English 
Deutsch 
Español 
Português 
Français 
Italiano 
中文 (中国) ADENDA DE TRATAMIENTO DE DATOS
Fecha de revisión: 16 de junio de 2026
La presente Adenda de Tratamiento de Datos (la “ATD“) se celebra entre:
(1) Cliente: la entidad contratante del Cliente expresamente identificada en el Pedido de Entrega aplicable (u otro formulario de pedido o documento emitido en virtud del mismo y aceptado por el Cliente) para la prestación de los servicios VDR (el “Pedido de Entrega“), que actúa en calidad de Responsable del Tratamiento (“Cliente” o “Responsable“); y
(2) Ideals: la entidad contratante de Ideals expresamente identificada en el Pedido de Entrega aplicable, que actúa en calidad de Encargado del Tratamiento (“Ideals” o “Encargado“).
Incorporación y prelación
La presente ATD complementa los Términos y Condiciones del Servicio de Ideals (“T&C“) disponibles en https://www.idealsvdr.com/terms-and-conditions/ y forma parte integrante de los mismos. La presente ATD se aplica cuando y en la medida en que Ideals trate Datos Personales en nombre del Cliente en calidad de Encargado del Tratamiento en relación con los Servicios. Al suscribir el Pedido de Entrega que hace referencia a los T&C, o al acceder o utilizar los Servicios, el Cliente acepta quedar vinculado por la presente ATD en su nombre y en nombre de sus Usuarios.
El “Acuerdo VDR de Ideals” designa los T&C junto con el Pedido de Entrega aplicable. Colectivamente, el Acuerdo VDR de Ideals y la presente ATD se denominan el “Acuerdo“.
En caso de conflicto o incompatibilidad entre los términos del Acuerdo, únicamente en la medida del conflicto respecto de las obligaciones de protección y tratamiento de datos, prevalecerán las disposiciones de los siguientes documentos (por orden de prelación): (a) la presente ATD; y (b) el Acuerdo VDR de Ideals. Salvo modificación expresa en la presente ATD, el Acuerdo VDR de Ideals permanece inalterado y en pleno vigor y efecto.
1. DEFINICIONES
“Datos Personales del Cliente” designa los Datos Personales (i) que el Cliente carga en la Virtual Data Room (en adelante el “VDR“) y (ii) que Ideals trata de otro modo en nombre del Cliente en relación con la prestación de los Servicios en virtud del Acuerdo VDR de Ideals.
“Responsable del Tratamiento” designa al Cliente.
“Encargado del Tratamiento” designa a Ideals.
“Requisitos de Protección de Datos” designa, según proceda, el RGPD de la UE y las leyes nacionales de aplicación; el RGPD del Reino Unido y la Ley de Protección de Datos de 2018 del Reino Unido; la Ley Federal Suiza de Protección de Datos (LPD, incluida la LPD revisada); la Lei Geral de Proteção de Dados de Brasil (LGPD); el Digital Personal Data Protection Act de India (DPDP Act) y las normas de desarrollo aplicables (cuando estén en vigor, en la medida aplicable); las Leyes Estatales de Privacidad de EE.UU. que regulan los contratos con encargados/prestadores de servicios (incluidas la CCPA/CPRA y leyes estatales materialmente similares); así como cualquier otra ley aplicable en materia de privacidad/protección de datos y orientaciones/decisiones vinculantes de autoridades competentes.
“Delegado de Protección de Datos (DPD)” designa al delegado de protección de datos nombrado por Ideals, localizable en privacy@idealscorp.com.
“Datos Personales de la UE” designa los Datos Personales regulados por el RGPD de la UE.
“Leyes Estatales de Privacidad de EE.UU.” designa, según proceda, la CCPA/CPRA de California y leyes estatales de privacidad de EE.UU. materialmente similares (p. ej., CPA, VCDPA, CTDPA, UCPA) en la medida en que se apliquen a los Servicios.
“Datos Personales” designa la información relativa a un individuo que (a) puede utilizarse para identificar, contactar o localizar a un individuo específico, incluidos los datos que el Cliente decide cargar en el VDR; (b) puede combinarse con otra información utilizable para identificar, contactar o localizar a un individuo específico; o (c) está definida como “datos personales” o “información personal” por las leyes o reglamentos aplicables relativos a la recopilación, uso, almacenamiento o divulgación de información sobre un individuo identificable.
“Mecanismos de Transferencia Aplicables” designa, según proceda: (i) las Cláusulas Contractuales Tipo de la UE adoptadas por la Decisión de la Comisión (UE) 2021/914 (Módulo 2 – Responsable a Encargado); (ii) el Addendum Internacional de Transferencia de Datos del Reino Unido (o IDTA, según proceda); (iii) el Addendum de la AFPDT suiza; y (iv) donde proceda, el Marco UE-EE.UU. para la Privacidad de Datos, la Extensión del Reino Unido al Marco UE-EE.UU. para la Privacidad de Datos y el Marco Suiza-EE.UU. para la Privacidad de Datos, siempre que el importador de datos pertinente mantenga una certificación válida.
“Marcos para la Privacidad de Datos” designa el Marco UE-EE.UU. para la Privacidad de Datos (DPF) y, según proceda, la Extensión del Reino Unido al DPF UE-EE.UU. y el DPF Suiza-EE.UU., administrados por el Departamento de Comercio de EE.UU.
“Violación de Datos Personales” designa cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, accidental o ilícito, a los Datos Personales del Cliente.
“Tratamiento” y sus derivados designan cualquier operación o conjunto de operaciones realizadas sobre Datos Personales o conjuntos de Datos Personales, con o sin ayuda de medios automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
“Subencargado” designa cualquier entidad que presta servicios de tratamiento a Ideals para apoyar el tratamiento realizado por Ideals en nombre del Cliente.
“Autoridad de Control” designa cualquier autoridad de control competente de la UE, el ICO del Reino Unido, la AFPDT suiza, la ANPD brasileña u otra autoridad competente, según proceda.
2. NATURALEZA, ALCANCE Y FINALIDAD DEL TRATAMIENTO DE DATOS
Cada Parte se compromete a tratar los Datos Personales recibidos en virtud del Acuerdo, incluidos los Datos Personales relativos a personas físicas incluidas en la documentación cargada en el VDR y otros Datos Personales del Responsable del Tratamiento, únicamente para las finalidades establecidas en el Acuerdo.
Además, Ideals informará al Cliente si considera que una instrucción recibida del Cliente infringe los Requisitos de Protección de Datos, permitiendo al Cliente revisar y, si fuera necesario, modificar dicha instrucción.
3. CUMPLIMIENTO DE LA LEGISLACIÓN
Las Partes cumplirán cada una sus respectivas obligaciones derivadas de todos los Requisitos de Protección de Datos aplicables.
