios críticos (protección contra sobretensiones, pisos elevados, sistemas de refrigeración, detectores de fuego y/o humo, sistemas contra incendios, etc.) 
  • Protección contra DDOS para mantener la disponibilidad   
  • Prueba de carga y fuerza

4Instrucciones para el procesamiento de datos. “Las Instrucciones para el procesamiento de datos se refieren a garantizar que los datos personales se procesarán únicamente de acuerdo con las instrucciones del controlador de datos y las medidas relacionadas de la compañía”  

Hemos establecido políticas de privacidad internas, acuerdos y realizamos capacitaciones periódicas sobre privacidad para los empleados para garantizar que los datos personales se procesan de acuerdo con las preferencias e instrucciones de los clientes.   

  • Términos de privacidad y confidencialidad dentro de los contratos del empleado 
  • Capacitaciones periódicas para los empleados sobre privacidad y seguridad de datos 
  • Las correspondientes disposiciones contractuales a los contratos con los subcontratistas para mantener los derechos de controles de instrucción 
  • Controles regulares de privacidad para proveedores externos de servicios 
  • Proporcionar a los clientes control total sobre sus preferencias de procesamiento de datos 
  • Auditorías regulares de seguridad 

Apéndice 3 - Subprocesadores de GoDaddy

Nombre de la empresa
Estado de la incorporación
Descripción del servicio
Categorías de datos
Acronis International GmbH Suiza Respaldos del cliente Respaldar instantáneas.
Automattic Inc Estados Unidos de América Componentes y complementos de WooCommerce dentro de Ecommerce WordPress. Perfiles de usuario de WordPress del cliente (incluso nombre y dirección de correo electrónico) y los de cualquier empleado/contratista.
Cisco International Limited, Cisco Solutions GmbH, Cisco Systems Inc Reino Unido, Alemania, Estados Unidos de América Proporcionar y gestionar soluciones de red como parte de nuestra red; incluido el análisis de metadatos. Procesa metadatos de direcciones IP, marcas de tiempo y tráfico de red
cPanel Inc Estados Unidos de América Software de gestión cPanel para productos de Hosting y Servidores. Los datos de los clientes guardados en cPanel.
DENIC eG Alemania Registro de dominios .de Toda la información necesaria de la cuenta para proporcionar el dominio. Información de WHOIS.
Equinix Países Bajos BV Holanda Instalaciones de colocación de centros de datos en los Países Bajos. No se procesa intencionalmente ningún dato personal.
EURid vzw Bélgica Registro de dominios .de Toda la información necesaria de la cuenta para proporcionar el dominio. Información de WHOIS.
Juniper Networks Inc Estados Unidos de América Proporcionar y gestionar soluciones de red como parte de nuestra red; incluido el análisis de metadatos. Direcciones IP, marcas de tiempo, tráfico de red
LivePerson Inc Estados Unidos de América Herramienta de chat "LiveEngage" en nuestro sitio web. Transcripciones del chat, información automatizada como la dirección IP, el sistema operativo y el tipo de dispositivo.
LvivIT Ucrania Proporcionar apoyo a la plataforma operativa. Información de toda la cuenta del cliente
OVH Grouppe SAS Francia Instalaciones de colocación de centros de datos en Alemania, reventa de productos para servidores. Datos alojados por el cliente, incluidos, entre otros, los sitios web, las aplicaciones y los datos de los clientes.  Esto también puede incluir el tráfico de red.
Plesk International GmbH Alemania Panel de control Plesk para Servidores VPS y Dedicados y Creador de sitios web Plus. Cualquier dato del cliente que se encuentre en el panel de control Plesk, así como cualquier dato del cliente que se encuentre en un sitio web alojado.
Datadock SARL Francia Instalaciones de colocación de centros de datos en los Países Bajos. Hardware y servicios de red. No se procesa intencionalmente ningún dato personal.
GoDaddy Media Temple Inc d/b/a Sucuri Estados Unidos de América
Producto SAAS: Proteger los sitios web del cliente contra el malware
Toda la información de la cuenta necesaria para la prestación del sitio web, así como los datos de los clientes almacenados en el sitio web alojado.
GoDaddy Media Temple Inc d/b/a Sucuri Estados Unidos de América Interno: Cortafuegos de aplicaciones web en los sitios web de nuestras marcas y en los paneles de control de los clientes para proteger la TI de la marca y los datos de los clientes. Inspección del tráfico del sitio web. Metadatos de direcciones IP, marcas de tiempo y tráfico de red.
Starfield Technologies LLC Estados Unidos de América Certificados SSL. Toda la información de la cuenta del cliente necesaria para un certificado SSL.
DomainsByProxy LLC Estados Unidos de América Servicios de privacidad de dominio. Registro de dominio y detalles del contacto.
GoDaddy Sellbrite, Inc. Estados Unidos de América Herramienta de venta al por menor en línea Datos de transacciones y productos de la tienda en línea.
GoDaddy Payments LLC Estados Unidos de América Herramientas del procesamiento de pagos.  

