Este Anexo de procesamiento de datos del revendedor (“ADP”) forma parte del Contrato celebrado entre GoDaddy.com, LLC (incluidas sus entidades afiliadas si están contempladas en el Contrato) (“GoDaddy”) y usted (“Revendedor”) para vender los productos y servicios de GoDaddy (“Servicios”) a través del Programa de revendedor de GoDaddy, y prevalecerán con respecto al procesamiento de cualquier Información Personal por parte del Revendedor en nombre de GoDaddy. El Revendedor celebra este ADP en su propio nombre y, en la medida que se requiera conforme a las Leyes y Reglamentos aplicables sobre Protección de Datos, en nombre y representación de sus afiliados autorizados. Todos los términos en mayúscula que no están definidos aquí tendrán el significado que se indica en el Contrato. Los términos “nosotros”, “nos” o “nuestro” se referirán a GoDaddy. Los términos “usted”, “su” o “Revendedor” se refieren a cualquier persona o entidad que acepte este Contrato. Nada en este Contrato se considerará como que confiere beneficios o derechos a terceros. Este ADP entrará en vigor y será obligatorio a partir de la fecha en que lo acepte electrónicamente.

Este ADP consta de dos (2) partes diferentes, que se aplican como se indica a continuación:

• Estándares y requisitos de privacidad y seguridad de datos: Aplicación de Estándares y requisitos de privacidad y seguridad de datos. Aplicable a todos los Revendedores que tengan acceso y procesen IIP (según lo “definido aquí”) dentro de la naturaleza y el alcance de su participación en el Programa de Revendedor.
• Cláusulas Contractuales Estándar (y sus Apéndices 1 y 2): Aplicación de las Cláusulas Contractuales Estándar. Las Cláusulas Contractuales Estándar se aplicarán a los Datos del Cliente que se transfieran fuera del EEE, ya sea directamente o mediante transferencias sucesivas, a cualquier país donde la Comisión Europea considere que no se proporciona el nivel adecuado de protección para los datos personales (de acuerdo con la RGPD). Las Cláusulas Contractuales Estándar no se aplicarán a los Datos del Cliente no transferidos, ya sea directamente o mediante transferencias sucesivas, fuera del EEE. No obstante esto, las Cláusulas Contractuales Estándar no se aplicarán cuando los datos se transfieran de acuerdo con los estándares de cumplimiento reconocidos para la transferencia legal de los datos personales (de acuerdo con la RGPD) fuera del EEE, como los marcos Privacy Shield entre la UE y EE. UU. y Suiza y EE. UU.

1. Asunto y alcance

Este Acuerdo de nivel de servicio (SLA) sobre seguridad y privacidad de datos (“SLA de seguridad”) se adjunta e incorpora al Contrato con la finalidad de asegurar que toda información de identificación personal (como se define abajo) que haya recopilado o utilizado se manipule de manera segura y de conformidad con los términos del Contrato, este Acuerdo de nivel de servicio de seguridad, la legislación y los reglamentos aplicables.

2. Orden de precedencia.

Este SLA de Seguridad se incorpora a este Contrato y forma parte del mismo. Para los temas que no se tratan en este SLA de Seguridad, se aplican los términos del Contrato. Con respecto a los derechos y obligaciones de las partes entre sí, en caso de un conflicto entre los términos del Contrato y este SLA de Seguridad, prevalecerán los términos de este SLA de Seguridad En caso de un conflicto entre los términos del SLA de Seguridad y las Cláusulas Contractuales Estándar, prevalecerán las Cláusulas Contractuales Estándar.

3. Información Personal.

1. “IIP” o “Información Personal” se refiere a la información en cualquier medio o forma de cualquier tipo que pertenece a una persona o familia física identificada o identificable; una persona física identificable es la que puede ser identificada ya sea directa o indirectamente, en particular por referencia a un identificador como nombre, dirección, número de Seguro Social u otro número de identificación, dirección de correo electrónico, número de teléfono, perfil financiero, información de la tarjeta de crédito, número de licencia de conducir u otra información que se pueda vincular razonablemente a una persona, computadora o dispositivo en particular (p. ej., información obtenida a través de tecnologías de rastreo, como direcciones IP), o a uno o más factores específicos de la identificación física, psicológica, genética, mental, económica, cultural o social de esa persona.

