Este Acuerdo de Tratamiento de Datos Personales (“ATD”) se aplica a todos los tratamientos de datos personales que CONEIX Project Management S.L. realiza por cuenta de sus clientes en calidad de encargado del tratamiento de datos.
Este Acuerdo de Tratamiento de Datos (“ATD”) es un acuerdo entre CONEIX Project Management S.L (“EMPRESA”) y la entidad que contrata sus servicios (“Cliente”) y establece las obligaciones de ambas partes respecto al tratamiento y la seguridad de los datos personales de los cuales es responsable el Cliente en relación con el uso de los servicios de Coneix.
DEFINICIONES
A efectos de este Acuerdo de Tratamiento de Datos Personales – ATD:
- “Ley de protección de datos aplicable” significa las leyes y regulaciones aplicables donde se realiza el tratamiento de datos, que se aplican a los términos de este ATD y que pueden variar con el tiempo. Incluye tanto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“RGPD”), como las leyes locales aplicables donde se lleva a cabo el tratamiento, como por ejemplo en España, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”).
- “Responsable” o “Responsable del tratamiento” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los fines y medios del tratamiento de datos personales.
- “Encargado” o “Encargado del tratamiento” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable del tratamiento.
- “Interesado” significa una persona que es el sujeto de los datos personales.
- “ATD”, “este ATD”, “este acuerdo ATD” se refiere a este Acuerdo de Tratamiento de Datos Personales.
- “Datos personales” significa toda información sobre una persona física identificada o identificable (“el interesado”); se considera persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de esa persona.
- “Autoridad supervisora” significa una autoridad independiente establecida por un Estado miembro que se ocupa de la supervisión del tratamiento de datos personales con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de sus datos.
- “Datos del Cliente” son todos los datos personales (incluidos todos los archivos de texto, audio, vídeo o imagen) que las personas autorizadas del Cliente incorporan a las bases de datos y sistemas del ERP Coneix, así como aquellos que se puedan generar y conservar mediante el uso de los servicios de Coneix. El Cliente es el responsable del tratamiento de dichos datos personales.
- “Contrato de Servicio” significa la Aceptación del Pedido y los Términos y Condiciones de Contratación junto con la correspondiente Orden de Pedido, la Descripción del Servicio, cualquier Término y Condición Específica del Servicio aplicable y la Garantía de Nivel de Servicio, en todo caso en la versión vigente en la fecha de la Orden de Pedido.
- “Coneix”, “nosotros”, “nuestro(s)” y todas las derivaciones de estas palabras significan Coneix, sociedad constituida conforme a las leyes de España, con CIF n.º B63735922 y domicilio social en Carrer Orient, 49 4º 2ª, 08173 Sant Cugat del Vallès (Barcelona) (España).
- “Servicios”, “Servicios Coneix” son los servicios de gestión en modalidad SaaS del ERP, servicios prestados a través de internet por Coneix a favor del Cliente, en relación con el uso del servicio contratado, a través de la plataforma de Coneix y dentro de la infraestructura de computación en la nube.
- “Subencargados” son aquellos encargados del tratamiento que Coneix utiliza para tratar los Datos del Cliente, tal como se describe en el artículo 28 del RGPD.
TÉRMINOS
SECCIÓN I
Cláusula 1. Finalidad y ámbito de aplicación
(a) La finalidad de las cláusulas de este ATD (en adelante, «pliego de cláusulas») es garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
(b) Los responsables y encargados del tratamiento enumerados en el Anexo I han dado su consentimiento para vincularse por el presente pliego de cláusulas con el fin de garantizar el cumplimiento del artículo 28, apartados 3 y 4, del Reglamento (UE) 2016/679.
(c) El presente pliego de cláusulas se aplica al tratamiento de datos personales especificado en el Anexo II.
(d) Los Anexos I a IV forman parte del pliego.
(e) El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el responsable en virtud del Reglamento (UE) 2016/679.
(f) El presente pliego de cláusulas no garantiza por sí mismo el cumplimiento de las obligaciones relativas a las transferencias internacionales contempladas en el capítulo V del Reglamento (UE) 2016/679.
