GoDaddy - ADENDA SOBRE EL PROCESAMIENTO DE DATOS
Fecha de la última revisión: 13/09/2024
La presente Adenda de procesamiento de datos (la “Adenda”) se celebra entre usted (“Cliente”) y la entidad GoDaddy que es una parte de los Términos universales del servicio, y cualquier otro acuerdo entre usted y GoDaddy (conjuntamente, el “Acuerdo”). En el presente documento se hace referencia a GoDaddy y al Cliente, individualmente, como una “Parte”, y colectivamente como las “Partes”. El presente APD entrará en vigor en la fecha de entrada en vigor del Acuerdo (“Fecha de entrada en vigor”) y regirá todo el tratamiento de los Datos Personales del Cliente en virtud del Acuerdo.
1. Definiciones. Salvo que se definan de otro modo en la legislación aplicable en materia de protección de datos (tal como se define más adelante), los términos en mayúsculas que se detallan en esta sección tienen los siguientes significados:
1.1 “Afiliado” significa cualquier entidad que controle o esté bajo control común con una Parte. “Control” es la propiedad o el control directo o indirecto del cincuenta por ciento (50 %) o más de las participaciones con derecho a voto de una entidad.
2. Ámbito del tratamiento de datos y relación de las Partes
1.2. “Controlador” es la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de los Datos Personales del Cliente en virtud del Acuerdo.
1.3 “Datos Personales del Cliente” significa cualquier dato personal (según se define a continuación) procesado por GoDaddy en nombre del Cliente en relación con el uso de los Servicios por parte del Cliente. Los Datos Personales del Cliente no incluyen los datos de GoDaddy.
1.4 “Ley de Protección de Datos” significa cualquier ley o reglamento aplicable al tratamiento de los Datos Personales del Cliente en virtud del Acuerdo.
1.5 “Sujeto de datos” significa una persona física identificada o identificable a la que se refieren Datos Personales específicos.
1.6 Los “Datos no identificados” son datos que no pueden razonablemente identificar, relacionarse, describir, ser capaces de asociarse o vincularse, directa o indirectamente, a un Sujeto de datos específico.
1.7 Por “Datos de GoDaddy” se entenderá (a) toda la información relativa a la actividad comercial de GoDaddy y a la prestación de los Servicios, incluidos, entre otros, los Datos Personales relativos al Cliente y a sus empleados o representantes, (b) otros datos relativos o relacionados con la cuenta del Cliente, el historial de transacciones, el uso de los Servicios y la verificación de identidad, y (c) con sujeción a las restricciones impuestas en virtud de las Leyes de Protección de Datos aplicables, los Datos no identificados.
1.8 Por “Datos Personales” se entiende la información relativa a una persona física identificada o identificable, incluida cualquier información definida como Datos Personales, información personal o información de identificación personal (“IIP”) en cualquier Ley de Protección de Datos aplicable. Los Datos Personales no incluyen Datos no identificados.
1.10 “Procesador” es una persona física o jurídica, autoridad pública, agencia u organismo que procesa Datos Personales del Cliente en nombre de un controlador en virtud del Acuerdo.
1.9 “Procesamiento” significa cualquier operación realizada sobre los Datos Personales del Cliente, como la recolección, el uso, el almacenamiento, la divulgación, el análisis, la eliminación o modificación, ya sea por medios manuales o automatizados.
1.11 “Datos personales sensibles“: significa (a) número de la seguridad social, número de pasaporte, número del permiso de conducir o identificador similar; (b) información sobre tarjetas de crédito o débito, información financiera, números de cuentas bancarias o contraseñas de cuentas; (c) información laboral, financiera, genética, biométrica o sanitaria; (d) afiliación racial, étnica, política o religiosa, pertenencia a sindicatos o información sobre la vida u orientación sexual; (e) contraseñas de cuentas, nombre de soltera de la madre, fecha de nacimiento y otra información similar utilizada para autenticar la identidad de un usuario; (f) antecedentes penales; (g) datos biométricos utilizados para identificar a una persona específica (p. ej., huellas dactilares); o (h) cualquier otra información o combinación de información que entre dentro de las definiciones de “categorías especiales de datos” según cualquier Ley de protección de datos aplicable.
1.12 Por “Servicios” se entenderán los productos o servicios que GoDaddy haya acordado prestar en virtud del Acuerdo y que impliquen el tratamiento de Datos Personales del Cliente.
1.13 Por “Subprocesador” se entenderá cualquier persona física o jurídica, autoridad pública, agencia u organismo con el que GoDaddy contrate el procesamiento de los Datos Personales del Cliente.
1.14 Por “Transferencia” se entiende (a) la transferencia de Datos Personales del Cliente del Controlador al Procesador, ya sea mediante transferencia física o mediante la concesión de acceso a Datos Personales del Cliente conservados o controlados de otro modo por el Controlador o (b) una transferencia ulterior de Datos Personales del Cliente de un Procesador a un Subprocesador (y cualquier transferencia ulterior posterior por parte de un Subprocesador a otro Subprocesador).
2.1 El Cliente como Controlador o Procesador
2.1.1 Cuando el Cliente sea un Controlador, el Cliente (a) será el único responsable de determinar los fines y los medios del tratamiento de los Datos Personales del Cliente, (b) tendrá toda la autoridad, los motivos, los derechos y los permisos necesarios para proporcionar los Datos Personales del Cliente a GoDaddy, y (c) cumplirá con sus obligaciones como Controlador en virtud de las Leyes de Protección de Datos aplicables.
2.1.2 Cuando el Cliente sea un Procesador, el Cliente (a) será el único responsable del cumplimiento de los acuerdos con los Controladores en cuyo nombre el Cliente esté tratando los Datos Personales del Cliente; (b) contará con todos los permisos necesarios del Responsable del tratamiento para facilitar los Datos Personales del Cliente a GoDaddy, y (c) cumplirá con sus obligaciones como Encargado del tratamiento en virtud de la Legislación aplicable en materia de tratamiento de datos.
2.1.2 Cuando el Cliente sea un Procesador, el Cliente (a) será el único responsable del cumplimiento de los acuerdos con los Controladores en cuyo nombre el Cliente esté tratando los Datos Personales del Cliente; (b) contará con todos los permisos necesarios del Responsable del tratamiento para facilitar los Datos Personales del Cliente a GoDaddy, y (c) cumplirá con sus obligaciones como Encargado del tratamiento en virtud de la Legislación aplicable en materia de tratamiento de datos.
2.2 GoDaddy como Procesador o Subprocesador.
2.2.1 GoDaddy tomará todas las medidas razonablemente necesarias para que el Cliente pueda cumplir con sus obligaciones como Controlador o Procesador en virtud de las Leyes de Protección de Datos coherentes con el carácter, la naturaleza, el alcance y la finalidad de los Servicios prestados por GoDaddy. Para evitar cualquier duda, GoDaddy no está obligado a adoptar ninguna medida para alterar o hacer que los Servicios de GoDaddy se ajusten al uso específico del Cliente. El único recurso del Cliente en caso de que se determine que los Servicios no son conformes para el uso específico del Cliente es la rescisión de cualquier parte del Acuerdo que esté relacionada con el tratamiento de los Datos Personales del Cliente.
