El client dels Serveis de Mesurament que accepta aquestes condicions (el "Client") ha subscrit un acord amb Google o amb un distribuïdor extern (segons correspongui) per a la prestació dels Serveis de Mesurament (l'"Acord", tal com s'esmeni ocasionalment), a través de la interfície d'usuari dels quals el Client ha activat l'Opció de Configuració de Compartició de Dades.
Google i el Client subscriuen aquestes Condicions de Protecció de Dades entre Responsables de Fitxer per al Servei de Mesurament de Google ("Condicions entre Responsables de Fitxer"). Quan l'Acord és entre el Client i Google, aquestes Condicions entre Responsables de Fitxer complementen l'Acord. Quan l'Acord és entre el Client i un distribuïdor extern, aquestes Condicions entre Responsables de Fitxer constitueixen un acord independent entre Google i el Client.
Per tal d'evitar confusions, la prestació dels Serveis de Mesurament es regeix per l'Acord. Aquestes Condicions entre Responsables de Fitxer només determinen les disposicions de protecció de dades relatives a l'Opció de Configuració de Compartició de Dades, però no s'apliquen en cap altre supòsit a la prestació dels Serveis de Mesurament.
De conformitat amb l'apartat 6.2 (Sense efectes en les Condicions de l'Encarregat del Tractament), aquestes Condicions entre Responsables de Fitxer esdevindran efectives i substituiran qualssevol condicions aplicables anteriorment en relació amb el seu objecte a partir de la Data d'Efecte de les Condicions.
Si accepteu aquestes Condicions entre Responsables de Fitxer en nom del Client, garantiu que: (a) teniu plena autoritat legal per vincular el Client a les Condicions entre Responsables de Fitxer; (b) heu llegit i entès les Condicions entre Responsables de Fitxer, i (c) accepteu, en nom del Client, les Condicions entre Responsables de Fitxer. Si no teniu l'autoritat legal per vincular el Client, no accepteu aquestes Condicions entre Responsables de Fitxer.
No accepteu aquestes Condicions entre Responsables de Fitxer si sou un distribuïdor. Aquestes Condicions entre Responsables de Fitxer estableixen els drets i les obligacions que s'apliquen entre els usuaris dels Serveis de Mesurament i Google.
1. Introducció
Aquestes Condicions entre Responsables de Fitxer reflecteixen l'acord de les parts sobre el tractament de les Dades Personals Controlades pel Responsable de Fitxer de conformitat amb l'Opció de Configuració de Compartició de Dades.
2. Definicions i interpretació
2.1
En aquestes Condicions entre Responsables de Fitxer:
"Condicions Addicionals" fa referència a les condicions addicionals esmentades a l'apèndix 1, que reflecteixen l'acord de les parts sobre les condicions que regulen el tractament de les Dades Personals Controlades pel Responsable de Fitxer en relació amb una determinada Legislació sobre Protecció de Dades Aplicable.
"Empresa Vinculada" fa referència a qualsevol entitat que, de manera directa o indirecta, controli una part, estigui controlada per una part o estigui sota el control comú amb una part.
"Legislació sobre Protecció de Dades Aplicable" fa referència, segons el que sigui aplicable al tractament de les Dades Personals Controlades pel Responsable de Fitxer, a qualsevol legislació o normativa de privadesa, de seguretat de les dades o de protecció de dades nacionals, federals, de la UE, estatals, provincials o de qualsevol altre tipus, inclosa la Legislació Europea de Protecció de Dades, la Llei general de protecció de dades personals del Brasil (LGPD) i les Lleis de Privadesa Estatals dels EUA.
"Informació Confidencial" fa referència a aquestes Condicions entre Responsables de Fitxer.
"Interessat de les Dades Controlades pel Responsable de Fitxer" fa referència a un interessat a qui es refereixen les Dades Personals Controlades pel Responsable de Fitxer.
"Dades Personals Controlades pel Responsable de Fitxer" fa referència a les dades personals que una part tracta de conformitat amb l'Opció de Configuració de Compartició de Dades.
"Opció de Configuració de Compartició de Dades" fa referència a l'opció de configuració de compartició de dades que el Client ha activat a través de la interfície d'usuari dels Serveis de Mesurament i que permet que Google i les seves Empreses Vinculades utilitzin dades personals per millorar els productes i serveis de Google i de les Empreses Vinculades.
"Responsable Últim de Fitxer" fa referència, per a cadascuna de les parts, al responsable final de fitxer de les Dades Personals Controlades pel Responsable de Fitxer.
"RGPD de la UE" fa referència al Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de persones físiques pel que fa al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE.
"Legislació Europea de Protecció de Dades" fa referència, en funció del que sigui aplicable, a: (a) el Reglament general de protecció de dades (RGPD) o (b) la Llei federal de protecció de dades (FDPA) de Suïssa.
"RGPD" fa referència, en funció del que sigui aplicable, a: (a) l'RGPD de la UE, o (b) l'RGPD del Regne Unit.
"Google" fa referència al següent:
- (a) Si una Entitat de Google és una de les parts de l'Acord, fa referència a l'Entitat de Google en qüestió.
- (b) Si l'Acord és entre el Client i un distribuïdor extern i:
- (i) El distribuïdor extern està constituït a Amèrica del Nord o en una altra regió fora d'Europa, de l'Orient Mitjà, de l'Àfrica, d'Àsia i d'Oceania, fa referència a Google LLC (abans coneguda com a Google Inc.);
- (ii) El distribuïdor extern està constituït a Europa, a l'Orient Mitjà o a l'Àfrica, fa referència a Google Ireland Limited; o
- (iii) El distribuïdor extern està constituït a Àsia i Oceania, fa referència a Google Asia Pacific Pte. Ltd.
"Entitat de Google" fa referència a Google LLC, Google Ireland Limited o qualsevol altra Empresa Vinculada de Google LLC.
"LGPD" fa referència a la Llei general de protecció de dades personals del Brasil (Lei Geral de Proteção de Dados Pessoais).
"Serveis de Mesurament" fa referència a Google Analytics, Google Analytics 360, Google Analytics for Firebase, Google Optimize o Google Optimize 360, segons el que sigui aplicable a l'Opció de Configuració de Compartició de Dades per a la qual les parts han acceptat aquestes Condicions entre Responsables de Fitxer.
"Polítiques" fa referència a la política de consentiment d'usuaris finals de Google, disponible a https://www.google.com/about/company/user-consent-policy.html.
"Condicions de l'Encarregat del Tractament" fa referència al següent:
- (a) Si Google és una de les parts de l'Acord, fa referència a les condicions de l'encarregat del tractament, disponibles a https://business.safety.google/adsprocessorterms; o bé
- (b) Si l'Acord és entre el Client i un distribuïdor extern, fa referència a les condicions que reflecteixen una relació entre el responsable de fitxer i l'encarregat del tractament (si escau), tal com les hagin acordat el Client i el distribuïdor extern.
"FDPA de Suïssa" fa referència a la Llei federal de protecció de dades de Suïssa de 19 de juny de 1992.
"Data d'Efecte de les Condicions" fa referència a la data en què el Client ha fet clic per acceptar aquestes Condicions entre Responsables de fitxer o en què les parts les han acceptat d'una altra manera.
"Dades Personals Controlades pel Responsable de Fitxer del Regne Unit" fa referència a les Dades Personals Controlades pel Responsable de Fitxer corresponents als Interessats de les Dades Controlades pel Responsable de Fitxer que es troben al Regne Unit.
"RGPD del Regne Unit" fa referència a l'RGPD de la UE esmenat i incorporat a la legislació britànica conforme a la Llei de retirada de la Unió Europea, de 2018, del Regne Unit, així com a la legislació secundària aplicable que s'hagi creat en virtut d'aquesta llei.
"Lleis de Privadesa Estatals dels EUA" té aquest significat.
2.2
Els termes "responsable de fitxer", "interessat", "dades personals", "tractament" i "encarregat del tractament", tal com s'utilitzen en aquestes Condicions entre Responsables de Fitxer, tenen els significats que s'indiquen a (a) la Legislació sobre Protecció de Dades Aplicable, o bé a (b) l'RGPD, en absència dels significats o de les lleis en qüestió.