(g) El pliego de cláusulas de este ATD está alineado con la Decisión de Ejecución (UE) 2021/915 de la Comisión, de 4 de junio de 2021, sobre cláusulas contractuales tipo entre responsables y encargados del tratamiento.
(h) Este ATD, incluidas sus definiciones y considerando sus anexos, es un documento independiente que no incorpora términos comerciales, los cuales deben haber sido establecidos por las partes en acuerdos comerciales separados.
Cláusula 2. Invariabilidad del pliego de cláusulas
(a) Las partes se comprometen a no modificar el pliego de cláusulas, salvo para añadir o actualizar información en los anexos.
(b) Esto no impide que las partes añadan otras cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, el pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
Cláusula 3. Interpretación
(a) Cuando en el presente pliego de cláusulas se utilicen términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en el Reglamento correspondiente.
(b) El presente pliego de cláusulas debe leerse e interpretarse conforme a las disposiciones del Reglamento (UE) 2016/679.
(c) No podrán realizarse interpretaciones del presente pliego de cláusulas que entren en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679 y/o que perjudiquen los derechos o libertades fundamentales de los interesados.
Cláusula 4. Jerarquía
En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estén en vigor en el momento en que se pacte o comience a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.
SECCIÓN II. OBLIGACIONES DE LAS PARTES
Cláusula 5. Descripción del tratamiento o tratamientos
En el Anexo II se especifican los detalles de las operaciones de tratamiento y, en particular, las categorías de datos personales y los fines para los que se tratan los datos personales por cuenta del responsable.
Cláusula 6. Obligaciones de las partes
6.1. Instrucciones
(a) El responsable del tratamiento instruirá al encargado para que trate los datos personales de la manera que sea razonablemente necesaria para que el encargado lleve a cabo el tratamiento conforme a este ATD y al Reglamento (UE) 2016/679.
(b) El encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, conforme a los términos de servicio establecidos en el contrato/acuerdo de servicio del cual forma parte este ATD, salvo que esté obligado por el Derecho de la Unión o de los Estados miembros aplicable al encargado. En tal caso, el encargado informará al responsable de dicha exigencia legal antes del tratamiento, salvo que dicho Derecho lo prohíba por razones importantes de interés público. El responsable también podrá dar instrucciones adicionales en cualquier momento durante el periodo de tratamiento de los datos personales. Estas instrucciones deberán estar siempre documentadas.
(c) El responsable del tratamiento se abstendrá de proporcionar instrucciones que no se ajusten a las leyes aplicables, incluido el Reglamento (UE) 2016/679, y en caso de que se den estas instrucciones, el encargado del tratamiento tiene derecho a desistir de llevarlas a cabo.
(d) El encargado informará inmediatamente al responsable si, a su juicio, las instrucciones dadas por el responsable infringen el Reglamento (UE) 2016/679, el Reglamento (UE) 2018/1725 o las disposiciones aplicables del Derecho de la Unión o de los Estados miembros en materia de protección de datos.
(e) El encargado no divulgará ningún dato personal a un tercero bajo ninguna circunstancia que no sea por solicitud escrita específica del responsable, salvo que dicha divulgación sea necesaria para cumplir con las obligaciones del Acuerdo de servicio o sea requerida en virtud del Derecho de la Unión o de los Estados miembros aplicable al encargado.
6.2. Limitación de la finalidad
El encargado tratará los datos personales únicamente para los fines específicos del tratamiento indicados en el anexo II, salvo que siga instrucciones adicionales del responsable.
6.3. Duración del tratamiento de datos personales
El tratamiento por parte del encargado solo se realizará durante el período especificado en el anexo II.
6.4. Seguridad del tratamiento
(a) El encargado aplicará, como mínimo, las medidas técnicas y organizativas especificadas en el anexo III para garantizar la seguridad de los datos personales. Una de estas medidas podrá consistir en la protección contra violaciones de seguridad que provoquen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizado a dichos datos (“violación de la seguridad de los datos personales”). Al determinar un nivel adecuado de seguridad, las partes tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos que dicho tratamiento conlleva para los interesados.