Apéndice 4

Consulta la Sección 9.2 de la Adenda para obtener información sobre la aplicación de estas CCE

Cláusulas Contractuales Estándar (controlador a procesadores)

SECCIÓN I

Cláusula 1

Propósito y alcance

  1. El objetivo de estas cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) para la transferencia de datos a un tercer país.
  2. Las partes:
    1. la(s) persona(s) física(s) o jurídica(s), la(s) autoridad(es) pública(s), la(s) agencia(s) u otro(s) organismo(s) (en adelante, "entidad(es)") que transfiere(n) los datos personales, tal como se enumeran en el anexo I.A (en adelante, cada una de ellas "exportadora(s) de datos"), y
    2. la(s) entidad(es) de un tercer país que recibe(n) los datos personales del exportador de datos, directa o indirectamente, a través de otra entidad que también es parte de estas cláusulas, tal como se enumeran en el anexo I.A (en adelante, cada una de ellas "importadora(s) de datos") han acordado estas cláusulas contractuales tipo (en adelante: "Cláusulas").
  3. Las presentes cláusulas se aplican a la transferencia de datos personales según lo especificado en el Anexo I.B.
  4. El Apéndice de estas Cláusulas que contiene los Anexos a los que se hace referencia forma parte integrante de las mismas.

Cláusula 2

Efecto e invariabilidad de las Cláusulas

  1. Las presentes Cláusulas establecen las salvaguardias adecuadas, incluidos los derechos exigibles de los titulares de los datos y los recursos legales efectivos, de conformidad con el artículo 46(1), y el artículo 46(2)(c), del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos de los responsables a los encargados del tratamiento y/o de los encargados del tratamiento a los encargados del tratamiento, las cláusulas contractuales tipo de conformidad con el artículo 28(7), del Reglamento (UE) 2016/679, siempre y cuando no se modifiquen, salvo para seleccionar el módulo o los módulos apropiados o para agregar o actualizar información en el apéndice. Esto no impide a las Partes incluir las cláusulas contractuales estándar establecidas en estas Cláusulas en un contrato más amplio y/o agregar otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas o perjudiquen los derechos o libertades fundamentales de los titulares de los datos.
  2. Estas Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.

Cláusula 3

Beneficiarios de terceros

  1. Los interesados podrán invocar y hacer cumplir estas cláusulas, como terceros beneficiarios, frente al exportador y/o importador de datos, con las siguientes excepciones:
    1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
    2. Cláusula 8.1(b), 8.9(a), (c), (d) y (e);
    3. Cláusula 9(a), (c), (d) y (e);
    4. Cláusula 12(a), (d) y (f);
    5. Cláusula 13;
    6. Cláusula 15.1(c), (d) y (e);
    7. Cláusula 16(e); (viii) Cláusula 18(a) y (b).
  2. El literal (a) se entiende sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.

Cláusula 4

Interpretación

  1. Cuando en las presentes cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.
  2. Estas Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
  3. Estas Cláusulas no se interpretarán de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de los acuerdos relacionados entre las Partes, existentes en el momento de acordar estas Cláusulas o celebrarlas con posterioridad, prevalecerán estas Cláusulas.

Cláusula 6

Descripción de las transferencias

Los detalles de la(s) transferencia(s), y en particular las categorías de datos personales que se transfieren y los fines para los que se transfieren, se especifican en el Anexo I.B.

Cláusula 7 - INTENCIONALIDAD OMITIDA

SECCIÓN II - OBLIGACIONES DE LAS PARTES

Cláusula 8

Medidas de seguridad para la protección de los datos

El exportador de datos garantiza que realizó los esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas apropiadas, de satisfacer sus obligaciones en virtud de las presentes cláusulas.

