Cliente EU&UK DPA - Veritas Int

ACUERDO DE PROTECCIÓN DE DATOS

Por favor, lea este documento en su totalidad, rellene sus datos y los datos de su empresa en la parte inferior de este documento y confirme que está de acuerdo con el Acuerdo de Procesamiento de Datos (DPA) de Veritas Intercontinental. Si tiene alguna pregunta en relación con este APD, envíe un correo electrónico a dpo@veritasint.com.

El presente Acuerdo de Protección de Datos y cualesquiera apéndices o anexos aplicables (denominados conjuntamente «APD») se establece entre XXXXXXXXXXX («el Responsable del tratamiento»), y VERITAS INTERCONTINENTAL SL (el Encargado del tratamiento).

El Responsable del tratamiento es responsable de garantizar que todos los requisitos adicionales previstos en las Leyes de privacidad aplicables se incluyan en el presente APD o se traten de otro modo con el Encargado del tratamiento por escrito, a fin de garantizar que el Responsable del tratamiento pueda cumplir sus obligaciones de protección de datos con arreglo a las Leyes de Privacidad Aplicables. Si tiene alguna pregunta en relación con este APD, envíe un correo electrónico a dpo@veritasint.com

De acuerdo con la Guía para profesionales del sector sanitario de la Agencia Española de Protección de Datos (AEDP), el Encargado del Tratamiento será responsable del tratamiento de los datos personales de los participantes en las pruebas, derivados de los análisis clínicos que realice, pudiendo ser considerado Responsable del tratamiento de determinados datos sanitarios y genéticos que trate. El presente APD se aplica cuando Veritas Intercontinental SL actúa en calidad de Encargado del tratamiento para el Responsable del tratamiento.

General. En la prestación de los Servicios (tal y como se establece en el Anexo 1), el Encargado del tratamiento tratará datos (incluidos Datos personales) del Responsable del tratamiento o bajo su dirección. El presente APD se aplica al Responsable del tratamiento y a sus Afiliados, y las referencias que en él se hacen al Responsable del tratamiento se aplican con igual fuerza y efecto a los Afiliados del Responsable del tratamiento como si dicho Afiliado hubiera suscrito el presente APD. Cuando los conceptos de Responsable del tratamiento y Encargado del tratamiento no estén expresamente contemplados en las Leyes de privacidad aplicables, las obligaciones de las Partes en relación con el presente APD se interpretarán con arreglo a dichas Leyes de privacidad aplicables de modo que se ajusten lo más posible al ámbito de dichas funciones, sin dejar de cumplir plenamente dichas Leyes de privacidad aplicables.
Definiciones.

Por «Leyes de privacidad aplicables» se entenderán todas las leyes de protección de datos, privacidad o seguridad de la información aplicables (incluidos los códigos y normativas u otras restricciones legalmente vinculantes) que rijan el Tratamiento de los Datos personales y que sean aplicables o exigidas por (i) la(s) Ubicación(es) de Tratamiento identificada(s) en el presente APD, (ii) la(s) jurisdicción(es) en la(s) que se encuentra(n) el Encargado del tratamiento o sus Subencargados o (iii) la(s) jurisdicción(es) en la(s) que se encuentran los Sujetos de datos. Esto incluye, en su caso, pero no se limita a las Leyes Europeas de Privacidad.

Por «Responsable del tratamiento» se entiende la persona física o jurídica que, sola o conjuntamente con otras, determina los fines y medios del Tratamiento de Datos personales.

Por «Autoridad de protección de datos» o «Autoridades de protección de datos» se entenderá el organismo (o los organismos) competente(s) en la jurisdicción pertinente encargado(s) de la aplicación de las Leyes de privacidad aplicables.

Por «Sujeto de datos» se entenderá la persona física identificada o identificable que es objeto de Datos personales/Información personal y que está protegida en virtud de las Leyes de privacidad aplicables.

Por «Leyes europeas de privacidad» se entenderá: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) («RGPD»); (ii) el RGPD incorporado a la legislación nacional del Reino Unido de conformidad con la Sección 3 de la Ley de la Unión Europea (Retirada) de 2018 («RGPD del Reino Unido»); (iii) la Directiva 2002/58/CE de la UE sobre privacidad y comunicaciones electrónicas; y (iv) cualquier ley del Estado miembro de la UE o del Reino Unido elaborada en virtud o de conformidad con los puntos (i) – (iii); en cada caso, según se modifique, sustituya o reemplace de vez en cuando.

Por «Pedido» se entenderá cada uno de los Pedidos ejecutados de mutuo acuerdo.

Por «Transferencia permitida» se entenderá que las Leyes europeas de privacidad no exigen las CCS o una solución de transferencia alternativa para tratar los Datos personales del Responsable o transferirlos a un país adecuado.

Por «Datos personales/Información personal» se entiende la información que identifica, se refiere, describe, puede razonablemente asociarse o podría razonablemente vincularse, directa o indirectamente, con una persona física («Sujeto de datos») o un hogar. Los Datos personales incluyen, entre otros, identificadores como el nombre real, el seudónimo, la dirección de correo, el identificador personal único, el identificador en línea, la dirección de IP, la dirección de correo electrónico, el nombre de la cuenta, el número de la seguridad social, el número del carné de conducir, el número del pasaporte u otros identificadores similares; información biométrica y datos genéticos; información sobre la actividad en Internet u otras redes electrónicas, incluidos, entre otros, el historial de navegación, el historial de búsqueda y la información relativa a la interacción de un consumidor con una aplicación de un sitio web de Internet.