2.2.2 GoDaddy tratará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas para los fines limitados y específicos descritos en el Acuerdo, en este APD, o según lo exija la ley.
2.2.3 GoDaddy no venderá, conservará, utilizará ni divulgará los Datos Personales del Cliente para un fin comercial distinto de la prestación de los Servicios.
2.2.4 GoDaddy no tratará los Datos Personales del Cliente fuera de la relación comercial directa de las partes descrita en el Acuerdo y en este APD.
2.2.5 GoDaddy no combinará los Datos Personales del Cliente con ningún otro dato que GoDaddy recopile (directamente o a través de terceros) que no esté expresamente permitido en virtud del Acuerdo.
2.2.6 GoDaddy detendrá todo procesamiento y notificará al Cliente en un plazo de tres (3) días hábiles si GoDaddy: (a) cree que una instrucción del Cliente infringe cualquier Ley de tratamiento de datos aplicable o (b) determina que GoDaddy no puede cumplir con cualquier Ley de procesamiento de datos aplicable o con sus obligaciones en virtud de este APD.
2.2.2 GoDaddy tratará los Datos Personales del Cliente únicamente siguiendo instrucciones documentadas para los fines limitados y específicos descritos en el Acuerdo, en este APD, o según lo exija la ley.
2.2.3 GoDaddy no venderá, conservará, utilizará ni divulgará los Datos Personales del Cliente para un fin comercial distinto de la prestación de los Servicios.
2.2.4 GoDaddy no tratará los Datos Personales del Cliente fuera de la relación comercial directa de las partes descrita en el Acuerdo y en este APD.
2.2.5 GoDaddy no combinará los Datos Personales del Cliente con ningún otro dato que GoDaddy recopile (directamente o a través de terceros) que no esté expresamente permitido en virtud del Acuerdo.
2.2.6 GoDaddy detendrá todo procesamiento y notificará al Cliente en un plazo de tres (3) días hábiles si GoDaddy: (a) cree que una instrucción del Cliente infringe cualquier Ley de tratamiento de datos aplicable o (b) determina que GoDaddy no puede cumplir con cualquier Ley de procesamiento de datos aplicable o con sus obligaciones en virtud de este APD.
2.3 Afiliados.
3. Subprocesamiento
2.3.1 Afiliados del Cliente. A efectos de este APD, cualquier dato personal facilitado a GoDaddy o a los afiliados de GoDaddy por un Afiliado del Cliente para su procesamiento en nombre del Cliente o del Afiliado del Cliente se considerará dato personal del Cliente y que ha sido facilitado por el Cliente. El Cliente declara que tomará todas las medidas razonablemente necesarias para garantizar que sus Afiliados cumplan todas las obligaciones del Cliente con respecto a este APD. El Cliente es responsable de que sus afiliados cumplan todos los términos del presente APD.
2.3.2 GoDaddy Afiliados. A efectos del presente APD, se considerará que los Datos Personales del Cliente recibidos por los Afiliados de GoDaddy han sido recibidos porGoDaddy. GoDaddy declara que tomará todas las medidas razonablemente necesarias para garantizar que sus Afiliados cumplan las obligaciones de GoDaddy con respecto al procesamiento de los Datos Personales del Cliente en virtud del presente APD. GoDaddy es responsable de que los Afiliados de GoDaddy cumplan todos los términos del presente APD.
2.3.2 GoDaddy Afiliados. A efectos del presente APD, se considerará que los Datos Personales del Cliente recibidos por los Afiliados de GoDaddy han sido recibidos porGoDaddy. GoDaddy declara que tomará todas las medidas razonablemente necesarias para garantizar que sus Afiliados cumplan las obligaciones de GoDaddy con respecto al procesamiento de los Datos Personales del Cliente en virtud del presente APD. GoDaddy es responsable de que los Afiliados de GoDaddy cumplan todos los términos del presente APD.
3.1 El Cliente proporciona autorización general para que GoDaddy contrate subprocesadores.
3.2 Lo invitamos a consultar la lista de nuestros Subprocesadores
3.3 Antes de transferir los Datos Personales del Cliente a un Subprocesador, GoDaddy: (a) celebrará un acuerdo por escrito con el Subprocesador que sea al menos tan protector de los datos del cliente como este APD; (b) llevará a cabo la diligencia debida para confirmar que el Subprocesador puede cumplir con los términos materiales de este APD y las Leyes de Protección de Datos en lo que respecta al procesamiento de GoDaddy de los datos del Cliente, incluidos los requisitos de seguridad de la información de las Secciones 5, 6 y 8, y del Anexo 2 de este APD.
3.4 GoDaddy es responsable de los actos y omisiones de sus Subprocesadores, incluidos los actos u omisiones de los subprocesadores de sus Subprocesadores. 3.5 Nuevos Subprocesadores; Derecho de Oposición.
4. Procesos legales y solicitudes de Datos Personales de Clientes por parte de terceros
3.2 Lo invitamos a consultar la lista de nuestros Subprocesadores
3.3 Antes de transferir los Datos Personales del Cliente a un Subprocesador, GoDaddy: (a) celebrará un acuerdo por escrito con el Subprocesador que sea al menos tan protector de los datos del cliente como este APD; (b) llevará a cabo la diligencia debida para confirmar que el Subprocesador puede cumplir con los términos materiales de este APD y las Leyes de Protección de Datos en lo que respecta al procesamiento de GoDaddy de los datos del Cliente, incluidos los requisitos de seguridad de la información de las Secciones 5, 6 y 8, y del Anexo 2 de este APD.
3.4 GoDaddy es responsable de los actos y omisiones de sus Subprocesadores, incluidos los actos u omisiones de los subprocesadores de sus Subprocesadores. 3.5 Nuevos Subprocesadores; Derecho de Oposición.
3.5.1 GoDaddy se esforzará razonablemente por notificar al Cliente por escrito con al menos sesenta (60) días de antelación si GoDaddy tiene la intención de nombrar un nuevo Subprocesador; no obstante, no será necesario un preaviso de sesenta (60) días y GoDaddy notificará al Cliente sin demora indebida tras el nombramiento de un nuevo Subprocesador si es necesario el nombramiento inmediato para mantener la seguridad de los Datos Personales del Cliente o para cumplir con la legislación aplicable.