8.1 Instrucciones

  1. El importador de datos solo tratará los datos personales siguiendo instrucciones documentadas del exportador de datos. El exportador de datos puede dar estas instrucciones durante toda la duración del contrato.
  2. El importador de datos informará inmediatamente al exportador de datos si no puede seguir esas instrucciones.

8.2 Limitación del propósito

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el Anexo I.B, salvo que reciba instrucciones adicionales del exportador de datos.

8.3 Transparencia

Según solicitud, el exportador de datos pondrá gratuitamente a su disposición una copia de las presentes cláusulas, incluido el apéndice completado por las Partes. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos podrá suprimir parte del texto del Apéndice de las presentes Cláusulas antes de compartir una copia, pero proporcionará un resumen significativo cuando el titular de los datos no pueda comprender su contenido o ejercer sus derechos de otro modo. Según solicitud, las Partes le comunicarán a los titulares de los datos, los motivos de las supresiones, en la medida de lo posible sin revelar la información suprimida. La presente Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos en virtud de los artículos 13 y 14 del Reglamento (UE) 2016/679.

8.4 Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o cayeron en obsolescencia, deberá informar al exportador de datos sin demora. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

8.5 Duración del tratamiento y supresión o devolución de los datos

El tratamiento por parte del importador de datos solo tendrá lugar durante el tiempo especificado en el Anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento, el importador de datos deberá, a elección del exportador de datos, eliminar todos los datos personales tratados por cuenta del exportador de datos y certificar al exportador de datos que así lo hizo, o devolver al exportador de datos todos los datos personales tratados por cuenta suya y eliminar las copias existentes. Hasta que los datos se eliminen o devuelvan, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o la eliminación de los datos personales, el importador de datos garantiza que seguirá asegurando el cumplimiento de estas cláusulas y que solo los tratará en la medida y durante el tiempo que exija dicha legislación local. Esto se entiende sin perjuicio de la Cláusula 14, en particular el requisito de que el importador de datos, en virtud de la Cláusula 14(e), notifique al exportador de datos durante toda la duración del contrato si tiene motivos para creer que está o pasó a estar sujeto a leyes o prácticas no conformes con los requisitos de la Cláusula 14(a).

8.6 Seguridad del procesamiento

  1. El importador de datos y, durante la transmisión, también el exportador de datos, aplicarán las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a dichos datos (en lo sucesivo, "violación de los datos personales"). Al evaluar el nivel adecuado de seguridad, las Partes tendrán debidamente en cuenta la última generación, los costes de aplicación, la naturaleza, el alcance, el contexto y la finalidad del tratamiento, así como los riesgos que entraña el tratamiento para los titulares de los datos. Las Partes considerarán, en particular, la posibilidad de recurrir al cifrado o a la seudonimización, incluso durante la transmisión, cuando la finalidad del tratamiento pueda cumplirse de ese modo. En caso de seudonimización, la información adicional para atribuir los datos personales a un sujeto de datos específico permanecerá, siempre que sea posible, bajo el control exclusivo del exportador de datos. En cumplimiento de sus obligaciones en virtud del presente apartado, el importador de datos deberá aplicar, como mínimo, las medidas técnicas y organizativas especificadas en el Anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas siguen proporcionando un nivel de seguridad adecuado.
  2. El importador de datos solo concederá acceso a los datos personales a los miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a la confidencialidad o estén sometidas a una obligación legal adecuada de confidencialidad.
  3. En caso de que se produzca una violación de los datos personales en relación con los datos personales tratados por el importador de datos en virtud de las presentes cláusulas, el importador de datos adoptará las medidas adecuadas para hacer frente a la violación, incluidas las medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora indebida después de haber tenido conocimiento de la infracción. Dicha notificación contendrá los datos de un punto de contacto en el que pueda obtenerse más información, una descripción de la naturaleza de la violación (incluidas, cuando sea posible, las categorías y el número aproximado de titulares de los datos y registros de datos personales afectados), sus probables consecuencias y las medidas adoptadas o propuestas para hacer frente a la violación, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, posteriormente, se proporcionará más información, a medida que esté disponible, sin demoras indebidas.
  4. El importador de datos cooperará con el exportador de datos y lo asistirá para que pueda cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad supervisora competente y a los interesados afectados, teniendo en cuenta la naturaleza del tratamiento y la información de que dispone el importador de datos.