Por «Encargado del tratamiento» se entenderá toda persona física o jurídica que trate datos personales por cuenta del Responsable del tratamiento o de otro Encargado del tratamiento.

Por «Tratamiento» o «Proceso» se entenderá cualquier operación o conjunto de operaciones que se realicen con Datos personales o conjuntos de Datos personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción.

Por «Instrucciones de tratamiento» se entenderán las instrucciones escritas de los Responsables del tratamiento (incluidos, entre otros, los términos contenidos en cualquier Pedido y en el presente APD) que rigen el Tratamiento de Datos personales por parte del Encargado del tratamiento.

Por «Lugar de tratamiento» se entenderá el lugar o los lugares en los que está establecido el Responsable del tratamiento o cualquier Filial del Responsable del tratamiento a la que se aplique el presente APD, así como cualquier país en el que el Encargado del tratamiento o sus Subencargados traten Datos personales, incluidas, a título meramente enunciativo y no limitativo, las jurisdicciones expresamente autorizadas en el presente APD.

Por «Transferencias restringidas» se entenderá que la transferencia de Datos personales del Responsable del tratamiento no es una Transferencia permitida, y que, por tanto, se aplican las Leyes europeas de privacidad a dichas transferencias.

Por las «CCS» se entenderá: (i) cuando se aplique el RGPD, las cláusulas contractuales tipo anexas a la Decisión (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021 («CCS de la UE»); y (ii) cuando se aplique el RGPD del Reino Unido, las cláusulas tipo de protección de datos para encargados del tratamiento adoptadas de conformidad con el Artículo 46 del RGPD del Reino Unido o permitidas en virtud del mismo («CCS del Reino Unido»); en cada caso, según puedan ser modificadas, sustituidas o reemplazadas de vez en cuando. Por «Incidente de seguridad» se entenderá que los Datos personales han sido objeto de: (A) tanto (i) un incidente en los sistemas por el que se haya tenido acceso a los Datos personales del Responsable del tratamiento o hayan sido adquiridos por una o varias partes no autorizadas o por el Responsable del tratamiento incumpliendo lo dispuesto en el presente APD; y (ii)

cuando el riesgo de daño a los Sujetos de datos justifique la notificación a los Sujetos de datos. A fin de evitar dudas, «un incidente en los sistemas» incluye, entre otros: el uso indebido, la pérdida, la destrucción o el acceso, la recopilación, la retención, el almacenamiento o la transferencia no autorizados.

Por «Servicios» se entenderán todos y cada uno de los servicios que el Encargado del tratamiento preste o permita que los sistemas y la tecnología del Encargado del tratamiento presten en virtud del presente APD y/o de cualquier Pedido.

Por «Subencargado del tratamiento» se entenderá un tercero encargado del tratamiento contratado por un Encargado del tratamiento que tenga o vaya a tener acceso a los datos personales de un Responsable del tratamiento o los vaya a tratar.

3. Detalles del Tratamiento de Datos personales. Los detalles del Tratamiento de Datos personales (objeto, duración, finalidad, naturaleza del tratamiento, categorías de Datos personales y Sujetos de datos) figuran en el Anexo 1.

4. Cumplimiento. Cada una de las Partes declara y garantiza que cumplirá, en todo momento durante la vigencia del presente APD y mientras la Parte conserve los Datos personales, todas las Leyes de privacidad aplicables. El Responsable del tratamiento garantiza expresamente que ha obtenido u obtendrá todos los consentimientos y/o notificaciones legalmente necesarios para autorizar y contratar al Encargado del tratamiento para que trate los Datos personales de conformidad con las Instrucciones de tratamiento del Responsable del tratamiento. El Encargado del tratamiento conservará y tratará los Datos personales durante un plazo no superior al necesario para prestar los Servicios o durante el tiempo que las Leyes de privacidad aplicables le exijan conservar y tratar los Datos personales. El Encargado del tratamiento acepta que no adquirirá ningún derecho o interés sobre los Datos personales y que no utilizará los Datos personales para ningún otro fin que no sea la prestación de los Servicios y únicamente de conformidad con las instrucciones de Tratamiento del Responsable. El Encargado del tratamiento informará oportunamente al Responsable del tratamiento si, en su opinión, las Instrucciones de tratamiento del Responsable del tratamiento infringen o violan de otro modo las Leyes de privacidad aplicables y si el Encargado del tratamiento tiene conocimiento de que los Datos personales que está tratando son inexactos o han quedado obsoletos. A petición del Responsable del tratamiento, el Encargado del tratamiento cooperará sin demora con el Responsable del tratamiento para que éste pueda cumplir las obligaciones que le incumben en virtud de las Leyes de privacidad aplicables, incluida la asistencia al Responsable del tratamiento para responder a las solicitudes de los Sujetos de datos, ejerciendo sus derechos en virtud de las Leyes de privacidad aplicables. El Encargado del tratamiento informará inmediatamente al Responsable del tratamiento si ha recibido una solicitud de este tipo directamente del Sujeto de datos. El Encargado del tratamiento asistirá al Responsable del tratamiento en el cumplimiento de la obligación del Responsable del tratamiento de llevar a cabo una Evaluación del impacto sobre la privacidad de los datos, incluida, en su caso, la consulta previa a la Autoridad de protección de datos pertinente.