3.5.2 Si el Cliente se opone razonablemente a un nuevo Subprocesador, deberá notificarlo por escrito a GoDaddy en un plazo de treinta (30) días tras el nombramiento del Subprocesador. A discreción de GoDaddy, GoDaddy podrá realizar esfuerzos comercialmente razonables para atender la objeción del Cliente. Si las Partes no pueden resolver la objeción del Cliente en un plazo de treinta (30) días, el Cliente podrá rescindir el presente APD y cualquier parte del Acuerdo relacionada con el tratamiento de los Datos Personales del Cliente.
3.5.3 Si el Cliente no se opone a un nuevo Subprocesador en un plazo de treinta (30) días a partir de la notificación del nombramiento del Subprocesador, se considerará que el Cliente ha aceptado al nuevo Subprocesador.
3.5.4 La notificación de un nuevo Subprocesador se puede realizar actualizando la lista de Subencargados del tratamiento descrita en la Sección 3.2.
4.1 GoDaddy no responderá a ninguna solicitud informal de Datos Personales del Cliente por parte de un organismo gubernamental, agencia de orden público u otra persona, excepto en respuesta a una citación, orden de registro, orden judicial u otro proceso legal similar (colectivamente, “Proceso legal”), a menos que GoDaddy determine, a su discreción razonable, que dicha divulgación (a) es exigida por ley, (b) es necesaria para proteger los sistemas o datos de GoDaddy de daños o uso indebido, o (c) es necesaria para proteger a GoDaddy o a cualquier otra persona de daños o lesiones físicas.
5. Seguridad de los datos
4.2 Salvo que lo prohíba la ley, GoDaddy notificará sin demora al Cliente si recibe cualquier proceso legal que requiera que GoDaddy proporcione acceso a los Datos Personales del Cliente o los revele.
4.3 Salvo que la ley exija lo contrario, GoDaddy cooperará con el Cliente (a expensas razonables del Cliente) en cualquier esfuerzo del Cliente por evitar la divulgación de los Datos Personales del Cliente en respuesta a un proceso legal.
5.1 GoDaddy mantiene un programa de seguridad de la información que incluye medidas técnicas y organizativas apropiadas y documentadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento de los Datos Personales del Cliente en virtud del Acuerdo, incluidas las medidas específicas exigidas por las Leyes de Protección de Datos aplicables.
6. Incidentes de seguridad de datos
5.2 El Cliente reconoce expresamente que GoDaddy proporciona características y funcionalidades de seguridad que el Cliente puede utilizar para proteger sus Datos Personales. El Cliente es el único responsable de tomar las medidas adecuadas en función de los riesgos para proteger la seguridad de su cuenta y los Datos Personales del Cliente que estén bajo su control, incluido el uso de las características y funcionalidades de seguridad proporcionadas por GoDaddy. El Cliente también es el único responsable de garantizar que todo el contenido que el Cliente coloque o haga colocar en los Servicios esté libre de vulnerabilidades que puedan poner en peligro los Datos Personales del Cliente y los sistemas de GoDaddy, incluido, entre otros, el software malicioso. GoDaddy no es responsable de realizar respaldos de los Datos Personales del Cliente.
5.3 El Cliente está obligado a cumplir todos los Requisitos del Estándar de seguridad de datos del sector de las tarjetas de pago (“PCI-DSS”) y solo podrá proporcionar a GoDaddy Datos Personales del Cliente que contengan información de crédito, débito u otra información del titular de la tarjeta de pago (“Datos PCI-DSS”) en relación con Servicios de GoDaddy específicamente diseñados para tratar dichos Datos PCI-DSS. El Cliente es el único responsable de cualquier infracción de los requisitos de la PCI-DSS si el Cliente utiliza Servicios de GoDaddy para procesar o almacenar datos PCI-DSS fuera de las ofertas de Servicios de GoDaddy que cumplen con la PCI-DSS.
5.4 Además de cualquier medida necesaria para que GoDaddy cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos aplicables y los requisitos PCI-DSS para los Servicios de reclamo PCI-DSS de GoDaddy, GoDaddy implementará las medidas técnicas y organizativas específicas identificadas en el Anexo 2 del presente APD.
6.1 GoDaddy ofrece al Cliente amplias posibilidades de acceso y control de los Datos Personales del Cliente procesados en su nombre. GoDaddy no será responsable de la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a Datos Personales del Cliente que no se deriven de una vulneración de los sistemas de GoDaddy. Entre los ejemplos de incidentes de seguridad de los que GoDaddy no es responsable se incluyen el hecho de que el Cliente no mantenga en secreto sus contraseñas, la descarga de contenido malicioso o cualquier otra vulnerabilidad de seguridad causada o introducida en los Servicios y en el entorno alojado por el Cliente.
7. Derechos de los Sujetos de datos
6.2 GoDaddy hará todos los esfuerzos comercialmente razonables para notificar al Cliente una violación de la seguridad de los sistemas de GoDaddy que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos Personales del Cliente (“Incidente de seguridad”) dentro del plazo exigido por la legislación aplicable.
6.3 GoDaddy tomará las medidas apropiadas, basadas en el riesgo, que sean razonablemente necesarias para contener, mitigar y remediar un Incidente de seguridad sin demoras irrazonables.
6.4 GoDaddy proporcionará la información razonablemente solicitada por el Cliente para evaluar el impacto de un Incidente de Seguridad en los Datos Personales del Cliente y para que el Cliente notifique el incidente de seguridad a las autoridades gubernamentales, a los Sujetos de datos afectados o a cualquier otra persona.
6.5 El reconocimiento por parte de GoDaddy de un incidente de seguridad o la decisión de notificar al Cliente un incidente de seguridad no constituye una admisión de culpa o responsabilidad.
7.1 El Cliente es el único responsable de responder a cualquier solicitud para ejercer los derechos de un Sujeto de datos según las Leyes de Protección de Datos, las políticas de privacidad del Cliente o las condiciones de servicio del Cliente, incluidas, entre otras, las solicitudes para conocer, acceder, corregir o eliminar Datos Personales del Cliente (“solicitudes del sujeto de datos”)
8. Evaluaciones de impacto sobre la Protección de Datos, consultas previas e investigaciones de conformidad
7.2 GoDaddy no responderá a una solicitud un Sujeto de datos salvo por instrucciones documentadas del Cliente o por exigencia de la legislación aplicable.
7.3 GoDaddy notificará al Cliente cualquier solicitud de un Sujeto de datos. El Cliente es el único responsable de responder a cualquier solicitud de un Sujeto de datos. Si el Cliente ha agotado todos los medios disponibles para responder a una Solicitud del Sujeto de datos, sujeto al acuerdo del Cliente de pagar por adelantado los gastos razonables de GoDaddy, GoDaddy proporcionará al Cliente la asistencia razonablemente necesaria para permitir al Cliente responder a una Solicitud del Sujeto de datos.
8.1 Evaluaciones de impacto sobre la protección de datos; consulta previa. A expensas del Cliente, GoDaddy proporcionará asistencia razonable al Cliente en la realización de evaluaciones de impacto sobre la protección de datos y consultas con autoridades gubernamentales o reguladoras en relación con el tratamiento de los Datos Personales del Cliente.