2.3
Tots els exemples d'aquestes Condicions entre Responsables de Fitxer són il·lustratius i no són els únics exemples d'un concepte concret.
2.4
Qualsevol referència a un marc legal, a un estatut o a una altra disposició legislativa també es fa a les esmenes o a les noves promulgacions que es puguin dur a terme ocasionalment.
2.5
En la mesura que qualsevol versió traduïda d'aquest Acord no coincideixi amb la versió en anglès, prevaldrà la versió en anglès.
2.6
Les referències a les "Condicions de Protecció de Dades entre Responsables de Fitxer de Google Ads" incloses a les Clàusules Contractuals Tipus del Responsable de Fitxer (SCC del Responsable de Fitxer) es consideraran les "Condicions de Protecció de Dades entre Responsables de Fitxer per al Servei de Mesurament de Google".
3. Aplicació d'aquestes Condicions entre Responsables de Fitxer
3.1 General
Les Condicions entre Responsables de Fitxer només s'apliquen a l'Opció de Configuració de Compartició de Dades per a la qual les parts han acceptat aquestes Condicions (per exemple, l'Opció de Configuració de Compartició de Dades per a la qual el Client ha fet clic per acceptar aquestes Condicions entre Responsables de Fitxer).
3.2 Durada
Aquestes Condicions entre Responsables de Fitxer s'aplicaran a partir de la Data d'Efecte de les Condicions i continuaran vigents mentre Google o el Client tractin les Dades Personals Controlades pel Responsable de Fitxer. Quan deixin de tractar-les, les Condicions entre Responsables de Fitxer s'extingiran automàticament.
4. Funcions i restriccions sobre el tractament
4.1 Responsables de Fitxer independents
De conformitat amb l'apartat 4.4 (Responsables Últims de Fitxer), cadascun:
- (a) És un responsable de fitxer independent de les Dades Personals Controlades pel Responsable de Fitxer;
- (b) Determinarà individualment les finalitats del tractament de les Dades Personals Controlades pel Responsable de Fitxer i els mitjans amb què es du a terme; i
- (c) Complirà les obligacions que li siguin aplicables en virtut del que disposa la Legislació sobre Protecció de Dades Aplicable respecte al tractament de les Dades Personals Controlades pel Responsable de Fitxer.
4.2 Restriccions en el tractament
L'apartat 4.1 (Responsables de Fitxer independents) no afectarà cap de les restriccions que s'apliquen als drets de les parts a utilitzar o tractar d'una altra manera les Dades Personals Controlades pel Responsable de Fitxer en virtut de l'Acord.
4.3 Consentiment de l'usuari final
El Client complirà les Polítiques relacionades amb les Dades Personals Controlades pel Responsable de Fitxer que es comparteixin de conformitat amb l'Opció de Configuració de Compartició de Dades i assumirà en tot moment la càrrega de la prova per demostrar que les compleix.
4.4 Responsables Últims de Fitxer
Sense que això redueixi les obligacions de cap part en virtut del que disposen aquestes Condicions entre Responsables de Fitxer, cada part reconeix que: (a) les Empreses Vinculades o els clients de l'altra part poden ser Responsables Últims de Fitxer i (b) l'altra part pot actuar com a encarregat del tractament en nom dels seus Responsables Últims de Fitxer. Cada part garantirà que els seus Responsables Últims de Fitxer compleixin les Condicions entre Responsables de Fitxer.
4.5 Transparència
El Client reconeix que Google ha publicat informació sobre la manera com fa servir la informació dels llocs web, de les aplicacions i d'altres propietats que utilitzen els seus serveis, a https://business.safety.google/privacy/. El Client, sense perjudici de les seves obligacions en virtut de l'apartat 4.1(c), pot fer un enllaç a aquesta pàgina per proporcionar als Interessats de les Dades Controlades pel Responsable de Fitxer informació sobre el tractament que Google fa de les Dades Personals Controlades pel Responsable de Fitxer.
5. Responsabilitat
5.1
Si Google:
- (a) És una de les parts de l'Acord, i l'Acord es regeix per la legislació:
- (i) D'un estat dels Estats Units d'Amèrica, i independentment de qualsevol altra disposició de l'Acord, la responsabilitat total d'una de les parts respecte a l'altra part de conformitat o en relació amb aquestes Condicions entre Responsables de Fitxer es limitarà a l'import monetari o de pagament màxim que s'hagi definit a l'Acord per a la responsabilitat d'aquella part (i, per tant, qualsevol exclusió de reclamacions d'indemnització de la limitació de responsabilitat de l'Acord no s'aplicarà a les reclamacions d'indemnització en virtut del que disposa l'Acord en relació amb la Legislació sobre Protecció de Dades Aplicable); o
- (ii) D'una jurisdicció que no sigui un estat dels Estats Units d'Amèrica, la responsabilitat de les parts de conformitat o en relació amb aquestes Condicions entre Responsables de Fitxer estarà subjecta a les exclusions i limitacions de responsabilitat que determini l'Acord; o
- (b) No és una de les parts de l'Acord, en la mesura en què ho permeti la legislació aplicable, Google no serà responsable dels ingressos perduts per part del Client ni dels danys indirectes, especials, fortuïts, resultants, exemplars o punitius que pugui patir, fins i tot encara que Google o les seves Empreses Vinculades sabessin o haguessin de saber que aquests danys no tenen compensació, o encara que se'ls hagués avisat d'aquest fet. La responsabilitat total acumulada de Google (i de les seves Empreses Vinculades) envers el Client o altres parts per qualsevol pèrdua o dany resultants de reclamacions, accions o danys que es derivin d'aquestes Condicions entre Responsables de Fitxer, o que hi estiguin relacionats, no excedirà els 500 dòlars (USD).
6. Efecte de les Condicions entre Responsables de Fitxer
6.1 Ordre de precedència
Si hi ha conflictes o incoherències entre les Condicions Addicionals, la resta d'aquestes Condicions entre Responsables de Fitxer o la resta de l'Acord, en virtut del que disposen els apartats 4.2 (Restriccions en el tractament) i 6.2 (Sense efectes en les Condicions de l'Encarregat del Tractament), s'aplicarà l'ordre de precedència següent: (a) les Condicions Addicionals (si escau); (b) la resta d'aquestes Condicions entre Responsables de Fitxer, i (c) la resta de l'Acord. De conformitat amb les esmenes d'aquestes Condicions entre Responsables de Fitxer, l'Acord entre Google i el Client continua en plena vigència i efecte.
6.2 Sense efectes en les Condicions de l'Encarregat del Tractament
Aquestes Condicions entre Responsables de Fitxer no substituiran ni afectaran les Condicions de l'Encarregat del Tractament. Per tal d'evitar confusions, si el Client és una de les parts de les Condicions de l'Encarregat del Tractament en relació amb els Serveis de Mesurament, les Condicions de l'Encarregat del Tractament continuaran aplicant-se als Serveis de Mesurament sense perjudici que aquestes Condicions entre Responsables de Fitxer s'apliquin a les Dades Personals Controlades pel Responsable de Fitxer de conformitat amb l'Opció de Configuració de Compartició de Dades.
7. Canvis en aquestes Condicions entre Responsables de Fitxer
7.1 Canvis en les Condicions entre Responsables de Fitxer
Google pot canviar aquestes Condicions entre Responsables de Fitxer si:
- (a) El canvi reflecteix una modificació del nom o de la forma d'una entitat jurídica;
- (b) El canvi és necessari per complir la legislació i la normativa aplicables, una ordre judicial o les directrius emeses per un ens o un organisme regulador governamentals, o bé reflecteix l'adopció d'una Solució de Transferència Alternativa per part de Google (tal com es defineix a l'apèndix 1A);
- (c) El canvi s'ajusta al que es descriu a l'apartat 7.2 (Canvis en els URL), o bé
- (d) El canvi: (i) no intenta alterar de cap altra manera la categorització de les parts com a responsables de fitxer de les Dades Personals Controlades pel Responsable de Fitxer en virtut del que disposa la Legislació sobre Protecció de Dades Aplicable; (ii) no amplia l'abast dels drets a utilitzar o processar d'una altra manera les Dades Personals Controlades pel Responsable de Fitxer de què gaudeixen les parts ni treu les restriccions aplicables a aquests drets, (iii) ni té cap impacte material negatiu per al Client, segons el que determini Google de manera raonable.