5. Transferencias internacionales. Los Datos personales serán almacenados y tratados en el EEE por el Encargado del tratamiento y sus subencargados. Cuando el Encargado del tratamiento desee transferir y tratar Datos personales a un país distinto de aquel en el que se recopilaron por primera vez, el Encargado del tratamiento adoptará en primer lugar las medidas necesarias para garantizar que la transferencia se realice de conformidad con las Leyes de privacidad aplicables. Dichas medidas pueden incluir (sin limitación) la transferencia de los Datos personales a un destinatario que haya ejecutado las CCS aplicables o la transferencia de los Datos personales a un destinatario que haya ejecutado un contrato con el Encargado del tratamiento que garantice que los Datos personales estarán protegidos según el estándar exigido por las Leyes de privacidad aplicables.

6. Cláusulas Contractuales Tipo. En la medida en que la transferencia de Datos personales del Responsable del tratamiento al Encargado del tratamiento implique una Transferencia restringida, las partes acuerdan someterse a las Cláusulas contractuales tipo correspondientes, tal como se indica a continuación:

a) en relación con los Datos que están protegidos por el RGPD de la UE, las CCS de la UE se aplicarán completadas de la siguiente manera:

(i)se aplicará el Módulo 2;

(ii) en la cláusula 7, se aplicará la cláusula de acoplamiento opcional;

(iii) en la Cláusula 9, se aplicará la Opción 2, y el plazo de notificación previa de los cambios de subencargado será el establecido en la Cláusula 9.1 del presente APD;

(iv) en la Cláusula 17, se aplicará la Opción 1, y las CCS de la UE se regirán por las leyes aplicables de los estados miembros;

(v) en la Cláusula 18(b), los litigios se resolverán ante los tribunales de Irlanda;

(vi) el Anexo I de las CCS de la UE se considerará completado con la información establecida en el Anexo 1 del presente APD;

(vii) el Anexo II de las CCSC de la UE se considerará completado con la información que figura en el Anexo 2 del presente APD; y

(viii) el Anexo III de las CCSC de la UE se considerará completado con la información establecida en el Anexo 3 del presente APD;

(b) en relación con los Datos que están protegidos por el RGPD del Reino Unido, las CCS del Reino Unido se aplicarán completadas de la siguiente manera:

(i) Mientras esté legalmente permitido basarse en las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidas en la Decisión 2010/87/UE de la Comisión Europea, de 5 de febrero de 2010 («CCS previas C2P»), para las transferencias de datos personales desde el Reino Unido, las CCS previas C2P se aplicarán entre el responsable y el encargado del tratamiento con arreglo a lo siguiente:

a. el Apéndice 1 se cumplimentará con la información pertinente que figura en el Anexo 1 del presente APD;

b. el Apéndice 2 se cumplimentará con la información pertinente que figura en el Anexo 2 del presente APD; y

c. no se aplicará la Cláusula de indemnización ilustrativa opcional.

(ii) Cuando la subcláusula (b)(i) anterior no se aplique, pero el Responsable y el Encargado del tratamiento estén legalmente autorizados a basarse en las cláusulas contractuales tipo de la UE para las transferencias de datos personales desde el Reino Unido sujetas a la cumplimentación del «Apéndice del Reino Unido a las cláusulas contractuales tipo de la UE» («Apéndice del Reino Unido») emitido por la Oficina del Comisionado de Información en virtud de la s.119A(1) de la Ley de Protección de Datos de 2018, entonces:

A. Las CCS de la UE también se aplicarán a las transferencias de dichos Datos, con sujeción a la subcláusula (B) siguiente;

B. El Apéndice del Reino Unido se considerará ejecutado entre el Responsable y el Encargado del tratamiento transferentes, las CCS de la UE se considerarán modificadas según lo especificado por el Apéndice del Reino Unido con respecto a la transferencia de dichos Datos del Responsable.

C. Si no se aplica ni la subcláusula (b)(i) ni la subcláusula (b)(ii), entonces el Responsable y el Encargado del tratamiento cooperarán de buena fe para implementar las garantías adecuadas para las transferencias de dichos Datos según lo requerido o permitido por el RGPD del Reino Unido sin demoras indebidas.

c) en caso de que cualquier disposición del presente APD contradiga, directa o indirectamente, las Cláusulas contractuales tipo, prevalecerán las Cláusulas contractuales tipo.

7. Confidencialidad del tratamiento. El Encargado del tratamiento se asegurará de que toda persona a la que autorice a tratar los Datos personales del Responsable sepa que los Datos personales del Responsable son información confidencial del Responsable y están sujetos a las obligaciones de confidencialidad, no utilización y no divulgación establecidas en el presente APD. El Encargado del tratamiento velará por que el tratamiento de los Datos personales del Responsable se realice únicamente en la medida necesaria para la Finalidad.