9. Requisitos específicos de cada jurisdicción y transferencias internacionales de Datos Personales
8.2 Consultas sobre cumplimiento. El Cliente podrá solicitar periódicamente la información razonablemente necesaria para confirmar el cumplimiento por parte de GoDaddy de sus obligaciones en virtud de las Leyes de Protección de Datos aplicables. Si GoDaddy no responde a la solicitud del Cliente en un plazo de cuarenta y cinco (45) días, el Cliente podrá finalizar el Acuerdo. Para evitar cualquier duda, nada de lo dispuesto en el presente APD otorga al Cliente el derecho a realizar una auditoría de la actividad comercial, los sistemas o los servicios de GoDaddy. La obligación de GoDaddy en virtud de la presente sección se limita a facilitar al Cliente la información razonablemente necesaria para confirmar que GoDaddy cumple sus obligaciones en virtud de la legislación aplicable en materia de Protección de Datos.
9.1 El procesamiento de los Datos Personales del Cliente en virtud del presente APD puede implicar un procesamiento regulado por una o varias Leyes de Protección de Datos o puede implicar la transferencia internacional de Datos Personales del Cliente.
10. General
9.2 Si los Datos Personales del Cliente proceden de Estados Unidos, se aplicarán los términos relativos a las Leyes de Protección de Datos de Estados Unidos especificados en el Anexo 3 (Sección 1) del presente APD.
9.3 Si los Datos Personales del Cliente proceden de la Unión Europea/Espacio Económico Europeo (“UE/EEE”), el Reino Unido (“RU”) o Suiza, o si el Cliente está establecido en una o más de esas jurisdicciones, se aplicarán los términos relativos a las Leyes de Protección de Datos aplicables de la UE/EEE, el RU o Suiza que se especifican en el Anexo 9.3 (Sección 3) del presente APD.
9.4 Si se requiere un mecanismo válido de transferencia internacional de datos (“Mecanismo de Transferencia Obligatoria”) para transferir legalmente los Datos Personales del Cliente, se aplicarán los términos especificados en el Anexo 4 de este APD.
10.1 Acuerdo completo; Interpretación. El presente APD constituye el acuerdo íntegro entre las Partes en relación con el objeto del presente APD y sustituye a todas las declaraciones, entendimientos, acuerdos y comunicaciones anteriores o contemporáneos entre las Partes, ya sean escritos o verbales, en relación con el objeto del presente APD. En caso de conflicto entre este APD y el Acuerdo (o cualquier otro acuerdo entre las Partes), este APD regirá y controlará con respecto al objeto de este APD. En caso de conflicto entre cualquiera de los términos del presente APD y las Disposiciones obligatorias de transferencia descritas en el Anexo 4, prevalecerán dichas Disposiciones obligatorias de transferencia.
Anexo 1: Detalles del tratamiento de los Datos Personales del Cliente
10.2 Modificaciones. El presente APD podrá modificarlo o enmendarlo GoDaddy a su entera discreción conforme a los procedimientos establecidos en el Acuerdo. Si el Cliente no está de acuerdo con dicha modificación, el único recurso del Cliente es rescindir la parte del Acuerdo relativa al procesamiento de los Datos Personales del Cliente con un preaviso de treinta (30) días. A menos que las Partes lo acuerden expresamente por escrito, cualquier modificación del presente Acuerdo solo será efectiva con respecto a la Transformación que tenga lugar después de la fecha de dicha modificación.
10.3 Renuncia. La renuncia a cualquier incumplimiento de este APD solo será efectiva si se realiza por escrito por parte de un representante autorizado de la Parte que renuncia a dicho incumplimiento y dicha renuncia no se interpretará como una renuncia a cualquier incumplimiento posterior.
10.4 Cláusula de salvedad. Si alguna disposición de este APD se considera inaplicable, dicha disposición se modificará en la medida necesaria para hacerla aplicable y el resto de este APD permanecerá en vigor tal y como está escrito. Sin embargo, si la modificación de alguna disposición inaplicable supusiera el incumplimiento de la finalidad esencial del presente APD, todo el APD se considerará nulo y sin efecto, a menos que se modifique según la Sección 10.2.
10.5 Notificaciones. Salvo que se indique expresamente lo contrario en el presente documento, las notificaciones requeridas en virtud del presente APD se realizarán de conformidad con los requisitos de notificación establecidos en el Acuerdo.
10.6 Responsabilidad. Este APD no proporciona ninguna base para que ninguna de las Partes ni ninguna otra persona recupere daños de algún tipo distintos de los establecidos en el Acuerdo y sujetos a todas las limitaciones establecidas en el presente APD.
10.7 Restricción en la ejecución. Los términos de este APD solo podrán ejecutarlos las Partes en su nombre y en el de sus respectivos Afiliados de conformidad con las disposiciones de resolución de conflictos establecidas en el Acuerdo. Sin embargo, esta restricción en la ejecución no afecta a la capacidad de un Sujeto de datos individual para hacer valer sus derechos en virtud de las Leyes de Protección de Datos.
10.8 Finalización. A menos que se rescinda antes en virtud del Acuerdo o de cualquier otra disposición aplicable del presente APD o de cualquier Ley de Protección de Datos aplicable, el presente APD finalizará cuando finalice el Tratamiento o se rescinda el Acuerdo, lo que ocurra más tarde. Luego de la rescisión del presente, GoDaddy devolverá, eliminará o desidentificará los Datos Personales del Cliente de conformidad con los términos del Acuerdo y del presente APD, a menos que GoDaddy tenga la obligación de conservar los Datos Personales del Cliente en virtud de la legislación aplicable. Si se exige a GoDaddy que conserve los Datos Personales del Cliente tras la rescisión del Acuerdo, GoDaddy seguirá cumpliendo con sus obligaciones relativas al tratamiento de los Datos Personales del Cliente en virtud del presente APD y devolverá o eliminará sin demora dichos Datos Personales del Cliente una vez que su conservación ya no sea legalmente necesaria.
10.9 Ley aplicable y jurisdicción. El presente APD se rige por las leyes estipuladas en el Acuerdo, salvo en la medida en que las Leyes de Protección de Datos exijan lo contrario, en cuyo caso se aplicarán las leyes de la jurisdicción prescritas por las Leyes de Protección de Datos. No se considerará que ninguna disposición del presente APD limita los derechos u obligaciones de cualquier persona en virtud de las Leyes de Protección de Datos aplicables.
Este Anexo 1 incluye detalles sobre el Tratamiento de los Datos Personales del Cliente exigido por las Leyes de Protección de Datos.
Objeto y duración del tratamiento de los Datos Personales del Cliente:
El objeto y la duración del tratamiento de los Datos Personales del Cliente se describen en el Acuerdo.