7.2 Canvis en els URL
Ocasionalment, Google pot canviar els URL a què es fa referència en aquestes Condicions entre Responsables de Fitxer i el contingut de qualsevol d'aquests URL.
7.3 Notificació dels canvis
Si Google té intenció de canviar aquestes Condicions entre Responsables de Fitxer d'acord amb l'apartat 7.1(b) i ha determinat de manera raonable que el canvi en qüestió tindrà un impacte material negatiu per al Client, Google farà un esforç comercialment raonable per informar el Client del canvi almenys 30 dies abans que tingui efecte (o en un període de temps més breu, segons el que calgui per complir les lleis i la normativa aplicables, una ordre judicial o les directrius emeses per un ens o un organisme regulador governamentals). Si el Client s'oposa al canvi, podrà desactivar l'Opció de Configuració de Compartició de Dades.
8. Disposicions addicionals
8.1
L'apartat 8 (Disposicions addicionals) només s'aplicarà quan Google no sigui una de les parts de l'Acord.
8.2
Cadascuna de les parts complirà les seves obligacions en virtut del que disposen aquestes Condicions entre Responsables de Fitxer amb un nivell de perícia i d'atenció raonables.
8.3
Cap de les parts no utilitzarà ni revelarà Informació Confidencial de l'altra part sense el seu consentiment previ per escrit, excepte amb la finalitat d'exercir els seus drets o de complir les seves obligacions en virtut del que disposen aquestes Condicions entre Responsables de Fitxer, o bé si ho requereix la llei, la normativa o una ordre judicial; en aquest cas, la part que estigui obligada a revelar la Informació Confidencial ho notificarà a l'altra part amb la màxima anticipació que sigui raonablement possible abans de fer-ho.
8.4
En la mesura que ho permeti la legislació aplicable, i a excepció de les disposicions que s'especifiquin de manera expressa en aquestes Condicions entre Responsables de Fitxer, Google no oferirà cap altre tipus de garantia, ja sigui expressa, implícita, legal o d'un altre tipus, incloses, entre d'altres, les garanties de comercialització, d'adequació a un ús concret i de no infracció.
8.5
Cap de les parts no serà responsable d'incompliment o de retard en el compliment a causa de circumstàncies fora del seu control raonable.
8.6
Si alguna (o alguna part) d'aquestes Condicions entre Responsables de Fitxer no és vàlida o bé és il·legal o inaplicable, la resta continuarà en vigor.
8.7
(a) Tret del que s'estableix a l'apartat (b) següent, aquestes Condicions entre Responsables de Fitxer es regeixen i s'han d'interpretar en virtut del que disposen les lleis de l'estat de Califòrnia, independentment dels seus principis sobre conflicte de lleis. En cas que la legislació, les normes i la normativa estrangeres entrin en conflicte amb les de l'estat de Califòrnia, prevaldran i regiran aquestes últimes. Les parts accepten sotmetre's a la jurisdicció personal i exclusiva dels tribunals ubicats al comtat de Santa Clara (Califòrnia). La Convenció de les Nacions Unides sobre els contractes de compravenda internacional de mercaderies i la Llei uniforme de transaccions de dades informàtiques dels Estats Units (UCITA) no s'aplicaran a aquestes Condicions entre Responsables de Fitxer.
(b) Si l'Acord és entre el Client i un distribuïdor extern, i el distribuïdor extern està constituït a Europa, a l'Orient Mitjà o a l'Àfrica, aquestes Condicions entre Responsables de Fitxer es regiran per la legislació anglesa. Les parts accepten sotmetre's a la jurisdicció exclusiva dels tribunals anglesos per a qualsevol conflicte (ja sigui contractual o no contractual) que sorgeixi d'aquestes Condicions entre Responsables de Fitxer o que hi estigui relacionat.
(c) En cas que les SCC del Responsable de Fitxer siguin aplicables i disposin una legislació aplicable diferent de les lleis descrites als apartats (a) i (b) anteriors, la legislació aplicable establerta a les SCC del Responsable de Fitxer s'aplicarà únicament en relació amb les SCC del Responsable de Fitxer.
(d) La Convenció de les Nacions Unides sobre els contractes de compravenda internacional de mercaderies i la Llei uniforme de transaccions de dades informàtiques dels Estats Units (UCITA) no s'apliquen a aquestes Condicions entre Responsables de Fitxer.
8.8
Tots els avisos d'extinció o d'incompliment han de ser en anglès i fer-se per escrit, i s'han d'adreçar al Departament Jurídic de l'altra part. L'adreça per a avisos adreçats al Departament Jurídic de Google és legal-notices@google.com. Els avisos es consideraran entregats en el moment de la recepció, verificada mitjançant un justificant de recepció per escrit o automatitzat, o mitjançant un registre electrònic (segons correspongui).
8.9
No es considerarà que cap de les parts ha renunciat a cap dret pel fet de no exercir qualsevol dels drets que es recullen en aquestes Condicions entre Responsables de Fitxer, ni per endarrerir-ne l'exercici. Cap de les parts no podrà cedir cap part d'aquestes Condicions entre Responsables de Fitxer sense el consentiment per escrit de l'altra part, excepte a una Empresa Vinculada sempre que: (a) el cessionari s'hagi compromès per escrit quedar legalment obligat a complir els termes d'aquestes Condicions entre Responsables de Fitxer; (b) la part cedent continuï sotmesa a les obligacions establertes a les Condicions entre Responsables de Fitxer en cas que el cessionari les incompleixi; (c) en el cas del Client, la part cedent hagi transferit el compte o els comptes dels Serveis de Mesurament al cessionari, i (d) la part cedent hagi notificat la cessió a l'altra part. Qualsevol altre intent de cessió no té validesa.
8.10
Les parts són contractistes independents. Aquestes Condicions entre Responsables de Fitxer no creen cap agència, associació ni aliança d'empreses entre les parts. Les Condicions entre Responsables de Fitxer no confereixen cap benefici a tercers, excepte si ho estableixen expressament.
8.11
En la mesura que ho permeti la legislació aplicable, aquestes Condicions entre Responsables de Fitxer estableixen totes les condicions acordades entre les parts. En subscriure les Condicions entre Responsables de Fitxer, cap de les parts no s'ha basat en declaracions, afirmacions ni garanties (tant si s'han fet de manera negligent com innocent) que no estan establertes de manera expressa en aquestes Condicions entre Responsables de Fitxer, ni tindrà cap dret o compensació que se'n pugui derivar.
Apèndix 1: Condicions Addicionals de la Legislació sobre Protecció de Dades Aplicable
PART A: CONDICIONS ADDICIONALS DE LA LEGISLACIÓ EUROPEA DE PROTECCIÓ DE DADES
1. Introducció
L'apèndix 1A només s'aplicarà en la mesura que la Legislació Europea de Protecció de Dades s'apliqui al tractament de les Dades Personals Controlades pel Responsable de Fitxer.
2. Definicions
2.1 En aquest Apèndix 1A:
"País Adequat" fa referència al següent:
- (a) En el cas del tractament de dades subjecte al Reglament general de protecció de dades (RGPD) de la UE: l'EEE o un país o territori reconegut per garantir una protecció de dades adequada en virtut del que disposa l'RGPD de la UE;
- (b) En el cas del tractament de dades subjecte a l'RGPD del Regne Unit: el Regne Unit o un país o territori reconegut per garantir una protecció adequada en virtut del que disposa l'RGPD del Regne Unit i la Llei de protecció de dades de 2018 d'aquest país, o bé
- (c) En el cas del tractament de dades subjecte a la Llei federal de protecció de dades (FDPA) de Suïssa: Suïssa o un país o territori que (i) estigui inclòs a la llista d'estats la legislació dels quals garanteix una protecció adequada, publicada pel Comissionat Federal de Protecció de Dades i d'Informació de Suïssa o (ii) estigui reconegut per garantir una protecció adequada per part del Consell Federal de Suïssa en virtut de l'FDPA de Suïssa, en cada cas, tret que es prengui com a base un marc de protecció de dades opcional.
