Anexo de Protección de Datos de Socios

Este Anexo de Protección de Datos para Socios (”DPA”) es parte del Acuerdo del Programa de Socios (”Acuerdo”) y establece los términos adicionales con respecto al procesamiento de datos personales. Los términos en mayúscula tienen el significado definido en la siguiente sección de este documento o en otra parte del Acuerdo. Si hay un conflicto entre los términos de este DPA y cualquier otro término del Acuerdo, este DPA prevalecerá. Para los propósitos de este DPA, “Proveedor” significará Socio.

• (a) “Ley de protección de datos aplicable” significa toda la ley aplicable relacionada con el procesamiento de datos personales en virtud del Acuerdo, incluyendo, pero sin limitarse a, (i) para los Datos Personales originados de una Entidad Autorizada ubicada dentro del EEE, el Reglamento General de Protección de Datos (UE) 2016/679 (”GDPR”) y (ii) para los datos personales procedentes de una entidad autorizada ubicada en el Reino Unido, el GDPR del Reino Unido y la Ley de Protección de Datos del Reino Unido 2018.
• (b) “Entidad autorizada” significará cualquier entidad (incluyendo Siemens y sus compañías del grupo) que actúe como Controller y que tenga derecho en virtud del Acuerdo a acceder o utilizar los Servicios directa o indirectamente.
• (c) “Controller” significa la persona física o jurídica que, sola o conjuntamente con otros, determina los propósitos y medios del procesamiento de datos personales.
• (d) “País con una decisión de adecuación” significa cualquier país para el que la Comisión de la UE haya decidido que dicho país garantice un nivel adecuado de protección de datos y para los datos personales procedentes del Reino Unido, cualquier país para el que se hayan establecido regulaciones de adecuación del Reino Unido en virtud de las secciones 17A o 74A de la Ley de Protección de Datos de 2018.
• (e) “Violación de datos” significa cualquier violación de la seguridad (i) que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos personales transmitidos, almacenados o procesados de otra manera, o (ii) requeriría la notificación de dicho evento a cualquier tercero de conformidad con la ley aplicable.
• (f) “EEE” significa el Espacio Económico Europeo.
• (g) “Cláusulas contractuales estándar de la UE” significa las Cláusulas Contractuales Estándar (EU) 2021/914.
• (h) “Área de origen” significa el EEE, el Reino Unido, Suiza y cada país con requisitos de adecuación similares a los contenidos en el art. 45 y ss. GDPR.
• (i) “Datos personales” significa cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
• (j) “Procesamiento” (y sus otras formas como Proceso, Procesos, Procesado) significa cualquier operación o conjunto de operaciones que se realice sobre Datos Personales o en conjuntos de Datos Personales, ya sea por medios automatizados, como recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición de otra manera, alineación o combinación, restricción, borrado o destrucción.
• (k) “Procesador” significa una persona física o jurídica, autoridad pública, agencia o cualquier otro organismo que procese datos personales en nombre de un Controller.
• (l) “Rules corporativas vinculantes del procesador” significa reglas corporativas vinculantes para los procesadores que son aprobadas por la autoridad supervisora competente.
• (m) “Datos personales restringidos” significa cualquier dato personal que se origine de una Entidad Autorizada ubicada dentro de un Área de Origen.
• (n) “Transferencia (s) restringida (s)” significa cualquier Procesamiento (incluidas las transferencias, el acceso internacional y las transferencias posteriores) de Datos Personales Restringidos por parte del Proveedor o cualquiera de sus Subprocesadores fuera del Área de Originación correspondiente.
• (o) “Servicios” se referirá a los Servicios en virtud del Acuerdo proporcionados por el Proveedor que actúa en su función de Procesador en el sentido de este DPA.
• (p) “Cláusulas contractuales estándar” significa las Cláusulas Contractuales Estándar de la UE y las Cláusulas Contractuales Estándar del Reino Unido.
• (q) “Subprocesador (es)” significará cualquier otro procesador que se dedique a la prestación de los Servicios.
• (r) “Salvaguardia (s) de transferencia” significará las salvaguardias apropiadas para las transferencias restringidas según lo requiera la Ley de Protección de Datos aplicable, incluyendo, sin limitación, cualquier salvaguarda apropiada requerida por el Artículo 46 GDPR.
• (s) “GDPR del Reino Unido” significa el GDPR incorporado a la legislación del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018.
• (t) “Cláusulas contractuales estándar del Reino Unido” significa las cláusulas estándar de protección de datos adoptadas de vez en cuando por la Oficina de Comisionados de Información del Reino Unido (ICO) de acuerdo con el Artículo 46 (2) del RGPD del Reino Unido, incluyendo, pero sin limitarse a, el acuerdo internacional de transferencia de datos (IDTA del Reino Unido) y las Cláusulas Contractuales Estándar de la UE enmendadas por el Anexo de Transferencia Internacional de Datos de la ICO a las Cláusulas Contractuales Estándar de la Comisión de la UE (”Anexo del Reino Unido”). [1]