Naturaleza y finalidad del tratamiento de los Datos Personales del Cliente:
El tratamiento de los Datos Personales del Cliente por parte de GoDaddy es razonablemente necesario para prestar los Servicios descritos en el Acuerdo.
Tipo de Datos Personales y categorías de Sujetos de datos:
Los tipos de Datos Personales del Cliente y las categorías de Sujetos de datos son controlados por el Cliente o el Controlador que proporcionó los Datos Personales del Cliente al Cliente a su entera discreción.
Información confidencial o Categorías especiales de los datos:
Los datos sensibles podrán ser tratados ocasionalmente en virtud del Acuerdo. Los tipos de datos sensibles tratados en virtud del Acuerdo son determinados por el Cliente o por el Controlador que proporcionó los datos sensibles al Cliente a su entera discreción.
Obligaciones y derechos del Controlador:
Las obligaciones y derechos del Cliente se describen en el Acuerdo y en este APD.
Anexo 2: Medidas de seguridad técnicas y organizativas1. Aplicabilidad
1.1 Los requisitos del presente Anexo 2 se aplican a GoDaddy y a cualquier Subprocesador (incluido, entre otros, cualquier proveedor de servicios en la nube) utilizado por GoDaddy para prestar los servicios o tratar los Datos Personales del Cliente.
1.2 Si GoDaddy utiliza cualquier Subprocesador para prestar los servicios o procesar los Datos Personales del Cliente, GoDaddy se asegurará de que dicho Subprocesador cumpla cada uno de los requisitos de este Anexo.
2. Gestión de la privacidad de la información y de la seguridad de los datos
2.1 Proceso de gestión de riesgos. GoDaddy mantendrá un proceso adecuado de gestión de riesgos para enmarcar, evaluar, responder y supervisar los riesgos para los Datos Personales del Cliente, de conformidad con las obligaciones de GoDaddy en virtud del Acuerdo, la APD y la legislación aplicable.
2.2 Alcance del programa de seguridad de la información. Como mínimo, el programa de seguridad de la información de GoDaddy, incluidas todas las políticas de privacidad y protección de datos aplicables, estará diseñado para:
2.2.1 Proteger la confidencialidad, integridad y disponibilidad de los Datos Personales de los Clientes que GoDaddy posea o controle o a los que GoDaddy tenga acceso; y
2.2.2 Proteger contra amenazas o peligros razonablemente previstos para la confidencialidad, integridad y disponibilidad de los Datos Personales del Cliente.
2.3 Actualizaciones del programa de seguridad de la información. GoDaddy revisará y actualizará periódicamente su programa de seguridad de la información de acuerdo con las prácticas y marcos estándar del sector adecuados al tipo, volumen y sensibilidad de los Datos Personales del Cliente tratados por GoDaddy.
2.4 Evaluaciones y pruebas de riesgos. GoDaddy realizará periódicamente evaluaciones de riesgos para todos los sistemas que procesen Datos Personales del Cliente y llevará a cabo continuamente pruebas de penetración de terceros en las aplicaciones y la infraestructura utilizadas para prestar los Servicios, según GoDaddy considere razonablemente necesario.
2.5 Continuidad y resistencia. GoDaddy aplicará las medidas adecuadas para proteger la integridad y disponibilidad de los sistemas que traten Datos Personales del Cliente, incluidas medidas como la supervisión del rendimiento y la disponibilidad, el diseño de sistemas redundantes y resistentes, el uso de fuentes de alimentación ininterrumpidas, protecciones DDoS, pruebas de carga y estrés y otras medidas similares.3. Seguridad de las organizaciones
3.1 Responsabilidad. GoDaddy desarrollará y aplicará políticas y procedimientos de seguridad de la información por escrito que definan claramente la responsabilidad de la protección de los Datos Personales del Cliente dentro de GoDaddy, incluida la designación de una o varias personas específicas que serán responsables de la administración del programa de seguridad de la información de GoDaddy y de la protección de los Datos Personales del Clientes.
3.2 Gestión de activos y controles. GoDaddy mantendrá una política de gestión y controles de activos, incluida la clasificación de activos y un inventario de los dispositivos y sistemas que se utilizan para prestar los Servicios o procesar los Datos Personales del Cliente.
3.3 Seguridad física. Asimismo, GoDaddy aplicará controles basados en el riesgo para mantener la seguridad física de sus instalaciones, incluida la aplicación de medidas razonables para garantizar que solo los usuarios autorizados tengan acceso a los dispositivos electrónicos, la red, los sistemas críticos, las aplicaciones, la sala de servidores, las salas de comunicación y los entornos de trabajo de GoDaddy. Las medidas que GoDaddy puede emplear, cuando proceda, incluyen, entre otras, alarmas, vigilancia por circuito cerrado de televisión, gestión del acceso de visitantes y destrucción de Datos Personales en dispositivos físicos antes de su eliminación/reciclaje.
4. Operaciones de seguridad
4.1 Configuración segura del sistema. GoDaddy establecerá controles para garantizar que los sistemas utilizados para prestar los Servicios o Procesar los Datos Personales del Cliente estén configurados de forma segura.
4.2 Gestión de vulnerabilidades y parches. GoDaddy establecerá y mantendrá un sistema de gestión de vulnerabilidades y parches que garantice que todos los sistemas utilizados para prestar los Servicios o Procesar los Datos Personales del Cliente estén parcheados contra vulnerabilidades de seguridad conocidas en un plazo de tiempo razonable basado en la criticidad del parche y la sensibilidad de los Datos Personales del Cliente.
4.3 Prevención de software malicioso. GoDaddy aplicará controles de detección, prevención y corrección para protegerse contra el software malicioso (incluidos programas adecuados de concienciación de los usuarios).
4.4 Registro y auditoría. GoDaddy empleará un programa de gestión de registros que defina el alcance, la creación, el almacenamiento, el análisis y la eliminación de registros utilizando estándares del sector basados en el riesgo.
4.5 Detección de incidentes de seguridad y respuesta. GoDaddy mantendrá sistemas basados en el riesgo para detectar incidentes de seguridad tal y como exige la Sección 6 del Acuerdo, incluido el uso de sistemas de detección y prevención de intrusiones.
5. Capacitación
GoDaddy garantizará que su personal reciba capacitación periódica sobre sus obligaciones en materia de confidencialidad y protección de datos en relación con los Datos Personales del Cliente.
6. Controles de acceso
6.1 Identificación única. GoDaddy asignará credenciales de usuario únicas individuales al personal con acceso a los Datos Personales del Cliente, incluido, entre otros, el personal con acceso administrativo.
6.2 Gestión de contraseñas. GoDaddy implementará políticas y procedimientos para la gestión de contraseñas, incluida la gestión centralizada de contraseñas y las políticas de contraseñas.
6.3 Autenticación multifactor. GoDaddy implementará la autenticación multifactor para el acceso remoto a redes, sistemas o aplicaciones utilizados para procesar o almacenar Datos Personales del Cliente.