4. OBLIGACIONES DEL CLIENTE
El Cliente se compromete a:
4.1 Proporcionar instrucciones a Ideals y determinar las finalidades y los medios generales del tratamiento de Datos Personales del Cliente por parte de Ideals, de conformidad con el Acuerdo; y
4.2 Cumplir sus obligaciones de protección, seguridad y demás obligaciones relativas a los Datos Personales del Cliente prescritas por los Requisitos de Protección de Datos para los responsables del tratamiento:
A. Estableciendo y manteniendo un procedimiento para el ejercicio de los derechos de las personas físicas cuyos Datos Personales del Cliente son tratados en nombre del Cliente;
B. Cargando y tratando únicamente datos que el Cliente esté autorizado a cargar en el VDR; y
C. Garantizando el cumplimiento de las disposiciones del presente Acuerdo por parte de su personal o de cualquier tercero que acceda o utilice los Datos Personales del Cliente en su nombre.
5. OBLIGACIONES DE IDEALS
5.1 Requisitos de Tratamiento. Ideals se compromete a:
A. Tratar los Datos Personales del Cliente (i) únicamente con el fin de prestar, respaldar y mejorar los servicios de Ideals (incluida la prestación de análisis y otros informes), utilizando las medidas de seguridad técnicas y organizativas adecuadas enumeradas en la presente ATD y en el Anexo II; y (ii) de conformidad con las instrucciones recibidas del Cliente. Ideals no utilizará ni tratará los Datos Personales del Cliente para ninguna otra finalidad. Cualquier actividad relacionada con la mejora de los servicios, la generación de análisis u otros informes se llevará a cabo exclusivamente sobre datos anonimizados que ya no tengan la condición de Datos Personales en virtud del RGPD, el RGPD del Reino Unido o la LPD (y conceptos equivalentes en virtud de otras leyes aplicables).
B. Adoptar medidas comercialmente razonables para garantizar que las personas que actúen en nombre de Ideals cumplan los términos del Acuerdo y estén obligadas a cumplir y reconocer y respetar la confidencialidad de los Datos Personales del Cliente;
C. En caso de que pretenda contratar Subencargados para ayudarle a cumplir sus obligaciones en virtud del Acuerdo o para delegar toda o parte de las actividades de tratamiento en dichos Subencargados, seguir siendo responsable ante el Cliente por los actos y omisiones de dichos Subencargados en materia de protección de datos, cuando actúen siguiendo las instrucciones de Ideals;
D. Proporcionar al Cliente, previa solicitud escrita, un resumen de las políticas de privacidad y seguridad de Ideals;
E. En caso de que Ideals recopile Datos Personales de personas físicas en calidad de responsable independiente (p. ej., administración de cuentas, facturación, seguridad, cumplimiento normativo, prevención del fraude y/u otras operaciones comerciales no realizadas en nombre del Cliente), Ideals actuará como Responsable del Tratamiento (o función equivalente) para dicho tratamiento y la presente ATD no se aplicará a ese tratamiento;
F. DPD. Ideals mantiene un Delegado de Protección de Datos nombrado y facilitará sus datos de contacto al Cliente y a las autoridades competentes previa solicitud.
5.2 Asistencia al Cliente. Ideals prestará asistencia razonable al Cliente en relación con:
A. Cualquier solicitud de los interesados del Cliente respecto al acceso, rectificación, supresión, limitación, portabilidad, bloqueo o eliminación de los Datos Personales del Cliente que Ideals trate para el Cliente. Si un interesado envía dicha solicitud directamente a Ideals, Ideals la remitirá al Cliente con prontitud;
B. La investigación de Violaciones de Datos Personales y la notificación a la Autoridad de Control y a los interesados del Cliente sobre dichas Violaciones; Ideals notificará en todo caso al Cliente cualquier Violación de Datos Personales sin dilación indebida tras tener conocimiento de la misma, proporcionando información y asistencia suficientes para permitir al Cliente cumplir sus propias obligaciones legales;
C. Cuando proceda, la preparación de evaluaciones de impacto relativas a la protección de datos y, cuando sea necesario, la realización de consultas con cualquier Autoridad de Control.
5.3 Tratamiento Obligatorio.
Si Ideals estuviera obligada por los Requisitos de Protección de Datos u otras leyes aplicables a tratar Datos Personales del Cliente por razón distinta a la prestación de los servicios descritos en el Acuerdo, Ideals informará al Cliente de dicha obligación con anterioridad a cualquier tratamiento, salvo que Ideals esté legalmente impedida de informar al Cliente de dicho tratamiento (p. ej., como consecuencia de requisitos de secreto en virtud de la ley aplicable).
6. SEGURIDAD
6.1 Ideals ha implementado medidas de seguridad administrativas, técnicas y físicas razonables (incluyendo las relativas a personal, instalaciones, hardware y software, almacenamiento y redes, controles de acceso, supervisión y registro, detección de vulnerabilidades e incidentes, respuesta a incidentes y cifrado de los Datos Personales del Cliente en tránsito y en reposo) para protegerse frente al acceso no autorizado o accidental, pérdida, alteración, divulgación o destrucción de los Datos Personales del Cliente;
6.2 Ideals es responsable de la suficiencia de las salvaguardas de seguridad, privacidad y confidencialidad de todo el personal de Ideals respecto a los Datos Personales del Cliente y responderá por cualquier incumplimiento de dicho personal de los términos de la presente ATD;
6.3 Ideals ha adoptado medidas razonables para confirmar que todo el personal de Ideals protege la seguridad, privacidad y confidencialidad de los Datos Personales del Cliente de conformidad con los requisitos de la presente ATD; y
6.4 La lista de medidas técnicas y organizativas implementadas por Ideals se recoge en la presente ATD y en el Anexo II.
6.5 Ideals declara que las personas autorizadas por Ideals para tratar Datos Personales se han comprometido a la confidencialidad o están sujetas a una obligación legal adecuada de confidencialidad.
7. AUDITORÍA
7.1 Auditoría y Garantía del Cliente. No más de una vez en cualquier período de 12 meses (o por causa justificada tras una Violación de Datos Personales verificada), el Cliente podrá auditar el cumplimiento de Ideals de la presente ATD. Ideals pondrá a disposición en primer lugar sus informes de garantía de terceros vigentes (p. ej., certificado ISO/IEC 27001, SOC 2 Tipo II), resúmenes de pruebas de penetración y documentación relacionada. Si dichos materiales no demuestran razonablemente el cumplimiento, el Cliente podrá realizar una auditoría específica bajo NDA, con un preaviso escrito de 30 días, durante el horario normal de trabajo, sin acceso a datos de otros clientes ni a las herramientas de prueba propietarias de Ideals.
7.2 Auditorías de Organismos Reguladores. Ideals cooperará con auditorías o investigaciones de Autoridades de Control competentes.