2. El procesamiento para los propósitos de este DPA incluirá recolectar, grabar, organizar, estructurar, almacenar, adaptar o alterar, recuperar, consultar, utilizar, divulgar, diseminar o hacer disponible de otro modo, combinar, restringir, borrar o destruir IIP.
3. GoDaddy divulga IIP a usted única y exclusivamente para su realización de los Servicios en nombre de GoDaddy y usted solo podrá procesar la IIP para los propósitos limitados y específicos descritos en este Contrato y en nuestras instrucciones escritas, y para ningún otro propósito, incluido aquel relacionado con las transferencias de IIP de individuos de la UE fuera de la Unión Europea, a menos que esto fuera requerido por las leyes de la Unión Europea o de algún Estado Miembro de la Unión Europea (en cuyo caso usted deberá notificarnos inmediatamente antes de hacerlo, a menos que la ley prohíba que usted lo haga).
4. Se le prohíbe: (i) vender IIP; (ii) retener, utilizar o divulgar IIP para un propósito comercial diferente de aquel de proporcionar los Servicios; y (iii) retener, utilizar o divulgar la IIP fuera del Contrato entre usted y GoDaddy.

5. Usted reconoce y confirma que la IIP no se divulga como contraprestación por los Servicios prestados a GoDaddy según el Contrato. No debe vender ninguna IIP, ya que el término "vender" se define según la ley de Privacidad del Consumidor de California de 2018, como se modificó ("CCPA"), y usted por la presente certifica que entiende las normas, requisitos y definiciones de la CCPA y todas las restricciones de este ADP. Acepta abstenerse de tomar acciones que puedan causar transferencias de IIP hacia o desde usted que califiquen como "vender información personal" según la CCPA y cualquier otra ley aplicable.
6. Solo podrá transferir IIP relacionada con individuos de la UE fuera de la UE (o si tal IIP ya está fuera de la UE, a cualquier tercero que también está fuera de la UE), en cumplimiento con los términos de este DPA y los requisitos de los Artículos 44 a 49 del GDPR (tal como se define más abajo).
7. Debe notificarnos si, en su opinión, nuestra instrucción infringe cualquier ley y reglamento aplicable de protección de datos, incluida la Ley de Protección de Datos de la UE (tal como se define a continuación) en privacy@godaddy.com.

8. Debe tratar toda la IIP como estrictamente confidencial y debe informar a todos sus empleados o agentes aprobados involucrados en procesar la IIP de la naturaleza confidencial de la IIP, y asegurarse de que todas estas personas o partes hayan firmado un contrato apropiado de confidencialidad para mantener la privacidad de la IIP.
9. Al grado que usted reciba, mantenga, procese o de otro modo tenga acceso a IIP en relación con el Programa de Revendedores bajo este Contrato, usted reconoce y acepta que es responsable para mantener medidas apropiadas de organización y seguridad para proteger tal IIP. Debe proteger y garantizar esa información de identificación personal de conformidad con todas las leyes aplicables sobre protección de la privacidad y datos, entre las que se incluye el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al procesamiento de los datos personales y la libre circulación de esos datos (el “Reglamento general de protección de datos” o “RGPD”) y la legislación o los reglamentos de los Estados Miembros de la Unión Europea asociados (en conjunto la “Ley de Protección de Datos de la UE”) y CCPA.

10. Las medidas apropiadas de organización y seguridad a las que se hacen referencia en la Sección 3.7 incluirán según correspondan (pero no están limitadas a):
    1. Estas medidas listadas a continuación en las Secciones 3 y 4;
    2. Las medidas para asegurar que solo los individuos autorizados para los propósitos descritos en el Contrato pueden acceder a la IIP;
    3. La seudonimización y el cifrado de la IIP;
    4. La capacidad de asegurar la continua confidencialidad, integridad, disponibilidad y resiliencia de sus sistemas y servicios de procesamiento;
    5. La capacidad de restaurar la disponibilidad y el acceso a la IIP de manera oportuna;
    6. Un proceso para probar, valorar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para asegurar la seguridad del procesamiento de la IIP; y
    7. Las medidas para identificar vulnerabilidades con respecto al procesamiento de la IIP en sus sistemas.
11. Al grado que usted contrate cualquier subcontratista, proveedor u otro tercero para facilitar su desempeño bajo el Contrato, usted deberá (i) obtener un consentimiento escrito previo de nosotros; y (ii) celebrar un acuerdo escrito con tal tercero para asegurarse de que tal parte también cumpla con los términos de este DPA y el Contrato.