6.4 Mínimo privilegio. GoDaddy limitará el acceso a los Datos Personales del Cliente al personal sujeto a las obligaciones de confidencialidad pertinentes y que tenga “necesidad de saber” o “necesidad de acceder” a efectos de la prestación de los Servicios.
7. Data Security Controls
7.1 Segregación de datos. GoDaddy mantendrá los Datos Personales del Cliente en entornos lógicamente separados y seguros.
7.2 Cifrado y otras medidas. GoDaddy empleará medidas apropiadas basadas en el riesgo para proteger los Datos Personales del Cliente, incluidos el cifrado, la seudonimización y otras medidas apropiadas, como el empleo de algoritmos para cifrar secretos, incluyendo las contraseñas y los tokens de API usados para acceder a los sistemas que contengan Datos Personales del Cliente.
Anexo 3: Condiciones específicas de la jurisdicción
1. Estados Unidos
1.1 California.
1.1.1 Definiciones.
1.1.1.1 Los siguientes términos se definen específicamente de acuerdo con las definiciones establecidas en las Leyes de Protección de Datos de California: “Empresa”, “Finalidad comercial”, “Proveedor de servicios”, “Vender”, “Compartir” y “Tercero”.
1.1.1.2 El término “Datos personales del cliente” incluye los Datos personales de una persona física identificada o identificable o de un grupo familiar.
1.1.2 Funciones de las partes.
1.1.2.1 Si se considera que el Cliente es una Empresa en virtud de las Leyes de Protección de Datos de California aplicables, se entenderá que todas las referencias a los derechos y obligaciones del Cliente como Controlador en virtud del presente APD se refieren también a los derechos y obligaciones del Cliente como Empresa. Si se considera que el Cliente es un Proveedor de servicios en virtud de las Leyes de Protección de Datos de California aplicables, se entenderá que todas las referencias a los derechos y obligaciones del Cliente como Procesador en virtud del presente APD se refieren también a los derechos y obligaciones del Cliente como Proveedor de servicios.
1.1.2.2 Si se considera que GoDaddy es un Proveedor de servicios o un Tercero en virtud de las Leyes de Protección de Datos de California, se entenderá que todas las referencias a los derechos y obligaciones de GoDaddy como Procesador o Subprocesador en virtud del presente APD se refieren también a los derechos y obligaciones de GoDaddy como Proveedor de servicios o Tercero, según proceda.
1.2 Todo EE. UU. (incluyendo California).
1.2.1 GoDaddy no podrá (a) vender ni compartir los Datos Personales del Cliente, (b) conservar, utilizar ni revelar los Datos Personales del Cliente para ningún fin distinto de los fines comerciales especificados en el Acuerdo, ni (c) conservar, utilizar o revelar Datos Personales del Cliente fuera de la relación comercial directa entre GoDaddy y la Empresa.
1.2.2 El acceso de GoDaddy a los Datos Personales del Cliente no forma parte de la contraprestación intercambiada por las Partes en virtud del Acuerdo.
1.2.3 El Cliente tendrá derecho a adoptar medidas razonables para: (a) verificar que GoDaddy procesa los Datos Personales del Cliente de forma coherente con este APD, incluido el ejercicio de los derechos establecidos en la Sección 8 del APD; (b) exigir la interrupción y reparación de las actividades de Procesamiento de GoDaddy realizadas en contravención de los términos del APD, y (c) adoptar cualesquier otra medida razonable (según determine el Cliente a su entera discreción) para garantizar el cumplimiento del presente APD por parte de GoDaddy. Si GoDaddy no puede o no quiere cumplir las solicitudes razonables del Cliente según la presente Sección 1.2.3, el único recurso del Cliente será rescindir este APD y la parte del Acuerdo relacionada con el tratamiento de los Datos Personales del Cliente.
1.2.4 GoDaddy certifica que comprende y cumplirá las obligaciones derivadas de las Leyes de Protección de Datos y de este APD, incluyendo todas las restricciones al Tratamiento de Datos Personales del Cliente.
2. Unión Europea/Espacio Económico Europeo
2.1 Subprocesadores
2.1.1 Cuando GoDaddy contrate a un Subprocesador, deberá:
2.2 Responsabilidad por sanciones normativas. Sin perjuicio de cualquier otro término establecido en este APD o en el Acuerdo (incluidas las obligaciones de indemnización de cualquiera de las Partes en virtud del Acuerdo), ninguna de las Partes será responsable de las multas emitidas o impuestas por cualquier autoridad reguladora u organismo gubernamental a la otra Parte, incluidas las multas en virtud del artículo 83 del RGDP de la UE.2.1.1.1 Exigir al Subprocesador que cumpla las medidas técnicas y organizativas establecidas en las Secciones 5, 6 y 8 del APD, y en el Anexo 2 del APD que sean adecuadas a la naturaleza del tratamiento por parte del Subprocesador, incluidas, entre otras, todas las medidas técnicas y organizativas exigidas por el Artículo 28 del Reglamento general de Protección de Datos de la UE (“RGDP”); y
2.1.1.2 Exigir al Subprocesador que acepte por escrito procesar los Datos Personales del Cliente únicamente (a) en la UE/EEE, (b) en un país que la Comisión Europea haya declarado que tiene un nivel “adecuado” de protección de datos, o (c) en los términos establecidos en el Anexo 4 relativo a las transferencias internacionales de Datos Personales del Cliente.
3. Suiza
3.1 Cuando GoDaddy contrate a un Subprocesador, deberá:
3.1.1 Exigir al Subprocesador que cumpla las medidas técnicas y organizativas establecidas en las Secciones 5, 6 y 8, y en el Anexo 2 de la APD que sean adecuadas a la naturaleza del tratamiento realizado por el Subprocesador, incluidas, entre otras, todas las medidas técnicas y organizativas exigidas por el artículo 28 del RGDP del Reino Unido; y
3.1.2 Exigir al Subprocesador que acepte por escrito que solo procesará los Datos Personales del Cliente (a) en Suiza, (b) en la UE/EEE, (c) en otro país que la Comisión Europea haya declarado que tiene un nivel “adecuado” de protección de datos, o (d) en los términos establecidos en el Anexo 4 relativo a las transferencias internacionales de Datos Personales del Cliente.
3.2 En la medida en que las Transferencias de Datos Personales del Cliente desde Suiza se realicen con sujeción a las Cláusulas contractuales estándar de la UE (tal como se definen en el Anexo 4), se aplicarán las siguientes modificaciones:
3.2.1 Se interpretará que las referencias a “Estado miembro” incluyen a Suiza; y
3.2.2 En la medida en que las Transferencias estén sujetas a la Ley Federal de Protección de Datos (“LFPD”), las referencias al “Reglamento (UE) 2016/679” se considerarán referencias a la LFPD.