7.3 Costes. El Cliente reembolsará a Ideals los costes razonables y directamente imputables a una auditoría in situ iniciada por el Cliente.
8. TRANSFERENCIAS DE DATOS
8.1 Las Partes se basarán en los Mecanismos de Transferencia Aplicables para cualquier transferencia de Datos Personales del Cliente a un país que no garantice un nivel adecuado de protección. Cuando Ideals mantenga una certificación válida del Marco para la Privacidad de Datos, las Partes acuerdan que dicho Marco constituirá el mecanismo de transferencia lícito para los datos personales pertinentes. Si en algún momento la certificación de Ideals caducara, fuera revocada o el Marco pertinente fuera declarado inválido o no estuviera disponible, las CCT/Addendum del RU/Addendum Suizo incorporados a la presente ATD se aplicarán automáticamente como mecanismo alternativo sin necesidad de acción adicional por parte de las Partes.
8.2 Transferencias UE/EEE (CCT de la UE). Para las transferencias de Datos Personales de la UE a Ideals para su tratamiento en una jurisdicción distinta de la UE/EEE o de un país con decisión de adecuación, las Partes incorporan por referencia las CCT de la UE (Responsable a Encargado, Módulo 2) adoptadas por la Decisión (UE) 2021/914, completadas con los Anexos I–III de la presente ATD. El texto de las CCT de la UE se adjunta como Apéndice I (o se incorpora por referencia si se adjunta al paquete contractual).
8.3 Transferencias del Reino Unido (UK Addendum / IDTA). Para las transferencias restringidas en virtud del RGPD del Reino Unido, las Partes incorporan por referencia el Addendum Internacional de Transferencia de Datos del Reino Unido a las CCT de la UE (o el IDTA si se acuerda en el documento de pedido), completado con las tablas del Apéndice II.
8.4 Transferencias Suizas (Addendum Suizo). Para las transferencias sujetas a la LPD suiza hacia una jurisdicción no adecuada, las Partes incorporan por referencia el Addendum de la AFPDT, establecido en el Apéndice III, completado con los anexos pertinentes de la presente ATD.
8.5 Medidas Suplementarias. Ideals implementa y mantendrá medidas técnicas y organizativas adecuadas (incluido cifrado robusto en tránsito y en reposo, controles de acceso y registro estricto de accesos) para satisfacer los requisitos de las evaluaciones de impacto de transferencia de datos aplicables.
8.6 Acceso de Soporte Iniciado por el Cliente como Instrucción. Cuando el Cliente habilite el Acceso de Soporte o lo solicite por escrito/ticket, dicha acción constituye instrucción documentada para (i) el acceso remoto limitado por parte del personal de soporte de Ideals y (ii) cualquier transferencia transfronteriza intrínsecamente necesaria para prestar dicho soporte. El alcance y la duración quedan limitados al ticket/sesión específico y se registran en los registros de auditoría.
9. DEVOLUCIÓN Y SUPRESIÓN DE DATOS
Previa solicitud escrita razonable del Cliente a privacy@idealscorp.com (o según se defina en el Acuerdo VDR de Ideals), Ideals, a elección del Cliente, devolverá al Cliente todos los Datos Personales del Cliente y sus copias o los destruirá de forma segura y, previa solicitud, certificará la finalización de dicho proceso, salvo que los Requisitos de Protección de Datos impidan a Ideals devolver o destruir todos o parte de los Datos Personales del Cliente. Cuando la conservación sea exigida por ley, Ideals limitará el tratamiento a la finalidad y duración mínimas necesarias.
10. ENCARGADOS DE TRATAMIENTO TERCEROS
10.1 El Cliente reconoce que, en la prestación de los Servicios, Ideals podrá transferir Datos Personales del Cliente a Subencargados e interactuar con ellos de otro modo.
10.2 La lista de Subencargados se recoge en el Anexo III de la presente ATD.
11. LEY APLICABLE, JURISDICCIÓN Y FUERO
La presente ATD se regirá por la ley y las disposiciones de resolución de controversias establecidas en el Acuerdo VDR de Ideals y se interpretará de conformidad con las mismas, con la salvedad de que:
(a) esta Sección no modifica las elecciones de ley aplicable/fuero en virtud de la Cláusula 17/18 de las CCT de la UE; y
(b) para las transferencias del Reino Unido, se aplica el UK Addendum/IDTA, según proceda; y
(c) para las transferencias suizas, se aplica el Addendum Suizo, según proceda.
12. VIGENCIA
La presente ATD permanecerá en vigor mientras el Acuerdo VDR de Ideals sea válido.
APÉNDICE 0
A. Referencias a las autoridades de control competentes (informativo)
UE/EEE: autoridad de control competente en virtud del RGPD (establecimiento del Cliente / establecimiento principal).
Reino Unido: ICO (cuando sea de aplicación el RGPD del Reino Unido).
Suiza: AFPDT (cuando sea de aplicación la LPD suiza).
Brasil: ANPD (cuando sea de aplicación la LGPD).
California: CPPA (cuando sea de aplicación la CCPA de California).
India: autoridad/organismo competente (conforme a la legislación vigente).
El presente Apéndice se facilita únicamente a título informativo y no modifica ni sustituye a la autoridad de control competente identificada en virtud de las CCT de la UE. A efectos de las CCT de la UE (Cláusula 13), la autoridad de control competente se determina exclusivamente en virtud del RGPD y se identifica en el Anexo I(C).
APÉNDICE I
CLÁUSULAS CONTRACTUALES TIPO
SECCIÓN I
Cláusula 1 – Finalidad y ámbito de aplicación
(a) El objetivo de las presentes cláusulas contractuales tipo es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) para la transferencia de datos personales a un tercer país.
(b) Las Partes: (i) la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) que transfiere(n) los datos personales, conforme se indica en el Anexo I.A (en adelante, cada uno, “exportador de datos”), y (ii) la(s) entidad(es) en un tercer país que recibe(n) los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte de las presentes Cláusulas, conforme se indica en el Anexo I.A (en adelante, cada uno, “importador de datos”), han acordado las presentes cláusulas contractuales tipo (en adelante “Cláusulas”).
(c) Las presentes Cláusulas se aplican a la transferencia de datos personales especificada en el Anexo I.B.
(d) El Apéndice de las presentes Cláusulas, que contiene los Anexos en ellas mencionados, forma parte integrante de las mismas.
Cláusula 2 – Efecto e invariabilidad de las Cláusulas
(a) Las presentes Cláusulas establecen salvaguardas adecuadas, incluidos derechos exigibles de los interesados y vías de recurso efectivas, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en lo que respecta a las transferencias de datos de responsables a encargados del tratamiento y/o de encargados a encargados, cláusulas contractuales tipo de conformidad con el artículo 28, apartado 7, del Reglamento (UE) 2016/679, siempre que no se modifiquen, salvo para añadir o actualizar información en el Apéndice.
