contrato de tratamiento de datos para los servicios …a248.g.akamai.net/n/248/420835... ·...

CONTRATO DE TRATAMIENTO DE DATOS PARA LOS SERVICIOS CLOUD DE SAP

1. PRÓLOGO 1.1 Anexo. El presente documento, incluidos el Anexo 1 y los Apéndices 1 y 2, ("Anexo") formará

parte integrante del Contrato mediante su referencia en el Formulario de Pedido firmado por el Cliente. Este Anexo sirve como contrato escrito para el tratamiento de datos entre SAP y cada Controlador de Datos que proporciona Datos Personales en relación con el uso que hace del Servicio Cloud. Además, define las medidas técnicas y organizativas aplicables que SAP implementa y conserva para proteger los Datos Personales almacenados en el sistema de producción del Servicio Cloud.

1.2 Relación Contractual Directa. (a) Si el Cliente y sus Filiales están ubicados dentro del EEE y el tratamiento de los Datos

Personales realizado por SAP se lleva a cabo dentro del EEE, o si el Cliente y sus Filiales están ubicados fuera del EEE, este Anexo solamente se aplicará entre SAP y el Cliente. En este caso, el Cliente es responsable de aplicar los términos y condiciones estipulados en este Anexo en sus Filiales.

(b) Si el Cliente y/o sus Filiales están ubicados dentro del EEE y SAP está situado fuera del EEE, se aplicarán las secciones 5.1 y 5.2 del presente Anexo.

1.3 Formulario. El Contrato que incluye este Anexo se considerará formalizado cuando SAP reciba cualquiera de los documentos siguientes: (a) Formulario de Pedido original firmado, (b) Formulario de Pedido firmado en pdf o un formato similar, o (c) Formulario de Pedido aceptado mediante DocuSign o un producto similar utilizado por SAP

para recibir un Formulario de Pedido del Cliente. El caso de que el Cliente desee una copia escrita original de este Anexo o una copia electrónica firmada independiente del Anexo, deberá solicitarlo al representante de ventas de SAP.

1.4 Control. El Cliente actúa como Controlador de Datos de los Datos Personales de sus propios Usuarios Autorizados así como en nombre de sus Filiales o de terceros en su capacidad de Controladores de Datos a los que el Cliente ha autorizado a usar el Servicio. El Cliente deberá ser el único punto de contacto de SAP y el único responsable de la coordinación interna, revisión y remisión de las instrucciones o solicitudes de otros Controladores de Datos a SAP. SAP no estará obligado a informar o notificar al Controlador de Datos acerca del suministro de dicha información o aviso al Cliente. SAP tendrá derecho a rechazar cualquier solicitud o instrucción que le proporcione directamente un Controlador de Datos que no sea el Cliente. El Cliente garantiza que, de conformidad con este Contrato, está autorizado a divulgar a SAP los Datos Personales del Servicio Cloud. El Cliente acepta exonerar a SAP de responsabilidad frente a demandas presentadas contra SAP o sus Subprocesadores en relación con cualquier incumplimiento de las obligaciones de Protección de Datos del Cliente.

1.5 Separabilidad. Si un tribunal de una jurisdicción competente considera que cualquier disposición de este Anexo es inválida o inejecutable, la invalidez de dicha disposición no afectará a las demás disposiciones de este Anexo, y todas las disposiciones que no estén afectadas por la mencionada invalidez seguirán teniendo plena vigencia y efecto.

2. FINALIDADES DEL TRATAMIENTO DE DATOS 2.1 Apéndice 1. El Cliente y sus Controladores de Datos deberán determinar las finalidades de

recopilación, tratamiento y cualquier otro tipo de uso de los Datos Personales almacenados en el Servicio Cloud. Salvo que se estipule lo contrario en el Contrato, el Apéndice 1 del Anexo se aplicará a dicho tratamiento de datos.

2.2 Finalidades. Las finalidades del tratamiento de los Datos Personales por parte de SAP y de sus Subprocesadores de Datos en virtud de este Anexo están limitadas a:

Data Processing Agreement for SAP Cloud Services esES.v.2-2016 of 23

(a) Configurar, hacer funcionar, controlar y proporcionar el Servicio Cloud, incluida la infraestructura subyacente (hardware, software, instalaciones de centros de datos seguros, conectividad), como Procesador de Datos o Subprocesador de Datos, tal como se define en el Contrato.

(b) Proporcionar soporte técnico como una obligación principal de SAP en virtud del Contrato. (c) Proporcionar Servicios de Consultoría como una obligación principal de SAP, en la medida

acordada por las partes. (d) Comunicarse con los Usuarios Autorizados tal como se especifica en los términos asociados

a un Servicio Cloud concreto. (e) Ejecutar las instrucciones del Cliente de acuerdo con las siguientes Secciones 3.1 y 3.2.

3. OBLIGACIONES DE SAP 3.1 Instrucciones. SAP deberá tratar los Datos Personales solamente de acuerdo con las

instrucciones de cada Controlador de Datos que le haya dado el Cliente. SAP empleará los esfuerzos comerciales razonables para seguir y cumplir las instrucciones que reciba del Cliente siempre y cuando sean legalmente exigibles y técnicamente viables y no requieran ninguna modificación sustancial de la funcionalidad del Servicio Cloud o del software subyacente. SAP notificará al Cliente si considera que alguna de sus instrucciones infringe la Ley de Protección de Datos aplicable. SAP no tiene la obligación de realizar un examen legal completo. En la medida en que SAP no pueda cumplir una instrucción, deberá notificarlo de inmediato (se acepta por correo electrónico) al Cliente.

3.2 Instrucciones basadas en las Soluciones del Sujeto de Datos. SAP podrá, siguiendo las instrucciones del Cliente y con la cooperación necesaria de este último, corregir, borrar y/o bloquear cualquier Dato Personal en la medida en que la funcionalidad del Servicio Cloud no permita hacerlo al Cliente, a sus Controladores de Datos o a sus Usuarios Autorizados. En caso de que SAP necesite acceder de forma remota a cualquiera de los sistemas o instancias del Servicio Cloud del Cliente para aplicar una instrucción o proporcionar soporte técnico, por ejemplo, compartiendo la aplicación, el Cliente garantiza a SAP el permiso para dicho acceso remoto. Además, el Cliente debe nombrar a una persona de contacto que, en caso necesario, conceda a SAP los derechos de acceso requeridos.

3.3 Confidencialidad de los Datos. Para tratar los Datos Personales, SAP y sus Subprocesadores de Datos solamente deberán emplear personal que esté sujeto a una obligación vinculante de cumplimiento de la confidencialidad de los datos o confidencialidad de las telecomunicaciones, en la medida aplicable, de acuerdo con la Ley de Protección de Datos. SAP deberá formar periódicamente en seguridad y privacidad de los datos a las personas a las que conceda acceso a los Datos Personales, y deberá exigir a sus Subprocesadores de Datos que también lo hagan.

3.4 Medidas técnicas y organizativas. (a) SAP deberá, al menos, implementar y conservar las medidas técnicas y organizativas

adecuadas que se describen en el Apéndice 2 del Anexo. (b) El Apéndice 2 se aplica al sistema de producción del Servicio Cloud para mantener seguros

y proteger los Datos Personales frente a un tratamiento no autorizado o ilícito y la pérdida accidental, destrucción o daño. Los entornos que no son de producción (p. ej. una instancia de prueba del Servicio Cloud) proporcionan un nivel de seguridad inferior y SAP recomienda que el Cliente no almacene Datos Personales en esos entornos que no son de producción.