12. Independientemente de cualquier autorización de parte nuestra de acuerdo con la Sección 1.11, usted seguirá siendo completamente responsable para cualquier acción de este tipo por parte del subcontratista, proveedor u otro tercero donde tal parte incumpla con sus obligaciones bajo este DPA (o arreglo contractual similar creado para imponer obligaciones equivalentes en el tercero a aquellos que le correspondan bajo este DPA) o bajo las leyes aplicables de privacidad.
13. Usted, a su propio gasto, defenderá, indemnizará y nos protegerá contra toda responsabilidad, costo y pérdida relacionados con cualquier falta de disponibilidad, pérdida, destrucción, divulgación no autorizada de acceso a robo o compromiso de IIP, ya sea temporal o permanente, accidental o ilegal, y cualquier otro incumplimiento de legislación aplicable de protección de datos, y cualquier incumplimiento de este DPA.
14. En caso de que sepa que ha recibido nuestra Información Confidencial o IIP que no destinada a recepción por parte suya y para la cual no tenía la autorización para recibirla bajo este Contrato, deberá (i) notificarnos prontamente en privacy@godaddy.com, y (ii) a menos que se le indicara de otro modo por escrito, retener la información hasta ser contactado por privacy@godaddy.comcon instrucciones sobre lo que debe hacer con tal información.

4. Evaluaciones del impacto y auditorías de seguridad

1. Evaluaciones del impacto de la protección de los datos. Nos deberá ayudar a realizar una evaluación del impacto de la protección de datos para identificar y minimizar cualquier riesgo para la privacidad o seguridad relacionado por el Programa de Revendedor conforme al Contrato.
2. Auditorías periódicas. Nos reservamos el derecho a auditar periódicamente (o que audite un tercero de acuerdo con nuestras instrucciones) su cumplimiento con este ADP.
3. Auditoría después de un incidente. En caso de violación de la seguridad por parte del Revendedor, podemos realizar una auditoría de seguridad para garantizar que ninguna IIP se vio afectada. Se le otorgarán a usted 90 días para responder a cualquier tema identificado a través de la auditoría. Una vez resueltos los temas identificados, realizaremos una auditoría de seguridad para garantizar que se realizó la resolución.
4. Aviso de incumplimiento. Si no puede cumplir con cualquiera de los compromisos de este ADP, nos deberá informar inmediatamente esa circunstancia. En ese caso, deberá informar si puede solucionar cualquier tema inmediatamente y sin peligro para la seguridad de cualquier IIP. En caso contrario, podemos decidir rescindir el Contrato sin demora, sanciones u otra responsabilidad para usted.