8. Seguridad, conservación y eliminación. El Encargado del tratamiento aplicará las medidas técnicas y organizativas adecuadas a la naturaleza de los Datos personales para proteger los Datos personales frente a un Incidente de seguridad y para preservar la seguridad, integridad y confidencialidad de los Datos personales, cuyas políticas, prácticas y procedimientos deberán cumplir todas las Leyes de privacidad aplicables. Como mínimo, dichas medidas incluirán las medidas identificadas en el Anexo 2 («Medidas de Seguridad»). El Encargado del tratamiento se compromete a mantener las Medidas de seguridad bajo revisión y a actualizarlas cuando sea necesario para que sigan siendo adecuadas, siempre que dichas actualizaciones y modificaciones no supongan una disminución de la seguridad general. El Encargado del tratamiento limitará el acceso a su personal y a los Subencargados del tratamiento únicamente cuando sea necesario. El Encargado del tratamiento cumplirá todos los requisitos de conservación y eliminación (o destrucción) de datos en virtud del presente APD y de las Leyes de privacidad aplicables. Los miembros del grupo del Encargado del tratamiento aplicarán las medidas técnicas y organizativas adecuadas y estarán sujetos a las mismas obligaciones de protección de datos que el Encargado del tratamiento.

9. Subtratamiento. El Encargado del tratamiento no contratará a Subencargados para tratar los Datos Personales sin el consentimiento previo por escrito del Responsable del tratamiento. No obstante lo dispuesto en la frase anterior, el Responsable del tratamiento consiente y otorga por la presente su autorización general por escrito al Encargado para contratar a Subencargados que traten los Datos personales para la Finalidad, siempre que:

9.1 El Encargado del tratamiento notifique con una antelación razonable de al menos 30 días la propuesta de incorporación o sustitución de cualquier Subencargado del tratamiento, a fin de permitir al Responsable del tratamiento plantear

cualquier objeción razonable por motivos de protección de datos; y

9.2 El Encargado del tratamiento imponga condiciones de protección de datos a cualquier Subencargado del tratamiento que contrate que garanticen como mínimo el mismo nivel de protección previsto en el presente APD, y el Encargado del tratamiento siga siendo responsable de cualquier infracción de lo dispuesto en el presente APD causada por una acción, error u omisión de sus Subencargados del tratamiento.

9.3 Los actuales Subencargados del Encargado del tratamiento se identifican en el Anexo 3. El Responsable del tratamiento podrá oponerse a la incorporación o sustitución de cualquier Subencargado por motivos razonables relacionados con la protección de datos, y el Encargado del tratamiento actuará de buena fe para resolver dicha objeción, incluido el respeto de cualquiera de los derechos del Responsable del tratamiento en virtud de las Leyes de privacidad aplicables.

10. Notificación y auditoría. Si el Encargado del tratamiento tiene conocimiento o motivos para creer que se ha producido un Incidente de seguridad relacionado con los Datos personales de los Sujetos de datos o que afecta a los mismos, el Encargado del tratamiento lo notificará al Responsable del tratamiento sin demora indebida. El Encargado del tratamiento cooperará con el Responsable del tratamiento y le prestará asistencia para que éste pueda cumplir las obligaciones que le incumben en virtud de todas las Leyes de privacidad aplicables, incluidas las relativas a los requisitos de notificación. El Responsable del tratamiento tendrá derecho, previa solicitud por escrito, a auditar las políticas, procedimientos y prácticas del Encargado del tratamiento utilizadas para mantener la privacidad, seguridad y confidencialidad de los Datos personales. A menos que las partes acuerden otra cosa por escrito o que lo exijan las Leyes de privacidad aplicables, dicha respuesta de auditoría consistirá en documentación escrita al respecto, incluida la información relativa a cualquier auditoría independiente realizada por terceros de los sistemas, procesos, políticas, prácticas y procedimientos del Encargado del tratamiento, de los miembros del grupo del Encargado del tratamiento o de los Subencargados del tratamiento. Salvo en el caso de un Incidente de seguridad, las auditorías del Responsable del tratamiento en virtud de la presente Sección se limitarán a una vez por período renovable de doce (12) meses.

11. Orden de precedencia y otros documentos. En caso de conflicto entre los términos y condiciones de este APD y cualquier Pedido, los términos y condiciones de este APD prevalecerán sobre los términos en conflicto. Cuando no exista conflicto, el presente APD tiene por objeto complementar cualquier Pedido(s) con respecto al objeto del mismo.