3.3 En la medida en que lo exija la LFPD, se considerará que las Cláusulas contractuales estándar de la UE incluyen los datos relativos a las personas jurídicas como Datos Personales del Cliente.4. Reino Unido
4.1 Las referencias al “RGDP” se considerarán referencias a las leyes y reglamentos correspondientes del Reino Unido, incluidos, entre otros, el RGDP del Reino Unido y la Ley de Protección de Datos del Reino Unido de 2018.
4.2 Cuando la Empresa contrate a un Subprocesador, deberá:
Anexo 4: Mecanismos internacionales de transferencia transfronteriza obligatoria
4.2.1 Exigir al Subprocesador que cumpla las medidas técnicas y organizativas establecidas en las Secciones 5, 6 y 8, y en el Anexo 2 del APD que sean adecuadas a la naturaleza del tratamiento realizado por el Subprocesador, incluidas, entre otras, todas las medidas técnicas y organizativas exigidas por el artículo 28 del RGDP del Reino Unido; y
4.2.2 Exigir al Subprocesador que acepte por escrito procesar los Datos Personales del Cliente únicamente en (a) el Reino Unido, (b) la UE/EEE, (c) otro país que el Reino Unido haya declarado que tiene un nivel “adecuado” de protección de datos, o (d) en los términos establecidos en el Anexo 4 relativo a las Transferencias internacionales de Datos Personales del Cliente.
1. Definiciones
1.1 El “Marco de Privacidad de Datos (DPF)” significa los programas de certificación del Marco de Privacidad de Datos UE-EE. UU., Suiza-EE. UU. o Reino Unido-EE. UU. operados por el Departamento de Comercio de EE. UU [www.dataprivacyframework.gov](www.dataprivacyframework.gov).
1.2 Por “Puente de datos Reino Unido-EE. UU.” se entiende la extensión británica del marco de Protección de Datos UE-EE. UU.
1.3 Las “Causas contractuales estándar de la UE” significan las cláusulas contractuales estándar aprobadas por la Comisión Europea y adjuntas en el anexo de la decisión 2021/914 de junio de 2021.
1.4 El Acuerdo internacional de Transferencia de datos del Reino Unido (“IDTA del Reino Unido”) publicado por el Comisionado de información del Reino Unido, versión B1.0, se considera ejecutado por las Partes a partir de la fecha efectiva del Acuerdo, y las Cláusulas contractuales estándar de la UE se consideran modificadas según lo especificado por el IDTA del Reino Unido en relación con las transferencias de datos desde el Reino Unido.
2. Orden de precedencia
2.1 No se utiliza ningún mecanismo de transferencia obligatoria si se realiza una transferencia a un país que se ha considerado que ofrece un nivel adecuado de protección de datos por las Leyes de Protección de Datos del país desde el que se transfieren dichos Datos Personales del Cliente.
2.2 Si se requiere una transferencia y dicha transferencia está cubierta por más de un mecanismo obligatorio de transferencia, esta última estará sujeta a un mecanismo obligatorio de transferencia único de acuerdo con el siguiente orden de precedencia: (a) el DPF aplicable de la UE o Suiza; (b) el Puente de datos de Reino Unido-EE. UU.; (c) las cláusulas contractuales estándar de la UE; (d) el IDTA del Reino Unido; o (e) cualquier otro mecanismo obligatorio de transferencia aplicable permitido por la Ley de Protección de Datos aplicable.
2.3 Si un mecanismo de transferencia obligatorio se considera inválido después de la ejecución de este Acuerdo, todas las transferencias futuras se considerarán realizadas por el siguiente mecanismo de transferencia obligatorio aplicable.
3. Marco de Protección de Datos
3.1 Autocertificación.
3.1.1 Certificación de GoDaddy. GoDaddy declara que está autocertificada conforme al DPF. GoDaddy se compromete a (a) proporcionar, como mínimo, el mismo nivel de protección a los Datos Personales del Cliente que el exigido en virtud de los Principios de privacidad de datos del DPF; (b) avisar al Cliente por escrito y sin demora indebida, si la certificación de GoDaddy para el DPF se retira, termina, revoca o invalida de otro modo; y (c) previa notificación por escrito del Cliente, adoptar medidas razonables y apropiadas para detener y remediar cualquier tratamiento no autorizado de los Datos Personales del Cliente.
3.1.2 Certificación de la Empresa. En la medida en que la Empresa esté certificada en virtud del DPF, la Empresa se compromete a (a) proporcionar como mínimo el mismo nivel de protección a cualquier dato personal que el exigido en virtud de los Principios de privacidad de datos del DPF; (b) avisar a GoDaddy por escrito y sin demora indebida, si la certificación de la Empresa para el DPF se retira, termina, revoca o invalida de otro modo; y (c) previa notificación por escrito a GoDaddy, tomar las medidas razonables y adecuadas para detener y remediar cualquier tratamiento no autorizado de los Datos Personales del Cliente.
3.2 Estado
3.2.1 DPF UE-EE. UU. La Comisión Europea ha considerado que el DPF UE-EE. UU. proporciona un nivel adecuado de protección de datos en virtud de una decisión de adecuación de 10 de julio de 2023 y está en vigor desde el 10 de octubre de 2023.
3.2.2 Puente de datos Reino Unido-EE. UU. El Secretario de Estado de Ciencia, Innovación y Tecnología del Reino Unido ha considerado que el Puente de datos Reino Unido-EE. UU. ofrece un nivel adecuado de protección de datos y ha presentado al Parlamento una normativa de adecuación a partir del 21 de septiembre de 2023. La normativa de Puente de datos del Reino Unido-EE. UU. entrará en vigor a partir del 12 de octubre de 2023 y las transferencias aplicables se realizarán conforme al Puente de datos del Reino Unido-EE. UU. a partir de esa fecha.
3.2.3 DPF Suiza-EE. UU. El DPF Suiza-EE. UU. aún no ha entrado en vigor.
3.3 La Empresa y los Subprocesadores de la Empresa adoptarán todas las medidas necesarias para permitir a GoDaddy cumplir sus obligaciones como Controlador o Procesador en virtud del DPF, incluida, entre otras, la asistencia a GoDaddy o al Responsable del tratamiento en la respuesta a las solicitudes de las personas físicas para ejercer sus derechos como Sujeto de datos.3.2.3.1 Las Partes acuerdan que, en la medida en que los términos del presente APD sean coherentes con el DPF de Suiza o su análogo razonable cuando entre en vigor, las transferencias de Datos Personales del Cliente aplicables desde Suiza se tratarán como si se realizaran en virtud del DPF de Suiza.
3.2.3.2 En la medida en que el DPF de Suiza exija que se agreguen nuevos términos al presente APD, las Partes acuerdan que dichos términos se incorporarán automáticamente sin necesidad de que las Partes realicen ninguna otra acción; siempre que dichos términos adicionales no impongan obligaciones materiales adicionales a ninguna de las Partes ni perjudiquen materialmente los términos y condiciones originales del Acuerdo.