(c) Dado que SAP proporciona el Servicio Cloud a todos los clientes de manera uniforme a través de una aplicación alojada basada en web, todas las medidas técnicas y organizativas en vigor en ese momento se aplican a toda la base de clientes de SAP que están alojados en el mismo centro de datos y están suscritos al Servicio Cloud. El Cliente entiende y acepta que las medidas organizativas y técnicas están sujetas al avance y desarrollo técnico, y que deberán aplicarse automáticamente las mejoras para la protección de los Datos Personales.


3.5 Verificación. SAP deberá comprobar periódicamente las medidas descritas en el Apéndice 2. Si un Controlador de Datos cree que, conforme a la Ley de Protección de Datos correspondiente, es necesario aplicar medidas adicionales, el Cliente deberá enviar una instrucción de acuerdo con la Sección 1.1 anterior.

3.6 Notificación de Incumplimiento de Seguridad. SAP deberá informar puntualmente al Cliente en cuanto tenga conocimiento de interrupciones graves de las operaciones de tratamiento, o de cualquier Incumplimiento de Seguridad en relación con el tratamiento de Datos Personales que, en cada caso, pueda constituir un daño para los Sujetos de Datos afectados.

3.7 Cooperación. A petición y cargo del Cliente, SAP ayudará de forma razonable al Cliente o a otros Controladores de Datos a atender las solicitudes de Sujetos de Datos individuales y/o de una autoridad supervisora con respecto al tratamiento de Datos Personales.

3.8 Eliminación. Cuando termine o venza el Contrato, SAP eliminará los Datos Personales que permanezcan en los servidores alojados en el Servicio Cloud salvo que la ley aplicable o el Contrato exija que dichos datos se sigan conservando. Los datos que se conserven estarán sujetos a las disposiciones de confidencialidad estipuladas en el Contrato.

4. SUBPROCESADORES DE DATOS 4.1 Uso Permitido.

(a) El Cliente (también en nombre de sus Controladores de Datos) por el presente autoriza a SAP (también para la finalidad del párrafo 1 de la Cláusula 11 de las Cláusulas Contractuales Tipo) a recurrir a subcontratistas que se ocupen del tratamiento de los Datos Personales (cada uno de ellos un "Subprocesador de Datos") (i) en la medida necesaria para cumplir con sus obligaciones contractuales en virtud del Contrato y (ii) siempre y cuando SAP siga siendo responsable de cualquier acto u omisión de sus Subprocesadores de Datos de la misma forma que sus propios actos y omisiones conforme al presente.

(b) SAP trasladará a los Subprocesadores de Datos las obligaciones que tenga como Procesador de Datos (o Subprocesador de Datos) ante el Cliente y los Controladores de Datos correspondientes, tal como se estipula en este Anexo.

(c) SAP se compromete a realizar periódicamente un proceso de selección en el que se evalúen las prácticas de seguridad, privacidad y confidencialidad de un Subprocesador de Datos en relación con la gestión de datos. De forma alternativa, el Subprocesador de Datos deberá disponer de un certificado de seguridad que demuestre que ha implementado las medidas de seguridad adecuadas con respecto a los servicios que el Subprocesador de Datos debe proporcionar SAP.

(d) SAP informará al Cliente cuando este lo solicite por correo electrónico del nombre, la dirección y el rol de cada Subprocesador de Datos al que recurra para prestar el Servicio Cloud.

4.2 Nuevos Subprocesadores de Datos.

(a) SAP, a su discreción, podrá quitar, sustituir o nombrar a otros Subprocesadores de Datos adecuados y de su confianza de acuerdo con esta Sección 4.2.

(b) SAP notificará por anticipado al Cliente mediante correo electrónico (salvo en el caso de las Sustituciones de Urgencia especificadas en la Sección 4.3) cualquier cambio que se produzca en la lista de Subprocesadores de Datos, que se considerará aceptada siempre y cuando cumplan y estén sujetos a la Ley de Protección de Datos correspondiente o, si un Subprocesador de Datos es una Entidad No perteneciente al EEE, se aplicarán las Cláusulas Contractuales Tipo. Si el Cliente no se opone dentro de los treinta (30) días posteriores a la recepción de la notificación de SAP, el nuevo Subprocesador de Datos se considerará aceptado.


(c) Si el Cliente tiene un motivo legítimo para oponerse a que SAP recurra a un Subprocesador de Datos (p. ej. si el Subprocesador de Datos es una Entidad No perteneciente al EEE y el Cliente necesita llevar a cabo formalidades adicionales como Controlador de Datos antes de recurrir a dicho Subprocesador de Datos), el Cliente deberá notificárselo a SAP por escrito dentro de los treinta (30) días posteriores a la recepción de la notificación de SAP. Si el Cliente se opone al uso del Subprocesador de Datos en cuestión, SAP tendrá derecho a atender esa oposición mediante una de las opciones siguientes (SAP la elegirá a su criterio exclusivo): (i) SAP cancelará su plan de emplear el Subprocesador de Datos con respecto a los Datos Personales; o (ii) SAP tomará las medidas correctivas que solicite el Cliente en su oposición (que eliminarán la oposición del Cliente) y procederá a emplear el Subprocesador de Datos para los Datos Personales; o (iii) SAP dejará de prestar o el Cliente aceptará no usar (de forma temporal o permanente) el aspecto concreto del Servicio que implicaría el empleo del Subprocesador de Datos para los Datos Personales. Si ninguna de las opciones anteriores son razonablemente viables y la objeción no se subsana dentro de los treinta (30) días posteriores a la recepción por parte de SAP de la oposición del Cliente, cualquiera de las partes podrá terminar el Servicio Cloud afectado con un aviso previo por escrito.

4.3 "Sustitución de Urgencia" es una sustitución repentina de un Subprocesador de Datos cuando dicha sustitución está fuera del control razonable de SAP (p. ej. en caso de que el Subprocesador de Datos deje el negocio, interrumpa de forma inesperada la prestación de servicios a SAP o incumpla sus obligaciones contractuales con respecto a SAP). En este caso, SAP informará al Cliente sobre el Subprocesador de Datos de sustitución en cuanto sea posible y se iniciará el proceso para nombrar formalmente a dicho Subprocesador de Datos de acuerdo con la Sección (d).

5. TRANSFERENCIAS INTERNACIONALES Y DESVIACIONES ESPECÍFICAS DE CADA PAÍS 5.1 Transferencia Internacional. Los Datos Personales que SAP ha recibido de cualquier

Controlador de Datos ubicado en el EEE solamente los podrá exportar SAP a sus Subprocesadores de Datos desde el Centro de Datos (independientemente de que esté situado dentro o fuera del EEE) o permitir que accedan desde un país o territorio fuera del EEE ("Transferencia Internacional") si (a) el destinatario o el país o territorio en el que opera (p. ej. donde o desde donde se trata o

accede a los Datos Personales) garantiza un nivel adecuado de protección para los derechos y libertades de los sujetos de datos en relación con el tratamiento de los Datos Personales tal como determina la Comisión Europea y conforme a las restricciones de alcance de cualquiera de estas determinaciones; o

(b) la Transferencia Internacional a una Entidad No perteneciente al EEE se realiza de conformidad con la siguiente Sección 5.2.

5.2 Cláusulas Contractuales Tipo. Marco de múltiples niveles. (a) Las Cláusulas Contractuales Tipo adjuntas a este Anexo ("Anexo 1") y la anterior Sección 4

se aplicarán si el Contrato se ha formalizado entre (i) un Cliente ubicado en el EEE o (ii) un Cliente con Filiales situadas dentro de la UE y una entidad SAP ubicada fuera del EEE.

(b) Para cualquier otra Transferencia Internacional en la que SAP emplee otras Entidades No pertenecientes al EEE (indicadas en la anterior Sección 4), SAP (representada por SAP SE) ha formalizado la versión no modificada de las Cláusulas Contractuales Tipo con cada una de las Entidades No pertenecientes al EEE antes de tratar los Datos Personales por medio de una Transferencia Internacional.