(b) Las presentes Cláusulas se entenderán sin perjuicio de las obligaciones a las que el exportador de datos está sujeto en virtud del Reglamento (UE) 2016/679 (RGPD).
Cláusula 3 – Terceros beneficiarios
(a) Los interesados podrán invocar y hacer valer las presentes Cláusulas, en calidad de terceros beneficiarios, frente al exportador y/o al importador de datos, con las siguientes excepciones: (i) Cláusula 1, 2, 3, 6, 7; (ii) Cláusula 8 – 8.1(b), 8.9(a), (c), (d) y (e); (iii) Cláusula 9 – 9(a), (c), (d) y (e); (iv) Cláusula 12 – 12(a), (d) y (f); (v) Cláusula 13; (vi) Cláusula 15.1(c), (d) y (e); (vii) Cláusula 16(e); (viii) Cláusula 18 – 18(a) y (b).
(b) La letra (a) se entenderá sin perjuicio de los derechos de los interesados en virtud del Reglamento (UE) 2016/679.
Cláusula 4 – Interpretación
(a) Cuando las presentes Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en ese Reglamento.
(b) Las presentes Cláusulas se leerán e interpretarán a la luz de las disposiciones del Reglamento (UE) 2016/679.
(c) Las presentes Cláusulas no se interpretarán de manera que contradigan los derechos y obligaciones previstos en el Reglamento (UE) 2016/679.
Cláusula 5 – Jerarquía
En caso de contradicción entre las presentes Cláusulas y las disposiciones de acuerdos conexos entre las Partes, existentes en el momento en que se acuerdan las Cláusulas o celebrados posteriormente, prevalecerán las presentes Cláusulas.
Cláusula 6 – Descripción de la(s) transferencia(s)
Los pormenores de la(s) transferencia(s), en particular las categorías de datos personales transferidos y la(s) finalidad(es) para la(s) que se transfieren, se especifican en el Anexo I.B.
Cláusula 7 – Cláusula de adhesión
(a) Una entidad que no sea Parte de las presentes Cláusulas podrá, con el acuerdo de las Partes, adherirse a las mismas en cualquier momento, ya sea como exportador o como importador de datos, completando el Apéndice y suscribiendo el Anexo I.A.
(b) Una vez completado el Apéndice y suscrito el Anexo I.A, la entidad adherida se convierte en Parte de las presentes Cláusulas y tiene los derechos y obligaciones de un exportador o importador de datos conforme a su designación en el Anexo I.A.
(c) La entidad adherida no tendrá derechos ni obligaciones derivados de las presentes Cláusulas correspondientes al período anterior a su adhesión como Parte.
SECCIÓN II – OBLIGACIONES DE LAS PARTES
Cláusula 8 – Salvaguardas de protección de datos
El exportador de datos garantiza haber realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la aplicación de medidas técnicas y organizativas adecuadas, de cumplir sus obligaciones en virtud de las presentes Cláusulas.
8.1 Instrucciones
(a) El importador de datos tratará los datos personales únicamente sobre la base de instrucciones documentadas del exportador de datos. El exportador de datos podrá impartir dichas instrucciones durante toda la vigencia del contrato.
(b) El importador de datos informará inmediatamente al exportador de datos en caso de no poder seguir dichas instrucciones.
8.2 Limitación de la finalidad
El importador de datos tratará los datos personales únicamente para la(s) finalidad(es) específica(s) de la transferencia, conforme se indica en el Anexo I.B, salvo instrucción adicional del exportador de datos.
8.3 Transparencia
Previa solicitud, el exportador de datos pondrá a disposición del interesado, de forma gratuita, una copia de las presentes Cláusulas, incluido el Apéndice completado por las Partes. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos podrá redactar parte del texto del Apéndice antes de compartir una copia, pero deberá facilitar un resumen significativo cuando el interesado no pueda de otro modo comprender su contenido o ejercer sus derechos.
8.4 Exactitud
Si el importador de datos tiene conocimiento de que los datos personales recibidos son inexactos o han quedado obsoletos, informará al exportador de datos sin dilación indebida. En tal caso, el importador de datos cooperará con el exportador para suprimir o rectificar los datos.
8.5 Duración del tratamiento y supresión o devolución de los datos
El tratamiento por parte del importador de datos solo tendrá lugar durante el período especificado en el Anexo I.B. Tras el fin de la prestación de los servicios de tratamiento, el importador de datos, a elección del exportador, suprimirá todos los datos personales tratados en nombre del exportador y le certificará que lo ha hecho, o los devolverá al exportador y eliminará las copias existentes.
8.6 Seguridad del tratamiento
(a) El importador de datos y, durante la transmisión, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, incluida la protección frente a una violación de la seguridad que lleve a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso no autorizado a dichos datos. El importador de datos aplicará como mínimo las medidas técnicas y organizativas especificadas en el Anexo II.
(b) El importador de datos concederá acceso a los datos personales a los miembros de su personal únicamente en la medida estrictamente necesaria. Garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad.
(c) En caso de violación de datos personales relativos a datos tratados por el importador en virtud de las presentes Cláusulas, el importador adoptará medidas adecuadas para hacer frente a la violación y notificará al exportador sin dilación indebida tras haber tenido conocimiento de la misma.
(d) El importador de datos cooperará con el exportador y le prestará asistencia para permitirle cumplir sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular en lo que respecta a la notificación a la autoridad de control competente y a los interesados afectados.
8.7 Datos sensibles
Cuando la transferencia implique datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas e infracciones penales (en adelante “datos sensibles”), el importador de datos aplicará las restricciones específicas y/o las salvaguardas adicionales descritas en el Anexo I.B.
8.8 Transferencias ulteriores
El importador de datos solo divulgará los datos personales a terceros sobre la base de instrucciones documentadas del exportador de datos. Los datos solo podrán divulgarse a terceros ubicados fuera de la Unión Europea si dichos terceros están o aceptan estar vinculados por las presentes Cláusulas, o si concurre alguna de las excepciones previstas en la presente cláusula.
8.9 Documentación y cumplimiento
(a) El importador de datos responderá de manera pronta y adecuada a las consultas del exportador de datos relacionadas con el tratamiento en virtud de las presentes Cláusulas.
(b) Las Partes deberán ser capaces de demostrar el cumplimiento de las presentes Cláusulas.
(c) El importador de datos pondrá a disposición del exportador toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las presentes Cláusulas y, previa solicitud del exportador, permitirá y contribuirá a las auditorías de las actividades de tratamiento amparadas por las presentes Cláusulas.
(d) El exportador de datos podrá optar por realizar la auditoría por sí mismo o encargársela a un auditor independiente.
(e) Las Partes pondrán la información mencionada en las letras (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad de control competente previa solicitud.