12. Varios. El presente APD permanecerá en vigor hasta que el Encargado del tratamiento elimine y/o procure la eliminación de todos los Datos personales tratados por él, y expirará automáticamente. La relación entre las Partes es y seguirá siendo la de contratistas independientes y nada de lo aquí dispuesto se considerará o interpretará como la creación de una relación empleador/empleado, empresa conjunta, agencia, fideicomiso, fiduciaria o de otro tipo entre las Partes. El presente APD, sus Anexos, las CCS y todos los Pedidos representan el entendimiento y acuerdo íntegros entre las Partes en lo relativo al objeto del presente documento, y sustituyen a cualesquiera condiciones anteriores en materia de privacidad y protección de datos. Salvo lo dispuesto específicamente en el presente APD, éste sólo podrá modificarse, alterarse, renunciarse, cancelarse o cambiarse mediante acuerdo mutuo por escrito firmado por ambas Partes. Cada una de las Partes reconoce que no existen otras promesas, representaciones o garantías de ningún tipo, ya sea por una Parte, su Afiliado, sus Subencargados y cada uno de sus empleados, contratistas, funcionarios, directores y agentes o abogados de dicha Parte, y reconoce que no ha ejecutado ni autorizado la ejecución del presente APD basándose en ninguna de dichas promesas, representaciones o garantías, que no estén expresamente recogidas en el presente APD.

Anexo 1

Categorías de sujetos de datos cuyos Datos personales se tratan	Miembros de la plantilla del Responsable del tratamiento, y pacientes del Responsable del tratamiento (es decir, sujetos de datos individuales que participan en las pruebas).
Categorías de Datos personales tratados	Datos personales necesarios para prestar los servicios previstos en el Acuerdo, incluidos datos personales como el nombre, la fecha de nacimiento, el sexo, los datos de contacto como la dirección, la dirección de correo electrónico, el número de teléfono y los datos laborales, en caso de que sean necesarios para prestar los servicios.
Datos sensibles tratados (si procede) a los que se aplican restricciones o garantías que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que implican, como, por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso exclusivo del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias ulteriores o medidas de seguridad adicionales	Datos sanitarios (datos de categoría especial) y genéticos. En caso de que sea necesario para la prestación de los servicios, también podrán tratarse datos relativos a la raza, la etnia y la vida sexual. Las garantías y restricciones para asegurar la protección de estos datos se establecen en este Acuerdo y en el Anexo 2.
Naturaleza del tratamiento	Pruebas sanitarias y genéticas. El tratamiento se lleva a cabo para facilitar la prestación de los Servicios documentados en el Acuerdo correspondiente.
Finalidad o finalidades para las que se tratan los Datos personales por cuenta del Responsable del tratamiento	Pruebas sanitarias y genéticas. El tratamiento se lleva a cabo para facilitar la prestación de los Servicios documentados en el Acuerdo correspondiente.
Duración del tratamiento	El tratamiento continuará hasta la fecha posterior en que el Acuerdo se rescinda de conformidad con sus condiciones y haya expirado cualquier plazo de preaviso o período transitorio prescrito por dicho Acuerdo y el Encargado del tratamiento ya no esté sujeto a un requisito legal o normativo aplicable para seguir almacenando Datos personales. El Encargado del tratamiento conservará los datos cuando tenga base legal para hacerlo en virtud de las leyes y normativas aplicables, incluso cuando actúe como Responsable del tratamiento. El tratamiento se llevará a cabo con la frecuencia requerida para evaluar a los Sujetos de datos que participen a petición del Responsable del tratamiento o del Sujeto de datos individual.
Para el tratamiento por (sub)encargados del tratamiento, especifique también objeto, naturaleza y duración del tratamiento	Conforme a lo anterior, con el único fin de apoyar al Encargado del tratamiento en la prestación de los servicios previstos en el presente Acuerdo

Anexo 2

Medidas de seguridad técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos

Veritas Intercontinental prioriza la privacidad y la seguridad de toda la información que procesamos en nombre de nuestros clientes como Encargado del tratamiento, o que procesamos en nuestra calidad de Responsable del tratamiento. Nos comprometemos a cumplir con todas las leyes y normativas de privacidad y seguridad aplicables, incluido el Reglamento General de Protección de Datos de la UE («RGPD»), la Ley de Protección de Datos del Reino Unido de 2018 y otras leyes de privacidad globales. Esto incluye mantener un programa de privacidad y seguridad para todo el grupo que esté en consonancia con los requisitos de las leyes globales de privacidad y seguridad y los estándares de la industria, donde se nos apliquen. Existen Medidas técnicas y organizativas para proteger la confidencialidad, integridad y disponibilidad de los Datos personales protegidos en virtud del presente Acuerdo, incluyendo (sin limitación) políticas, procedimientos y controles operativos para garantizar:

Gestión de programas de la seguridad de la información
Protección de puntos finales
Seguridad para soportes portátiles
Seguridad para dispositivos móviles
Seguridad inalámbrica
Gestión de la configuración
Gestión de vulnerabilidades
Protección de la red
Protección de las transmisiones
Gestión de contraseñas
Gestión de accesos
Registro y supervisión de auditorías
Educación, formación y concienciación
Garantía de terceros (incluida la garantía de privacidad y seguridad adecuadas de los subencargados)
Gestión y respuesta a incidentes, incluido el cumplimiento de las obligaciones de notificación de infracciones
Continuidad de la actividad y recuperación en caso de catástrofe
Gestión del riesgo
Seguridad física y ambiental

Las áreas temáticas que aborda nuestro programa de privacidad incluyen (sin limitación):