"Solució de Transferència Alternativa" fa referència a una solució, diferent de les SCC del Responsable de Fitxer, que permet la transferència lícita de dades personals a un tercer país d'acord amb la Legislació Europea de Protecció de Dades (per exemple, un marc de protecció de dades reconegut per garantir que les entitats participants ofereixen una protecció adequada).
"SCC del Responsable de Fitxer" fa referència a les condicions disponibles a business.safety.google/adscontrollerterms/sccs/c2c.
"EEE" fa referència a l'Espai Econòmic Europeu.
"Dades Personals Controlades pel Responsable de Fitxer d'Europa" fa referència a les Dades Personals Controlades pel Responsable de Fitxer corresponents als Interessats de les Dades Controlades pel Responsable de Fitxer que es troben a l'EEE o a Suïssa.
"Legislació Europea" fa referència, en funció del que sigui aplicable, a: (a) la legislació de la UE o d'un estat membre de la UE (si l'RGPD de la UE s'aplica al tractament de les Dades Personals Controlades pel Responsable de Fitxer); (b) la legislació del Regne Unit o d'una part del Regne Unit (si l'RGPD del Regne Unit s'aplica al tractament de les Dades Personals Controlades pel Responsable de Fitxer), i (c) la legislació de Suïssa (si l'FDPA de Suïssa s'aplica al tractament de les Dades Personals Controlades pel Responsable de Fitxer).
"Responsables Últims de Fitxer de Google" fa referència als Responsables Últims de Fitxer de les Dades Personals Controlades pel Responsable de Fitxer que Google tracta.
"Transferències Europees Permeses" fa referència al tractament de les Dades Personals Controlades pel Responsable de Fitxer que té lloc en un País Adequat o a la transferència a un País Adequat de les Dades Personals Controlades pel Responsable de Fitxer.
"Transferències Europees Restringides" fa referència a les transferències de les Dades Personals Controlades pel Responsable de Fitxer que: (a) estan subjectes a la Legislació Europea de Protecció de Dades i (b) no són Transferències Europees Permeses.
"Dades Personals Controlades pel Responsable de Fitxer del Regne Unit" fa referència a les Dades Personals Controlades pel Responsable de Fitxer corresponents als Interessats de les Dades Controlades pel Responsable de Fitxer que es troben al Regne Unit.
2.2 Els termes "importador de dades" i "exportador de dades" tenen els significats que s'indiquen a les SCC del Responsable de Fitxer.
3. Responsables Últims de Fitxer de Google
Els Responsables Últims de Fitxer de Google són: (i) per a les Dades Personals Controlades pel Responsable de Fitxer d'Europa que Google tracta, Google Ireland Limited, i (ii) per a les Dades Personals Controlades pel Responsable de Fitxer del Regne Unit que Google tracta, Google LLC. Cada part garanteix que els seus Responsables Últims de Fitxer compleixen les SCC del Responsable de Fitxer, si escau.
4. Transferències de dades
4.1 Transferències Europees Restringides. Qualsevol de les parts pot fer Transferències Europees Restringides si compleix les disposicions de la Legislació Europea de Protecció de Dades relatives a les Transferències Europees Restringides.
4.2 Solució de Transferència Alternativa
- (a) Si Google ha adoptat una Solució de Transferència Alternativa per a qualssevol Transferències Europees Restringides: (i) Google s'assegurarà que aquestes Transferències Europees Restringides es facin d'acord amb la Solució de Transferència Alternativa i (ii) el paràgraf 5 (SCC del Responsable de Fitxer) d'aquest apèndix 1A no s'aplicarà a aquestes Transferències Europees Restringides.
- (b) Si Google no ha adoptat cap Solució de Transferència Alternativa per a qualssevol Transferències Europees Restringides o informa el Client que Google ja no n'adoptarà, l'apartat 5 (SCC del Responsable de Fitxer) d'aquest apèndix 1A s'aplicarà a aquestes Transferències Europees Restringides.
4.3 Disposicions de transferència ulterior
- (a) Aplicació del paràgraf 4.3. Els paràgrafs 4.3(b) (Ús de les Dades Personals del Proveïdor de Dades) i 4.3(c) (Protecció de les Dades Personals del Proveïdor de Dades) d'aquest apèndix 1A només s'aplicaran en la mesura que:
- (i) Una de les parts (el "Destinatari de les Dades") tracti les Dades Personals Controlades pel Responsable de Fitxer que l'altra part (el "Proveïdor de Dades") hagi posat a la seva disposició en relació amb l'Acord (les Dades Personals Controlades pel Responsable de Fitxer, o "Dades Personals del Proveïdor de Dades").
- (ii) El Proveïdor de Dades o la seva Empresa Vinculada estiguin certificats en virtut d'una Solució de Transferència Alternativa.
- (iii) El Proveïdor de Dades notifiqui per escrit al Destinatari de les Dades aquesta certificació de la Solució de Transferència Alternativa.
- (b) Ús de les Dades Personals del Proveïdor de Dades
- (i) En la mesura que una Solució de Transferència Alternativa aplicable inclogui un principi de transferència ulterior, de conformitat amb aquests principis en virtut de la Solució de Transferència Alternativa pertinent, el Destinatari de les Dades només utilitzarà les Dades Personals del Proveïdor de Dades de conformitat amb el consentiment proporcionat pels Interessats de les Dades Controlades pel Responsable de Fitxer pertinents.
- (ii) En la mesura que el Proveïdor de Dades no obtingui el consentiment dels Interessats de les Dades Controlades pel Responsable de Fitxer pertinents en virtut de l'Acord, el Destinatari de les Dades no infringirà el paràgraf 4.3(b)(i) si utilitza les Dades Personals del Proveïdor de Dades de conformitat amb el consentiment necessari.
- (c) Protecció de les Dades Personals del Proveïdor de Dades
- (i) El Destinatari de les Dades haurà de proporcionar un nivell de protecció per a les Dades Personals del Proveïdor de Dades que sigui, com a mínim, equivalent al requerit per la Solució de Transferència Alternativa aplicable.
- (ii) Si el Destinatari de les Dades determina que no pot complir el paràgraf 4.3(c)(i): (A) ho notificarà al Proveïdor de Dades per escrit, i (B) deixarà de tractar les Dades Personals del Proveïdor de Dades o prendrà mesures raonables i adequades per solucionar aquest incompliment.
- (d) Adopció i certificació de la Solució de Transferència Alternativa. Trobareu informació sobre l'adopció o la certificació de qualsevol Solució de Transferència Alternativa per part de Google o de les seves Empreses Vinculades a https://policies.google.com/privacy/frameworks. El paràgraf 4.3(d) constitueix un avís per escrit de les certificacions actuals de Google i de les seves Empreses Vinculades en la Data d'Efecte de les Condicions, per a la finalitat del paràgraf 4.3(a)(iii).
5. Clàusules Contractuals Tipus del Responsable de Fitxer
5.1 Transferències al Client de Dades Personals Controlades pel Responsable de Fitxer d'Europa. En la mesura que:
- (a) Google transfereixi al Client Dades Personals Controlades pel Responsable de Fitxer d'Europa; i
- (b) La transferència sigui una Transferència Europea Restringida, es considerarà que el Client, com a importador de dades, ha subscrit les SCC del Responsable de Fitxer amb Google Ireland Limited (el Responsable Últim de Fitxer de Google aplicable) com a exportador de dades, i les transferències estaran subjectes a les SCC del Responsable de Fitxer.
5.2 Transferències al Client de Dades Personals Controlades pel Responsable de Fitxer del Regne Unit. En la mesura que:
- (a) Google transfereixi al Client Dades Personals Controlades pel Responsable de Fitxer del Regne Unit; i
- (b) La transferència sigui una Transferència Europea Restringida, es considerarà que el Client, com a importador de dades, ha subscrit les SCC del Responsable de Fitxer amb Google LCC (el Responsable Últim de Fitxer de Google aplicable) com a exportador de dades, i les transferències estaran subjectes a les SCC del Responsable de Fitxer.