(c) El Cliente accede por el presente, y cada Controlador de Datos puede acceder, a las Cláusulas Contractuales Tipo estipuladas en el párrafo (b).

(d) Si el contrato directamente anterior no está disponible para un Controlador de Datos en virtud de la Ley de Protección de Datos obligatoria tal como lo determinan SAP y el Cliente,


el Controlador de Datos podrá formalizar las Cláusulas Contractuales Tipo proporcionadas por SAP con la correspondiente Entidad de fuera de la UE (representada por SAP SE).

(e) En caso de que este derecho directo a aplicar las Cláusulas Contractuales Tipo en la correspondiente Entidad No perteneciente al EEE no exista para el Controlador de Datos o sea cuestionado por un Subprocesador de Datos, SAP deberá hacer que dicho Subprocesador de Datos aplique estas Cláusulas Contractuales Tipo en nombre del Controlador de Datos de conformidad con este Anexo.

(f) Ninguna de las disposiciones especificadas en el Contrato prevalecerá ante cualquier cláusula en conflicto de las Cláusulas Contractuales Tipo.

(g) Las Cláusulas Contractuales Tipo se regirán por la legislación del Estado Miembro en el que se encuentre el Exportador de Datos del EEE.

5.3 Desviaciones específicas de cada país. (a) Australia. (i) En el marco de este Anexo - "APP" son los Principios de Privacidad

Australianos, desde el Anexo 1 de la Ley de Modificación de la Privacidad (Mejora de la Protección de la Privacidad) de 2012, que modificó la Ley de Privacidad de 1988; "Controlador de Datos" es una persona que, sola o conjuntamente con otras, determina la finalidad y la forma en que debe tratarse cualquier Dato Personal; y "Procesador de Datos" es cualquier persona (que no sea un empleado del Controlador de Datos) que trata los Datos Personales en nombre del Controlador de Datos. (ii) En la medida en que un Controlador de Datos de Australia o sus Usuarios Autorizados intenten introducir Datos Personales en el Servicio Cloud, el Cliente acepta obtener primero el consentimiento de cada Sujeto de Datos para realizar una Transferencia Internacional tal como está contemplado en este Anexo en la medida en que la Ley de Protección de Datos de Australia correspondiente así lo exija. Por el presente, el Cliente confirma y acepta que ha recibido los Datos Personales y ha informado a los Sujetos de Datos relacionados con respecto a la divulgación de los Datos Personales de acuerdo con los APP y la Ley de Privacidad de 1988. De este modo, y sobre esa base, el Principio 8.1 se cumple y no debe aplicarse de otra forma por medio del "consentimiento informado" salvo en virtud del Principio 8.2(b) ("Consentimiento Informado"). En la medida en que el Consentimiento Informado no deba aplicarse, este Anexo proporciona el marco para la protección de esos Datos Personales de los Sujetos de Datos australianos de una forma que es, en general y como mínimo, sustancialmente parecida a la forma en que los APP protegen esa información, y SAP acepta garantizar para esos Datos Personales un nivel de protección similar, tal como se establece en las Secciones 2, 3 y 6 de este Anexo (por medio de la excepción "ley sustancialmente similar" conforme al Principio 8.2(a)) ("Ley Sustancialmente Similar"),y de este modo, y sobre esa base, el Principio 8.1 se cumple y no deberá aplicarse de otra forma a través de una Ley Sustancialmente Similar.

(b) Austria. En la medida en que un Controlador de Datos de Austria o sus Usuarios Autorizados intenten introducir datos personales de entidades legales (también considerados datos personales conforme a la Ley federal sobre la protección de datos (DSG 2000)) en el Servicio Cloud, el Cliente acepta obtener primero el consentimiento (de conformidad con el Art. 12 pár. 3 del DSG 2000) de esa entidad legal (Sujeto de Datos) antes de utilizar el Servicio Cloud, tal como se describe en el presente, para esos Sujeto de Datos. SAP acepta garantizar para esos datos personales un nivel de protección similar al estipulado en las Secciones 2, 0 y 6 de este Anexo.

(c) Federación Rusa. El Cliente o las Filiales del Cliente como Controladores de Datos siguen siendo operadores de los Datos Personales de los ciudadanos rusos que se envían a SAP para su tratamiento y son responsables de determinar (i) si el Cliente podrá cumplir la ley de privacidad rusa correspondiente al utilizar el Servicio Cloud que implica el tratamiento de Datos Personales de ciudadanos rusos y (ii) si el Servicio Cloud se puede usar dentro o fuera de la Federación Rusa.


(d) Singapur. De acuerdo con la regulación 10(2)(b) de las Regulaciones de Protección de Datos Personales de 2014, salvo que se estipule lo contrario en el Formulario de Pedido, los países a los que SAP puede transferir los Datos Personales que constan en los Datos del Cliente en la disposición del Servicio Cloud en virtud del Contrato (a partir de la fecha de entrada en vigor del Formulario de Pedido firmado por el Cliente) son Australia, Austria, Brasil, Bulgaria, Canadá, Chile, China, China/Hong Kong, República Checa, Francia, Alemania, Hungría, India, Irlanda, Israel, Malasia, México, Países Bajos, Perú, Filipinas, Polonia, Federación Rusa, Singapur, Eslovaquia, Suráfrica, Corea del Sur, España, Suecia, Reino Unido y Estados Unidos. SAP podrá añadir nuevos países a la anterior lista de países mediante una notificación al Cliente de cualquier cambio en la lista de SAP de los Subprocesadores de Datos establecida en la Sección (d) anterior, y dicha notificación deberá incluir el país en el que se encuentra el nuevo Subprocesador de Datos. Esta Sección no incluye necesariamente todos los países a los que SAP puede transferir los Datos del Cliente en la dirección del Cliente o los países desde los que el Cliente, sus Usuarios Autorizados o Socios Empresariales del Cliente pueden acceder al Servicio Cloud.

(e) Corea del Sur. En la medida en que un Controlador de Datos de la República de Corea o sus Usuarios Autorizados intenten introducir Datos Personales en el Servicio Cloud, el Cliente acepta obtener primero el consentimiento de cada Sujeto de Datos para realizar una Transferencia Internacional tal como se contempla en este Anexo y en la medida en que la Ley de Protección de Datos de la República de Corea correspondiente así lo exija. Por el presente, el Cliente confirma y acepta que ha recibido los Datos Personales y ha informado a las personas relacionadas con respecto a la transferencia/el proceso de los Datos Personales de acuerdo con la legislación aplicable.

(f) Suiza. En la medida en que un Controlador de Datos de Suiza o sus Usuarios Autorizados intenten introducir datos personales de entidades legales (también considerados datos personales conforme a la Ley federal suiza sobre protección de datos) en el Servicio Cloud, el Cliente acepta obtener primero el consentimiento (de conformidad con el Art. 6 pár. 2, lit. b. de la Ley federal suiza sobre protección de datos) de esa entidad legal ("Sujeto de Datos") antes de utilizar el Servicio Cloud, tal como se describe en el presente, para esos Sujetos de Datos. SAP acepta garantizar para esos datos personales un nivel de protección similar al estipulado en las Secciones 2, 0 y 6 de este Anexo.

(g) Turquía. En la medida en que un Controlador de Datos de Turquía o sus Usuarios Autorizados intenten introducir Datos Personales en el Servicio Cloud, el Cliente acepta obtener primero el consentimiento de cada Sujeto de Datos para realizar una Transferencia Internacional, tal como está contemplado en este Anexo y en la medida en que la ley de protección de datos de Turquía correspondiente así lo exija. Por el presente, el Cliente confirma y acepta que ha recibido los Datos Personales y ha informado a las personas relacionadas con respecto a la transferencia/el proceso de los Datos Personales de acuerdo con la legislación aplicable.

