ACUERDO DE TRATAMIENTO DE DATOS DE CLIENTES DE IDEXX
(Revisión 18 de mayo de 2023)
El presente Acuerdo de Procesamiento de Datos ("APD") y los apéndices del acuerdo de procesamiento de datos aplicables que se encuentran aquí (cada uno de ellos un "Apéndice del APD") se aplican al procesamiento de datos personales ("Datos Personales del Cliente") por parte de IDEXX en nombre del cliente ("Cliente") con sujeción al Reglamento general de protección de datos (UE) 2016/679 ("RGPD") o a cualquier otra normativa sobre protección de datos identificada aquí (conjuntamente, "normas de protección de datos") con el fin de prestar servicios ("Servicios") en virtud de un acuerdo entre IDEXX y el Cliente ("Acuerdo"). Cuando se haga referencia a IDEXX en el presente APD, se entenderá IDEXX B.V. o una Afiliada de IDEXX B.V. que haya celebrado el Acuerdo con el Cliente. Se hará referencia al Cliente y a IDEXX colectivamente como "Partes", o por separado como una "Parte". El presente APD y el correspondiente Anexo del APD se incorporan al Contrato aplicable al Servicio correspondiente. En caso de conflicto, el anexo del APD prevalece sobre el APD, que prevalece sobre el resto del contrato, a menos que se estipule explícitamente lo contrario en el presente APD.
1 Definiciones
1.1 Todas las definiciones incluidas en el Acuerdo se aplicarán también al presente APD, salvo que se estipule lo contrario. Los términos utilizados en mayúsculas y que no están definidos en el presente documento tienen el significado que se les atribuye en la legislación aplicable en materia de protección de datos. Además, las siguientes definiciones se aplican al presente APD:
1.2 Afiliado: se refiera a cualquier persona o entidad que controle, sea controlada por o esté bajo control común con otra persona o entidad. A estos efectos, por "control" se entenderá (i) la posesión, directa o indirecta, del poder de dirigir la gestión o las políticas de la entidad en cuestión, ya sea mediante la propiedad de valores con derecho a voto, por contrato o de otro modo, o (ii) la propiedad, directa o indirecta, de al menos el cincuenta por ciento (50%) de los valores con derecho a voto u otra participación en la propiedad de la entidad en cuestión, o en caso de que dicha entidad resida en un país en el que no esté permitido dicho nivel de propiedad, el porcentaje máximo de propiedad que allí se permita.
1.3 Tercer país: se trata de cualquier país que no proporcione un nivel adecuado de protección de datos de acuerdo con la normativa sobre protección de datos aplicable.
1.4 Violación de Datos Personales: una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales del cliente transmitidos, almacenados o tratados de otro modo.
2 Objeto del presente Acuerdo de Protección de Datos
2.1 En relación con el tratamiento de los Datos Personales del Cliente en contexto con los servicios aplicables y el contrato aplicable, IDEXX será el Encargado, y el Cliente será el Controlador. El tratamiento de datos personales al que se aplica el presente APD se describe en los anexos del APD correspondientes.
2.2 El presente APD complementa el contrato y anula cualquier acuerdo (oral y/o escrito) de fecha anterior relativo al tratamiento de datos personales entre el Cliente, actuando como responsable del tratamiento, e IDEXX, actuando como Encargado con respecto a los datos personales, si procede.
3 Tratamiento de los datos personales
3.1 IDEXX cumplirá todas la Normativa sobre protección de datos con respecto a los servicios aplicables a IDEXX como Encargado. El Cliente garantiza que procesa o habrá procesado los datos personales del Cliente de conformidad con la legislación aplicable. A la primera solicitud de IDEXX, el Cliente facilitará sin demora toda la información pertinente solicitada a IDEXX por escrito, que podrá incluirse en formato electrónico. IDEXX no es responsable del cumplimiento de las obligaciones del Cliente en virtud de la legislación aplicable, incluidas, sin limitación, las obligaciones del Cliente para con sus propios clientes, como la obligación del Cliente de informar a sus clientes de los destinatarios del tratamiento de sus datos personales. IDEXX no es responsable de determinar los requisitos o las leyes o normativas aplicables a la actividad del Cliente, ni de que un servicio cumpla los requisitos de dichas leyes o normativas aplicables. Entre las partes, el Cliente es responsable de la legalidad del tratamiento de los datos personales del Cliente. El Cliente no utilizará los servicios de manera que infrinja la Normativa de protección de datos aplicable.