1 Vea https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

Las partes observarán la Ley de Protección de Datos Aplicable tal como se aplica a ellas y como se requiere en este documento. Al proporcionar los Servicios, el Proveedor deberá cumplir en particular con las disposiciones de la Ley de Protección de Datos Aplicable con respecto al Procesamiento de Datos Personales como Procesador.

El Proveedor solo procesará los Datos personales (a) de acuerdo con los términos de este DPA y el Acuerdo; o (b) según otras instrucciones documentadas de Siemens. El proveedor no procesará los datos personales para sus propios fines ni los transferirá a terceros, a menos que lo permita este DPA. El proveedor informará inmediatamente a Siemens si, en su opinión, una instrucción de Siemens infringe la Ley de Protección de Datos aplicable.

Los detalles de las operaciones de procesamiento proporcionadas por el Proveedor, en particular el tema del procesamiento, la naturaleza y propósito del procesamiento, los tipos de datos personales procesados y las categorías de sujetos de datos afectados, se especifican en Anexo I a este DPA.

Teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Proveedor implementará las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, incluyendo, pero sin limitarse a, según corresponda: (a) la seudonimización y cifrado de los Datos personales; (b) la capacidad de asegurar, según corresponda: (a) la seudonimización y cifrado de los Datos Personales; (b) la capacidad de garantizar la continua confidencialidad, integridad, disponibilidad y resistencia de Sistemas y servicios de procesamiento; (c) la capacidad de restablecer la disponibilidad y el acceso a los Datos personales de manera oportuna en caso de un incidente físico o técnico; (d) un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del Procesamiento. Sin perjuicio de la generalidad de la frase anterior, el Proveedor implementará en todo momento al menos las medidas técnicas y organizativas descritas en Anexo IIa este DPA.

1 Consulte https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/.

El proveedor limitará el acceso de su personal a los datos personales en función de la necesidad de conocerlos. El Proveedor deberá proporcionar un aviso detallado a su personal sobre las disposiciones legales y contractuales aplicables con respecto a la protección de datos. El Proveedor pondrá a su personal bajo la obligación de cumplir con dichas disposiciones y, en particular, de mantener en secreto los Datos Personales y no Procesar Datos Personales que no sean de acuerdo con las instrucciones de Siemens. La obligación de secreto continuará aplicándose después de la expiración de este Acuerdo y de la relación contractual del personal con el Proveedor. El proveedor proporcionará prueba de dicha obligación a pedido.