5. Cronograma de notificación de respuesta a incidentes de seguridad

1. . Nos comunicará cualquier incidente de seguridad relacionado con sus servicios o IIP inmediatamente después de su descubrimiento y nos informará sobre cualquier impacto que este incidente pueda tener o tendrá sobre nosotros o la IIP. Hará todo lo posible para notificarnos inmediatamente el incidente de seguridad antes de que transcurra 1 hora desde que haya sido detectado. Un incidente para los propósitos de este DPA también incluirá:
   1. Una queja o solicitud con respecto al ejercicio de los derechos de un individuo bajo las leyes aplicables incluida la Ley de Protección de Datos de la UE;
   2. Una investigación de la IIP o su confiscación por parte de funcionarios del gobierno, agencias reglamentarias o policiales, o indicaciones que se ha contemplado tal investigación o confiscación;
   3. Cualquier falta de disponibilidad, pérdida, destrucción, divulgación no autorizada de acceso a robo o compromiso de IIP; y
   4. Cualquier incumplimiento de las obligaciones de seguridad y/o confidencialidad establecidas en este DPA.
2. Formato y contenido de la notificación. La notificación de una violación de la seguridad se hará por llamada telefónica a nuestro centro de operaciones de redes (Network Operations Center, NOC) al (480) 505-8809, seguida de una notificación por escrito a securitybreach@godaddy.com. Debe proporcionar la información siguiente durante la llamada telefónica de notificación, y en el aviso escrito, al mayor grado posible con ulteriores actualizaciones a medida que surja información adicional:
   1. Una descripción de la naturaleza del incidente y las consecuencias probables del mismo;
   2. Tiempo de resolución esperado (si se conoce);
   3. Una descripción de las medidas tomadas o propuestas para dirigirse al incidente, entre ellas, medidas para mitigar sus posibles efectos adversos en nosotros, en la IIP o en los individuos asociados;
   4. Si la vía de resolución se desconoce al momento de la llamada telefónica, deberá clarificar que aún no se la ha determinado;
   5. Las categorías y el volumen aproximado de IIP y de individuos potencialmente afectados por el incidente, y las consecuencias probables del incidente en dicha IIP y en los individuos asociados; y
   6. El nombre y número de teléfono de un representante del Revendedor con quien nos podamos contactar para obtener actualizaciones del incidente.
3. Recursos de seguridad. Mediante acuerdo mutuo con usted, podemos proveer recursos de nuestro grupo de seguridad para ayudar a identificar una violación de la seguridad. Usted acepta ayudarnos a cumplir con las obligaciones en relación con la notificación de una violación de seguridad conforme a la Ley de Protección de Datos de la UE o cualquier otra obligación legal, reglamentaria, administrativa o contractual de notificar la violación.

6. Criptografía

1. Cifrado patentado. Las transacciones seguras entre usted y el subcontratista, el proveedor u otro tercero, como así también el almacenamiento de nuestra Información Confidencial o IIP no puede utilizar ningún algoritmo criptográfico desarrollado internamente por usted. Cualquier algoritmo simétrico, asimétrico o hash utilizado por la infraestructura de la aplicación utilizará algoritmos que hayan sido publicados y evaluados por la comunidad criptográfica general.
2. Seguridad del cifrado. Los algoritmos de cifrado deben ajustarse a la tecnología estándar actual de la industria y ser lo suficientemente seguros, como los AES. Cifrado de clave pública SHA-256 o RSA.
3. Funciones hash. Las funciones hash serán una combinación de SHA-256 y como mínimo uno de MD-5, SHA-2, SHA-3 o similar, sin incluir SHA-1. Si se van a utilizar funciones hash alternativas, deberán contar con la aprobación explícita de nuestro Equipo de Seguridad de la Información y deberán estar acompañadas como mínimo, por un algoritmo aprobado.

7. Procesamiento de IIP

1. Cumplimiento con la ley. En la medida que proceda, nos ayudará con nuestras obligaciones para responder al pedido de una persona cuya IIP está siendo procesada conforme al Contrato y desea ejercer cualquiera de sus derechos conforme a la Ley de Protección de Datos de la UE incluidos (entre otros): (i) derecho de acceso; (ii) derecho a la portabilidad de datos; (iii) derecho a eliminar; (iv) derecho a rectificar; (v) derecho a objetar la toma de decisiones automatizadas; o (vi) derecho a objetar el procesamiento.
2. Eliminación/Destrucción. Debe eliminar/destruir de manera segura o devolver toda la IIP y unidades de disco físicas sobrescritas utilizadas para su almacenamiento utilizando el borrado criptográfico (NIST SP-800-88r1) o método equivalente en cualquier momento y a nuestro pedido o, si no lo pedimos, después de la finalización del Contrato y destruir o devolvernos cualquier copia existente de la misma.

A efectos del Artículo 26(2) de la Directiva 95/46/CE para la transferencia de datos personales a procesadores en terceros países que no garanticen un nivel adecuado de protección de datos

exportador de datos: GoDaddy, LLC y sus entidades afiliadas

y

importador de datos: El mencionado Revendedor que participó en el Programa de Revendedor conforme a los términos del Contrato.

cada una es una ‘parte’; en conjunto son ‘las partes’,

ACUERDAN las siguientes Cláusulas Contractuales (en lo sucesivo, las Cláusulas) para ofrecer las garantías suficientes con respecto de la protección de la privacidad y los derechos y libertades fundamentales de las personas para la transmisión por el exportador de datos al importador de datos de los datos personales que se especifican en el Apéndice 1.