Formación y talleres sobre protección de datos personales
Privacidad desde el diseño y por defecto
Registro de las actividades de tratamiento de datos
Aviso de privacidad y gestión del consentimiento
Realización de evaluaciones de impacto sobre la privacidad de los datos
Gestión de riesgos y contratos de terceros
Revisión y seguridad de las transferencias transfronterizas de datos
Gestión del Programa de solicitudes de derechos de los Sujetos de datos
Programas de gestión y respuesta ante incidentes
Procedimientos de notificación de incidentes

Estas medidas garantizan la seguridad y el tratamiento conforme de los Datos personales en virtud del presente Acuerdo

Anexo 3

Subencargados

Nombre de la entidad	Descripción del proceso	Ubicación
AWS	Almacenamiento de datos en la nube	EU
Microso Azure	Almacenamiento de datos en la nube	EU
Fulgent Genetics	Pruebas genéticas de portadores	EU

Apéndice del Reino Unido

Cláusulas tipo de protección de datos que publicará el Comisionado en virtud de S119A(1) Ley de protección de datos de 2018 Apéndice de transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión de la UE

VERSIÓN B1.0, en vigor el 21 de marzo de 2022

Este apéndice ha sido publicado por el Comisionado de Información para las partes que realizan Transferencias restringidas. El Comisionado de Información considera que proporciona las garantías adecuadas para las Transferencias restringidas cuando se establece como un contrato legalmente vinculante.

Parte 1: Tablas

Tabla 1: Partes

Fecha de inicio	A partir de la fecha de inicio del presente APD
Detalles de las Partes	Exportador (envía la Transferencia restringida)	Importador (recibe la Transferencia restringida)
Parties’ details	Véase el APD	Nombre legal completo: VERITAS INTERCONTINENTAL SL Nombre comercial (si es diferente): Dirección principal (si se trata de una dirección social): Número de registro oficial (en su caso) (CIF o identificador similar):
Contacto	Véase el APD	VP Data Compliance and Privacy Datos de contacto y correo electrónico: DPO@veritasint.com
Firma (si precede a efectos de la Sección 2)	Véase el APD	Thomas Bently, VP Data Compliance and Privacy

Tabla 2: CCS, módulos y cláusulas seleccionadas

CCS de la UE del Apéndice

☒ La versión de las CCS aprobadas de la UE a las que se adjunta este apéndice, que se detalla a continuación, incluida la información del apéndice:
Fecha: Versión de las CCS de la UE publicada el 4 de junio de 2021
Referencia (en su caso): CCS de la UE del Responsable al Encargado del tratamiento aplicadas como parte del Acuerdo de prestación de servicios entre el Exportador y el Importador de datos.
Otro identificador (en su caso): Cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo aplicadas entre el Importador y el Exportador de datos.

Table 3: Información del apéndice
«Información del Apéndice» hace referencia a la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de las CCS aprobadas de la UE (distintas de las Partes), y que para este Apéndice se establece en:

Anexo 1A: Lista de las Partes: Importador y exportador de datos a los que se hace referencia en la Tabla 1

Anexo 1B: Descripción de la Transferencia: Tal y como se describe en el Anexo 1 de la versión de las CCS aprobadas de la UE a las que se adjunta este Apéndice

Anexo II: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos: Según lo descrito en el Anexo 2 de la versión de las CCS aprobadas de la UE a las que se adjunta el presente Apéndice.

Anexo III: Lista de Subencargados (sólo Módulos 2 y 3): Tal como se describe en el Anexo 3 de la versión de las CCS aprobadas de la UE a las que se adjunta el presente Apéndice.

Table 4: Finalización del presente Apéndice cuando cambie el Apéndice aprobado

Parte 2: Cláusulas obligatorias
Entrada en vigor del presente Apéndice

Cada una de las Partes acepta quedar vinculada por los términos y condiciones establecidos en el presente Addendum, a cambio de que la otra Parte también acepte quedar vinculada por el presente Addendum.
Aunque el Anexo 1A y la Cláusula 7 de los CEC aprobados de la UE requieren la firma de las Partes, a efectos de realizar Transferencias Restringidas, las Partes podrán suscribir el presente Addendum de cualquier forma que los haga jurídicamente vinculantes para las Partes y permita a los interesados hacer valer sus derechos según lo establecido en el presente Addendum. La suscripción del presente Addendum tendrá el mismo efecto que la firma de los CEC aprobados de la UE y de cualquier parte de los CEC aprobados de la UE.

Interpretación del presente apéndice

3. Cuando en el presente Addendum se utilicen términos definidos en las CEC aprobadas de la UE, dichos términos tendrán el mismo significado que en las CEC aprobadas de la UE. Además, los siguientes términos tienen el siguiente significado:

Terminación del presente Apéndice cuando el Apéndice aprobado cambie

Las Partes podrán poner fin al presente Apéndice según lo dispuesto en la Sección 19:
☐ Importador
☒ Exportador
☐ ninguna de las partes