(h) Estados Unidos. Salvo que SAP y el Cliente hayan formalizado un contrato denominado de asociación empresarial para el intercambio de información sanitaria protegida ("PHI") tal como se define en la Ley de Transferibilidad y Responsabilidad del Seguro Sanitario de Estados Unidos de 1996, modificada en relación con el Servicio Cloud, el Cliente declara en el presente que no entregará PHI al Servicio Cloud ni solicitará esa información a socios o clientes como parte del uso del Servicio Cloud.

6. CERTIFICACIONES Y AUDITORÍAS 6.1 Certificaciones e Informes de Auditoría. Para los sistemas de producción que ejecutan el

Servicio Cloud y durante la vigencia del Contrato, SAP realizará el mantenimiento, a su cargo, de las certificaciones o informes de auditoría aplicables:


(a) Al menos, SAP contratará a un auditor externo independiente con reconocimiento a nivel internacional para que revise las medidas que se toman para proteger el Servicio Cloud: (i) las Certificaciones pueden estar basadas en la ISO 27001 o en otras normas (su alcance está definido en el certificado). (ii) Para algunos Servicios Cloud de SAP, SAP proporciona adicionalmente un informe válido de ISAE3402 o SSAE16-SOC 1 Tipo 2 y/o ISAE3000 o SSAE16-SOC 2 Tipo 2. Previa solicitud del Cliente, SAP deberá informar al mismo sobre las certificaciones aplicables y los estándares de auditoría disponibles para el Servicio Cloud en cuestión.

(b) Previa solicitud del Cliente, los informes de auditoría SOC o las certificaciones ISO están disponibles a través del auditor externo o SAP, según corresponda.

6.2 Auditorías del Cliente. Conforme a la Sección 6.4 siguiente y según sea necesario en virtud de la Ley de Protección de Datos, el Cliente (o un auditor externo independiente en su nombre que esté sujeto a obligaciones de confidencialidad coherentes con las del Contrato) podrá auditar las prácticas de seguridad y el entorno de control de SAP relevantes para los Datos Personales tratados en virtud del presente para el Cliente en cualquiera de las circunstancias siguientes: (a) SAP no ha proporcionado pruebas suficientes del cumplimiento conforme a la Sección 6.1. (b) Se ha producido una circunstancia especificada en la Sección Error! Reference source

not found. anterior. (c) El Cliente u otro Controlador de Datos tiene fundamentos razonables para sospechar que

SAP no cumple con las obligaciones que le corresponden en virtud de este Anexo. (d) El Cliente u otra autoridad o regulador de protección de datos del Controlador de Datos

exige otra auditoría (p. ej. en caso de que una agencia responsable de la aplicación de la ley tenga derecho a auditar a un Controlador de Datos si los Datos Personales se han procesado en la instalación del Controlador de Datos).

6.3 Cooperación. SAP ofrecerá soporte razonable al Cliente durante los procesos de verificación necesarios en virtud de la Ley de Protección de Datos y proporcionará al Cliente la información necesaria.

6.4 Restricciones de la Auditoría. (a) Salvo que sea necesario en virtud de la Ley de Protección de Datos, las auditorías, de

conformidad con la Sección (b), se limitan a una dentro de un período de doce meses. (b) La duración de una auditoría no puede superar los tres días laborables. (c) El Cliente deberá proporcionar a SAP un aviso previo por escrito (al menos con 60 días de

antelación, salvo que una autoridad de protección de datos exija que se realice antes un control al Cliente en virtud de la Ley de Protección de Datos).

(d) El Cliente y SAP acordarán mutuamente el alcance y determinarán de forma anticipada el calendario de la auditoría. En la medida de lo posible, la auditoría deberá basarse en certificaciones e informes de auditoría u otras certificaciones disponibles para confirmar el cumplimiento de las disposiciones de este Anexo por parte de SAP y evitar auditorías repetitivas.

(e) El Cliente deberá llevar a cabo la auditoría dentro de un tiempo, lugar y forma razonables, y deberá proporcionar a SAP una copia del informe de la auditoría.

(f) Cada una de las partes se hará cargo de los costes de una auditoría conforme a la Sección (b), salvo que el Cliente deba hacerse cargo de los costes de los recursos internos de SAP que sean necesarios para llevar a cabo una auditoría conforme a la Sección (b)(d) o conforme a la Ley de Protección de Datos. Los costes internos de SAP se basarán en las tarifas diarias de servicio profesional vigentes que se apliquen al Cliente o, a falta de acuerdo, según la lista de precios de SAP.

(g) En caso de que una auditoría determine que SAP ha incumplido sus obligaciones en virtud de este Anexo (un "Resultado") SAP deberá solventarlo de inmediato. Es decisión


exclusiva de SAP determinar qué medidas son las más adecuadas para garantizar el cumplimiento conforme a este Anexo.

7. DEFINICIONES Cualquier término utilizado en el presente y escrito con la inicial en mayúscula, como por ejemplo Filiales, Contrato, Cliente, Usuario Autorizado (a veces también denominado Usuario o Usuario Nominal), Formulario de Pedido o Servicio Cloud (a veces también denominado Servicio), tendrá el significado que se le haya atribuido en el Contrato. 7.1 "Centro de Datos" es la ubicación donde se aloja la instancia de producción del Servicio Cloud

para el Cliente en su región, tal como está publicado en: http://www.sap.com/corporate-en/about/our-company/policies/data-privacy-and-security/location-of-data-center.html , notificado al Cliente o acordado de otra forma en un Formulario de Pedido.

7.2 "Controlador de Datos" tiene el significado que se ha dado a este término en la Ley de Protección de Datos correspondiente.

7.3 "Exportador de Datos" ,según se utiliza en las Cláusulas Contractuales Tipo, es el Cliente tal como aparece en un Formulario de Pedido o sus Controladores de Datos.

7.4 "Importador de Datos" según se utiliza en las Cláusulas Contractuales Tipo, es la correspondiente Entidad No perteneciente al EEE.

7.5 "Procesador de Datos" tiene el significado que se ha dado a este término en la Ley de Protección de Datos correspondiente.

7.6 "Ley de Protección de Datos" es la legislación que protege los derechos y libertades fundamentales de las personas y, en concreto, su derecho a la privacidad, con relación al tratamiento de los Datos Personales en virtud del Contrato. SAP deberá cumplir con las obligaciones adicionales estipuladas en un Formulario de Pedido y que son necesarias en virtud de las leyes locales obligatorias de protección de datos aplicables a SAP como Procesador de Datos.

7.7 "Sujeto de Datos" es una persona identificada o identificable o una entidad legal (del modo en que está definido en la Ley de Protección de Datos correspondiente).

7.8 "EEE" es el Espacio Económico Europeo, así como cualquier país para el cual la Comisión Europea haya publicado una decisión de adecuación, tal como se indica en http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm.

7.9 "Subprocesador de Datos Europeo" es un Subprocesador de Datos que trata físicamente los Datos Personales en Europa, Islandia, Liechtenstein, Noruega o Suiza.

7.10 "Entidad No perteneciente al EEE" es cualquier entidad de SAP o Subprocesador de Datos constituido fuera del EEE, es decir, en un país que no proporciona un nivel adecuado de protección de datos de acuerdo con lo que determina la Comisión Europea.

7.11 "Datos Personales" tiene el significado que se le ha dado en la Ley de Protección de Datos y, para la finalidad de este Anexo, incluye solamente los datos personales introducidos por el Cliente o sus Usuarios Autorizados dentro o derivados de su uso del Servicio Cloud, que proporcionado a SAP o a los que SAP, o sus Subprocesadores de Datos, accede para proporcionar soporte de acuerdo con el Contrato. Los Datos Personales son un subconjunto de Datos del Cliente y se utilizan en el presente cuando se aplica alguna Ley de Protección de Datos.