3.2 El anexo DPA aplicable a un servicio contiene una lista de categorías de sujetos de datos, tipos de datos personales del Cliente y cualquier categoría especial de datos personales. La duración del tratamiento corresponde a la duración del servicio, a menos que se indique lo contrario en el anexo APD. La finalidad y el objeto del tratamiento es la prestación del servicio descrito en el contrato.
3.3 IDEXX únicamente procesará los datos personales del Cliente en nombre del Cliente y de conformidad con las instrucciones documentadas del Cliente, salvo que la Normativa sobre protección de datos aplicable exija lo contrario. El alcance de las instrucciones del Cliente para el tratamiento de los datos personales del Cliente se define en el contrato y, en su caso, el uso y la configuración de las características del servicio por parte del Cliente y sus usuarios autorizados. IDEXX informará inmediatamente al Cliente si, en su opinión, alguna de las instrucciones del Cliente infringe la Normativa sobre protección de datos aplicable, e IDEXX podrá suspender la ejecución de dicha instrucción hasta que el Cliente haya modificado o confirmado su licitud de forma documentada.
3.4 IDEXX se asegurará de que sus empleados y demás personas implicadas en el tratamiento de los datos personales del Cliente se hayan comprometido a mantener la confidencialidad en la medida en que tales personas no estén vinculadas por una obligación legal de confidencialidad adecuada. IDEXX velará por que los empleados u otras personas contratadas por ella cumplan todas las obligaciones establecidas en el presente APD y en el Contrato. IDEXX garantizará que el acceso de IDEXX a los datos personales del Cliente se limite a aquellos trabajadores y demás personas que presten servicios de conformidad con el contrato.
4 Medidas de seguridad
4.1 IDEXX aplicará las medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel adecuado de seguridad en relación con los datos personales. Las medidas de seguridad técnicas y organizativas que deberá aplicar IDEXX, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, se describen en las medidas técnicas y organizativas incluidas en las listas DPA. IDEXX podrá actualizar o modificar sus medidas de seguridad cada cierto tiempo, siempre que dichas actualizaciones y modificaciones no supongan una reducción de la seguridad general de los servicios.
5 Notificación de violaciones de datos personales
5.1 La obligación de IDEXX de notificar al Cliente de una violación de datos personales y de tomar medidas en relación con una violación de datos personales no conlleva el reconocimiento de ningún defecto o responsabilidad por parte de IDEXX en relación con dicha violación de datos personales.
5.2 Tan pronto como IDEXX tenga conocimiento de una violación de datos personales de la que aún no se haya informado al Cliente, IDEXX informará de ello al Cliente sin demora indebida de la forma que determine IDEXX. De igual manera, IDEXX informará a la persona de contacto facilitada por el Cliente en relación con los servicios. El Cliente será responsable de garantizar que los datos de contacto de las personas de contacto del Cliente comunicados a IDEXX estén actualizados. En caso de que IDEXX no se ponga en contacto a tiempo con la(s) persona(s) de contacto facilitada(s) por el Cliente, será por cuenta y riesgo del Cliente.
5.3 Cuando el propio Cliente tenga conocimiento de una violación de datos personales relevante para la prestación de los servicios por parte de IDEXX, el Cliente informará de ello a IDEXX sin demora indebida, incluyendo las medidas que el Cliente haya adoptado o vaya a adoptar.
5.4 Tras la detección por parte de IDEXX de una violación de datos personales, IDEXX proporcionará toda la información razonable al Cliente sobre el posible impacto de la violación de los datos personales sobre el Cliente y sobre los Sujetos de Datos afectados. La información incluirá una descripción de la naturaleza y el alcance de la violación de datos personales, las medidas previstas y las ya adoptadas para hacer frente a la violación de datos personales.
5.5 A petición del Cliente, IDEXX también proporcionará la asistencia razonablemente necesaria para redactar la documentación pertinente en relación con la violación de datos personales. No obstante, el Cliente seguirá siendo responsable de la obligación de mantener una visión general interna de las violaciones de datos personales que se hayan producido.
5.6 El Cliente es responsable de informar a la autoridad gubernamental competente y/o a los Sujetos de Datos afectados sobre la violación de datos personales, en la medida en que así lo exija la legislación aplicable en materia de protección de datos. Si el Cliente solicita a IDEXX que informe a los Sujetos de Datos afectados y/o a la autoridad gubernamental competente sobre la violación de datos personales, IDEXX sólo lo hará tras recibir una instrucción completa y por escrito del Cliente y la aprobación de dicha instrucción por escrito por parte de IDEXX. De ello no se derivará responsabilidad alguna para IDEXX en relación con la (notificación de) la violación de datos personales.