8.7 Información confidencial

Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la pertenencia a un sindicato, datos genéticos o datos biométricos destinados a identificar de manera inequívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona, o datos relativos a condenas e infracciones penales (en lo sucesivo, "información confidencial"), el importador de datos aplicará las restricciones específicas y/o las garantías adicionales descritas en el anexo I.B.

8.8 Transferencias posteriores

El importador de datos solo revelará los datos personales a un tercero por instrucciones documentadas del exportador de datos. Además, los datos solo podrán ser comunicados a un tercero situado fuera de la Unión Europea (en el mismo país que el importador de los datos o en otro tercer país, en adelante "transferencia posterior") si el tercero está o acepta estar obligado por estas Cláusulas, en el marco del Módulo correspondiente, o si:

  1. la transferencia posterior es a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE) 2016/679 que cubre la transferencia ulterior;
  2. el tercero garantiza de otro modo las garantías adecuadas de conformidad con los artículos 46 o 47 del Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;
  3. la transferencia posterior es necesaria para el establecimiento, el ejercicio o la defensa de reclamaciones legales en el contexto de procedimientos administrativos, reglamentarios o judiciales específicos; o (iv) la transferencia posterior es necesaria para proteger los intereses vitales del interesado o de otra persona física.
  4. Toda transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en estas cláusulas, en particular la limitación de la finalidad.

8.9 Documentación y cumplimiento

  1. El importador de datos atenderá rápida y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento en virtud de las presentes cláusulas.
  2. Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre las actividades de tratamiento realizadas por cuenta del exportador de datos.
  3. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas cláusulas y, a solicitud del exportador de datos, permitirá y contribuirá a las auditorías de las actividades de tratamiento cubiertas por estas cláusulas, a intervalos razonables o si hay indicios de incumplimiento. A la hora de decidir una revisión o auditoría, el exportador de datos podrá tener en cuenta las certificaciones pertinentes que posea el importador de datos.
  4. El exportador de datos puede optar por realizar la auditoría por sí mismo o encargarla a un auditor independiente. Las auditorías podrán incluir inspecciones en los locales o instalaciones físicas del importador de datos y, en su caso, se llevarán a cabo con una antelación razonable.
  5. Las Partes pondrán a disposición de la autoridad supervisora competente, previa solicitud, la información mencionada en los literales b) y c), incluidos los resultados de cualquier auditoría.

Cláusula 9

Uso de subprocesadores

  1. El importador de datos tiene la autorización general del exportador de datos para la contratación de subprocesadores de una lista acordada. El importador de datos informará específicamente al exportador de datos por escrito de cualquier cambio previsto en dicha lista mediante la adición o sustitución de subprocesadores con al menos quince (15) días de antelación, y así al exportador de datos tiempo suficiente para poder oponerse a dichos cambios antes de la contratación del subprocesador o subprocesadores. El importador de datos facilitará al exportador de datos la información necesaria para que este pueda ejercer su derecho de objetar.
  2. Cuando el importador de datos contrate a un subprocesador para llevar a cabo actividades específicas de tratamiento (en nombre del exportador de datos), lo hará mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos en virtud de estas cláusulas, incluso en lo que respecta a los derechos de terceros beneficiarios para los titulares de los datos. Las Partes acuerdan que, con el cumplimiento de esta cláusula, el importador de datos cumple con sus obligaciones en virtud de la cláusula 8.8. El importador de datos se asegurará de que el subprocesador cumpla con las obligaciones a las que está sujeto el importador de datos en virtud de estas cláusulas.
  3. El importador de datos proporcionará, a petición del exportador de datos, una copia de dicho acuerdo del subprocesador y de cualquier modificación posterior al exportador de datos. En la medida en que sea necesario para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el importador de datos puede redactar el texto del acuerdo antes de compartir una copia.
  4. El importador de datos seguirá siendo plenamente responsable ante el exportador de datos del cumplimiento de las obligaciones del subprocesador en virtud de su contrato con el importador de datos. El importador de datos notificará al exportador de datos cualquier incumplimiento por parte del subprocesador del tratamiento de sus obligaciones en virtud de dicho contrato.
  5. El importador de datos acordará con el subprocesador del tratamiento una cláusula de tercero beneficiario en virtud de la cual, en caso de que el importador de datos haya desaparecido de hecho, haya dejado de existir jurídicamente o se haya declarado insolvente; el exportador de datos tendrá derecho a rescindir el contrato de subprocesador del tratamiento y a ordenar al subprocesador que borre o devuelva los datos personales.