• (a) El proveedor tiene la autorización general de Siemens para la contratación de subprocesadores. Una lista actual de subprocesadores encargados por el Proveedor se encuentra en Anexo III a este DPA.
• (b) El Proveedor informará específicamente a Siemens por escrito de cualquier cambio previsto en esa lista mediante la adición o reemplazo de Subprocesadores con al menos 30 días de anticipación. El proveedor proporcionará a Siemens la información necesaria para que Siemens pueda ejercer el derecho de oposición. Si Siemens no presenta objeciones dentro de este período de 30 días, entonces esto se tomará como una aprobación del nuevo Subprocesador. Si Siemens presenta objeciones, el Proveedor, antes de autorizar al Subprocesador a acceder a los Datos Personales, hará todos los esfuerzos razonables para abordar las preocupaciones y reservas expresadas por Siemens y (i) se abstendrá de usar el Subprocesador; o (ii) propondrá a Siemens un cambio razonable en los Servicios o la configuración de Siemens o el uso de los Servicios para evitar el procesamiento de datos personales por parte del nuevo subprocesador objetado. Si el Proveedor no puede eliminar los motivos de la objeción por parte de Siemens, Siemens tiene derecho a rescindir los Servicios afectados sin ningún daño o penalización. En caso de rescisión por parte de Siemens, el Proveedor reembolsará los montos pagados por adelantado para el Servicio correspondiente en forma prorrateada.
• (c) Cuando el Proveedor contrate a un Subprocesador para llevar a cabo actividades de procesamiento específicas (en nombre de Siemens y/o Entidades Autorizadas), lo hará por medio de un contrato escrito que prevea, en esencia, las mismas obligaciones de protección de datos que las que vinculan al Proveedor en virtud de este DPA.
• (d) El proveedor proporcionará, a petición de Siemens, una copia de dicho contrato de subprocesador y cualquier modificación posterior a Siemens. En la medida necesaria para proteger los secretos comerciales u otra información confidencial, incluidos los datos personales, el Proveedor puede redactar el texto del contrato antes de compartir una copia.
• (e) El Proveedor debe auditar adecuada y regularmente al Subprocesador con respecto al cumplimiento de estos requisitos y documentar los resultados de dichas auditorías.
• (f) El Proveedor seguirá siendo totalmente responsable ante Siemens por el cumplimiento de las obligaciones del Subprocesador en virtud de su contrato con el Proveedor. El Proveedor informará a Siemens de cualquier incumplimiento por parte del Subprocesador de cumplir con sus obligaciones en virtud de ese contrato.

En caso de transferencias restringidas al Proveedor, el Proveedor se asegurará de que dicha Transferencia Restringida esté cubierta por las Salvaguardias de Transferencia adecuadas como se establece en este Sección 9 y Anexo III a este DPA.