7.12 "SAP" es la entidad de SAP que es una de las partes del Formulario de Pedido que incluye este Anexo.

7.13 "Incumplimiento de Seguridad" es cualquier acto u omisión por parte de SAP o sus Subprocesadores de Datos que conducen a una divulgación no autorizada de los Datos Personales, de manera que se incumplen las medidas establecidas en el Apéndice 2 o cualquier situación similar para la que se requiere legamente que el Controlador de Datos avise al Sujeto de Datos o a la autoridad de protección de datos en cuestión.


http://www.sap.com/corporate-en/about/our-company/policies/data-privacy-and-security/location-of-data-center.html

http://www.sap.com/corporate-en/about/our-company/policies/data-privacy-and-security/location-of-data-center.html

http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

7.14 "Cláusulas Contractuales Tipo", también denominadas "Cláusulas Modelo de la UE", son las Cláusulas Contractuales Tipo (Procesador de Datos) basadas en la Decisión de la Comisión a fecha 5 de febrero de 2010 acerca de las cláusulas contractuales tipo para la transferencia de Datos Personales a los Controladores de Datos establecidos en países externos, de conformidad con la Directiva 95/46/EC (notificada con el número de documento C(2010) 593), o cualquier versión posterior de estas publicadas por la Comisión (que se aplicarán automáticamente), incluidos los Anexos 1 y 2 adjuntos al presente.

7.15 "Subprocesador de Datos", tal como se define en las Cláusulas Contractuales Tipo y en este Anexo, son las Filiales de SAP o terceros subprocesadores de datos contratados por SAP o las Filiales de SAP de acuerdo con la Sección 4 siguiente.

8. ACCESO UE (OPCIONAL) 8.1 Servicio Cloud Elegible. A diferencia de la Sección 5.1 de este Anexo, SAP acepta

proporcionar Acceso UE para el Servicio Cloud en la medida acordada en el Formulario de Pedido. El Cliente entiende que el Acceso UE se proporciona únicamente para los servicios elegibles para Acceso UE que SAP determina periódicamente y que están alojados por SAP en la Unión Europea.

8.2 Ubicación del Centro de Datos. A partir de la Fecha de Entrada en Vigor del Formulario de Pedido y salvo que cualquier disposición del Formulario de Pedido indique lo contrario, los Centros de Datos que se utilicen para alojar los Datos Personales en el Servicio Cloud solicitado estarán ubicados dentro del territorio del EEE o en Suiza. SAP se compromete a no migrar la instancia del Cliente a un Centro de Datos fuera del territorio del EEE o de Suiza sin el consentimiento previo por escrito del Cliente (se acepta por correo electrónico). En caso de que SAP tenga previsto migrar la instancia del Cliente a un centro de datos dentro del EEE o Suiza, SAP deberá notificar dicha migración por escrito al Cliente (se acepta por correo electrónico) con una antelación mínima de treinta días antes de que se lleve a cabo la migración planificada.

8.3 Acceso UE. El Cliente lo ha solicitado y SAP ha aceptado abstenerse de emplear Subprocesadores de Datos distintos a los Subprocesadores de Datos Europeos para prestar soporte a los sistemas de producción del Servicio Cloud, dado que dicho soporte puede requerir el acceso a los Datos Personales, independientemente de si se produce o no dicho acceso.

8.4 Exclusión. Los siguientes Datos Personales no están sujetos al Acceso UE: (a) Datos de contacto del remitente de un ticket de soporte y/o incidencia, aviso o mensaje al

completar un ticket de soporte y/o incidencia. (b) Cualquier otro Dato Personal enviado por el Cliente a la hora de completar un ticket de

soporte y/o incidencia. El Cliente puede optar por no transmitir dichos Datos Personales al completar un ticket de soporte y/o incidencia. En caso de que esos datos sean necesarios para el proceso de gestión de la incidencia, el Cliente puede optar por anonimizar dichos Datos Personales antes de transmitir a SAP el mensaje de la incidencia.

(c) Datos Personales en sistemas de no producción. SAP o sus Subprocesadores de Datos solo podrán transferir o acceder a los Datos Personales que no están sujetos al Acceso UE según lo especificado en la Sección 5.

-- RECORDATORIO DE PÁGINA DEJADA EN BLANCO INTENCIONADAMENTE --


Anexo 1 CLÁUSULAS CONTRACTUALES TIPO (PROCESADORES DE DATOS)1

A efectos del apartado 2 del Artículo 26 de la Directiva 95/46/CE sobre la transferencia de datos personales a procesadores de datos ubicados en países terceros que no garantizan un nivel de protección de datos adecuado, el Cliente y/o sus Filiales ubicadas en la UE, según lo especificado en la Sección 1.2 (b) del CONTRATO

DE TRATAMIENTO DE DATOS (denominado a continuación en las Cláusulas "exportador de datos")

y SAP SE, en representación de las Entidades No pertenecientes al EEE, de conformidad con la Sección

5.2 (b) del CONTRATO DE TRATAMIENTO DE DATOS (denominado a continuación en las Cláusulas "importador de datos")

cada uno individualmente una "parte", conjuntamente "las partes", HAN ACORDADO las siguientes Cláusulas Contractuales (las "Cláusulas") con objeto de presentar garantías suficientes en lo que se refiere a la protección de los derechos y libertades fundamentales y de privacidad de las personas para que el exportador de datos transfiera al importador de datos los datos personales especificados en el Anexo 1.

Cláusula 1 Definiciones

A los efectos de las presentes Cláusulas: (a) "datos personales", "categorías especiales de datos", "tratamiento", "responsable del

tratamiento", "procesador del tratamiento", "interesados" y "autoridad de control" tendrán el mismo significado que el especificado en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en relación con el tratamiento de datos personales y la libre circulación de dichos datos;

(b) "exportador de datos" es el responsable del tratamiento, quien transfiere los datos personales; (c) "importador de datos" es el procesador del tratamiento, quien acepta recibir del exportador datos

personales para su posterior tratamiento en nombre de este, de acuerdo con sus instrucciones y los términos de las Cláusulas, y quien no está sujeto al sistema de un país tercero, por lo que se garantiza una protección adecuada de conformidad con el Artículo 25, apartado 1 de la Directiva 95/46/CE;

(d) "subprocesador" es cualquier procesador contratado por el importador de datos o por cualquier otro subprocesador del mismo que acepte recibir del importador de datos, o de cualquier otro subprocesador del mismo, datos personales destinados exclusivamente a llevar a cabo las actividades de tratamiento en nombre del exportador de datos, de acuerdo con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato concluido por escrito;

(e) "legislación de protección de datos aplicable" es la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la privacidad en relación

1 Conforme a la Decisión de la Comisión del 5 de febrero de 2010 (2010/87/UE)


con el tratamiento de datos personales, aplicable a un responsable de tratamiento de datos en el Estado Miembro en que está establecido el exportador de datos;

(f) "medidas de seguridad técnicas y organizativas" son las medidas destinadas a proteger los datos personales de una pérdida accidental o de su destrucción accidental o ilícita, su alteración, su divulgación o acceso no autorizados, en especial cuando el tratamiento implique la transmisión de datos a través de una red, y contra toda forma ilícita de tratamiento.

Cláusula 2

Detalles de la transferencia

Los detalles de la transferencia y, en particular, las categorías especiales de los datos personales se especifican, cuando proceda, en el Anexo 1, que forma parte integrante de las presentes Cláusulas.