5.3 Transferències a Google de Dades Personals Controlades pel Responsable de Fitxer d'Europa. Les parts reconeixen que, en la mesura que el Client transfereixi a Google Dades Personals Controlades pel Responsable de Fitxer d'Europa, les SCC del Responsable de Fitxer no seran necessàries perquè l'adreça de Google Ireland Limited (el Responsable Últim de Fitxer de Google aplicable) es troba en un País Adequat i aquestes transferències són Transferències Europees Permeses. Això no afecta les obligacions de Google en virtut del paràgraf 4.1 (Transferències Europees Restringides) d'aquest apèndix 1A.
5.4 Transferències a Google de Dades Personals Controlades pel Responsable de Fitxer del Regne Unit. En la mesura que el Client transfereixi a Google Dades Personals Controlades pel Responsable de Fitxer del Regne Unit, es considerarà que el Client, com a exportador de dades, ha subscrit les SCC del Responsable de Fitxer amb Google LLC (el Responsable Últim de Fitxer de Google aplicable) com a importador de dades, i les transferències estaran subjectes a les SCC del Responsable de Fitxer, ja que l'adreça de Google LLC no es troba en un País Adequat.
5.5 Contactar amb Google i informació del Client
- (a) El Client pot contactar amb Google Ireland Limited o Google LLC en relació amb les SCC del Responsable de Fitxer a https://support.google.com/policies/troubleshooter/9009584, o bé a través d'altres mitjans que Google pugui proporcionar ocasionalment.
- (b) El Client reconeix que Google està obligat, en virtut del que disposen les SCC del Responsable de Fitxer, a registrar determinada informació, com ara (i) la identitat i les dades de contacte de l'importador de dades (inclosa qualsevol persona de contacte responsable de la protecció de dades), i (ii) les mesures tècniques i organitzatives implementades per l'importador de dades. En conseqüència, en funció del que sigui aplicable al Client i quan se sol·liciti, el Client proporcionarà aquesta informació a Google a través de qualsevol mitjà que pugui proporcionar Google i s'assegurarà que tota la informació proporcionada es mantingui precisa i actualitzada.
5.6 Respondre a consultes dels interessats. L'importador de dades aplicable serà responsable de respondre a les consultes dels interessats i de l'autoritat de control relacionades amb el tractament, per part de l'importador de dades, de les Dades Personals Controlades pel Responsable de Fitxer aplicables.
5.7 Supressió de dades en l'extinció. En la mesura que:
- (a) Google LLC actuï com a importador de dades i el Client ho faci com a exportador de dades en virtut del que disposen les SCC del Responsable de Fitxer, i
- (b) El Client extingeixi l'Acord de conformitat amb la clàusula 16(c) de les SCC del Responsable de Fitxer, amb la finalitat de la clàusula 16(d) de les SCC del Responsable de Fitxer, el Client indica a Google que suprimeixi les Dades Personals Controlades pel Responsable de Fitxer i, tret que la Legislació Europea requereixi que s'emmagatzemin, Google facilitarà aquesta supressió tan aviat com sigui raonablement possible (tenint en compte que Google és un Responsable de Fitxer independent d'aquestes dades, així com la naturalesa i la funcionalitat dels Serveis de Mesurament).
6. Responsabilitat si les SCC del Responsable de Fitxer s'apliquen
Si les SCC del Responsable de Fitxer s'apliquen en virtut del que disposa el paràgraf 5 (SCC del Responsable de Fitxer) d'aquest apèndix 1A, la responsabilitat total combinada:
- (a) De Google, Google LLC i Google Ireland Limited envers el Client; i
- (b) Del Client envers Google, Google LLC i Google Ireland Limited, en virtut del que disposa la combinació d'aquest Acord i les SCC del Responsable de Fitxer o en relació amb aquestes disposicions, estarà subjecta a l'apartat 5 (Responsabilitat). La clàusula 12 de les SCC del Responsable de Fitxer no afectarà l'enunciat anterior.
7. Beneficiaris tercers
Si Google LLC o Google Ireland Limited no són una part de l'Acord, sinó una part de les SCC del Responsable de Fitxer aplicables d'acord amb el paràgraf 5 (SCC del Responsable de Fitxer) d'aquest apèndix 1A, Google LLC o Google Ireland Limited (segons correspongui) seran beneficiaris tercers del que disposa l'apartat 4.4 (Responsables Últims de Fitxer), el paràgraf 3 (Responsables Últims de Fitxer de Google), el paràgraf 5 (SCC del Responsable de Fitxer) i el paràgraf 6 (Responsabilitat si les SCC del Responsable de Fitxer s'apliquen) d'aquest apèndix 1A. En la mesura que el paràgraf 7 (Beneficiaris tercers) entri en conflicte o no sigui coherent amb alguna altra clàusula de l'Acord, s'aplicarà el paràgraf 7 (Beneficiaris tercers).
8. Precedència
8.1 Si hi ha cap conflicte o incoherència entre les SCC del Responsable de Fitxer, aquest apèndix 1A, la resta d'aquestes Condicions entre Responsables de Fitxer o la resta de l'Acord, prevaldran les SCC del Responsable de Fitxer.
8.2 Clàusules comercials addicionals. De conformitat amb les esmenes d'aquestes Condicions entre Responsables de Fitxer, l'Acord continua en plena vigència i efecte. Els paràgrafs del 5.5 (Contactar amb Google) al 5.7 (Supressió de dades en l'extinció) i el paràgraf 6 (Responsabilitat si les SCC del Responsable de Fitxer s'apliquen) d'aquest apèndix 1A són clàusules comercials addicionals relacionades amb les SCC del Responsable de Fitxer, tal com permet la clàusula 2(a) (Efecte i invariabilitat de les clàusules) de les SCC del Responsable de Fitxer.
8.3 Sense modificació de les SCC del Responsable de Fitxer. Res del que estableix l'Acord (incloses aquestes Condicions entre Responsables de Fitxer) no pretén modificar ni contradir cap SCC del Responsable de Fitxer ni perjudicar els drets ni les llibertats fonamentals dels interessats en virtut de la Legislació Europea de Protecció de Dades.
PART B: CONDICIONS ADDICIONALS DE LES LLEIS DE PRIVADESA ESTATALS DELS EUA
1. Introducció
Google pot oferir, i el Client pot activar, determinades opcions de configuració, configuracions o una altra funcionalitat al producte per als Serveis de Mesurament relacionades amb el tractament de dades restringit, tal com es descriu a la documentació de suport disponible a business.safety.google/rdp, que s'actualitza ocasionalment ("Tractament de Dades Restringit"). Aquest apèndix 1B reflecteix l'acord de les parts sobre el tractament de les Dades Personals del Client i de les Dades Desidentificades (tal com es defineixen més avall) de conformitat amb l'Acord en relació amb les Lleis de Privadesa Estatals dels EUA, i és efectiu únicament en la mesura que s'apliqui cadascuna de les Lleis de Privadesa Estatals dels EUA.
2. Definicions i interpretació addicionals
En aquest apèndix 1B:
- (a) "Dades Personals del Client" fa referència a les dades personals que Google tracta en nom del Client a l'hora de proporcionar els Serveis de Mesurament de Google.
- (b) "Dades Desidentificades" fa referència a la informació de dades que està "desidentificada" (d'acord amb la definició d'aquest terme que estableix la CCPA) i a les "dades desidentificades" (d'acord amb la definició d'aquest terme que estableixen altres Lleis de Privadesa Estatals dels EUA), quan una part les comunica a l'altra.
- (c) "Instruccions" fa referència, conjuntament, a les instruccions del Client a Google per tractar les Dades Personals del Client només d'acord amb les Lleis de Privadesa Estatals dels EUA: (a) per proporcionar els serveis de tractament de dades restringit (Serveis de TDR) i qualsevol assistència tècnica relacionada; (b) tal com s'especifica més detalladament a través de l'ús dels Serveis de TDR per part del Client (incloses les opcions de configuració i altra funcionalitat dels Serveis de TDR) i qualsevol assistència tècnica relacionada; (c) tal com es documenta al formulari de l'Acord, inclòs aquest apèndix 1B; (d) tal com es documenta en qualsevol altra instrucció escrita proporcionada pel Client i reconeguda per Google com a instruccions per a les finalitats d'aquest apèndix 1B, i (e) per tractar les Dades Personals del Client segons ho permetin les Lleis de Privadesa Estatals dels EUA per a proveïdors de serveis i encarregats del tractament.