3.2.3.3 En la medida en que los términos adicionales no puedan agregarse automáticamente a este DPF, se podrá modificar este APD para permitir transferencias de acuerdo al DPF de Suiza.
3.2.3.4 A pesar de cualquier otro término de este APD, nada en este APD limita, restringe o afecta de otro modo a la capacidad de las Partes para transferir Datos Personales de conformidad con otro mecanismo legal de transferencia de datos.
4. Cláusulas contractuales estándar de la UE
4.1 Para las transferencias de Datos Personales desde la UE/EEE y Suiza que estén sujetas a las Cláusulas contractuales estándar de la UE, se aplica el módulo dos (Controlador a Procesador) o el Módulo Tres (Procesador a Procesador), dependiendo de si GoDaddy es un Controlador o un Procesador con respecto a los Datos Personales del Cliente que se van a transferir.
4.2 Con respecto a los módulos dos y tres de los CEC de la UE:
4.2.1 En la cláusula 7, no se aplicará la cláusula de acoplamiento opcional.
4.2.2 En la Cláusula 9, se aplicará la Opción 2, y el proceso de notificación y el plazo para presentar objeciones a los cambios del Subprocesador serán los establecidos en la Sección 3 del APD.
4.2.3 En la cláusula 11, no se aplicará el lenguaje opcional.
4.2.4 En la Cláusula 17 (Opción 1), las Cláusulas contractuales estándar de la UE se regirán por las leyes internas de Alemania.
4.2.5 En la cláusula 18(b), los litigios relativos al APD se resolverán en la República Federal de Alemania.
4.3 A efectos del Anexo I, Parte A:
4.3.1 Exportador de Datos
4.3.1.1 El Exportador de Datos será la Empresa.
4.3.1.2 Podrá contactarse con la Empresa en las direcciones establecidas en la disposición de notificación del Acuerdo.
4.3.1.3 Al suscribir el presente APD, se considera que la Empresa ha firmado las presentes Cláusulas contractuales estándar de la UE, incluidos sus Anexos, a partir de la Fecha de Entrada en Vigor del Acuerdo.
4.3.2 Importador de Datos
4.3.2.1 El Importador de Datos será GoDaddy o afiliados autorizados de GoDaddy.
4.3.2.2 GoDaddy podrá contactarse en las direcciones establecidas en la disposición de notificación del Acuerdo o en privacy@GoDaddy.com.
Al suscribir el presente APD, se considera que GoDaddy ha firmado las presentes Cláusulas contractuales estándar de la UE, incluidos sus Anexos, a partir de la Fecha de Entrada en Vigor del Acuerdo.
4.4 A efectos del Anexo I, Parte B:
4.4.1 Las categorías de los Sujetos de datos se describen en el Anexo 1
4.4.2 Los datos sensibles transferidos (si existen) se describen en el Anexo 1.
4.4.3 La frecuencia de la transferencia es la duración del Acuerdo y del APD.
4.4.4 La naturaleza del procesamiento se describe en el Anexo 1.
4.4.5 La finalidad del procesamiento se describe en el Anexo 1.
4.4.6 El período de procesamiento se describe en el Anexo 1.
4.5 A efectos del Anexo I, Parte C, de conformidad con la cláusula 13, la autoridad de control competente se define del siguiente modo:
4.5.1 Para las transferencias de Datos Personales desde la UE/EEE, la Autoridad de Control es el Comisionado Estatal de Protección de Datos y Libertad de Información de Renania del Norte-Westfalia.
4.5.2 El Comisionado federal suizo de Protección de Datos e información actuará como autoridad supervisora competente en la medida en que la transferencia o transferencia ulterior pertinente se rija por las leyes y reglamentos suizos en materia de protección de datos.
4.6 En el Apéndice II de las Cláusulas contractuales estándar de la UE, el Anexo 2 contiene las medidas técnicas y organizativas aplicadas por la Empresa como Importador de Datos en virtud de la APD.
4.7 En el Apéndice III de las Cláusulas contractuales estándar de la UE, consulte la lista de los Subprocesadores de la empresa.5. Acuerdo internacional de transferencia de datos del Reino Unido
5.1 La IDTA del Reino Unido se aplica a las transferencias de Datos Personales del Cliente transferidos desde el Reino Unido a cualquier país fuera del Reino Unido que no esté reconocido por la autoridad reguladora u organismo gubernamental competente del Reino Unido como proveedor de un nivel adecuado de protección de Datos Personales.
5.2 Para las Transferencias sujetas a la IDTA del Reino Unido, la IDTA del Reino Unido se considera suscrita por las Partes y completada de la siguiente manera:
5.2.1 En la Tabla 1 de la IDTA, los datos de las Partes y la información de contacto clave se encuentran en la Sección 4.3 de este Anexo 4.
5.2.2 En la Tabla 2 de la IDTA, la información sobre la versión de las Cláusulas contractuales estándar de la UE, los módulos y las cláusulas seleccionadas a las que se adjunta la IDTA del Reino Unido se encuentra en la Sección 4 de este Anexo.
5.2.3 En la Tabla 3 de la IDTA del Reino Unido:
5.2.3.1 La lista de las Partes se encuentra en la Sección 4.3 de este Anexo 4.
5.2.3.2 La descripción de la transferencia se establece en el Anexo 1.
5.2.3.3 El Apéndice II se encuentra en el Anexo 2.
5.2.3.4 La lista de Subprocesadores de la Empresa se encuentra en el Anexo 5.
5.2.3.5 En la Tabla 4 de la IDTA del Reino Unido, tanto GoDaddy como la Empresa podrán poner fin a la IDTA del Reino Unido de conformidad con sus términos.
5.3 El Comisario de información del Reino Unido actuará como autoridad de control competente en la medida en que la transferencia pertinente se rija por las Leyes y reglamentos de Protección de Datos del Reino Unido.
5.4 Conflicto. En la medida en que exista algún conflicto o incoherencia entre las Cláusulas contractuales estándar de la UE o la IDTA del Reino Unido y cualesquiera otros términos de la presente Adenda sobre tratamiento de datos, prevalecerán las disposiciones de las Cláusulas contractuales estándar de la UE o la IDTA del Reino Unido, según proceda.
Las versiones traducidas de los contratos y las políticas legales se proporcionan únicamente a modo de la comodidad de facilitar la lectura y el entendimiento de las versiones en inglés. El objetivo de proporcionar las traducciones de los contratos y las políticas legales no es crear un contrato jurídicamente vinculante y no ser un substituto para la validez legal de las versiones en inglés. En caso de que exista alguna disputa o conflicto, las versiones en inglés de los contratos y las políticas legales en cualquier caso rigen nuestra relación y prevalecerán sobre los términos en cualquier otro lenguaje.