Cláusula 3 Cláusula de tercero beneficiario

1. Los interesados pueden exigir al exportador de datos el cumplimiento de la presente Cláusula, las letras (b) a (i) de la Cláusula 4, las letras (a) a (e) y (g) a (j) de la Cláusula 5, los apartados 1 y 2 de la Cláusula 6, la Cláusula 7, el apartado 2 de la Cláusula 8 y las Cláusulas 9 a 12 como tercer beneficiario. 2. Los interesados pueden exigir al importador de datos el cumplimiento de la presente Cláusula, las letras (a) a (e) y (g) de la Cláusula 5, la Cláusula 6, la Cláusula 7, el apartado 2 de la Cláusula 8 y las Cláusulas 9 a 12 en los casos en que el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. 3. Los interesados pueden exigir al subprocesador el cumplimiento de la presente Cláusula, las letras (a) a (e) y (g) de la Cláusula 5, la Cláusula 6, la Cláusula 7, el apartado 2 de la Cláusula 8 y las Cláusulas 9 a 12 en los casos en que el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Dicha responsabilidad civil del subprocesador se limitará a las operaciones propias de tratamiento de datos de acuerdo con las presentes Cláusulas. 4. Las partes no se oponen a que los interesados estén representados por una asociación u otra entidad, si así lo desean de forma explícita y lo permite el Derecho nacional.

Cláusula 4

Obligaciones del exportador de datos El exportador de datos acuerda y garantiza que: (a) el tratamiento de los datos personales, incluida su transferencia, se ha efectuado y seguirá

efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones pertinentes en vigor en dicho Estado miembro;


(b) ha proporcionado al importador de datos, y proporcionará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las presentes Cláusulas;

(c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el Anexo 2 del presente contrato;

(d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, en especial cuando el tratamiento implique la transmisión de datos a través de una red, y contra toda forma ilícita de tratamiento, y que dichas medidas garantizan un nivel de seguridad apropiado para los riesgos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su implementación;

(e) garantizará que se cumplan dichas medidas de seguridad; (f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o

serán informados antes de que se efectúe la misma, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada, de conformidad con la Directiva 95/46/CE;

(g) enviará la notificación recibida del importador de datos o de cualquier subprocesador de datos a la autoridad de control de la protección de datos, de conformidad con la letra (b) de la Cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida continuar con la transferencia o levantar la suspensión;

(h) pondrá a disposición de los interesados, previa petición, una copia de las Cláusulas, a excepción del Anexo 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las Cláusulas, a menos que las dichas Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;

(i) en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la

Cláusula 11 por un subprocesador que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes Cláusulas; y

(j) asegurará que se cumplan las letras a) a i) de la Cláusula 4.

Cláusula 5 Obligaciones del importador de datos

El importador de datos acuerda y garantiza que: (a) tratará los datos personales solo en nombre del exportador de datos, de conformidad con sus

instrucciones y las presentes Cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;

(b) no tiene motivos para creer que la legislación aplicable le impida cumplir las instrucciones del

exportador de datos y sus obligaciones de acuerdo con el contrato y que, en caso de modificación de la legislación que pueda tener un efecto negativo sustancial sobre las garantías y obligaciones estipuladas en las presentes Cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;


(c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el Anexo 2 antes de efectuar el tratamiento de los datos personales transferidos;

(d) notificará sin demora al exportador de datos:

(i) cualquier solicitud jurídicamente vinculante para divulgar los datos personales presentada por una autoridad responsable de la aplicación de la ley a menos que esté prohibido, por ejemplo, por el Derecho penal, para preservar la confidencialidad de una investigación sobre la aplicación de la ley;

(ii) cualquier acceso accidental o no autorizado; y (iii) cualquier solicitud sin respuesta recibida directamente de los interesados, a menos que se

le autorice; (e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de

datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;

(f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se

lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las presentes Cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes y las cualificaciones profesionales necesarias, sujetos a confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;

(g) pondrá a disposición de los interesados, previa petición, una copia de las presentes Cláusulas, o

de cualquier contrato existente sobre el subtratamiento de los datos, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial, a excepción del Anexo 2 que será sustituido por un resumen de las medidas de seguridad, en aquellos casos en que el interesado no pueda obtener una copia directamente del exportador de datos;

(h) en caso de subtratamiento de los datos, habrá informado anteriormente al exportador de datos y

obtenido previamente su consentimiento por escrito; (i) los servicios de tratamiento por parte del subprocesador se llevarán a cabo de conformidad con la

Cláusula 11; (j) enviará sin demora al exportador de datos con arreglo a las Cláusulas una copia de cualquier

acuerdo que concluya con el subprocesador;

Cláusula 6 Responsabilidad

1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subprocesador tendrán derecho a percibir una indemnización del exportador de datos por el daño sufrido. 2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a la que se refiere el apartado 1 por incumplimiento por parte del importador de datos


o su subprocesador de sus obligaciones referidas en la Cláusula 3 o en la Cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud del contrato o por ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. El importador de datos no podrá basarse en un incumplimiento de un subprocesador de sus obligaciones para eludir sus propias responsabilidades. 3. En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda de indemnización a que se refieren los apartados 1 y 2 por incumplimiento por parte del subprocesador de datos de sus obligaciones referidas en la Cláusula 3 o en la Cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes, el subprocesador de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las presentes Cláusulas en lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud del contrato o por ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subprocesador se limitará a las operaciones propias de tratamiento de datos de acuerdo con las presentes Cláusulas.

Cláusula 7 Mediación y jurisdicción

1. El importador de datos acepta que, si el interesado invoca en su contra derechos de tercero beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las presentes Cláusulas, aceptará la decisión del interesado de: (a) someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte

de la autoridad de control; (b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de

datos. 2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.

Cláusula 8 Cooperación con las autoridades de control

1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si la legislación de protección de datos aplicable exige que se deposite. 2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador de datos, o a cualquier subprocesador, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable. 3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subprocesador no permita auditar al importador ni a los subprocesador, con arreglo al apartado 2. En tal caso, el exportador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la Cláusula 5.


Cláusula 9

Legislación aplicable Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.

Cláusula 10 Variación del contrato

Las partes se comprometen a no variar o modificar las presentes Cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las Cláusulas.

Cláusula 11 Subtratamiento de datos

1. El importador de datos no subcontratará ninguna de sus operaciones de tratamiento llevadas a cabo en nombre del exportador de datos con arreglo a las presentes Cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las Cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subprocesador de datos, en el que se le impongan al subprocesador las mismas obligaciones impuestas al importador de datos con arreglo a las presentes Cláusulas. En los casos en que el subprocesador de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones por parte del subprocesador del tratamiento de datos con arreglo a dicho acuerdo. 2. El contrato escrito previo entre el importador de datos y el subprocesador contendrá asimismo una cláusula de tercero beneficiario, tal como se establece en la Cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ley. Dicha responsabilidad civil del subprocesador se limitará a las operaciones propias de tratamiento de datos de acuerdo con las presentes Cláusulas. 3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de tratamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos, a saber , Alemania. 4. El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la Cláusula 5, lista que se actualizará al menos una vez al año. La lista deberá estar a disposición de la autoridad de control de protección de datos del exportador de datos.


Cláusula 12 Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos

personales 1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador de datos y el subprocesador deberán, a discreción del exportador de datos, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza la confidencialidad de los datos personales transferidos y que no volverá a someterlos a tratamiento. 2. El importador de datos y el subprocesador garantizan que, a petición del exportador de datos o de la autoridad de control, pondrán a disposición sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1.


ANEXO 1 DEL CONTRATO DE TRATAMIENTO DE DATOS Y CLÁUSULAS CONTRACTUALES TIPO

Las partes podrán proporcionar detalles adicionales en un Formulario de Pedido o en el Acuerdo Complementario, si es necesario, o el Cliente podrá ajustarlos en la siguiente descripción.