• (a) Cláusulas contractuales estándar. Se aplicará lo siguiente si una salvaguardia de transferencia se basa en las Cláusulas Contractuales Estándar:
  • EEE-Proveedores. Si el Proveedor se encuentra dentro del EEE, el Proveedor deberá entrar en las Cláusulas Contractuales Estándar (Módulo 3) con su Subprocesador. Secciones 9 (a) (vii) (“Ley aplicable”), 9 (a) (viii) (“Elección de foro y jurisdicción”), 9 (a) (ix) (b) (“Parte 1 del Anexo del Reino Unido”), y el segunda frase de la Sección 9 (a) (x) (“Entidades autorizadas en otros países”) de este DPA no se aplicará si el Proveedor se encuentra en el EEE.
  • Proveedores no pertenecientes al EEE. Si el Proveedor se encuentra fuera del EEE, la Transferencia Restringida se regirá por los Módulos 2 y 3 de las Cláusulas Contractuales Estándar. Las disposiciones pertinentes contenidas en las Cláusulas Contractuales Estándar se incorporan por referencia y son una parte integral de este DPA. La información requerida para los fines de los Anexos a las Cláusulas Contractuales Estándar se establece en Anexos I a IIIa este DPA.
  • Cláusula de atraque. La opción bajo la Cláusula 7 de las Cláusulas Contractuales Estándar no se aplicará.
  • Transferencias posteriores. Cualquier otra transferencia posterior debe cumplir con las Cláusulas 8 y 9 del Módulo aplicable de las Cláusulas Contractuales Estándar. En caso de que Siemens se encuentre fuera del EEE y actúe como importador de datos bajo las Cláusulas Contractuales Estándar con Entidades Autorizadas, la cláusula beneficiaria de terceros estipulada en la Cláusula 9 (e) de las Cláusulas Contractuales Estándar estará a favor de dicha Entidad Autorizada.
  • Uso de subprocesadores.Se aplicará la opción 2 bajo la Cláusula 9 de las Cláusulas Contractuales Estándar. A los efectos de la Cláusula 9 (a) de las Cláusulas Contractuales Estándar, el Proveedor tiene la autorización general de Siemens para contratar Subprocesadores de acuerdo con Sección 8 de este DPA.
  • Rearcimiento. En caso de que el Proveedor ofrezca a los interesados la opción de presentar una queja ante un organismo independiente de resolución de disputas (consulte la Opción en la Cláusula 11 de las Cláusulas Contractuales Estándar), el Proveedor informará a Siemens del organismo de arbitraje responsable por escrito y cumplirá con los requisitos aplicables contenidos en la Cláusula 11 de las Cláusulas Contractuales Estándar y las reglas de arbitraje aplicables.
  • Ley aplicable. La ley aplicable a los efectos de la Cláusula 17 de las Cláusulas Contractuales Estándar será la ley designada en la sección de la ley aplicable del Acuerdo. Si el Acuerdo no se rige por la ley de un Estado miembro de la UE, las Cláusulas Contractuales Estándar de la UE se regirán por las leyes de Alemania.
  • Elección de foro y jurisdicción. Los tribunales bajo la Cláusula 18 de las Cláusulas Contractuales Estándar serán los designados en la sección del lugar del Acuerdo. Si el Acuerdo no designa a un tribunal de un Estado miembro de la UE como con jurisdicción exclusiva para resolver cualquier disputa o demanda que surja de o en relación con el Acuerdo, las partes acuerdan que los tribunales de Alemania tendrán jurisdicción exclusiva para resolver cualquier disputa que surja de las Cláusulas Contractuales Estándar de la UE.
  • Entidades autorizadas en el Reino Unido. En caso de que las Transferencias Restringidas se originen en Entidades Autorizadas ubicadas en el Reino Unido, se aplicará lo siguiente:
    • Apéndice del Reino Unido. Se utilizará el Anexo del Reino Unido, a menos que Siemens acuerde lo contrario por escrito.
    • Parte 1 del Anexo del Reino Unido. La Parte 1 del Anexo del Reino Unido se aplicará de la siguiente manera:
      1. Tabla 1: Los detalles de las partes y la información clave de contacto están contenidos en Anexo I a este DPA.
      2. Tabla 2: La versión de los SCC aprobados de la UE (tal como se define en el Anexo del Reino Unido) a la que se anexa el Anexo del Reino Unido, son las Cláusulas Contractuales Estándar de la UE con los Módulos y Cláusulas seleccionados anteriormente en Sección 9 (a) de este DPA. Ningún dato personal recibido del importador se combina con los datos personales recopilados por el exportador.
      3. Tabla 3: La información del apéndice según lo requerido por la Tabla 3 del Anexo del Reino Unido está contenida en Anexos I a III a este DPA.
      4. Tabla 4: Ninguna de las partes puede rescindir el Anexo del Reino Unido cuando cambie el Apéndice Aprobado (como se define en el Anexo del Reino Unido).
  • Entidades autorizadas en otros países. En caso de que las Cláusulas Contractuales Estándar protejan las Transferencias Restringidas de Entidades Autorizadas ubicadas fuera del EEE y el Reino Unido (por ejemplo, Suiza), (1) las referencias generales y específicas en las Cláusulas Contractuales Estándar al GDPR o la legislación de la UE o de los Estados miembros tendrán el mismo significado que la referencia equivalente en las Leyes de Protección de Datos Aplicables del país donde se encuentra la Entidad Autorizada, según corresponda; y (2) las referencias a la “autoridad supervisora competente” se interpretarán como referencias a protección de datos competente autoridad en ese país. La ley aplicable, la elección del foro y la jurisdicción se regirán por Secciones 9 (a) (vii) y (viii) de este DPA, a menos que las leyes aplicables a la Entidad Autorizada respectiva exijan lo contrario, en cuyo caso las Cláusulas Contractuales Estándar se regirán por las leyes del país en el que se encuentre la Entidad Autorizada y cualquier referencia a los “tribunales” competentes se interpretará como referencia a tribunales competentes en dicho país.
• Rules corporativas vinculantes del procesador. Lo siguiente se aplicará si una salvaguardia de transferencia se basa en las Rules Corporativas Vinculantes del Procesador: El Proveedor obligará contractualmente a dicho Subprocesador a cumplir con las Rules Corporativas Vinculantes del Procesador con respecto a los Datos Personales Procesados bajo este DPA.
• Salvaguardias adicionales de transferencia. En caso de que una Salvaguardias de Transferencia no se base en Cláusulas Contractuales Estándar, las Cláusulas 14 y 15 de las Cláusulas Contractuales Estándar se aplicarán mutatis-mutandis a las Transferencias Restringidas en virtud de dicha otra Salvaguardia de Transferencia, a menos que la salvaguardia de transferencia respectiva contenga, en sustancia, los mismos derechos y obligaciones con respecto a (i) las leyes y prácticas locales que afectan el cumplimiento de las Salvaguardias de Transferencia, y (ii) las obligaciones en caso de acceso por parte de las autoridades públicas como se encuentran en las Cláusulas 14 y 15 de las Cláusulas Contractuales Estándar.
• Otro. El Proveedor acepta y entiende que la Ley de Protección de Datos aplicable local, puede contener restricciones de transferencia similares o adicionales a las contenidas en este Sección 9. En tal caso, el Proveedor acepta hacer esfuerzos razonables y cooperar con Siemens de buena fe para abordar esos requisitos.