A los efectos de las Cláusulas:

(a) “datos personales”, “categorías especiales de datos”, “proceso/procesamiento”, “controlador”, “procesador”, “titulares de los datos” y “autoridad supervisora” tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995 sobre la protección de las personas físicas respecto al procesamiento de datos personales y a la libre circulación de esos datos;

(b) ‘el exportador de datos’ es el controlador que transfiere los datos personales;

(c) ‘el importador de datos’ es el procesador que acepta recibir del exportador de datos los datos personales para procesarlos en su nombre después de la transferencia y de acuerdo con sus instrucciones y los términos de las Cláusulas y que no está sujeto al sistema de un tercer país que garantice la adecuada protección en el sentido del Artículo 25(1) de la Directiva 95/46/CE;

(d) ‘el subprocesador’ es cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del importador de datos que acepte recibir del importador de datos o de otro subprocesador del importador de datos, datos personales destinados exclusivamente a las actividades de procesamiento que se llevarán a cabo en nombre del exportador de datos después de la transferencia de acuerdo con sus instrucciones, con los términos de las Cláusulas y con los términos de la subcontratación por escrito;

(e) ‘la legislación aplicable sobre protección de datos’ es la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad con respecto al procesamiento de sus datos personales, aplicable al controlador de datos en el Estado Miembro del exportador de datos;

(f) ‘medidas de seguridad técnicas y organizativas’ son las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, revelación o acceso no autorizados, especialmente cuando el procesamiento suponga la transmisión de los datos por redes y contra cualquier otra forma ilícita de procesamiento.

Los detalles de la transferencia y, en particular, las categorías especiales de datos personales donde corresponda, se especifican en el Apéndice 1 que forma parte integral de las Cláusulas.

1. El titular de los datos puede aplicar contra el exportador de datos esta Cláusula, la Cláusula 4(b) a (i), la Cláusula 5(a) a (e) y (g) a (j), la Cláusula 6(1) y (2), la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 como tercero beneficiario.

2. El titular de los datos puede aplicar contra el importador de datos esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12 cuando el exportador de datos haya desaparecido de hecho o haya dejado de existir legalmente a menos que una entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, como resultado de lo cual asume los derechos y obligaciones del exportador de datos, en cuyo caso el titular de los datos puede aplicarlas contra dicha entidad.

3. El titular de los datos podrá aplicar contra el subprocesador esta Cláusula, la Cláusula 5(a) a (e) y (g), la Cláusula 6, la Cláusula 7, la Cláusula 8(2) y las Cláusulas 9 a 12, en los casos en que el exportador de datos y el importador de datos hayan desaparecido de hecho, hayan dejado de existir legalmente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, como resultado de lo cual asume los derechos y las obligaciones del exportador de datos, en cuyo caso el titular de los datos puede aplicarlas contra dicha entidad. Dicha responsabilidad civil del subprocesador se limitará a sus propias operaciones de procesamiento conforme a las Cláusulas

4. Las partes no se oponen a que el titular de los datos esté representado por una asociación u otras entidades, si así lo desea expresamente y lo permite la legislación nacional.

El exportador de datos acuerda y garantiza:

(a) que el procesamiento de los datos personales, incluida la transferencia en sí, se ha realizado y seguirá realizándose de conformidad con las disposiciones pertinentes de la legislación aplicable sobre protección de datos (y, donde corresponda, se ha notificado a las autoridades correspondientes del Estado Miembro del exportador de datos) y no infringe las disposiciones pertinentes de ese Estado;

(b) que se ha indicado y durante el período de duración de los servicios de procesamiento de datos personales se indicará al importador de datos que procese los datos personales transferidos únicamente en nombre del exportador de datos y de acuerdo con la legislación aplicable sobre protección de datos y las Cláusulas;

(c) que el importador de datos ofrecerá garantías suficientes en relación con las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;