Exportador de Datos El Exportador de Datos suscrito a un Servicio Cloud de SAP que permite a los Usuarios Autorizados grabar, modificar, utilizar, eliminar o de otra forma tratar los Datos Personales tal como se especifica en el Contrato.

Importador de Datos SAP y sus Subprocesadores proporcionan el Servicio Cloud, que incluye el Soporte siguiente: Las Filiales de SAP en todo el mundo prestan soporte a los centros de datos del Servicio Cloud de SAP global de forma remota desde las instalaciones de SAP, p. ej. en St. Leon/Rot (Alemania), India y otras ubicaciones en las que SAP contrata personal para las funciones de Operaciones/Entrega del Servicio Cloud. El Soporte incluye lo siguiente, sin limitarse a ello:

• Control del Servicio Cloud y de la infraestructura subyacente • Copias de seguridad y restauración de los Datos del Cliente almacenados en el Servicio Cloud • Lanzamiento y desarrollo de parches, nuevas actualizaciones y mejoras del Servicio Cloud y de

la infraestructura subyacente • Solución de problemas para equipos de servidores, almacenamiento y red • Control de las bases de datos, solución de problemas, actividades diarias de administración de

la base de datos, incluido el dimensionamiento de la base de datos de producción, creación de índices, ajuste del rendimiento y gestión de los parches. Gestión de bases de datos en espera y proyectos relacionados con las funciones de bases de datos

• Control de la seguridad, soporte para la detección de intrusiones en la red, realización de pruebas de penetración

Las Filiales de SAP proporcionan también soporte, p. ej. cuando un Cliente abre un ticket de soporte porque el Servicio Cloud no está disponible o no funciona de la forma esperada para algunos o todos los Usuarios Autorizados (incidencia): SAP responde a los teléfonos, aplica soluciones básicas y transfiere y gestiona los tickets de soporte en un sistema de seguimiento que es independiente de la instancia de producción del Servicio Cloud.

Sujetos de Datos Los Datos Personales transferidos abarcan las siguientes categorías de Sujetos de Datos: Salvo que el Exportador de Datos lo establezca de otra forma, los Sujetos de Datos podrán ser empleados, contratistas, socios empresariales u otros individuos cuyos Datos Personales estén almacenados en el Servicio Cloud.

Categorías de los datos Los Datos Personales transferidos abarcan las siguientes categorías de datos: El Cliente determina las categorías de datos por Servicio Cloud suscrito. Los campos de los datos del Cliente se pueden configurar como parte de la implementación del Servicio Cloud o de cualquier forma que permita el Servicio Cloud. Los Datos Personales transferidos normalmente hacen referencia a ( una subcategoría de) las categorías de datos siguientes: nombre, números de teléfono, direcciones de correo electrónico, zona horaria, datos de dirección, datos de acceso / uso / autorización del sistema, nombre de la empresa, datos de contratos, datos de factura, además de cualquier otro dado específico de la aplicación que los Usuarios Autorizados introducen en el Servicio Cloud, incluidos los datos sobre cuentas bancarias o tarjetas de crédito o débito.


Categorías especiales de datos (si corresponden) Los Datos Personales transferidos afectan las categorías especiales de datos siguientes: Las que se especifican en el Formulario de Pedido, de haberlas.

Operaciones de tratamiento Los Datos Personales transferidos estarán sujetos a las siguientes actividades de tratamiento básico:

• Uso de los Datos Personales para proporcionar el Servicio Cloud (incluido el Soporte Operativo y Técnico)

• Almacenamiento de los Datos Personales en Centros de Datos específicos (arquitectura para varios clientes)

• Carga de cualquier parche, actualización / nuevas versiones del Servicio Cloud • Copia de seguridad de los Datos Personales • Tratamiento informático de Datos Personales, incluida la transmisión, la recuperación y el acceso

de datos • Acceso en red para permitir la transferencia de Datos Personales, si es necesario


ANEXO 2 DEL CONTRATO DE TRATAMIENTO DE DATOS Y CLÁUSULAS CONTRACTUALES TIPO

1. PRÓLOGO 1.1 Desviaciones. Algunos Servicios Cloud están sujetos a diferentes términos de soporte, tal

como está estipulado en el Acuerdo Complementario o en el Formulario de Pedido correspondiente.

1.2 Alcance. En todos los demás casos, se aplicará la descripción de las medidas de seguridad organizativas y técnicas especificadas en la Sección 2 siguiente e implementadas por el Importador de Datos para los Datos Personales almacenados en el sistema de producción del Servicio Cloud (de acuerdo con las cláusulas 4(d) y 5(c) de las Cláusulas Contractuales Tipo).

2. MEDIDAS TÉCNICAS Y ORGANIZATIVAS Las secciones siguientes describen las medidas de seguridad actuales establecidas por SAP. 2.1 Control de Acceso Físico. Las personas no autorizadas no obtendrán acceso físico a las

instalaciones, los edificios o las salas en las que estén ubicados los sistemas de tratamiento de datos que tratan y/o utilizan los Datos Personales.

Medidas: Todos los Centros de Datos siguen estrictos procedimientos de seguridad reforzados por guardias, cámaras de vigilancia, detectores de movimiento, mecanismos de control del acceso y otras medidas para evitar comprometer los equipos y las instalaciones del Centro de Datos. Los únicos que tienen acceso a los sistemas y la infraestructura dentro de las instalaciones del Centro de Datos son los representantes autorizados. Para garantizar el funcionamiento adecuado, periódicamente se efectúa el mantenimiento de los equipos de seguridad (p. ej. sensores de movimiento, cámaras, etc.). En concreto, todos los Centros de Datos tienen implementadas las medidas de seguridad física siguientes:

(a) SAP protege sus activos e instalaciones utilizando los medios adecuados en función de la clasificación de seguridad llevada a cabo por un departamento de seguridad interno.

(b) En general, los edificios están asegurados mediante unos sistemas de control de acceso (sistema de acceso con tarjetas inteligentes).

(c) Como requisito mínimo, la parte más exterior del edificio tiene que estar equipada con un sistema de llaves certificado que incluya una gestión de llaves activa y moderna.

(d) En función de la clasificación de seguridad, los edificios, las áreas individuales y las instalaciones de los alrededores están además protegidas con medidas adicionales. Estas medidas incluyen: perfiles de acceso específicos, vídeovigilancia, sistemas de alarma contra intrusos y sistemas de control de acceso biométrico.

(e) Se concederán derechos de acceso a las personas autorizadas de forma individual de conformidad con el Sistema y las medidas de Control de Acceso a los Datos especificadas a continuación. Esto también se aplica al acceso de los visitantes. Los invitados y visitantes de los edificios de SAP tienen que registrar sus nombres en recepción, y deben ir acompañados por personal autorizado de SAP. SAP y todos los terceros proveedores de Centros de Datos registran los nombres y las horas de las personas que acceden a áreas privadas de SAP dentro de los Centros de Datos.

(f) Los empleados de SAP y el personal externo deben llevar sus tarjetas de identificación en todas las ubicaciones de SAP.

2.2 Control de Acceso al Sistema. Es necesario impedir que los sistemas de tratamiento de datos

que se utilizan para prestar el Servicio Cloud se puedan usar sin autorización. Medidas:

(a) Se utilizan varios niveles de autorización para garantizar el acceso a sistemas sensibles, incluidos aquellos que almacenan y tratan Datos Personales. Los procesos se implementan


para garantizar que solamente los usuarios autorizados tienen el permiso adecuado para añadir, eliminar o modificar usuarios.

(b) Todos los usuarios acceden a los sistemas de SAP con un identificador único (Id del usuario).