El Proveedor debe ayudar razonablemente a Siemens a garantizar el cumplimiento de la Ley de Protección de Datos Aplicable, en particular asistiendo a Siemens de la siguiente manera:

• (a) Corrección, eliminación o restricción del procesamiento. El Proveedor deberá (i) proporcionar la capacidad de rectificar, borrar o restringir el procesamiento de datos personales a través de las funcionalidades de los Servicios, o (ii) rectificar, borrar o restringir el procesamiento de datos personales según las instrucciones de Siemens.
• (b) Acceso a los datos personales. En la medida en que la información relacionada con un sujeto de datos no sea accesible a través del Servicio, el Proveedor, según sea necesario para permitir que Siemens y las Entidades Autorizadas cumplan con sus obligaciones en virtud de las Leyes de Protección de Datos aplicables, brindará asistencia para poner dicha información a disposición de Siemens y/o Entidades Autorizadas.
• (c) Sujeto de datos y solicitudes de autoridad. El Proveedor notificará de inmediato a Siemens sobre: (i) cualquier solicitud o queja recibida o cualquier notificación de investigación por parte de una autoridad o agencia de aplicación de la ley, gubernamental o reguladora; y (ii) cualquier solicitud recibida directamente de cualquier sujeto de datos sobre sus Datos personales. Con respecto a (i) y (ii) anteriores, el proveedor no responderá sin instrucciones de Siemens. Si así se le indica, el Proveedor apoyará razonablemente a Siemens en la respuesta a dichas solicitudes.
• (d) Portabilidad de datos. A petición de Siemens y si así lo requiere la Ley de Protección de Datos aplicable, el Proveedor (i) proporcionará la capacidad de extraer Datos personales por referencia a un sujeto de datos específico de acuerdo con las funcionalidades del Servicio o (ii) pondrá el conjunto de datos relevante a disposición de Siemens y/o de la Entidad Autorizada respectiva, en cada caso en un formato estructurado, de uso común y legible por máquina.
• (e) Evaluaciones de impacto de protección de datos. Si Siemens lo solicita, el Proveedor proporcionará toda la información y apoyo razonable para llevar a cabo evaluaciones de impacto de protección de datos bajo las Leyes de Protección de Datos Aplicables.

Al finalizar la relación de procesamiento de datos, a menos que Siemens indique lo contrario o se establezca en este documento, el Proveedor devolverá a Siemens todos los Datos personales puestos a disposición del Proveedor u obtenidos o generados por el Proveedor en relación con los Servicios acordados contractualmente y eliminará o destruirá irrevocablemente cualquier dato restante. La eliminación o destrucción será confirmada por el Proveedor por escrito a solicitud.