Cláusula 9 – Recurso a subencargados del tratamiento
(a) AUTORIZACIÓN ESCRITA GENERAL: El importador de datos cuenta con la autorización general del exportador para contratar subencargados de una lista acordada. El importador informará específicamente al exportador por escrito de cualquier cambio previsto en dicha lista mediante la incorporación o sustitución de subencargados con al menos 30 días de antelación.
(b) Cuando el importador de datos contrate a un subencargado para llevar a cabo actividades de tratamiento específicas, lo hará mediante un contrato escrito que prevea, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador en virtud de las presentes Cláusulas.
(c) El importador de datos facilitará al exportador, previa solicitud, una copia de dicho contrato con el subencargado.
(d) El importador de datos seguirá siendo plenamente responsable ante el exportador del cumplimiento de las obligaciones del subencargado en virtud de su contrato con el importador.
(e) El importador de datos acordará con el subencargado una cláusula en favor de terceros por la que, en caso de desaparición de hecho o insolvencia del importador, el exportador tenga derecho a resolver el contrato con el subencargado y a instruirle para que suprima o devuelva los datos personales.
Cláusula 10 – Derechos de los interesados
(a) El importador de datos notificará prontamente al exportador cualquier solicitud que haya recibido de un interesado. No responderá a dicha solicitud por sí mismo, salvo que haya sido autorizado a hacerlo por el exportador.
(b) El importador de datos prestará asistencia al exportador en el cumplimiento de sus obligaciones de responder a las solicitudes de los interesados para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679.
(c) En el cumplimiento de sus obligaciones en virtud de las letras (a) y (b), el importador de datos seguirá las instrucciones del exportador.
Cláusula 11 – Recurso
(a) El importador de datos informará a los interesados, de manera transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para gestionar reclamaciones.
(b) En caso de litigio entre un interesado y una de las Partes respecto al cumplimiento de las presentes Cláusulas, dicha Parte realizará los mayores esfuerzos para resolver el asunto de forma amistosa.
(c) Cuando el interesado invoque un derecho de tercero beneficiario en virtud de la Cláusula 3, el importador de datos aceptará la decisión del interesado.
(d) Las Partes aceptan que el interesado pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones previstas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
(e) El importador de datos acatará una decisión vinculante en virtud del derecho de la UE o del derecho del Estado miembro aplicable.
(f) El importador de datos acepta que la elección realizada por el interesado no perjudicará sus derechos sustantivos y procesales de obtener reparación conforme a las leyes aplicables.
Cláusula 12 – Responsabilidad
(a) Cada Parte será responsable frente a la(s) otra(s) Parte(s) por los daños y perjuicios que les cause por cualquier incumplimiento de las presentes Cláusulas.
(b) El importador de datos será responsable frente al interesado, y este tendrá derecho a recibir indemnización, por cualquier daño material o inmaterial que el importador de datos o su subencargado cause al interesado por incumplimiento de los derechos de tercero beneficiario establecidos en las presentes Cláusulas.
(c) Sin perjuicio de la letra (b), el exportador de datos será responsable frente al interesado por cualquier daño material o inmaterial que el exportador o el importador de datos (o su subencargado) cause al interesado por incumplimiento de los derechos de tercero beneficiario.
(d) Las Partes acuerdan que, si el exportador es declarado responsable en virtud de la letra (c) por daños causados por el importador (o su subencargado), tendrá derecho a recuperar del importador la parte de la indemnización correspondiente a su responsabilidad por el daño.
(e) Cuando más de una Parte sea responsable de los daños causados al interesado como resultado de un incumplimiento de las presentes Cláusulas, todas las Partes responsables serán conjunta y solidariamente responsables.
(f) Las Partes acuerdan que, si una Parte es declarada responsable en virtud de la letra (e), tendrá derecho a recuperar de la(s) otra(s) Parte(s) la parte de la indemnización correspondiente a su responsabilidad por el daño.
(g) El importador de datos no podrá invocar la conducta de un subencargado para eludir su propia responsabilidad.
Cláusula 13 – Supervisión
(a) La autoridad de control responsable de garantizar el cumplimiento del Reglamento (UE) 2016/679 por parte del exportador de datos en relación con la transferencia de datos, conforme se indica en el Anexo I.C, actuará como autoridad de control competente.
(b) El importador de datos acepta someterse a la jurisdicción de la autoridad de control competente y cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento de las presentes Cláusulas.
SECCIÓN III – LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE AUTORIDADES PÚBLICAS
Cláusula 14 – Legislación y prácticas locales que afectan al cumplimiento de las Cláusulas
(a) Las Partes declaran no tener motivos para creer que la legislación y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluidos los posibles requisitos de divulgación de datos personales o las medidas que autoricen el acceso por parte de autoridades públicas, impiden al importador cumplir sus obligaciones en virtud de las presentes Cláusulas.
(b) Las Partes declaran haber tenido debidamente en cuenta, en particular: (i) las circunstancias específicas de la transferencia; (ii) la legislación y las prácticas del tercer país de destino; (iii) las salvaguardas contractuales, técnicas u organizativas pertinentes adoptadas para complementar las salvaguardas previstas en las presentes Cláusulas.
(c) El importador de datos declara haber realizado los mayores esfuerzos para facilitar al exportador información pertinente y se compromete a seguir cooperando para garantizar el cumplimiento de las presentes Cláusulas.
(d) Las Partes acuerdan documentar la evaluación mencionada en la letra (b) y ponerla a disposición de la autoridad de control competente previa solicitud.
(e) El importador de datos se compromete a notificar prontamente al exportador en caso de que, tras haber acordado las presentes Cláusulas y durante la vigencia del contrato, tenga motivos para creer que está o ha pasado a estar sujeto a legislación o prácticas no conformes con los requisitos de la letra (a).
(f) Tras una notificación en virtud de la letra (e), o cuando el exportador tenga motivos para creer que el importador ya no puede cumplir sus obligaciones en virtud de las presentes Cláusulas, el exportador identificará prontamente las medidas adecuadas. El exportador suspenderá la transferencia de datos si considera que no pueden garantizarse salvaguardas adecuadas para dicha transferencia.
Cláusula 15 – Obligaciones del importador de datos en caso de acceso por parte de autoridades públicas
15.1 Notificación
(a) El importador de datos se compromete a notificar prontamente al exportador y, cuando sea posible, al interesado, en caso de que: (i) reciba una solicitud jurídicamente vinculante de una autoridad pública, incluidas las autoridades judiciales, conforme a la legislación del país de destino, de divulgación de datos personales transferidos en virtud de las presentes Cláusulas; o (ii) tenga conocimiento de cualquier acceso directo por parte de autoridades públicas a los datos personales transferidos.
(b) Si el importador estuviera impedido por la legislación del país de destino para notificar al exportador y/o al interesado, se compromete a realizar los mayores esfuerzos para obtener una exención de dicha prohibición.