(c) SAP dispone de procedimientos para garantizar que los cambios de autorización solicitados se implementan solamente de acuerdo con las directrices (por ejemplo, no se otorgan derechos sin autorización). Si un usuario cambia de rol o deja la empresa, sus derechos de acceso quedan revocados.

(d) SAP ha establecido una política de contraseñas que prohíbe compartirlas, especifica qué debe hacerse en caso de que se divulgue una contraseña y exige que las contraseñas se cambien periódicamente y que las contraseñas predeterminadas se modifiquen. Se asignan identificadores de usuario personalizados para la autenticación. Todas las contraseñas deben cumplir unos requisitos mínimos definidos y se almacenan de forma encriptada. En los casos de contraseñas de dominios, el sistema obliga a cambiar la contraseña cada seis meses cumpliendo con los requisitos para las contraseñas complejas. Cada ordenador tiene un protector de pantalla protegido mediante contraseña.

(e) El acceso remoto al entorno de entrega del Servicio Cloud requiere al menos mecanismos sólidos de autenticación (por ejemplo, la combinación de una contraseña y una función de seguridad ampliada). Para las cuentas administrativas y las cuentas de servicio de los sistemas de TI que son críticos para la seguridad deben usarse contraseñas de un mínimo de quince (15) caracteres. Las contraseñas nuevas tienen que ser diferentes de las últimas cinco (5) contraseñas de un Usuario Autorizado. La red de la empresa está protegida de la red pública mediante cortafuegos.

(f) SAP utiliza un software de antivirus actualizado en los puntos de acceso con la red de la empresa (para cuentas de correo electrónico) y en todos los servidores de archivo y centros de trabajo.

(g) Se ha implementado una gestión de parches de seguridad para garantizar la implementación de las actualizaciones de seguridad pertinentes.

(h) El acceso remoto completo a la red corporativa de SAP y a la infraestructura crítica está protegido mediante una autenticación sólida.

2.3 Control de Acceso a los Datos. Aquellas personas que estén autorizadas para utilizar

sistemas de tratamiento de datos solo deberán tener acceso a los Datos Personales para los que tengan derecho de acceso, y los Datos Personales no podrán leerse, copiarse, modificarse o eliminarse sin autorización durante el tratamiento, el uso y el almacenamiento.

Medidas:

(a) El acceso a la información personal, confidencial o sensible se garantiza en función de la necesidad de conocerla. En otras palabras, los empleados o terceros externos tienen acceso a la información relevante para poder llevar a cabo su trabajo. SAP utiliza conceptos de autorización que documentan cómo se asignan las autorizaciones y qué autorizaciones se asignan. Todos los datos personales, confidenciales o sensibles están protegidos de acuerdo con los estándares de seguridad de SAP.

(b) Todos los servidores de producción de cualquier Servicio Cloud de SAP están en funcionamiento en los Centros de Datos/salas de servidores correspondientes. Las medidas de seguridad que protegen las aplicaciones que tratan datos personales, confidenciales o sensibles se verifican periódicamente. Con este objetivo, SAP lleva a cabo verificaciones de seguridad internas y externas y pruebas de entrada en los sistemas de TI.

(c) SAP no permite la instalación de software personal ni de otro software que no esté aprobado por SAP en los sistemas que se utilizan para cualquier Servicio Cloud.


(d) Un estándar de seguridad de SAP rige cómo se eliminan o destruyen los datos y los soportes de datos.

2.4 Control de Transmisión de Datos. Durante la transferencia, los Datos Personales no se deben

leer, copiar, modificar ni eliminar sin autorización. Medidas:

(a) Cuando los soportes de datos se transportan físicamente, se implementan medidas adecuadas en SAP para garantizar los niveles de servicio acordados (por ejemplo, encriptación y contenedores con blindaje de plomo).

(b) La transferencia de Datos Personales a través de las redes internas de SAP están protegidas de la misma forma que cualquier otro dato confidencial de acuerdo con la Política de Seguridad de SAP.

(c) Cuando los datos se transfieren entre SAP y sus clientes, las medidas de protección para los Datos Personales transferidos se acuerdan mutuamente en el Contrato. Esto se aplica tanto a la transferencia de datos en red como física. En cualquier caso, el Cliente asume la responsabilidad de cualquier transferencia de datos desde el Punto de Demarcación de SAP (p. ej. cortafuegos de salida del Centro de Datos de SAP que aloja el Servicio Cloud).

-- RECORDATORIO DE PÁGINA DEJADA EN BLANCO INTENCIONADAMENTE --


2.5 Control de Entrada de Datos. Tiene que ser posible examinar de forma retrospectiva y establecer si y quién ha introducido, modificado o eliminado Datos Personales en SAP de los sistemas de tratamiento de datos utilizados para proporcionar el Servicio Cloud.

Medidas: SAP solamente permite que las personas autorizadas accedan a los Datos Personales que necesitan durante el transcurso de su trabajo. SAP ha implementado un sistema de registro para la entrada, la modificación y la eliminación, o el bloqueo de Datos Personales, ya sea él mismo quien haya realizado estas acciones o sus Subprocesadores de Datos en la medida que admite el Servicio Cloud. 2.6 Control de Funciones. Los Datos Personales tratados por encargo únicamente deberán

tratarse de conformidad con el Contrato y según las instrucciones del Cliente. Medidas:

(a) SAP utiliza controles y procesos para garantizar el cumplimiento con los contratos entre SAP y sus Subprocesadores de Datos u otros proveedores de servicios.

(b) Como parte de la Política de Seguridad de SAP, los Datos del Cliente requieren al menos el mismo nivel de protección que la información "confidencial" de acuerdo con el estándar de Clasificación de la Información de SAP.

(c) Todos los empleados de SAP y los socios contractuales están vinculados mediante contrato al respeto de la confidencialidad de toda la información sensible, incluidos los secretos comerciales de los clientes y socios de SAP.

2.7 Control de Disponibilidad. Los Datos Personales deberán protegerse de posibles pérdidas o

destrucciones accidentales o no autorizadas. Medidas:

(a) SAP utiliza procesos de copia de seguridad y otras medidas que garantizan la restauración rápida de los sistemas empresariales críticos cuando sea necesario.

(b) SAP utiliza un suministro eléctrico ininterrumpido (p. ej.: UPS, baterías, generadores, etc.) para garantizar el suministro de electricidad a los Centros de Datos.

(c) SAP ha definido planes de contingencia así como estrategias empresariales y de recuperación de desastres para los Servicios Cloud.

(d) Los procesos y sistemas de emergencia se prueban periódicamente.

2.8 Control de Separación de Datos. Los Datos Personales recopilados para finalidades diferentes pueden tratarse por separado.

Medidas:

(a) SAP utiliza funcionalidades técnicas del software implementado (p. ej. para múltiples arrendatarios o entornos de sistema independientes) para lograr la separación de datos entre los Datos Personales de los diferentes clientes.

(b) SAP conserva instancias específicas (con separación lógica o física) para cada Cliente. (c) Los Clientes (incluidas sus Filiales) tienen acceso solamente a sus propias instancias de

Cliente.

2.9 Control de la Integridad de los Datos. Garantiza que los Datos Personales permanecerán intactos, completos y actualizados durante las actividades de tratamiento:

Medidas: SAP ha implementado una estrategia de defensa en varias capas como protección contra


modificaciones no autorizadas. Esto hace referencia a controles, de conformidad con lo especificado en las secciones de control y medidas que se describen a continuación. En concreto:

(a) Cortafuegos (b) Centro de Control de la Seguridad (c) Software antivirus (d) Copias de seguridad y recuperación (e) Pruebas de entrada internas y externas (f) Auditorías externas periódicas para probar las medidas de seguridad


contrato de tratamiento de datos para los servicios …a248.g.akamai.net/n/248/420835... ·...

Documents