- (d) "Serveis de TDR" fa referència als Serveis del Responsable de Fitxer que funcionen amb Tractament de Dades Restringit.
- (e) "Termini" fa referència al període que va des de la Data d'Efecte de les Condicions fins al final de la prestació dels Serveis de Mesurament per part de Google en virtut del que disposa l'Acord.
- (f) Els termes "empresa", "consumidor", "informació personal", "venda(es)", "vendre", "proveïdor de serveis" i "compartir", tal com s'utilitzen en aquest apèndix 1B, tenen els significats que s'indiquen a les Lleis de Privadesa Estatals dels EUA.
- (g) El Client és l'únic responsable de complir cadascuna de les Lleis de Privadesa Estatals dels EUA en utilitzar els serveis de Google, inclòs el Tractament de Dades Restringit.
3. Condicions de les Lleis de Privadesa Estatals dels EUA (en el marc del Tractament de Dades Restringit)
3.1 Tractament de dades
3.1.1
- (a) Responsabilitats de l'Encarregat del Tractament i del Responsable de Fitxer. Les parts reconeixen i accepten que:
- (i) El paràgraf 7 (Objecte i detalls del tractament de dades en virtut de les Lleis de Privadesa Estatals dels EUA) d'aquest apèndix 1B descriu l'objecte i els detalls del tractament de les Dades Personals del Client;
- (ii) Google és un proveïdor de serveis i l'encarregat del tractament de les Dades Personals del Client en virtut de les Lleis de Privadesa Estatals dels EUA; i
- (iii) El Client és un responsable de fitxer o un encarregat del tractament, segons correspongui, de les Dades Personals del Client en virtut de les Lleis de Privadesa Estatals dels EUA.
- (b) Clients Encarregats del Tractament. Si el Client és un Encarregat del tractament:
- (i) El Client garanteix de manera continuada que el responsable de fitxer pertinent ha autoritzat: (A) les Instruccions, (B) la designació de Google per part del Client com un altre encarregat del tractament, i (C) la contractació de subcontractistes per part de Google, tal com es descriu al paràgraf 3.6 (Subcontractistes) d'aquest apèndix 1B;
- (ii) El Client reenviarà immediatament al responsable de fitxer pertinent qualsevol avís proporcionat per Google en virtut dels paràgrafs 3.3.2(a) (Notificació d'incidents) i 3.6 (Subcontractistes); i
- (iii) El Client pot posar a disposició del responsable de fitxer pertinent qualsevol informació facilitada per Google en virtut dels paràgrafs 3.3.3(c) (Drets d'auditoria del Client) i 3.6 (Subcontractistes).
3.1.2 Instruccions del Client. En subscriure l'apèndix 1B, el Client indica a Google que tracti les Dades Personals del Client només d'acord amb les Instruccions.
3.1.3 Compliment de les Instruccions per part de Google. Google complirà les Instruccions, tret que estiguin prohibides en virtut de les Lleis de Privadesa Estatals dels EUA.
3.1.4 Productes addicionals. Si el Client utilitza un producte, un servei o una aplicació proporcionats per Google o un tercer que: (a) no formin part dels Serveis de TDR, i (b) siguin accessibles per a l'ús des de la interfície d'usuari dels Serveis de TDR o estiguin integrats d'una altra manera als Serveis de TDR (un "Producte Addicional"), els Serveis de TDR podran permetre que el Producte Addicional accedeixi a les Dades Personals del Client si és necessari per a la interoperabilitat del Producte Addicional amb els Serveis de TDR. A tall d'aclariment, aquest apèndix 1B no s'aplica al tractament de dades personals relacionat amb el proveïment de qualsevol Producte Addicional utilitzat pel Client, incloses les dades personals transmeses a aquest Producte Addicional o des d'aquest Producte Addicional.
3.2. Supressió de dades en vèncer el termini. El Client indica a Google que suprimeixi totes les Dades Personals del Client restants (incloses les còpies existents) dels sistemes de Google al final del Termini, d'acord amb la legislació aplicable. Google complirà aquesta instrucció tan aviat com sigui raonablement viable i en un període màxim de 180 dies, tret que la legislació aplicable requereixi que s'emmagatzemin les dades.
3.3. Seguretat de les dades
3.3.1 Mesures i assistència de seguretat de Google
- (a) Mesures de seguretat de Google. Google implementarà i mantindrà mesures tècniques i organitzatives per protegir les Dades Personals del Client contra la destrucció, la pèrdua, l'alteració i la comunicació o l'accés no autoritzats que siguin accidentals o il·lícits ("Mesures de Seguretat"). Les Mesures de Seguretat inclouen mesures: (i) per encriptar les dades personals; (ii) per contribuir a garantir la confidencialitat, la integritat, la disponibilitat i la resiliència continuades dels sistemes i serveis de Google; (iii) per ajudar a restaurar ràpidament l'accés a les dades personals després d'un incident, i (iv) per fer proves regulars d'efectivitat. Google pot actualitzar o modificar aquestes Mesures de Seguretat ocasionalment, sempre que aquestes actualitzacions i modificacions no provoquin una degradació de la seguretat general de les Dades Personals del Client.
- (b) Accés i compliment. Google garantirà que totes les persones autoritzades a tractar les Dades Personals del Client s'hagin compromès a mantenir-ne la confidencialitat o estiguin subjectes a una obligació legal adequada de confidencialitat.
- (c) Assistència de seguretat de Google. Google (tenint en compte la naturalesa del tractament de les Dades Personals del Client i la informació de què disposa) ajudarà el Client a complir les seves obligacions (o, si el Client és un encarregat del tractament, les obligacions del responsable de fitxer pertinent) en relació amb la seguretat de les dades personals i amb les violacions de les dades personals, incloses les obligacions del Client (o, si el Client és un encarregat del tractament, les obligacions del responsable de fitxer pertinent) relacionades amb la seguretat de les dades personals i amb les violacions de les dades personals en virtut de les Lleis de Privadesa Estatals dels EUA:
- (i) Implementant i mantenint les Mesures de Seguretat d'acord amb el paràgraf 3.3.1(a) (Mesures de seguretat de Google);
- (ii) Complint les condicions del paràgraf 3.3.2 (Incidents amb les Dades); i
- (iii) Proporcionant al Client els drets concedits en virtut del paràgraf 3.3.3(c) (Drets d'auditoria del Client).
3.3.2 Incidents amb les Dades
- (a) Notificació d'incidents. Si Google detecta un Incident amb les Dades (tal com es defineix més avall), Google: (i) notificarà al Client l'Incident amb les Dades sense cap retard injustificat, i (ii) prendrà immediatament les mesures raonables per minimitzar els perjudicis i protegir les Dades Personals del Client. En aquest apèndix 1B, "Incident amb les Dades" fa referència a una violació de la seguretat de Google que provoca una destrucció, pèrdua, alteració, comunicació de les Dades Personals del Client o accés no autoritzat a aquestes Dades Personals del Client en sistemes gestionats o controlats d'alguna altra manera per Google. Els "Incidents amb les Dades" no inclouran activitats o intents fallits que no comprometin la seguretat de les Dades Personals del Client, inclosos els intents fallits d'inici de la sessió, pings, escanejos de ports, atacs de denegació de servei i altres atacs de xarxa als tallafocs o sistemes en xarxa.
- (b) Entrega d'una notificació. Google entregarà una notificació de qualsevol Incident amb les Dades a l'adreça electrònica indicada pel Client, a través de la interfície d'usuari dels Serveis de TDR o d'altres mitjans proporcionats per Google per rebre determinades notificacions de Google relacionades amb aquest apèndix 1B ("Adreça Electrònica de Notificació") o, a discreció de Google (incloent-hi si el Client no ha proporcionat cap Adreça Electrònica de Notificació), per mitjà d'una altra comunicació directa (per exemple, una trucada telefònica, un correu electrònic o una reunió presencial). El Client és l'únic responsable de proporcionar l'Adreça Electrònica de Notificació i de garantir que sigui vigent i vàlida.