Apéndice	El presente Apéndice sobre transferencia internacional de datos, compuesto por el presente Apéndice que incluye las CCS de la UE del Apéndice.
CCS de la UE del Apéndice	La(s) versión(es) de las CCS aprobadas de la UE a las que se adjunta el presente Apéndice, tal como se establece en la Tabla 2, incluido la información del Apéndice.
Información del Apéndice	Como se indica en la Tabla 3.
Garantías adecuadas	El nivel de protección de los datos personales y de los derechos de los Sujetos de datos, que exigen las Leyes de Protección de Datos del Reino Unido cuando se realiza una transferencia restringida basada en cláusulas estándar de protección de datos en virtud del artículo 46(2)(d), del RGPD del Reino Unido.
Apéndice aprobado	La plantilla del Apéndice emitida por la OCI y presentada ante el Parlamento de conformidad con la s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, conforme a su revisión en virtud de la Sección 18.
CCS de la UE aprobadas	Las CCS establecidas en el Anexo de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021.
OCI	El Comisionado de Información.
Transferencia restringida	Aquella transferencia contemplada en el Capítulo V del RGPD del Reino Unido.
Reino Unido	Reino Unido e Irlanda del Norte.
Leyes de Protección de Datos del Reino Unido	Todas las leyes relativas a la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluidos el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.

GDPR del Reino Unido Tal como se define en la sección 3 de la Ley de Protección de Datos de 2018.

El presente apéndice debe interpretarse siempre de forma coherente con las Leyes de Protección de Datos del Reino Unido y de modo que cumpla la obligación de las Partes de proporcionar las Garantías adecuadas.
Si las disposiciones incluidas en el Apéndice de las CCS de la UE modifican las CCS aprobadas de alguna manera que no esté permitida por las CCS de la UE aprobadas o el Apéndice aprobado, dicha(s) modificación(es) no se incorporará(n) al presente Apéndice y la disposición equivalente de las CCS de la UE aprobadas ocupará su lugar.
En caso de incoherencia o conflicto entre las Leyes de Protección de Datos del Reino Unido y el presente Apéndice, se aplicarán las Leyes de Protección de Datos del Reino Unido.
Si el significado de este Apéndice no es claro o hay más de un significado, se aplicará el que más se ajuste a las Leyes de Protección de Datos del Reino Unido.
Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa dicha legislación (o disposición específica), puesto que puede cambiar con el tiempo. Esto incluye los casos en que dicha legislación (o disposición específica) haya sido consolidada, promulgada de nuevo y/o sustituida con posterioridad a la celebración del presente Apéndice.

Jerarquía

9. Aunque la Cláusula 5 de las CCS aprobadas de la UE establece que las CCS aprobadas de la UE prevalecen sobre todos los acuerdos relacionados entre las partes, éstas acuerdan que, para las transferencias restringidas, prevalecerá la jerarquía de la Sección 10.

10. En caso de incoherencia o conflicto entre el Apéndice aprobado y las CCS de la UE del Apéndice (según proceda), el Apéndice aprobado prevalecerá sobre las CCS de la UE del Apéndice, excepto cuando (y en la medida en que) los términos incoherentes o conflictivos de las CCS de la UE del Apéndice ofrezcan una mayor protección a los Sujetos de datos, en cuyo caso dichos términos prevalecerán sobre el Apéndice aprobado.

11. En caso de que el presente Apéndice incorpore las CCS de la UE del Apéndice que se hayan suscrito para proteger transferencias sujetas al RGPD (UE) 2016/679, las Partes reconocen que nada de lo dispuesto en el presente Apéndice afecta a dichas CCS de la UE del Apéndice.

Incorporación y cambios en las CCS de la UE

12. El presente Apéndice incorpora las CCS de la UE del Apéndice, que se modifican en la medida necesaria para que:

a. se apliquen conjuntamente a las transferencias de datos efectuadas por el exportador de datos al importador de datos, en la medida en que las Leyes de Protección de Datos del Reino Unido se apliquen al tratamiento efectuado por el exportador de datos al realizar dicha transferencia de datos, y ofrezcan Garantías adecuadas para dichas transferencias de datos.

b. Las Secciones de la 9 a la 11 anulan la Cláusula 5 (Jerarquía) de las CCS de la UE del Apéndice; y

c. el presente Apéndice (incluidas las CCS de la UE del Apéndice incorporadas al mismo) (1) se rige por las leyes de Inglaterra y Gales y (2) cualquier litigio derivado del mismo será resuelto por los tribunales de Inglaterra y Gales, salvo que las Partes hayan elegido expresamente las leyes y/o los tribunales de Escocia o Irlanda del Norte.

13. A menos que las Partes hayan acordado modificaciones alternativas que cumplan los requisitos de la Sección 12, se aplicarán las disposiciones de la Sección 15.

14. No podrán introducirse modificaciones en las CCS aprobadas de la UE salvo para cumplir los requisitos de la Sección 12.