Cláusula 10

Derechos del titular de los datos

  1. El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí mismo a menos que haya sido autorizado a hacerlo por el exportador de datos.
  2. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas adecuadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el alcance y la extensión de la asistencia requerida.
  3. En cumplimiento de sus obligaciones en virtud de los literales (a) y (b), el importador de datos deberá cumplir las instrucciones del exportador de datos.

Cláusula 11

Compensación

  1. El importador de datos informará a los titulares de datos, en un formato transparente y fácilmente accesible, a través de una notificación individual o en su sitio web, de un punto de contacto autorizado para gestionar las reclamaciones. Deberá atender inmediatamente los reclamos que reciba de un titular de datos.
  2. En caso de litigio entre un titular de datos y una de las Partes en lo que respecta al cumplimiento de las presentes cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa en el momento oportuno. Las Partes se mantendrán mutuamente informadas sobre dichos litigios y, en su caso, cooperarán para resolverlos.
  3. Cuando el titular de los datos invoque un derecho de tercero beneficiario según la cláusula 3, el importador de datos aceptará la decisión del titular de datos de:
    1. presentar una reclamación ante la autoridad supervisora del Estado miembro de su residencia habitual o de su lugar de trabajo, o ante la autoridad supervisora competente en virtud de la cláusula 13;
    2. remitir el litigio a los tribunales competentes en el sentido de la cláusula 18.
  4. Las Partes aceptan que el titular de datos pueda estar representado por un organismo, organización o asociación sin fines de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
  5. El importador de datos se atendrá a una decisión vinculante en virtud del Derecho aplicable de la UE o de los Estados miembros.
  6. El importador de datos acepta que la elección realizada por el titular de datos no perjudicará sus derechos sustantivos y procesales para interponer recursos de conformidad con la legislación aplicable.

Cláusula 12

Responsabilidad

  1. Cada una de las Partes será responsable ante la otra de los daños y perjuicios que cause a la otra por el incumplimiento de las presentes Cláusulas.
  2. El importador de datos será responsable ante el titular de los datos, y este tendrá derecho a recibir una indemnización, por cualquier daño material o no material que el importador de datos o su subprocesador le cause al titular de los datos por la violación de los derechos de terceros beneficiarios en virtud de las presentes cláusulas.
  3. No obstante lo dispuesto en el literal b), el exportador de datos será responsable ante el titular de los datos, y este tendrá derecho a ser indemnizado, por los daños materiales o no materiales que el exportador de datos o el importador de datos (o su subprocesador) causen al titular de los datos por la infracción de los derechos de terceros beneficiarios previstos en las presentes cláusulas. Esto se entiende sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos es un procesador que actúa en nombre de un controlador, de la responsabilidad del controlador en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según corresponda.
  4. Las Partes acuerdan que si se considera responsable al exportador de datos en virtud del apartado (c) por los daños causados por el importador de datos (o su subprocesador), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.
  5. Cuando más de una Parte sea responsable de cualquier daño causado al titular de los datos como consecuencia del incumplimiento de las presentes Cláusulas, todas las Partes responsables serán solidariamente responsables y el titular de datos tendrá derecho a interponer una acción judicial contra cualquiera de estas Partes.
  6. Las Partes acuerdan que si se considera responsable a una de ellas en virtud del apartado (e), tendrá derecho a reclamar a la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su responsabilidad por el daño.
  7. El importador de datos no puede invocar la conducta de un subprocesador para evitar su propia responsabilidad.

Cláusula 13

Supervisión

  1. Actuará como autoridad de control competente la que tenga la responsabilidad de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el anexo I.C.
  2. El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes cláusulas. En particular, el importador de datos acepta responder a las consultas, a someterse a auditorías y a cumplir las medidas adoptadas por la autoridad supervisora, incluidas las medidas correctoras y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III – LEYES Y OBLIGACIONES LOCALES EN CASO DE ACCESO DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Leyes y prácticas locales que afectan el cumplimiento de las cláusulas