(b) El encargado solo concederá acceso a los datos personales tratados a los miembros de su personal en la medida en que sea estrictamente necesario para la ejecución, gestión y seguimiento del contrato.
(c) El encargado garantizará que las personas autorizadas para tratar los datos personales recibidos se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación legal de confidencialidad. El encargado deberá mantener a disposición del responsable todos los registros documentados que acrediten el cumplimiento de esta obligación.
(d) El encargado deberá asegurarse de que todas las personas autorizadas para tratar datos personales reciban la formación necesaria en materia de protección de datos.
6.5. Datos sensibles
Si el tratamiento afecta a datos personales que revelen el origen étnico o racial, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos destinados a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual u orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (“datos sensibles”), el encargado aplicará restricciones específicas y/o garantías adicionales.
6.6. Documentación y cumplimiento
(a) Las partes deberán poder demostrar el cumplimiento del presente conjunto de cláusulas del Acuerdo de Tratamiento de Datos (ATD).
(b) El encargado resolverá con diligencia y de forma adecuada las consultas del responsable relacionadas con el tratamiento conforme a las presentes cláusulas.
(c) El encargado designará en el Anexo I un punto de contacto dentro de su organización autorizado para responder a las consultas relacionadas con el tratamiento de datos personales, y cooperará con el responsable, el interesado y la autoridad de control en todas estas consultas dentro de un plazo razonable.
(d) El encargado pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones contempladas en el presente conjunto de cláusulas, derivadas directamente del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725.
(e) A petición del responsable, el encargado permitirá y contribuirá a la realización de auditorías de las actividades de tratamiento cubiertas por el presente conjunto de cláusulas, en intervalos razonables o si existen indicios de incumplimiento. Al decidir si se realiza una revisión o auditoría, el responsable podrá tener en cuenta las certificaciones pertinentes en poder del encargado.
Estas auditorías se solicitarán con un aviso razonable y se llevarán a cabo durante el horario laboral habitual. La solicitud podrá estar sujeta al consentimiento o aprobación de una autoridad de control del país del responsable del tratamiento, si fuera necesario.
(f) El responsable podrá optar por realizar la auditoría por sí mismo o autorizar a un auditor independiente. Las auditorías también podrán consistir en inspecciones de los locales o instalaciones físicas del encargado y, cuando proceda, realizarse con un preaviso razonable.
(g) Las partes pondrán a disposición de las autoridades de control competentes, a petición de estas, la información a que se refiere la presente cláusula y, en particular, los resultados de las auditorías.
(h) El encargado cooperará con la autoridad de control en relación con cualquier actividad llevada a cabo por el encargado.
(i) El encargado notificará al responsable cualquier solicitud de información por parte de la autoridad de control.
(j) El encargado notificará al responsable cualquier reclamación, notificación o comunicación recibida relacionada directa o indirectamente con el tratamiento de datos personales o con otras actividades relacionadas, o con el cumplimiento, tanto por parte del encargado como del responsable, de la legislación aplicable, incluida la legislación de protección de datos.
6.7. Recurso a subencargados
(a) El encargado cuenta con la autorización del responsable para contratar a los subencargados que figuran en una lista documentada acordada en el anexo IV. El encargado informará específicamente y por escrito al responsable sobre las incorporaciones o sustituciones previstas en dicha lista con al menos 1 mes de antelación, para que el responsable tenga tiempo suficiente para oponerse antes de que se contrate al nuevo subencargado. El encargado proporcionará al responsable la información necesaria para que este pueda ejercer su derecho a oponerse.
(b) Cuando el encargado contrate a un subencargado para llevar a cabo actividades específicas de tratamiento (por cuenta del responsable), lo hará mediante un contrato que imponga al subencargado, en esencia, las mismas obligaciones en materia de protección de datos que las impuestas al encargado por las presentes cláusulas. El encargado se asegurará de que el subencargado cumpla las obligaciones que le correspondan en virtud de estas cláusulas y del Reglamento (UE) 2016/679.