- (c) Notificacions de tercers. El Client és l'únic responsable de complir les lleis de notificació d'incidents aplicables al Client i de complir les obligacions de notificació de tercers relacionades amb qualsevol Incident amb les Dades.
- (d) Sense reconeixement d'error per part de Google. La notificació d'un Incident amb les Dades per part de Google o la seva resposta a un Incident amb les Dades en virtut d'aquest paràgraf 3.3.2 (Incidents amb les dades) no es pot interpretar com un reconeixement per part de Google de qualsevol error o responsabilitat respecte a l'Incident amb les Dades.
3.3.3 Responsabilitats i avaluació de la seguretat del Client
- (a) Responsabilitats de seguretat del Client. El Client accepta que, sense perjudici de les obligacions de Google indicades als paràgrafs 3.3.1 (Mesures i assistència de seguretat de Google) i 3.3.2 (Incidents amb les Dades):
- (i) El Client és responsable de l'ús que faci dels Serveis de TDR, incloent-hi: (1) fer un ús adequat dels Serveis de TDR per garantir un nivell de seguretat adequat al risc respecte a les Dades Personals del Client, i (2) protegir les credencials d'autenticació del compte, els sistemes i els dispositius que el Client utilitza per accedir als Serveis de TDR; i
- (b) Google no té l'obligació de protegir les Dades Personals del Client que el Client decideix emmagatzemar o transferir fora dels sistemes de Google i dels seus subcontractistes.
- (b) Avaluació de la seguretat del Client. El Client reconeix i accepta que les Mesures de Seguretat que Google implementa i manté tal com s'estableix al paràgraf 3.3.1(a) (Mesures de seguretat de Google) proporcionen un nivell de seguretat adequat al risc respecte a les Dades Personals del Client, tenint en compte la tecnologia més moderna, els costos d'implementació i la naturalesa, l'abast, el context i les finalitats del tractament de les Dades Personals del Client, així com els riscos per a les persones físiques.
- (c) Drets d'auditoria del Client.
- (i) El Client pot dur a terme una auditoria per verificar que Google compleix les seves obligacions de conformitat amb aquest apèndix 1B mitjançant la sol·licitud i la revisió (1) d'un certificat emès per a la verificació de seguretat que reflecteixi el resultat d'una auditoria feta per un auditor extern (p. ex., la certificació SOC 2 de tipus II o ISO/IEC 27001 o una de comparable, o bé una altra certificació de seguretat d'una auditoria feta per un auditor extern acordat entre el Client i Google) en un termini de 12 mesos a partir de la data de la sol·licitud del Client, i (2) de qualsevol altra informació que Google consideri raonablement necessària perquè el Client pugui verificar el compliment de les obligacions.
- (ii) Alternativament, Google pot, a discreció seva i en resposta a una sol·licitud del Client, iniciar una auditoria externa per verificar que Google compleix les seves obligacions de conformitat amb aquest apèndix 1B. Durant aquesta auditoria, Google posarà a disposició de l'auditor extern tota la informació necessària per demostrar el compliment de les seves obligacions. Si el Client sol·licita l'auditoria, pot ser que Google li cobri una tarifa (basada en els costos raonables de Google) per l'auditoria en qüestió. Google proporcionarà al Client informació addicional sobre la tarifa aplicable i la base del càlcul abans de l'auditoria. El Client serà responsable de les tarifes que cobri qualsevol auditor extern designat pel Client per dur a terme l'auditoria.
- (iii) Cap disposició d'aquest apèndix 1B no requerirà que Google comuniqui al Client o al seu auditor extern la informació següent o els hi permeti l'accés:
- (1) Dades d'un altre client d'una Entitat de Google;
- (2) Informació comptable o financera interna d'una Entitat de Google;
- (3) Secrets comercials d'una Entitat de Google;
- (4) Informació que, segons l'opinió raonable de Google, podria: (A) comprometre la seguretat dels sistemes o de les instal·lacions d'una Entitat de Google, o (B) fer que una Entitat de Google incompleixi les seves obligacions en virtut de les Lleis de Privadesa Estatals dels EUA o les seves obligacions de seguretat o privadesa amb el Client o un tercer; o bé
- (5) Informació a la qual el Client o el seu auditor extern intenti accedir per qualsevol altre motiu que no sigui el compliment de bona fe de les obligacions del Client en virtut de les Lleis de Privadesa Estatals dels EUA.
3.4 Assistència per a avaluacions d'impacte. Google (tenint en compte la naturalesa del tractament i la informació de què disposa) ajudarà el Client a complir les seves obligacions (o, si el Client és un encarregat del tractament, les del responsable de fitxer pertinent) relacionades amb les avaluacions d'impacte relatives a la protecció de dades i les consultes normatives anteriors en la mesura que les Lleis de Privadesa Estatals dels EUA ho requereixin, de les maneres següents:
- (a) Proporcionant la documentació de seguretat;
- (b) Proporcionant la informació que conté l'Acord (inclòs aquest apèndix 1B); i
- (c) Proporcionant o posant a disposició d'una altra manera, d'acord amb les pràctiques estàndard de Google, altres materials sobre la naturalesa dels Serveis de TDR i el tractament de les Dades Personals del Client (per exemple, materials del Centre d'ajuda).
3.5. Drets dels interessats
3.5.1 Respostes a les sol·licituds dels interessats. Si Google rep una sol·licitud d'un interessat en relació amb les Dades Personals del Client, el Client autoritza Google i Google notifica al Client, mitjançant aquest document, que:
- (a) Respondrà directament a la sol·licitud de l'interessat d'acord amb la funcionalitat estàndard d'una eina (si n'hi ha) posada a disposició dels interessats per una Entitat de Google, que permet que Google respongui directament i de manera estandarditzada a determinades sol·licituds dels interessats en relació amb les Dades Personals del Client; per exemple, la configuració de publicitat en línia o un connector de desactivació per a navegadors ("Eina per als Interessats"), si la sol·licitud es fa a través d'una Eina per als Interessats, o
- (b) Recomanarà a l'interessat que enviï la seva sol·licitud al Client, i el Client serà responsable de respondre a la sol·licitud (si la sol·licitud no es fa a través d'una Eina per als Interessats).
3.5.2 Assistència de Google amb les sol·licituds d'interessats. Google ajudarà el Client a complir les seves obligacions (o, si el Client és un encarregat del tractament, les obligacions del responsable de fitxer pertinent) en virtut de les Lleis de Privadesa Estatals dels EUA per respondre a les sol·licituds relatives a l'exercici dels drets dels interessats, tenint en compte en tots els casos la naturalesa del tractament de Dades Personals del Client, de les maneres següents:
- (a) Proporcionant la funcionalitat dels Serveis de TDR;
- (b) Complint els compromisos establerts al paràgraf 3.5.1 (Respostes a les sol·licituds dels interessats); i
- (c) Si s'aplica als Serveis de TDR, posant a disposició Eines per als Interessats.
3.5.3 Rectificació. Si el Client s'assabenta que alguna de les seves Dades Personals és imprecisa o obsoleta, és responsable de rectificar-la o suprimir-la, en cas que ho exigeixin les Lleis de Privadesa Estatals dels EUA, per exemple, mitjançant la funcionalitat dels Serveis de TDR (si està disponible).
3.6. Subcontractistes
- (a) El Client autoritza Google de manera general a contractar altres entitats com a subcontractistes en relació amb la prestació dels Serveis de TDR. Quan contracti un subcontractista, Google:
- (i) S'assegurarà mitjançant un contracte per escrit que: (1) el subcontractista només accedeix a les Dades Personals del Client i les utilitza en la mesura que sigui necessari per complir les obligacions que té subcontractades, i ho fa de conformitat amb l'Acord (inclòs aquest apèndix 1B), i (2) si el tractament de les Dades Personals del Client està subjecte a les Lleis de Privadesa Estatals dels EUA, que les obligacions de protecció de dades d'aquest apèndix 1B s'imposen al subcontractista;
- (ii) Quan es contractin nous subcontractistes, n'informarà si ho exigeixen les Lleis de Privadesa Estatals dels EUA i, si aquestes lleis ho exigeixen, oferirà al Client l'oportunitat d'oposar-se a aquests subcontractistes; i
- (iii) Continuarà essent plenament responsable de totes les obligacions subcontractades al subcontractista i de tots els actes i omissions del subcontractista.