(c) En la medida en que lo permita la legislación del país de destino, el importador se compromete a facilitar al exportador, a intervalos regulares durante la vigencia del contrato, toda la información relevante posible sobre las solicitudes recibidas.
(d) El importador se compromete a conservar la información mencionada en las letras (a) a (c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.
15.2 Verificación de la legalidad y minimización de datos
(a) El importador se compromete a verificar la legalidad de la solicitud de divulgación y a impugnarla si, tras una evaluación cuidadosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo a la legislación del país de destino.
(b) El importador se compromete a documentar su evaluación jurídica y cualquier impugnación de la solicitud de divulgación.
(c) El importador se compromete a proporcionar la cantidad mínima de información permitida al responder a una solicitud de divulgación.
SECCIÓN IV – DISPOSICIONES FINALES
Cláusula 16 – Incumplimiento de las Cláusulas y resolución
(a) El importador de datos informará prontamente al exportador en caso de no poder cumplir las presentes Cláusulas, por cualquier razón.
(b) En caso de incumplimiento de las presentes Cláusulas o de incapacidad para cumplirlas, el exportador suspenderá la transferencia de datos personales al importador hasta que se restablezca el cumplimiento o se resuelva el contrato.
(c) El exportador tendrá derecho a resolver el contrato, en la medida en que afecte al tratamiento de datos personales en virtud de las presentes Cláusulas, cuando: (i) el exportador haya suspendido la transferencia en virtud de la letra (b) y no se restablezca el cumplimiento en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión; (ii) el importador incumpla las presentes Cláusulas de forma sustancial o reiterada; o (iii) el importador incumpla una decisión vinculante de un tribunal competente o una autoridad de control respecto a sus obligaciones en virtud de las presentes Cláusulas.
(d) Los datos personales transferidos con anterioridad a la resolución del contrato en virtud de la letra (c) serán, a elección del exportador, devueltos inmediatamente al exportador o suprimidos en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador certificará al exportador la supresión de los datos.
(e) Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando: (i) la Comisión Europea adopte una decisión en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679 que abarque la transferencia de datos personales a la que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales.
Cláusula 17 – Legislación aplicable
Las presentes Cláusulas se regirán por la legislación del Estado en el que esté establecido el exportador de datos. Cuando dicha legislación no prevea derechos de terceros beneficiarios, las presentes Cláusulas se regirán por la legislación del Estado miembro de la UE que sí los prevea. Las Partes acuerdan que dicha legislación será la de Malta.
Cláusula 18 – Elección de fuero y jurisdicción
(a) Cualquier litigio derivado de las presentes Cláusulas será resuelto por los tribunales de un Estado miembro de la UE.
(b) Las Partes acuerdan que dichos tribunales serán los de Malta.
(c) Un interesado también podrá ejercer acciones legales frente al exportador y/o al importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.
(d) Las Partes aceptan someterse a la jurisdicción de dichos tribunales.
APÉNDICE II
ADDENDUM INTERNACIONAL DE TRANSFERENCIA DE DATOS DEL REINO UNIDO A LAS CLÁUSULAS CONTRACTUALES TIPO DE LA UE
El presente Addendum del Reino Unido (“Addendum”) forma parte de las Cláusulas Contractuales Tipo (“CCT”) adjuntas como Apéndice 1 a la Adenda de Tratamiento de Datos (“ATD”).
El presente Addendum está destinado a aplicarse a la transferencia de Datos Personales del Reino Unido a un país fuera del Reino Unido que no sea objeto de una decisión de adecuación por parte del gobierno británico.
Parte 1: Tablas
Tabla 1: Partes
| Fecha de inicio | La fecha en que se produce la primera Transferencia Restringida de Datos Personales del Cliente en virtud del presente Addendum. |
| Las Partes | Exportador: Conforme se indica en el Anexo I.A de las CCT incorporadas en el presente Acuerdo. |
| Importador: Conforme se indica en el Anexo I.A de las CCT incorporadas en el presente Acuerdo. |
Tabla 2: CCT de la UE seleccionadas, Módulos y Cláusulas seleccionadas
| Módulo | En vigor | Cláusula 7 | Cláusula 11 | Cláusula 9a | Período 9a | Combinación de datos |
| 1 | ||||||
| 2 | X | Incluida | Incluida | Autorización general | 30 días | No |
| 3 | ||||||
| 4 |
Tabla 3: Información del Apéndice
| Anexo 1A – Lista de Partes | Conforme se indica en el Anexo I.A de las CCT. |
| Anexo 1B – Descripción de la Transferencia | Conforme se indica en el Anexo I.B de las CCT. |
| Anexo II – MOT | Conforme se indica en el Anexo II de las CCT. |
| Anexo III – Subencargados | Conforme se indica en el Anexo III de las CCT. |
Tabla 4: Finalización del presente Addendum cuando cambia el Addendum Aprobado
| ¿Qué Partes pueden dar por terminado el presente Addendum conforme a la Sección 19? | X ninguna Parte |
Parte 2: Cláusulas obligatorias
Parte 2: Cláusulas Obligatorias del Addendum Aprobado, siendo la plantilla Addendum B.1.0 emitida por el ICO y presentada ante el Parlamento conforme al artículo 119A de la Ley de Protección de Datos de 2018, el 2 de febrero de 2022, en su versión revisada conforme a la Sección 18 de dichas Cláusulas Obligatorias.
APÉNDICE III
ADDENDUM SUIZO (LPD) A LAS CLÁUSULAS CONTRACTUALES TIPO DE LA UE
Partes: El presente Addendum Suizo (el “Addendum Suizo”) se celebra entre las Partes de las Cláusulas Contractuales Tipo de la UE adoptadas por la Decisión (UE) 2021/914 (las “CCT de la UE”) incorporadas al Acuerdo entre:
- Exportador de datos (Suiza): Responsable del Tratamiento
- Importador de datos: Encargado del Tratamiento
1) Finalidad y ámbito de aplicación
1.1 El presente Addendum Suizo adapta las CCT de la UE para las transferencias de datos personales sujetas a la Ley Federal Suiza de Protección de Datos (LPD, incluida la LPD revisada) desde Suiza a un país que carece de un nivel adecuado de protección.
2) Ajustes de interpretación
2.1 Las referencias al “RGPD” deberán leerse, cuando proceda, como comprensivas de la LPD y sus disposiciones de desarrollo.
2.2 Las referencias a un “Estado miembro de la UE” y “Estado miembro” deberán interpretarse como comprensivas de Suiza, cuando sea necesario para que los interesados suizos puedan beneficiarse de derechos de terceros.
2.3 Las referencias a una “autoridad de control” deberán, para las transferencias exclusivamente suizas, interpretarse como comprensivas del Comisionado Federal de Protección de Datos e Información (AFPDT).