(c) El encargado proporcionará al responsable, a petición de este, una copia del contrato con el subencargado y de cualquier modificación posterior. En la medida en que sea necesario para proteger secretos comerciales u otra información confidencial, como datos personales, el encargado podrá suprimir partes del contrato antes de compartirlo.
(d) El encargado seguirá siendo plenamente responsable ante el responsable del cumplimiento por parte del subencargado de las obligaciones impuestas en el contrato. El encargado notificará al responsable cualquier incumplimiento por parte del subencargado de dichas obligaciones.
(e) El encargado pactará con el subencargado una cláusula de tercero beneficiario en virtud de la cual, en caso de que el encargado desaparezca de facto, deje de existir jurídicamente o se declare insolvente, el responsable tendrá derecho a rescindir el contrato con el subencargado y ordenarle que elimine o devuelva los datos personales.
6.8. Transferencias internacionales
(a) Las transferencias de datos a un tercer país o a una organización internacional por parte del encargado solo podrán realizarse siguiendo instrucciones documentadas del responsable o en virtud de una exigencia expresa del Derecho de la Unión o del Estado miembro al que esté sujeto el encargado; y se llevarán a cabo conforme al capítulo V del Reglamento (UE) 2016/679.
(b) El responsable acepta que, cuando el encargado recurra a un subencargado conforme a la cláusula 6.7 para llevar a cabo actividades de tratamiento específicas (por cuenta del responsable) y dichas actividades impliquen una transferencia de datos personales según el capítulo V del Reglamento (UE) 2016/679, el encargado y el subencargado podrán garantizar el cumplimiento de dicho capítulo utilizando cláusulas contractuales tipo adoptadas por la Comisión, de conformidad con el artículo 46.2 del Reglamento (UE) 2016/679, siempre que se cumplan las condiciones para utilizar dichas cláusulas.
Cláusula 7. Obligaciones del responsable
El responsable del tratamiento garantiza y se compromete a que:
(a) Los datos personales han sido recopilados, tratados y transferidos de acuerdo con las leyes de protección de datos aplicables.
(b) Deberá realizar una evaluación de impacto relativa a la protección de los datos personales de las operaciones de tratamiento que realizará el encargado cuando el tipo de tratamiento pueda suponer un alto riesgo para los derechos y libertades de los interesados.
(c) Dispondrá de las medidas técnicas y organizativas adecuadas para proteger la confidencialidad de los datos personales, así como para protegerlos contra la destrucción accidental o ilícita, la pérdida accidental, la alteración, la divulgación o el acceso no autorizado, y que proporcionen un nivel de seguridad adecuado al riesgo que representa el tratamiento y la naturaleza de los datos que deben protegerse.
(d) Responderá a las solicitudes de los interesados y de las autoridades de supervisión en relación con el tratamiento de los datos personales conforme a lo estipulado en la Cláusula 8(b).
(e) Realizará las consultas previas que correspondan ante la autoridad de control cuando una evaluación de impacto relativa a la protección de datos indique que el tratamiento daría lugar a un alto riesgo en ausencia de medidas adoptadas por el responsable para mitigar dicho riesgo.
Cláusula 8. Asistencia al responsable del tratamiento
(a) El encargado notificará sin demora al responsable las solicitudes que reciba del interesado. No responderá a dicha solicitud por su cuenta, salvo que el responsable le haya autorizado para ello.
(b) El encargado asistirá al responsable a cumplir sus obligaciones en la respuesta a las solicitudes de ejercicio de derechos por parte de los interesados, teniendo en cuenta la naturaleza del tratamiento. Para cumplir con las obligaciones mencionadas en los apartados (a) y (b), el encargado seguirá las instrucciones del responsable. En este sentido:
- El interesado deberá dirigir su solicitud inicialmente al responsable del tratamiento;
- Posteriormente, el responsable del tratamiento, tras recibir la solicitud, pedirá al encargado que realice las acciones necesarias a través del punto de contacto establecido en el Anexo I;
- Una vez el encargado haya recibido la solicitud del responsable, responderá a éste en un plazo de diez (10) días hábiles;
- En caso de que un interesado se comunique directamente con el encargado, éste le pedirá que dirija su solicitud al responsable. Al mismo tiempo, informará al responsable de dicha petición.