(d) que después de la evaluación de los requisitos de la legislación aplicable sobre protección de datos, las medidas de seguridad son adecuadas para proteger los datos personales contra su destrucción accidental o ilícita o contra la pérdida accidental, la alteración, la revelación o el acceso no autorizado, especialmente donde el procesamiento implica la transmisión de datos a través de una red, y contra cualquier otra forma de procesamiento ilícita, y que estas medidas garantizan un nivel de seguridad apropiado para los riesgos que presenta el procesamiento y la naturaleza de los datos que deben protegerse, teniendo en cuenta la vanguardia y el costo de su implementación;

(e) que garantizará el cumplimiento de las medidas de seguridad;

(f) que, si la transferencia implica categorías especiales de datos, el titular de los datos ha sido informado o será informado antes, o tan pronto como sea posible después de la transferencia, de que sus datos podrían transferirse a un tercer país sin la protección adecuada dentro del significado de la Directiva 95/46/CE;

(g) reenviar cualquier notificación recibida por parte del importador de datos o de cualquier subprocesador conforme a la Cláusula 5(b) y la Cláusula 8(3) a la autoridad supervisora de protección de datos, si el exportador de datos decide continuar la transferencia o levantar la suspensión;

(h) pondrá a disposición de los titulares de datos, previa solicitud, una copia de las Cláusulas, con la excepción del Apéndice 2 y una breve descripción de las medidas de seguridad como así también una copia de cualquier contrato de servicios de subprocesamiento que se realizará de acuerdo con las Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

(i) que, en caso de subprocesamiento, esta actividad la realiza un subprocesador de acuerdo con la Cláusula 11 que proporcionará al menos, el mismo nivel de protección de los datos personales y los derechos del titular de los datos que el importador de datos en virtud de las Cláusulas; y

(j) que garantizará el cumplimiento con la Cláusula 4(a) a (i).

El importador de datos acuerda y garantiza:

(a) procesar los datos personales solo en nombre del exportador de datos y en cumplimiento de sus instrucciones y las Cláusulas; si por cualquier motivo no puede cumplir, acepta informar oportunamente al exportador de datos de su incapacidad, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

(b) que no tiene motivos para creer que la legislación aplicable a la misma le impide cumplir con las instrucciones recibidas del exportador de datos y con sus obligaciones en virtud del contrato y, que en caso de un cambio en esta legislación, que podría tener un efecto adverso sustancial sobre las garantías y obligaciones estipuladas en las Cláusulas, se notificará oportunamente al exportador de datos, tan pronto como tenga conocimiento, en cuyo caso el exportador de datos tiene derecho a suspender la transferencia de datos y/o rescindir el contrato;

(c) que tiene implementada las medidas de seguridad técnicas y organizativas que se especifican en el Apéndice antes de procesar los datos personales transferidos;

(d) que notificará inmediatamente al exportador de datos sobre:

(i) cualquier solicitud legalmente vinculante que realice una autoridad encargada de la aplicación de la ley para revelar los datos personales, a menos que se prohíba, por ejemplo, en virtud de la legislación penal para mantener la confidencialidad de una investigación judicial;

(ii) todo acceso accidental o no autorizado; y

(iii) cualquier solicitud recibida directamente de los titulares de los datos, sin responder a esa solicitud, a menos que de otro modo se haya autorizado;

(e) tratar en tiempo y forma y de manera adecuada todas las consultas del exportador de datos relacionadas con el procesamiento de los datos personales sujetos a la transferencia y cumplir con el asesoramiento de la autoridad supervisora con referencia al procesamiento de los datos transferidos;

(f) a petición del exportador de datos, presentar sus instalaciones de procesamiento de datos para la realización de auditorías de las actividades de procesamiento incluidas en las Cláusulas, las cuales deberá realizar el exportador de datos o un organismo de inspección integrado por miembros independientes con las calificaciones profesionales necesarias, vinculados por un deber de confidencialidad y seleccionados por el exportador de datos, donde corresponda, de común acuerdo con la autoridad supervisora;

(g) a petición de los titulares de los datos, poner a su disposición una copia de las Cláusulas, o de cualquier contrato existente para el subprocesamiento, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar esa información comercial, a excepción del Apéndice 2 que será reemplazado por una descripción resumida de las medidas de seguridad en los casos en que el titular de los datos no pueda obtener una copia del exportador de datos;

(h) que en caso de subprocesamiento, se ha informado previamente al exportador de datos y se ha obtenido su consentimiento previo por escrito;

(i) que los servicios de procesamiento del subprocesador se realizarán de acuerdo con la Cláusula 11;

(j) enviar sin demora al exportador de datos una copia de cualquier contrato de subprocesamiento pactado en virtud de las cláusulas.