2.4 “Datos personales”, “interesado”, “tratamiento” y otros términos del RGPD deberán interpretarse de forma coherente con los conceptos equivalentes de la LPD cuando esta sea de aplicación.
2.5 El presente Addendum Suizo no modifica el texto de las CCT de la UE, salvo en lo expresamente indicado en el mismo.
3) Autoridad competente (Anexo I(C) de las CCT de la UE)
3.1 Para los datos sujetos exclusivamente a la LPD, la autoridad de control competente es la AFPDT; para las transferencias sujetas tanto a la LPD como al RGPD, son tanto la AFPDT como la autoridad de control competente de la UE.
4) Legislación aplicable y fuero (Cláusulas 17 y 18 de las CCT de la UE)
4.1 Transferencias exclusivamente suizas: Cláusula 17: legislación suiza. Cláusula 18: tribunales de Lucerna, Suiza.
4.2 Transferencias paralelas UE+Suiza: Las Cláusulas 17 y 18 se mantienen conforme a lo seleccionado para el RGPD en virtud de las CCT de la UE. Ello no impide a los interesados suizos interponer acciones en Suiza cuando lo permita la LPD.
5) Transferencias ulteriores y derechos de terceros beneficiarios
5.1 Donde las CCT de la UE hagan referencia a derechos de los interesados para hacer valer las cláusulas, se considerará que dichos derechos incluyen a los interesados suizos en virtud de la LPD.
5.2 Cualquier referencia en las CCT de la UE que de otro modo pudiera excluir a los interesados suizos no deberá interpretarse en ese sentido.
6) Legislación local y acceso por parte de autoridades públicas (Cláusulas 14–15)
6.1 Donde las CCT de la UE exijan una evaluación de la legislación/prácticas locales y las obligaciones relativas al acceso por parte de autoridades públicas, las Partes realizarán dicha evaluación con referencia a la LPD para las transferencias exclusivamente suizas, y a la LPD y el RGPD para las transferencias paralelas UE+suizas.
6.2 El importador de datos facilitará al exportador la información razonablemente necesaria para completar la evaluación en el contexto de la LPD.
7) Anexos y mecanismos de cumplimentación
7.1 Los Anexos I–III de las CCT de la UE (en la versión cumplimentada entre las Partes) se incorporan por referencia al presente Addendum Suizo y se aplican mutatis mutandis a las transferencias sujetas a la LPD.
7.2 Cuando el presente Addendum Suizo exija una modificación del Anexo I(C) o de las selecciones en virtud de las Cláusulas 17–18 para las transferencias exclusivamente suizas, dichas selecciones se considerarán modificadas conforme a las Secciones 3.1 y 4.1.
8) Prelación
8.1 En caso de incompatibilidad entre el presente Addendum Suizo y las CCT de la UE, el presente Addendum Suizo prevalecerá únicamente en la medida necesaria para cumplir con la LPD.
8.2 En caso de incompatibilidad entre el presente Addendum Suizo y el Acuerdo/ATD, el presente Addendum Suizo prevalecerá para las transferencias sujetas a la LPD.
APÉNDICE
ANEXO I A LAS CLÁUSULAS CONTRACTUALES TIPO
A. LISTA DE PARTES
Importador de datos – ENCARGADO DEL TRATAMIENTO
La entidad contratante de Ideals identificada en el Acuerdo VDR.
Contacto: privacy@idealscorp.com
Actividades relevantes para los datos transferidos en virtud de las presentes Cláusulas: Prestación de los servicios en virtud del Acuerdo VDR de Ideals
Exportador de datos – RESPONSABLE DEL TRATAMIENTO
La entidad contratante del Cliente y los datos de contacto identificados en el Acuerdo VDR.
Actividades relevantes para los datos transferidos en virtud de las presentes Cláusulas: Prestación de los servicios en virtud del Acuerdo VDR de Ideals
B. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de interesados cuyos datos personales se transfieren: Todos los individuos cuya información figure en la documentación cargada en el VDR.
Categorías de datos personales transferidos: Todas las categorías de datos personales cargados en el VDR.
Datos sensibles transferidos (si procede) y restricciones/salvaguardas aplicadas: Determinados por el Cliente en función del contenido cargado. Ideals aplica las salvaguardas descritas en el Anexo II.
Frecuencia de la transferencia: De forma continua.
Naturaleza del tratamiento: Prestación de los servicios en virtud del Acuerdo VDR de Ideals.
Finalidad(es) de la transferencia de datos y tratamiento posterior: Prestación de los servicios en virtud del Acuerdo VDR de Ideals.
Período de conservación de los datos personales: Conforme a lo especificado en el Acuerdo VDR de Ideals.
Para transferencias a (sub)encargados: Prestación de los servicios en virtud del Acuerdo VDR de Ideals.
C. AUTORIDAD DE CONTROL COMPETENTE
La autoridad de control competente en virtud de la Cláusula 13 es la autoridad de control competente para el exportador de datos en virtud del Reglamento (UE) 2016/679 (RGPD), determinada sobre la base del establecimiento, el establecimiento principal u otros criterios aplicables al exportador de datos en virtud del RGPD.
ANEXO II
Medidas Técnicas y Organizativas (MTO)
El grupo de empresas Ideals implementa las siguientes medidas técnicas y organizativas para garantizar la protección de los datos personales tratados de conformidad con el Reglamento General de Protección de Datos, las Leyes Locales de Protección de Datos, cualquier legislación y reglamentación subordinada que desarrolle el Reglamento General de Protección de Datos y todas las Leyes de Privacidad.