- (b) El Client pot oposar-se a qualsevol subcontractista nou extingint l'Acord per conveniència immediatament després de notificar-ho per escrit a Google, amb la condició que proporcioni aquest avís en un termini de 90 dies a partir del moment que se l'informi de la contractació del nou subcontractista, tal com es descriu al paràgraf 3.6(a)(ii) d'aquest document.
3.7 Contactar amb Google. El Client pot contactar amb Google per exercir els seus drets en virtut d'aquest apèndix 1B mitjançant els mètodes que es descriuen a privacy.google.com/businesses/processorsupport o a través d'altres mitjans que Google pugui proporcionar ocasionalment.
4. Condicions relatives a les Lleis de Privadesa Estatals dels EUA
4.1 Dades Desidentificades. Pel que fa a les Dades Personals del Client tractades amb el Tractament de Dades Restringit activat o no activat, i en la mesura que una o més Lleis de Privadesa Estatals dels EUA s'apliquin al tractament de les Dades Personals del Client, cada part complirà els requisits de tractament de les Dades Desidentificades que s'estableixen a les Lleis de Privadesa Estatals dels EUA en relació amb les Dades Desidentificades que rep de l'altra part en virtut de l'Acord. En virtut d'aquest paràgraf 4.1 (Dades Desidentificades), Dades Personals del Client fa referència a totes les dades personals que una part tracta de conformitat amb l'Acord en relació amb la prestació o l'ús dels Serveis de Mesurament.
5. Obligacions de Google en virtut de la CCPA
5.1 Pel que fa a les Dades Personals del Client tractades en el marc del Tractament de Dades Restringit i en la mesura que la CCPA s'apliqui al tractament de Dades Personals del Client, Google actuarà com a proveïdor de serveis del Client i, com a tal, tret que es permeti una altra cosa per als proveïdors de serveis en virtut de la CCPA, segons el que determini Google de manera raonable:
- (a) Google no vendrà ni compartirà cap Dada Personal del Client que obtingui del Client en relació amb l'Acord;
- (b) Google no conservarà, utilitzarà ni comunicarà les Dades Personals del Client (incloent-hi fora de la relació empresarial directa entre Google i el Client) tret que sigui per a finalitats empresarials en virtut de la CCPA en nom del Client i amb la finalitat específica de proporcionar els Serveis de TDR, tal com es descriu més detalladament a la documentació de suport disponible a business.safety.google/rdp, que s'actualitza ocasionalment;
- (c) Google no combinarà les Dades Personals del Client que rebi del Client, o en nom del Client, amb (i) informació personal que Google rebi d'una altra persona o persones, o en nom d'aquestes, o (ii) informació personal recollida de la interacció entre el mateix Google i un consumidor, tal com es descriu més detalladament a la documentació de suport, disponible a business.safety.google/rdp, excepte en la mesura que ho permeti la CCPA;
- (d) Google tractarà les Dades Personals del Client amb la finalitat concreta de proporcionar els Serveis de TDR, tal com es descriu més detalladament a l'Acord i a la documentació de suport (p. ex., als articles del Centre d'ajuda), o segons el que permeti la CCPA, i les parts accepten que el Client posa aquestes Dades Personals del Client a disposició de Google per a aquestes finalitats;
- (e) Google permetrà que es duguin a terme auditories per verificar que Google compleix les seves obligacions de conformitat amb aquest apèndix 1B d'acord amb el paràgraf 3.3.3(c) (Drets d'auditoria del Client) d'aquest document;
- (f) Google ho notificarà al Client si determina que ja no pot complir les seves obligacions d'acord amb la CCPA. Aquest paràgraf 5.1(f) no redueix els drets ni les obligacions de cap de les parts en altres llocs de l'Acord;
- (g) Si el Client creu raonablement que Google està tractant Dades Personals del Client d'una manera no autoritzada, té dret a notificar aquesta creença a Google mitjançant els mètodes que es descriuen a privacy.google.com/businesses/processorsupport, i les parts treballaran conjuntament de bona fe per corregir les activitats de tractament presumptament infractores, si cal; i
- (h) Google complirà les obligacions aplicables d'acord amb la CCPA i proporcionarà el mateix nivell de protecció de la privadesa que requereix la CCPA.
5.2 Respecte a les Dades Personals del Client tractades sense el Tractament de Dades Restringit activat, i en la mesura que la CCPA s'apliqui al tractament de Dades Personals del Client:
- (a) Google tractarà les Dades Personals del Client amb la finalitat concreta de proporcionar els Serveis de Mesurament, si escau, tal com es descriu més detalladament a l'Acord i a la documentació de suport (p. ex., als articles del Centre d'ajuda), o segons el que permeti la CCPA, i les parts accepten que el Client posarà aquestes Dades Personals del Client a disposició de Google per a aquestes finalitats.
- (b) Google permetrà que es duguin a terme auditories per verificar que Google compleix les seves obligacions de conformitat amb aquest apèndix 1B d'acord amb el paràgraf 3.3.3(c) (Drets d'auditoria del Client) d'aquest document.
- (c) Google ho notificarà al Client si determina que ja no pot complir les seves obligacions d'acord amb la CCPA;
- (d) Si el Client creu raonablement que Google està tractant Dades Personals del Client d'una manera no autoritzada, té dret a notificar aquesta creença a Google mitjançant els mètodes que es descriuen a privacy.google.com/businesses/processorsupport, i les parts treballaran conjuntament de bona fe per corregir les activitats de tractament presumptament infractores, si cal; i
- (e) Google complirà les obligacions aplicables d'acord amb la CCPA i proporcionarà el mateix nivell de protecció de la privadesa que requereix la CCPA.
6. Canvis en aquest apèndix 1B
A més de l'apartat 7 de les Condicions entre Responsables de Fitxer (Canvis en aquestes Condicions entre Responsables de Fitxer), si escau, Google pot modificar sense avís aquest apèndix 1B si el canvi (a) es basa en la legislació o normativa aplicables, una ordre judicial o les directrius emeses per un ens o un organisme regulador governamentals, o (b) no té cap impacte material negatiu per al Client en virtut de les Lleis de Privadesa Estatals dels EUA, segons el que determini Google de manera raonable.
7. Objecte i detalls del tractament de dades en virtut de les Lleis de Privadesa Estatals dels EUA
La prestació al Client per part de Google dels Serveis de TDR i de qualsevol assistència tècnica relacionada.
Durada del tractament
El Termini més el període que va des del final del Termini fins que Google suprimeix totes les Dades Personals del Client d'acord amb l'apèndix 1B.
Naturalesa i finalitat del tractament
Google tractarà (i això inclou, segons correspongui als Serveis de TDR i a les Instruccions, recollir, gravar, organitzar, estructurar, emmagatzemar, alterar, recuperar, utilitzar, comunicar, combinar, esborrar i destruir) les Dades Personals del Client amb la finalitat de proporcionar al Client els Serveis de TDR i qualsevol assistència tècnica relacionada d'acord amb l'apèndix 1B o tal com ho permetin els encarregats del tractament d'acord amb les Lleis de Privadesa Estatals dels EUA.
Tipus de dades personals
Les Dades Personals del Client poden incloure els tipus de dades personals que es descriuen a les Lleis de Privadesa Estatals dels EUA.
Categories d'interessats
Les Dades Personals del Client afectaran les categories d'interessats següents:
- Interessats sobre els quals Google recull dades personals en proporcionar els Serveis de TDR; o bé
- Interessats sobre els quals es transfereixen dades personals a Google en relació amb els Serveis de TDR, a indicació del Client o en nom seu.
En funció de la naturalesa dels Serveis de TDR, aquests interessats poden incloure persones físiques: (a) a les quals s'ha dirigit o es dirigirà publicitat en línia; (b) que han visitat llocs web o aplicacions concrets en relació amb els quals Google proporciona els Serveis de TDR, o (c) que són clients o usuaris de productes o serveis del Client.
Condicions de Protecció de Dades entre Responsables de Fitxer per al Servei de Mesurament de Google, versió 4.0