(c) Además de la obligación del encargado de asistir al responsable según la letra (b) de esta cláusula, el encargado también ayudará al responsable a garantizar el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga:
- La obligación de realizar una evaluación de impacto relativa a la protección de datos personales cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y libertades de las personas físicas;
- La obligación de consultar a las autoridades de control competentes antes de proceder al tratamiento cuando una evaluación de impacto revele que el tratamiento supondría un alto riesgo si no se adoptan medidas para mitigarlo;
- La obligación de garantizar que los datos personales sean exactos y estén actualizados, informando sin demora al responsable si detecta que los datos que está tratando son inexactos o han quedado obsoletos;
- Las obligaciones previstas en el artículo 32 del Reglamento (UE) 2016/679.
(d) Las partes establecerán en el Anexo III las medidas técnicas y organizativas apropiadas que obliguen al encargado a ayudar al responsable a aplicar la presente cláusula, así como el objeto y alcance de la asistencia requerida.
Cláusula 9. Notificación de violaciones de la seguridad de los datos personales
En caso de una violación de la seguridad de los datos personales, el encargado colaborará con el responsable y le ayudará a cumplir con las obligaciones establecidas en los artículos 33 y 34 del Reglamento (UE) 2016/679, teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga el encargado.
9.1 Violación de la seguridad de datos personales tratados por el responsable
En caso de una violación de la seguridad de los datos personales en relación con los datos tratados por el responsable, el encargado ayudará al responsable a:
(a) Notificar la violación a las autoridades de control competentes sin dilación indebida una vez tenga conocimiento de ella, si procede (salvo que sea improbable que dicha violación suponga un riesgo para los derechos y libertades de las personas físicas).
(b) Recabar la siguiente información, que, de conformidad con [OPCIÓN 1] el artículo 33(3) del Reglamento (UE) 2016/679 / [OPCIÓN 2] el artículo 34(3) del Reglamento (UE) 2018/1725, deberá figurar en la notificación del responsable, e incluirá al menos:
- La naturaleza de los datos personales afectados, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados;
- Las consecuencias probables de la violación;
- Las medidas adoptadas o propuestas por el responsable del tratamiento para remediar la violación, incluyendo, en su caso, las medidas para mitigar los posibles efectos negativos.
Cuando y en la medida en que no se pueda proporcionar toda la información en el momento de la notificación inicial, se incluirá la información disponible en ese momento, y la restante se facilitará sin demora a medida que se obtenga.
(c) Cumplir, de acuerdo con el artículo 34 del Reglamento (UE) 2016/679, la obligación de comunicar sin demora al interesado la violación de seguridad cuando sea probable que implique un alto riesgo para sus derechos y libertades.
9.2 Violación de la seguridad de datos personales tratados por el encargado
En caso de una violación de la seguridad de los datos personales tratados por el encargado, éste la notificará al responsable sin dilación indebida una vez tenga conocimiento de ella. La notificación incluirá al menos:
(a) Una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, las categorías y el número aproximado de interesados y de registros de datos afectados);
(b) Los datos de un punto de contacto para obtener más información sobre la violación;
(c) Sus consecuencias probables y las medidas adoptadas o propuestas para remediarla, incluyendo las acciones para mitigar los posibles efectos negativos.
Cuando y en la medida en que no se pueda proporcionar toda la información de inmediato, se incluirá la información disponible en la notificación inicial, y la restante se facilitará sin demora.
Las partes establecerán en el Anexo III los demás elementos que deberá proporcionar el encargado para ayudar al responsable a cumplir con las obligaciones previstas en los artículos 33 y 34 del Reglamento (UE) 2016/679.
SECCIÓN III. DISPOSICIONES FINALES
Cláusula 10. Incumplimiento de las cláusulas y resolución del contrato
(a) Sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679, en caso de que el encargado del tratamiento incumpla las obligaciones que le atribuye este pliego de cláusulas, el responsable podrá ordenar al encargado que suspenda el tratamiento de datos personales hasta que este vuelva a cumplir con el presente pliego de cláusulas, o resolver el contrato. El encargado informará sin demora al responsable en caso de que no pueda cumplir con este pliego de cláusulas por cualquier motivo.