El grupo de empresas Ideals crea y mantiene la siguiente documentación en materia de seguridad y privacidad:
- Adenda de Tratamiento de Datos (ATD)
- Medidas Técnicas y Organizativas (MTO)
- Acuerdo de Confidencialidad (NDA)
- Contrato con Subencargado (cuando proceda)
- Cláusulas Contractuales Tipo de la UE (Decisión de la Comisión (UE) 2021/914) (Módulo 2)
1. Confidencialidad
| Medidas Técnicas | Medidas Organizativas |
| Aplicación de identidad y acceso. SSO + MFA adaptativo para todos los accesos de personal/administradores; fortaleza mínima de la contraseña ≥ 12 caracteres o equivalente; bloqueo de cuenta tras intentos fallidos consecutivos; fortalecimiento de sesiones. Control de Acceso Basado en Roles (RBAC) y Privilegio Mínimo. Roles granulares; accesos privilegiados limitados en el tiempo y registrados. Aislamiento de inquilinos y segregación lógica. Espacios de datos por inquilino; ACL en el lado del servicio para impedir el acceso entre inquilinos. Seguridad de la red. Segmentación (VPC/subredes/grupos de seguridad), WAF, IDS/IPS, supervisión de red, limitación de velocidad y controles de salida. Seguridad de endpoints. Cifrado completo de disco, EDR/antimalware, firewalls de host, políticas de control de USB/puertos. Criptografía. Cifrado de datos en reposo; TLS 1.3 para todas las conexiones externas e internas; seudonimización/tokenización cuando sea posible. Gestión de claves. Claves almacenadas en KMS/Key Vaults dedicados; rotación y registros de acceso. DLP. Reglas DLP en endpoints y herramientas de colaboración. Firmas digitales. Mecanismos de firma electrónica aprobados; registro de validación. | Gobernanza de accesos. Políticas documentadas de acceso y roles; proceso de incorporación-cambio-baja; revisiones periódicas de accesos. Obligaciones de confidencialidad. NDA para empleados y contratistas; verificaciones de antecedentes. Diligencia debida con terceros/proveedores. Verificación basada en riesgo de contratistas/subencargados. Gestión de la información. Política de clasificación y gestión de datos; procedimientos de gestión segura y eliminación de soportes. |
2. Integridad
| Medidas Técnicas | Medidas Organizativas |
| Transporte seguro e interfaces. TLS 1.2+; HSTS; conjuntos de cifrado robustos; autenticación de API con tokens firmados. Auditabilidad. Registros inmutables/auditables; sincronización de hora (NTP). Controles de aplicación y datos. Validación del lado del servidor; integridad referencial; sumas de verificación/hashes; control de versiones. Controles de sesión. Tiempos de espera forzados y re-autenticación para operaciones sensibles. Gestión de vulnerabilidades y parches. Análisis continuo de vulnerabilidades; aplicación de parches basada en SLA; líneas de base de configuración CIS. | Gestión de cambios y versiones. Control formal de cambios; aprobaciones; separación de funciones; pruebas de reversión. SDLC seguro. Modelado de amenazas; revisiones de código; gestión de dependencias; gestión de secretos. Políticas y procedimientos. Política de seguridad de la información; Política de protección de datos. |
3. Disponibilidad y resiliencia
| Medidas Técnicas | Medidas Organizativas |
| Redundancia y tolerancia a fallos. Despliegues multi-AZ; equilibrio de carga; escalado automático. Copias de seguridad y recuperación. Copias de seguridad automáticas y periódicas; inmutabilidad; pruebas de recuperación. Supervisión y alertas. Registro centralizado/SIEM; comprobaciones de estado; supervisión de capacidad. Protección frente a interrupciones. Protección DDoS; limitación de velocidad; circuit breakers. | PCN/PRD. Planes documentados de continuidad de negocio y recuperación ante desastres con RTO/RPO. Gobernanza de copias de seguridad. Política de programación de copias de seguridad; retención; cifrado. Respuesta a incidentes. Plan IR definido; playbooks; revisiones post-incidente. |
4. Procedimiento para probar, acceder y evaluar periódicamente
| Medidas Técnicas | Medidas Organizativas |
| Pruebas de seguridad. Pruebas de penetración independientes anuales; programa continuo de bug bounty/divulgación responsable; análisis automatizado SAST/DAST/Cloud. Telemetría de controles. Métricas de seguridad; paneles de estado de los controles; comprobaciones automáticas de cumplimiento de políticas. | Sistema de gestión y garantía. SGSI ISO/IEC 27001 en vigor; auditorías SOC 2 Tipo II. Gobernanza y documentación. Repositorio central de políticas/MTO; asignación formal de responsabilidades. Formación y concienciación. Formación periódica en protección de datos y seguridad (basada en roles); simulaciones de phishing. Revisión periódica. Revisión anual de la eficacia de las MTO. |
5. Gobernanza de la privacidad y controles del ciclo de vida de los datos
| Medidas Técnicas | Medidas Organizativas |
| Minimización de datos y enmascaramiento. Minimización a nivel de campo; enmascaramiento/seudonimización para entornos no productivos. Automatización de la conservación y supresión. Conservación guiada por políticas con tareas de supresión automatizadas. | EIPD/EIT. Evaluaciones de Impacto relativas a la Protección de Datos basadas en riesgos; registro de actividades de tratamiento (RAT). Gestión de subencargados. ATD/CCT contractuales; evaluaciones de impacto de transferencia; supervisión continua. Solicitudes de los interesados. Procedimientos y SLA definidos para el ejercicio de derechos; pasos de verificación de identidad. |
ANEXO III
Ideals contrata a empresas de Amazon Web Services (“AWS”) como subencargados para servicios de alojamiento en la nube e infraestructura. Todo el tratamiento de datos es realizado por la entidad de AWS correspondiente a la ubicación seleccionada por el Cliente durante la configuración de la Data Room.
Las ubicaciones de servidor actualmente disponibles incluyen Alemania, Francia, España, Reino Unido, Estados Unidos, Brasil, China, Singapur, India, Japón y Australia, y están sujetas a cambios a medida que Ideals actualiza su oferta regional.
La ubicación del tratamiento de datos no se modificará sin el consentimiento previo y por escrito del Cliente.
Funcionalidad opcional de traducción integral avanzada – DeepL
Cuando el Cliente habilite la funcionalidad opcional de traducción integral avanzada de Ideals, Ideals podrá contratar a DeepL SE como subencargado del tratamiento con la finalidad limitada de traducir el contenido de los documentos enviados a través de dicha funcionalidad.
Esta funcionalidad es opcional y no está habilitada de forma predeterminada. El tratamiento por parte de DeepL puede tener lugar en la Unión Europea, los Estados Unidos o Japón y, por tanto, puede diferir de la ubicación de alojamiento principal de la Sala de Datos.
Ideals no habilitará esta funcionalidad cuando ello entre en conflicto con los compromisos contractuales aplicables del Cliente, con las restricciones regionales habilitadas o con otros requisitos legales documentados que sean del conocimiento de Ideals. DeepL es contratada exclusivamente para la ejecución de la traducción solicitada y no para el alojamiento general de servicios. El Cliente sigue siendo responsable de decidir si utiliza la funcionalidad opcional de traducción integral avanzada.
Adendo I
Términos de la CCPA/CPRA y de las Leyes Estatales de Privacidad de EE.UU.
1. Función. Ideals actúa como “proveedor de servicios” y/o “encargado del tratamiento” con respecto a los Datos Personales del Cliente.
2. Restricciones. Ideals no deberá:
(a) vender ni compartir los Datos Personales del Cliente;
(b) conservarlos, utilizarlos o divulgarlos para ninguna finalidad distinta de las finalidades comerciales especificadas en el Acuerdo;
(c) combinar los Datos Personales del Cliente con datos personales recibidos de otra fuente, salvo en la medida en que la ley lo permita para prestar los Servicios; ni
(d) utilizar los Datos Personales del Cliente fuera de la relación comercial directa con el Cliente.