6 Asistencia
6.1 Teniendo en cuenta la naturaleza del tratamiento de datos y la información de que disponen las Partes, éstas se prestarán mutuamente toda la asistencia necesaria para el cumplimiento de las obligaciones que incumben a las Partes en virtud de la Normativa sobre protección de datos aplicable, en particular las obligaciones relativas a la seguridad de los datos personales, los deberes de notificación de violaciones de datos personales, el deber de información y la realización de evaluaciones de impacto sobre la protección de datos, incluida la consulta previa a la autoridad gubernamental competente.
6.2 El Cliente solicitará por escrito la asistencia a que se refiere el presente APD. Por su parte IDEXX podrá cobrar al Cliente por realizar dicha asistencia o una instrucción adicional; tales cargos no serán más que un cargo razonable y se establecerán en un presupuesto y se acordarán por escrito entre las partes.
7 Derechos de auditoría del cliente
7.1 El Cliente podrá, a sus expensas y previa consulta con IDEXX, realizar una auditoría del sistema de procesamiento de datos utilizado por IDEXX para procesar los datos personales del Cliente con el fin de examinar si las medidas de seguridad técnicas y organizativas razonables que se han adoptado en relación con los datos personales procesados en el contexto del presente APD se ajustan a las medidas descritas en la sección 4 del presente APD.
7.2 IDEXX pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones del Cliente de celebrar un acuerdo de tratamiento de datos en consonancia con los requisitos pertinentes a este respecto en virtud de la Normativa sobre protección de datos aplicable, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Cliente. En consulta con IDEXX, el Cliente podrá contratar a un tercero (experto) para llevar a cabo sus derechos de auditoría, siempre que dicho tercero esté sujeto a una obligación de confidencialidad adecuada.
7.3 La realización de una auditoría por parte del Cliente o en nombre del Cliente no causará ningún retraso en las actividades empresariales de IDEXX o de cualquiera de sus subencargados.
8 Subencargados
8.1 El Cliente autoriza la contratación de otros Encargados para tratar los Datos Personales del Cliente por parte de IDEXX, incluidas, entre otras, las filiales de IDEXX ("Subencargados"). En el presente documento figura una lista de los subencargados terceros actuales, que IDEXX podrá actualizar periódicamente. IDEXX informará al Cliente, de la forma que determine, de cualquier cambio previsto en relación con la adición o sustitución de dichos subencargados. El Cliente podrá oponerse a cualquier nuevo subencargado rescindiendo el Contrato mediante notificación por escrito a IDEXX, siempre que el Cliente proporcione dicha notificación a IDEXX en el plazo de 60 días desde que IDEXX informe al Cliente de la contratación del subencargado. Este derecho de resolución es el único y exclusivo recurso del Cliente si éste se opone a cualquier nuevo subencargado.
8.2 IDEXX celebrará y aplicará un acuerdo escrito de procesamiento de datos con sus subencargados con obligaciones de privacidad y seguridad de los datos sustancialmente similares pero no menos protectoras que las establecidas en el presente APD. De igual forma, IDEXX seguirá siendo responsable del cumplimiento de sus obligaciones en virtud del Contrato, del presente APD y de la Normativa sobre protección de datos aplicables.
9 Transferencia transfronteriza de datos personales
9.1 Los datos personales del Cliente podrán ser transferidos a un tercer país por IDEXX o subencargados contratados por IDEXX.
9.2 En caso de transferencia de datos personales del Cliente a un tercer país, las partes cooperarán para garantizar el cumplimiento de la Normativa sobre de protección de datos aplicable, tal y como se establece en las siguientes secciones.
9.3 Al suscribir el acuerdo, el Cliente está suscribiendo las cláusulas contractuales tipo para transferencias internacionales (Decisión de Ejecución (UE) 2021/914 de la Comisión o cualquier versión actualizada o sustitutiva de la misma) ("CEC"), completadas según se detalla en la sección 9.3.1 siguiente, a menos que se haya declarado aplicable un instrumento de transferencia de datos diferente a la transferencia pertinente de datos personales del Cliente en la Normativa sobre protección de datos aplicable aquí identificada, cuyo instrumento de transferencia de datos identificado será entonces de aplicación y regirá la transferencia de datos personales del Cliente al tercer país. En la medida prevista en la Normativa sobre protección de datos distintas del GDPR, los CCE también se aplicarán a la transferencia de datos personales del Cliente de Clientes no ubicados en el EEE o Suiza a una entidad de IDEXX ubicada en un país no adecuado.