• (a) El Proveedor notificará a Siemens inmediatamente, pero en cualquier caso dentro de las 48 horas en caso de que el Proveedor descubra o sospecha razonablemente alguna violación de datos.
• (b) En la notificación a Siemens, el Proveedor proporcionará a Siemens la siguiente información: (i) detalles de un punto de contacto donde (o de quien) se pueda obtener más información, (ii) una descripción de la naturaleza de la violación (incluyendo, cuando sea posible, nombres, categorías y número aproximado de sujetos de datos y registros de datos personales en cuestión), (iii) las posibles consecuencias y las medidas tomadas o propuestas para abordar la violación, incluidas, cuando corresponda, las medidas para mitigar posibles efectos adversos. Si y en la medida en que no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, a medida que esté disponible, se proporcionará posteriormente sin demora indebida.
• (c) Cualquier notificación bajo esto Sección 12 se llevará a cabo (i) al punto de contacto respectivo identificado en el Acuerdo y (ii) a dataprotection@siemens.com.
• (d) El Proveedor deberá, a costa y costo del Proveedor, (i) cooperar plenamente con Siemens en la investigación de una violación de datos; (ii) ayudar y cooperar con Siemens en relación con cualquier notificación o divulgación legalmente requerida a las personas afectadas (por comunicación individual, comunicación pública a través de los medios de comunicación o por medidas similares), autoridades policiales, reguladores y/u otros terceros; y (iii) tomar cualquier otra acción que Siemens considere necesaria con respecto a dicha violación de datos, y cualquier disputa, investigación o Afirman que se refiere a la violación de datos.
• (e) A menos que la ley aplicable o una orden de un regulador competente exija lo contrario, Siemens tomará la determinación final, a su exclusivo criterio, (i) si una violación de datos requiere notificación y (ii) la forma de la notificación. En el caso de que el Proveedor proporcione tales notificaciones con respecto a una violación de datos, dichos avisos deben ser aprobados, por adelantado, por Siemens.
• (f) El proveedor tomará, a su costo, las medidas apropiadas para abordar la violación de datos, incluidas las medidas para mitigar sus efectos adversos (incluidas las medidas para proteger el entorno operativo). El proveedor también tomará medidas inmediatas diseñadas para evitar la recurrencia de cualquier violación de datos, incluida cualquier acción requerida por la Ley de Protección de Datos Aplicable.
• (g) El Proveedor reembolsará a Siemens todos los costos y gastos incurridos por dicha violación de datos causada por el Proveedor, incluidos, entre otros, los costos de proporcionar monitoreo de crédito a las personas cuyos Datos Personales se vieron afectados por la violación de datos. Las limitaciones de responsabilidad a favor del Proveedor en virtud del Acuerdo no se aplicarán a este respecto.

• (a) El proveedor (i) supervisará, por medios apropiados, su propio cumplimiento de sus obligaciones de protección de datos en virtud de esta DPA y la Ley de Protección de Datos Aplicable; (ii) creará informes periódicos relacionados (al menos anuales) y basados en la ocasión (cada uno a”Informe”); y (iii) poner los Informes a disposición de Siemens y Entidades Autorizadas si así lo solicitan. Cuando un estándar y marco de control implementado por el Proveedor prevea controles, dichos controles se realizarán de acuerdo con los estándares y reglas del organismo regulador o de acreditación para cada estándar o marco de control aplicable.
• (b) Si se requiere abordar adecuadamente sus derechos y obligaciones de auditoría bajo la Ley de Protección de Datos Aplicable, las Salvaguardias de Transferencia aplicables o si así lo solicita una autoridad competente de protección de datos u otra autoridad u organismo gubernamental competente, el Proveedor pondrá a disposición de Siemens y de las Entidades Autorizadas, además de los Informes, toda la información adicional razonablemente solicitada y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por Siemens o Entidades Autorizadas u otro auditor ordenado por Siemens o Entidades Autorizadas. Para tal fin, Siemens, las Entidades Autorizadas u otro auditor ordenado por Siemens o Entidades Autorizadas también tendrán derecho a realizar inspecciones in situ durante el horario comercial regular, sin interrumpir las operaciones comerciales del Proveedor, y después de un aviso previo razonable.

Si el Servicio hace uso de cookies o tecnologías similares, se aplicará lo siguiente: El proveedor deberá, a menos que Siemens acuerde específicamente lo contrario con referencia a esto Sección 14, solo almacene información (por ejemplo, escribiendo una cookie) u obtenga acceso a información ya almacenada en el equipo terminal de un usuario del Servicio (por ejemplo, a través de una cookie) con el único propósito de llevar a cabo la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o según sea estrictamente necesario para que el Proveedor proporcione las funcionalidades principales de los Servicios.

El Proveedor entiende y acepta que los requisitos de este DPA son una parte integral del Acuerdo y, un incumplimiento material de cualquiera de estos requisitos se considerará un incumplimiento material por parte del Proveedor del Acuerdo, lo que da derecho a Siemens a los recursos relacionados con el incumplimiento material contenidos en el Acuerdo.