(k) que tendrá a su cargo defender, indemnizar y exonerar al exportador de datos contra toda responsabilidad y pérdida relacionada con toda pérdida, revelación no autorizada, robo o compromiso de datos personales y cualquier otro incumplimiento de la legislación aplicable sobre protección de datos por o desde el importador de datos.

1. Las partes aceptan que cualquier titular de los datos que haya sufrido daños como resultado de algún incumplimiento de las obligaciones previstas en la Cláusula 3 o en la Cláusula 11 por parte de cualquiera de las partes o del subprocesador tiene derecho a percibir una indemnización del exportador de datos por el daño sufrido.

2. Si, de acuerdo con el apartado 1, el titular de datos no puede presentar un reclamo de indemnización contra el exportador de datos por incumplimiento de cualquiera de sus obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por parte del importador de datos o de su subprocesador, debido a que el exportador ha desaparecido de hecho, ha dejado de existir legalmente o se ha vuelto insolvente, el importador de datos acepta que el titular de los datos pueda presentar una reclamación contra él como si fuera el exportador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos por contrato o por procedimiento legal, en cuyo caso el titular de los datos podrá exigir el cumplimiento de sus derechos a esa entidad.
   
   El importador de datos no puede alegar el incumplimiento de obligaciones del subprocesador con el fin de evitar sus propias responsabilidades.

3. Si el titular de los datos no puede presentar contra el exportador de datos o el importador de datos la demanda a la que se refieren los apartados 1 y 2, por incumplimiento de cualquiera de las obligaciones a las que se hace referencia en la Cláusula 3 o en la Cláusula 11 por parte del subprocesador, porque tanto el exportador de datos como el importador de datos han desaparecido de hecho, han dejado de existir legalmente o son insolventes, el subprocesador acepta que el titular de los datos pueda demandarle con relación a sus propias operaciones de procesamiento en virtud de las Cláusulas como si fuera el exportador de datos o el importador de datos, a menos que alguna entidad sucesora haya asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por procedimiento legal, en cuyo caso el titular de los datos podrá exigir el cumplimiento de sus derechos a esa entidad. La responsabilidad del subprocesador se limitará a sus propias operaciones de procesamiento en virtud de las Cláusulas.

1. El importador de datos acepta que si el titular de los datos invoca en su contra los derechos de tercero beneficiario y/o reclama indemnización por daños conforme a las Cláusulas, el importador de datos aceptará la decisión del titular de los datos:
   
   (a) someter el conflicto a mediación de una persona independiente o, donde corresponda, de una autoridad supervisora;
   
   (b) someter el conflicto a los tribunales del Estado miembro donde esté establecido el exportador de datos.

2. Las partes aceptan que la elección hecha por el titular de los datos no va a afectar sus derechos sustantivos o procedimentales a obtener soluciones de acuerdo con otras disposiciones del derecho nacional o internacional.

1. El exportador de datos acepta depositar una copia de este contrato ante la autoridad supervisora si así se lo solicita o si lo exige la ley de protección de datos aplicable.

2. Las partes aceptan que la autoridad supervisora tiene el derecho de llevar a cabo una auditoría del importador de datos y de cualquier subprocesador, que tenga el mimo alcance y esté sujeta a las mismas condiciones que se aplicarían a una auditoría del exportador de datos en virtud de la legislación aplicable sobre protección de datos.

3. El importador de datos informará inmediatamente al exportador de datos sobre la existencia de leyes aplicables a él o a cualquier subprocesador para evitar la realización de una auditoría del importador de datos o de cualquier subprocesador, conforme al apartado 2. En este caso, el exportador de datos tendrá derecho a tomar las medidas previstas en la Cláusula 5 (b).

Las Cláusulas se regirán por la legislación del Estado Miembro donde esté establecido el exportador de datos o cuando el exportador de datos esté establecido en múltiples jurisdicciones, se regirán por la legislación de Inglaterra y Gales.