9.3.1 Las CEC se aplicarán completadas de la siguiente manera:
a) Se aplicará el módulo 2 - responsable a encargado.
b) En la cláusula 7, se aplicará la cláusula de acoplamiento opcional.
c) En la cláusula 9, se aplicará la opción 2 y el periodo de notificación previa será de 14 días.
d) En la cláusula 11, no se aplicará el idioma opcional.
e) En la cláusula 17, se aplicará la opción 1 y se aplicará la legislación de los Países Bajos.
f) En la cláusula 18(b), los litigios se resolverán ante los tribunales de los Países Bajos.
g) El Anexo I (A. Lista de Partes, B. Descripción de la Transferencia, C. Autoridad de Supervisión Competente) de las CEC se considerará completado con la información establecida en la sección B del anexo DPA aplicable a los servicios.
h) El anexo II (Medidas de seguridad técnicas y organizativas) de las CEC se considerará completado con la información establecida en la sección B del anexo de la APD aplicable a los servicios.
i) El anexo III (Lista de encargados) se considerará completado con la lista de subencargados identificada en la sección 8.1 anterior.
9.4 IDEXX suscribirá el módulo tres de los CCE (Responsable del tratamiento a Responsable del tratamiento) con cada subencargado del tratamiento ubicado en un tercer país, tal y como figura en la respectiva prueba DPA, cuando así lo exija la Normativa sobre protección de datos aplicable. IDEXX podrá transferir y almacenar datos personales a, y en sus ubicaciones en Estados Unidos u otros países en los que se encuentren sus filiales. Dichas transferencias están sujetas a un acuerdo interempresarial entre las filiales de IDEXX que incluya los CCE aplicables del módulo tres (de Responsable del tratamiento a Responsable del tratamiento).
9.5 Nada de lo dispuesto en el Contrato o en el presente DPA se interpretará en el sentido de que prevalece sobre cualquier cláusula contradictoria de los CCE. El Cliente reconoce que ha tenido la oportunidad de revisar los CCE y de obtener una copia de IDEXX.
10 Solicitudes de los interesados
Previa solicitud razonable por escrito del Cliente, IDEXX prestará la asistencia razonable para facilitar que el Cliente pueda cumplir sus obligaciones como responsable del tratamiento de datos si un Sujeto de Datos ejerce cualquiera de sus derechos en virtud de la Normativa sobre protección de datos aplicables.
11 Generalidades
11.1 Costes: Los costes en los que IDEXX pueda incurrir en el cumplimiento de sus obligaciones en virtud del presente APD (por ejemplo, la prestación de asistencia al Cliente para responder a las solicitudes de los interesados) podrán dar lugar a que IDEXX cobre al Cliente un trabajo adicional. En tal caso, IDEXX informará de ello al Cliente.
11.2 2 Descargo de responsabilidad: El Cliente exonerará íntegramente a IDEXX por cualquier reclamación de un tercero, incluido cualquiera de los Sujetos de Datos, impuesta contra IDEXX como resultado de una infracción de la legislación aplicable, que pueda atribuirse al Cliente o a cualquiera de sus empleados o contratistas.
11.3 Vigencia y resolución: El presente APD entra en vigor en la fecha en que IDEXX procese por primera vez los datos personales por cuenta del Cliente en ejecución del Contrato. El presente APD permanecerá en vigor mientras dure el Contrato. En caso de que el Contrato finalice, el presente APD finalizará también por ministerio de la ley, sin necesidad de emprender acciones legales adicionales. A menos que IDEXX esté obligada por la legislación aplicable a conservar los datos personales, IDEXX garantizará, a la terminación del presente APD, que (i) los datos personales serán devueltos o facilitados al Cliente, o (ii) los datos personales serán destruidos, a petición del Cliente por escrito, que podrá incluirse en formato electrónico. Cualquier obligación derivada de este APD que por su naturaleza tenga efectos post-contractuales, incluyendo pero no limitándose a esta sección APD, continuará en vigor tras la terminación de este APD.
11.4 Modificaciones y Renegociación: Las modificaciones y adiciones al presente APD sólo serán válidas si se han acordado expresamente por escrito, incluso en formato electrónico.
El Cliente informará sin demora a IDEXX de cualquier cambio que sea o pueda ser relevante para el acuerdo y el tratamiento de los datos personales.
Si el presente APD se traduce a varios idiomas, el texto en inglés se considerará auténtico a efectos de interpretación o en caso de conflicto o incoherencia entre las distintas traducciones.