Si y en la medida en que el Proveedor accede a los Datos personales recibidos de una compañía del grupo Siemens establecida en los Estados Unidos de América (”Empresa Siemens US”) o de un sujeto de datos que sea residente de los Estados Unidos de América, entonces además de lo anterior, el Proveedor: (i) cumplirá con las leyes federales, estatales y locales de los Estados Unidos con respecto a los Datos Personales que sean aplicables al Proveedor, dichos Datos Personales y los propietarios o controladores de dichos Datos Personales; cuando lo anterior sea aplicable, el término “Ley de Protección de Datos Aplicable” tal como se usa en el presente documento incluirá las leyes anteriores; (ii) excepto lo dispuesto específicamente en el presente documento o el Acuerdo, no venderá, compartirá, alquilará, divulgará, divulgará, difundirá o pondrá a disposición Datos personales a terceros; y no combinarán los Datos personales con otra información; (iii) notificará a Siemens si el Proveedor determina que el Proveedor ya no puede cumplir con sus obligaciones en virtud del presente documento; (iv) se asegurará de que cada persona que procese Datos Personales esté sujeta a un deber de confidencialidad con respecto a los Datos Personales; (v) se considerará, y actuará como, un “proveedor de servicios” bajo la Ley de Protección de Datos Aplicable (incluida la Ley de Privacidad del Consumidor de California), sus reglamentos de aplicación y cualquier enmienda a los mismos); y (vii) por la presente certifica que entiende las restricciones contenidas en este documento y que las cumplirá.

Anexo I de la DPA (y, cuando corresponda, las Cláusulas Contractuales Estándar)

A.LISTA DE PARTES

Destinatario de los servicios/exportador de datos:

Proveedo/importador de datos:

B.DESCRIPCIÓN DE LAS OPERACIONES DE TRANSFERENCIA/PROCESAMIENTO

C. AUTORIDAD SUPERVISORA COMPETENTE

Cuando Siemens esté establecida en un Estado miembro de la UE, la autoridad supervisora responsable de garantizar el cumplimiento por parte de Siemens del GDPR en lo que respecta a la transferencia de datos actuará como autoridad supervisora competente. Para Siemens Aktiengesellschaft, Alemania, la autoridad supervisora es:

Bayerische Landesamt para la vigilancia de datos (BayLDA)

Paseo 18

91522 Ansbach

Alemania

Cuando Siemens no esté establecida en un Estado miembro de la UE, pero se encuentre dentro del ámbito territorial de aplicación del RGPD de conformidad con su artículo 3 (2), la autoridad supervisora del Estado miembro en el que esté establecido el representante en el sentido del artículo 27 (1) GDPR actuará como autoridad supervisora competente; a saber:

Bayerische Landesamt para la vigilancia de datos (BayLDA)

Paseo 18

91522 Ansbach

Alemania

Anexo II de la DPA (y, cuando corresponda, las Cláusulas Contractuales Estándar)

Medidas técnicas y organizativas (incluidas medidas técnicas y organizativas para garantizar la Security de los datos)

Las siguientes medidas solo se aplicarán al Proveedor, en la medida en que los sistemas, redes y aplicaciones de TI subyacentes sean responsabilidad y/o estén bajo la custodia o control del Proveedor. Descripción de las medidas de seguridad técnicas y organizativas implementadas por el Proveedor y su (s) Subprocesador (es):

Anexo III de la DPA (y, cuando corresponda, las Cláusulas Contractuales Estándar)

LISTA DE SUBPROCESADORES Y UBICACIONES DE CENTROS DE DATOS

El “Formulario de autorización para socios” establece el

Entidades (incluidos socios y subprocesadores) dedicadas al almacenamiento/alojamiento de datos personales,

Ubicaciones de centros de datos aplicables,

Subprocesadores dedicados al procesamiento de datos personales para fines no relacionados con el almacenamiento/alojamiento,

que se incorporan aquí por esta referencia.

El proveedor no transferirá datos personales desde la ubicación del centro de datos respectivo sin el consentimiento de Siemens. El mecanismo de notificación y objeción contenido en Sección 8 no se aplicará en este sentido.