15. Se introducen las siguientes modificaciones en las CCS de la UE del Apéndice (a efectos de la Sección 12):

a. Las referencias a las «Cláusulas» significan el presente Apéndice, incorporando las CCS de la UE del Apéndice;

b. Se suprimen las siguientes palabras en la Cláusula 2:

«y, con respecto a las transferencias de datos de responsables a encargados y/o de encargados a encargados, las CCS de conformidad con el artículo 28, apartado 7, de la Normativa (UE) 2016/679».

c. La Cláusula 6 (descripción de la(s) transferencia(s)) se sustituye por:

«Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y la(s) finalidad(es) para la(s) que se transfieren son los que se especifican en el Anexo I.B, cuando las Leyes de Protección de Datos del Reino Unido se aplican al tratamiento del exportador de datos al realizar dicha transferencia»;

d. La Cláusula 8.7 (i) del Módulo 1 se sustituye por:

«es a un país que se beneficia de las normativas de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia ulterior»;

e. La cláusula 8.8(i) de los Módulos 2 y 3 se sustituye por:

«la transferencia ulterior es a un país que se beneficia de la normativa de adecuación de conformidad con la Sección 17A del RGPD del Reino Unido que cubre la transferencia ulterior;»

f. Las referencias a la «Normativa (UE) 2016/679», «Normativa (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Normativa General de Protección de Datos)» y «dicha Normativa» se sustituyen por «Leyes de Protección de Datos del Reino Unido». Las referencias a artículos específicos de la «Normativa (UE) 2016/679» se sustituyen por el Artículo o Sección equivalente de las Leyes de Protección de Datos del Reino Unido;

g. Se eliminan las referencias a la Normativa (UE) 2018/1725;

h. Las referencias a la «Unión Europea», «Unión», «UE», «Estado miembro de la UE», «Estado miembro» y «UE o Estado miembro» se sustituyen por «Reino Unido»;

i. La referencia a la «Cláusula 12(c)(i)» en la Cláusula 10(b)(i) del Módulo 1, se sustituye por «Cláusula 11(c)(i)»;

j. La Cláusula 13(a) y la Parte C del Anexo I no se utilizan;

k. Tanto la «autoridad de control competente» como la «autoridad de control» se sustituyen por el «Comisionado de Información»;

l. En la Cláusula 16(e), la subsección (i) se reemplaza por:

«el Secretario de Estado elabora normativas de conformidad con la Sección 17A de la Ley de Protección de Datos de 2018 que contemplan la transferencia de datos personales a los que se aplican dichas cláusulas;»;

m. La Cláusula 17 se sustituye por:

«Estas Cláusulas se rigen por las leyes de Inglaterra y Gales»;

n. La Cláusula 18 se sustituye por:

«Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de Inglaterra y Gales. El Sujeto de datos también podrá emprender acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las Partes acuerdan someterse a la jurisdicción de dichos tribunales»; y

o. Las notas a pie de página de las CCS aprobadas de la UE no forman parte del Apéndice, salvo las notas a pie de página 8, 9, 10 y 11.

Modificaciones del presente Apéndice

16. Las Partes podrán acordar cambiar las Cláusulas 17 y/o 18 de las CCS de la UE del Apéndice para remitirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.

17. Si las Partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Apéndice aprobado, podrán hacerlo acordando el cambio por escrito, siempre que éste no reduzca las Garantías adecuadas.

18. De vez en cuando, la OCI podrá publicar un Apéndice aprobado revisado que:

a. introduzca cambios razonables y proporcionados en el Apéndice aprobado, incluida la corrección de errores en el Apéndice aprobado; y/o

b. refleje los cambios introducidos en las Leyes de Protección de Datos del Reino Unido;

El Apéndice aprobado revisado especificará la fecha a partir de la cual entrarán en vigor las modificaciones del Apéndice aprobado y determinará si las Partes deben revisar el presente Apéndice, incluido la información del Apéndice. El presente Apéndice se modificará automáticamente según lo establecido en el Apéndice aprobado revisado a partir de la fecha de inicio especificada.

19. En caso de que la OCI emita un Apéndice aprobado revisado conforme a la Sección 18, y si alguna de las Partes seleccionadas en la Tabla 4 «Terminación del Apéndice cuando cambie el Apéndice aprobado», como resultado directo de los cambios en el Apéndice aprobado, este tendrá un incremento sustancial, desproporcionado y demostrable en:

a. sus costes directos de ejecución de sus obligaciones en virtud del Apéndice; y/o

b. su riesgo en virtud del Apéndice, y en cualquiera de los dos casos y se hayan adoptado previamente medidas razonables para reducir dichos costes o riesgos de modo que no sean sustanciales y desproporcionados, en ese caso dicha Parte podrá rescindir el presente Apéndice al término de un plazo de preaviso razonable, mediante notificación por escrito de dicho plazo a la otra Parte antes de la fecha de inicio del Apéndice aprobado revisado.

20. Las Partes no necesitan el consentimiento de terceros para introducir cambios en el presente Apéndice, si bien cualquier modificación deberá realizarse de conformidad con sus términos.

Cláusulas obligatorias alternativas de la Parte 2:

Cláusulas obligatorias

Parte 2: Cláusulas Obligatorias del Apéndice aprobado, siendo la plantilla del Apéndice B.1.0 emitida por la OCI y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se revisa en virtud de la Sección 18 de tales Cláusulas obligatorias.

El presente APD ha sido firmado previamente en nombre de Veritas Intercontinental SL

El encargado: VERITAS INTERCONTINENTAL SL

POR:

NOMBRE: Thomas Bently

PUESTO: VP Data Compliance and Privacy, DPO

FECHA: (Según la fecha en que el responsable del tratamiento acepte electrónicamente la APD)

Por favor, rellene el formulario y confirme que está de acuerdo con la DPA de Veritas Intercontinental

Footer