Las partes se comprometen a no variar o modificar las Cláusulas. Esto no excluye que las partes añadan cláusulas sobre temas relacionados con sus negocios en caso necesario y siempre que no contradigan la Cláusula.

1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento realizadas en nombre del exportador de datos en virtud de las Cláusulas, sin el consentimiento previo por escrito del exportador de datos. Cuando el importador de datos subcontrate sus obligaciones en virtud de las Cláusulas, con el consentimiento del exportador de datos, lo hará solo por medio de un contrato escrito con el subprocesador, en el que se impongan las mismas obligaciones al subprocesador que las impuestas al importador de datos en virtud de las Cláusulas. Cuando el subprocesador no cumpla con sus obligaciones de protección de datos en virtud de dicho contrato por escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos por el cumplimiento de las obligaciones del subprocesador en virtud de dicho contrato.

2. El contrato previo por escrito entre el importador de datos y el subprocesador también deberá establecer una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3, para los casos en que el titular de los datos no pueda interponer la demanda de indemnización a la que se refiere el apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos debido a que han desaparecido de hecho, cesado de existir legalmente o se han vuelto insolventes, y ninguna entidad sucesora ha asumido la totalidad de las obligaciones legales del exportador de datos o del importador de datos por contrato o por procedimiento legal. Dicha responsabilidad civil del subprocesador se limitará a sus propias operaciones de procesamiento conforme a las Cláusulas

3. Las disposiciones sobre aspectos de la protección de datos en caso de subcontratación de operaciones del contrato al que se refiere el apartado 1 se regirán por la legislación del Estado miembro del exportador de datos.

4. El exportador de datos conservará una lista de los contratos de subprocesamiento finalizados conforme a las Cláusulas y notificados por el importador de datos conforme a la Cláusula 5(j), que se actualizará por lo menos una vez al año. La lista estará a disposición de la autoridad supervisora de protección de datos del exportador de datos.

1. Las partes aceptan que, una vez finalizada la prestación de los servicios de procesamiento de datos, el importador de datos y el subprocesador deberán, a criterio del exportador, devolver todos los datos personales transferidos y sus copias al exportador de datos o deberán destruir todos los datos personales y certificar esta circunstancia al exportador, a menos que la legislación aplicable impuesta al importador de datos le impida devolver o destruir total o parcialmente los datos personales transferidos. En ese caso, el importador de datos garantizará la confidencialidad de los datos personales transferidos y dejará de procesarlos activamente.

2. El importador de datos y el subprocesador garantizan que a petición del exportador de datos y/o de la autoridad supervisora, presentará sus instalaciones de procesamiento de datos para realizar la auditoría de las medidas a las que se hace referencia en el apartado 1.

La información adicional necesaria que no está incluida en la Declaración de trabajo (SOW) adjunta se deberá incluir en este Apéndice:

Exportador de datos:
El exportador de datos es la entidad identificada como GoDaddy, un proveedor del programa de revendedor para que el importador de datos revenda determinados productos y servicios de GoDaddy a los clientes.

Importador de datos:

El importador de datos es un revendedor de los productos y servicios de GoDaddy.

Titulares de los datos

Los titulares de los datos son clientes.

Categorías de datos

Los datos personales transferidos afectan a las siguientes categorías de datos:

El cliente puede enviar datos personales a los Servicios que pueden incluir, entre otras, las siguientes categorías de datos personales:

• Nombre y apellido
• Correo electrónico
• Número telefónico
• Dirección física
• Operaciones de procesamiento

Los datos personales transferidos estarán sujetos a las siguientes actividades básicas de procesamiento:

El Revendedor procesará los datos personales necesarios para realizar los Servicios conforme al Contrato de Revendedor y según lo indicado más adelante por el cliente durante el uso que haga de los Servicios.

Medidas de seguridad técnicas y organizativas

El importador de datos mantendrá medidas de seguridad técnicas y administrativas para proteger la seguridad, confidencialidad e integridad de los datos del cliente, incluidos los Datos Personales, tal como se indica en esta Adenda sobre Procesamiento de Datos. El Importador de Datos controlará regularmente el cumplimiento de estas protecciones. El Importador de Datos no reducirá materialmente la seguridad general de los Servicios o del Programa de Revendedor.