(b) El responsable estará facultado para resolver el contrato en lo que se refiere al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
- el tratamiento de datos personales por parte del encargado haya sido suspendido por el responsable conforme a lo dispuesto en la letra a) y no se reanude el cumplimiento del presente pliego de cláusulas en un plazo razonable y, en todo caso, en un plazo de un mes desde la suspensión;
- el encargado incumpla de manera sustancial o persistente el presente pliego de cláusulas o las obligaciones que le atribuye el Reglamento (UE) 2016/679;
- el encargado incumpla una resolución vinculante de un órgano jurisdiccional competente o de las autoridades de control competentes en relación con las obligaciones que le atribuyen el presente pliego de cláusulas y el Reglamento (UE) 2016/679.
(c) El encargado estará facultado para resolver el contrato en lo que se refiere al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando, tras haber informado al responsable de que sus instrucciones infringen los requisitos legales exigidos por la cláusula 7.1, letra b), el responsable insista en que se sigan dichas instrucciones.
(d) Tras la resolución del contrato, el encargado suprimirá, a petición del responsable, todos los datos personales tratados por cuenta del responsable y acreditará ante el responsable que lo ha hecho, o bien devolverá todos los datos personales al responsable y suprimirá las copias existentes, salvo que el Derecho de la Unión o de los Estados miembros exija el almacenamiento de los datos personales. Hasta que los datos se destruyan o devuelvan, el encargado continuará garantizando el cumplimiento del presente pliego de cláusulas.
(e) Otros motivos y condiciones de finalización estarán sujetos al contrato de servicios, del cual este acuerdo forma parte, o a otro acuerdo firmado entre las partes.
Cláusula 11. Responsabilidad e indemnización
(a) El encargado del tratamiento no será responsable ante cualquier reclamación presentada por un interesado que sea consecuencia de cualquier acción del encargado en la medida en que dicha acción sea el resultado directo de las instrucciones del responsable y de la incorrecta implementación de sus medidas técnicas y organizativas.
(b) En el caso de que un interesado presente una reclamación contra el encargado que surja de cualquier acción u omisión del encargado, en la medida en que esta acción u omisión sea el resultado directo de las instrucciones del responsable, o de la incorrecta aplicación por parte del responsable de sus medidas organizativas, de conformidad con la Cláusula 7(c) de este ATD, el responsable indemnizará y mantendrá indemne al encargado respecto a todos los costes, reclamaciones, daños o gastos incurridos por el encargado por los cuales pueda ser considerado responsable debido a cualquier incumplimiento por parte del responsable o de sus directivos, empleados, agentes o contratistas de sus obligaciones en virtud de las cláusulas de este DPA.
Cláusula 12. Legislación aplicable a este ATD
Este ATD se regirá e interpretará en todos sus aspectos de acuerdo con las leyes y regulaciones del país de la UE donde tiene lugar el tratamiento de datos. Las partes del presente acuerdo se someten a la jurisdicción exclusiva del lugar donde se realiza el tratamiento de datos para todos los fines de este ATD.
Cláusula 13. Resolución de disputas con los interesados o las autoridades de supervisión
(c) En caso de una disputa o reclamación presentada por un interesado o una autoridad de supervisión respecto al tratamiento de datos personales contra una o ambas partes, las partes se informarán mutuamente sobre dichas disputas o reclamaciones y cooperarán con el fin de resolverlas amistosamente y de la manera más oportuna posible.
(d) Las partes acuerdan responder a cualquier procedimiento de mediación no vinculante disponible generalmente iniciado por un interesado o por una autoridad de supervisión. Si participan en el procedimiento, las partes podrán optar por hacerlo de forma remota (por ejemplo, por teléfono u otros medios electrónicos). Las partes también acuerdan considerar la participación en cualquier otro arbitraje, mediación u otro procedimiento de resolución de disputas habilitado para disputas sobre protección de datos.
(e) Cada parte se compromete a acatar la decisión de la autoridad de supervisión, que sea definitiva y contra la cual no sea posible apelar.