  1. Las Partes garantizan que no tienen motivos para creer que la legislación y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los requisitos de divulgación de los datos personales o las medidas que autorizan el acceso por parte de las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes cláusulas. Esto se basa en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23.1 del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.
  2. Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
    1. las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias posteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;
    2. las leyes y prácticas del tercer país de destino -incluidas las que exigen la divulgación de los datos a las autoridades públicas o que autorizan el acceso de dichas autoridades- pertinentes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables;
    3. todas las salvaguardias contractuales, técnicas u organizativas pertinentes establecidas para complementar las salvaguardias previstas en estas cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.
  3. El importador de datos garantiza que, al llevar a cabo la evaluación prevista en el literal b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir cooperando con el exportador de datos para garantizar el cumplimiento de estas cláusulas.
  4. Las Partes acuerdan documentar la evaluación prevista en el literal b) y ponerla a disposición de la autoridad supervisora competente que lo solicite.
  5. El importador de datos se compromete a notificar sin demora al exportador de datos si, después de haber aceptado las presentes cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos de el literal a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dichas leyes en la práctica que no se ajusta a los requisitos del literal a).
  6. Tras una notificación con arreglo al literal e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las garantías adecuadas para dicha transferencia, o si la autoridad supervisora competente se lo ordena. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales en virtud de las presentes cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión solo con respecto a la Parte correspondiente, salvo que las Partes hayan acordado otra cosa. Cuando el contrato se resuelva en virtud de esta cláusula, se aplicarán las letras d) y e) de la cláusula 16.

Cláusula 15

Obligaciones del importador de datos en caso de acceso de las autoridades públicas

15.1 Notificación

  1. El importador de datos acepta notificar sin demora al exportador de datos y, cuando sea posible, al interesado (si es necesario con la ayuda del exportador de datos) si:
    1. recibe una solicitud vinculante a nivel jurídico de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de los datos personales transferidos en virtud de las presentes Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o
    2. tiene conocimiento de algún acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes Cláusulas, de conformidad con la legislación del país de destino; dicha notificación deberá incluir toda la información que el importador tenga a su disposición.
  2. Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o titulares de datos, el importador de datos se compromete a hacer todo lo posible para obtener una exención de la prohibición, con el fin de comunicar toda la información posible, tan pronto como sea posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a solicitud del exportador de datos.
  3. Cuando la legislación del país de destino lo permita, el importador de datos acepta proporcionar al exportador de datos, a intervalos regulares durante la duración del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, si las solicitudes se impugnaron y el resultado de dichas impugnaciones, etc.).
  4. El importador de datos acepta conservar la información de conformidad con las literales a) a c) mientras dure el contrato y a ponerla a disposición de la autoridad supervisora competente cuando esta lo solicite.
  5. Los apartados (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, en virtud de la Cláusula 14 (e) y de la Cláusula 16, de informar rápidamente al exportador de datos cuando no pueda cumplir estas cláusulas.

15.2 Revisión de la legalidad y minimización de datos

  1. El importador de datos acepta revisar la legalidad de la solicitud de divulgación, en particular si se mantiene dentro de las facultades otorgadas a la autoridad pública solicitante, y a impugnar la solicitud si, tras una cuidadosa evaluación, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilegal en virtud de la legislación del país de destino, de las obligaciones aplicables en virtud del Derecho internacional y de los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, ejercer las posibilidades de apelación. Al impugnar una solicitud, el importador de datos solicitará medidas cautelares con el fin de suspender los efectos de la solicitud hasta que la autoridad judicial competente se pronuncie sobre sus méritos legales. No revelará los datos personales solicitados hasta que se le exija en virtud de las normas de procedimiento aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones del importador de datos en virtud de la Cláusula 14(e).
  2. El importador de datos acepta documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación y, en la medida en que lo permita la legislación del país de destino, a poner la documentación a disposición del exportador de datos. Asimismo, lo pondrá a disposición de la autoridad supervisora competente cuando esta lo solicite.
  3. El importador de datos acepta proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación, con base en una interpretación razonable de la solicitud.

SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las cláusulas y rescisión

  1. El importador de datos informará sin demora al exportador de datos en caso de que no pueda cumplir las presentes cláusulas, sea cual sea el motivo.
  2. En caso de que el importador de datos incumpla estas cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se resuelva el contrato. Esto es sin perjuicio de la cláusula 14(f).
  3. El exportador de datos tendrá derecho a rescindir el contrato, en lo que respecta al tratamiento de datos personales en virtud de las presentes cláusulas, cuando:
    1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado b) y no se restablezca el cumplimiento de las presentes cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión;
    2. el importador de datos incumple de forma sustancial o persistente las presentes cláusulas; o
    3. el importador de datos no cumple con una decisión vinculante de un tribunal competente o de una autoridad supervisora en relación con sus obligaciones en virtud de estas cláusulas. En estos casos, informará a la autoridad supervisora competente de dicho incumplimiento. Cuando el contrato involucra a más de dos Partes, el exportador de datos podrá ejercer este derecho de rescisión únicamente con respecto a la Parte correspondiente, salvo que las Partes hayan acordado otra cosa.
  4. Los datos personales que se hayan transferido antes de la terminación del contrato de conformidad con el literal c) se devolverán inmediatamente al exportador de datos, a elección de este, o se eliminarán en su totalidad. Lo mismo aplicará a cualquier copia de los datos. El importador de datos certificará la supresión de los datos al exportador de datos. Hasta que los datos se eliminen o devuelvan, el importador de datos seguirá garantizando el cumplimiento de estas cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o la supresión de los datos personales transferidos, el importador de datos garantiza que seguirá asegurando el cumplimiento de estas cláusulas y que solo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.
  5. Cualquiera de las Partes podrá revocar su acuerdo de obligarse por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a la que se aplican estas Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.

Cláusula 17

Legislación aplicable

Las presentes cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre y cuando dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la ley de la República Federal de Alemania.

Cláusula 18

Elección del foro y la jurisdicción

  1. Cualquier litigio derivado de las presentes cláusulas será resuelto por los tribunales de un Estado miembro de la UE.
  2. Las Partes acuerdan que serán los tribunales de la República Federal de Alemania.
  3. El interesado también puede emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
  4. Las Partes aceptan someterse a la jurisdicción de dichos tribunales.

Anexo I de las Cláusulas Contractuales Estándar

A. LISTA DE LAS PARTES
Exportador(es) de datos: El exportador de datos es la entidad identificada como “Cliente” en la Adenda
Firma y fecha: A partir de la fecha de aceptación electrónica por parte del exportador de datos de los Términos de servicio del importador de datos, se considera que el exportador de datos firmó estas cláusulas contractuales estándar.
Rol: Controlador

Importador(es) de datos: GoDaddy.com, LLC
Detalles de contacto: Oficina del Delegado de protección de datos – privacy@godaddy.com
Firma y fecha: A partir de la fecha de aceptación electrónica por parte del importador de datos de los Términos de servicio del importador de datos, se considera que el importador de datos firmó estas cláusulas contractuales estándar.
Rol: Procesador

B. DESCRIPCIÓN DE LA TRANSFERENCIA Las categorías de los titulares cuyos datos cuyos datos personales se transfieren se describen en el Apéndice 1 de la Adenda.

Las categorías de datos personales transferidos se describen en el Apéndice 1 de la Adenda.

La información confidencial transferida se describe en el Apéndice 1 de la Adenda.

La frecuencia de la transferencia es continua mientras duren las condiciones del servicio.

La naturaleza del procesamiento se describe en la sección 2.2 y Apéndice 1 de la Adenda.

El(los) propósitos de la transferencia de datos se describen en la sección 2.2 y el Apéndice1 de la Adenda.

El periodo de conservación de los datos personales se describe en el Apéndice 1 de la Adenda.

Para las transferencias a los (sub)procesadores, el objeto, la naturaleza y la duración del tratamiento se establecen en el Anexo III de las Cláusulas Contractuales Estándar.

C. AUTORIDAD SUPERVISORA COMPETENTE El Comisionado Estatal de Protección de Datos y Libertad de Información de Renania del Norte-Westfalia ("LDI NRW") es la autoridad supervisora competente.

Anexo II de las Cláusulas Contractuales Estándar

Las medidas de seguridad técnicas y organizativas aplicadas por el importador de datos son las que figuran en el Anexo 2 de la Adenda.

Anexo II de las Cláusulas Contractuales Estándar

La lista de los subprocesadores se encuentra en el Apéndice 3 de la Adenda.


Las versiones traducidas de los contratos y las políticas legales se proporcionan únicamente a modo de la comodidad de facilitar la lectura y el entendimiento de las versiones en inglés. El objetivo de proporcionar las traducciones de los contratos y las políticas legales no es crear un contrato jurídicamente vinculante y no ser un substituto para la validez legal de las versiones en inglés. En caso de que exista alguna disputa o conflicto, las versiones en inglés de los contratos y las políticas legales en cualquier caso rigen nuestra relación y prevalecerán sobre los términos en cualquier otro lenguaje.