El cliente de los Servicios de Medición (el "Cliente") que acepta estos términos ha suscrito un contrato con Google o con un revendedor externo, según corresponda, para la prestación de los Servicios de Medición (con sus adendas ocasionales, el "Contrato") a través de cuya interfaz de usuario el Cliente ha habilitado la Opción para Compartir Datos.
Los presentes Términos de Protección de Datos de Medición de Google entre Responsables de Tratamiento de Datos ("Términos de los Responsables del Tratamiento de Datos") se suscriben entre Google y el Cliente. Cuando el Contrato se suscriba entre el Cliente y Google, estos Términos de los Responsables del Tratamiento de Datos complementarán al Contrato. Cuando el Contrato se suscriba entre el Cliente y un revendedor externo, estos Términos de los Responsables del Tratamiento de Datos constituirán un contrato independiente entre Google y el Cliente.
En aras de evitar dudas, la prestación de los Servicios de Medición se regirá por el Contrato. Estos Términos de los Responsables del Tratamiento de Datos estipulan las disposiciones de protección de datos relacionadas con la Opción para Compartir Datos, pero no se aplican a la prestación de los Servicios de Medición.
De conformidad con la Sección 6.2 (Sin Efecto en los Términos del Tratamiento de Datos), los presentes Términos de los Responsables del Tratamiento de Datos entrarán en vigor a partir de la Fecha de Entrada en Vigor de los Términos, fecha en la que sustituirán a los términos previamente aplicables relacionados con esta cuestión.
Si acepta los presentes Términos de los Responsables del Tratamiento de Datos en nombre del Cliente, garantiza que: (a) tiene plena autoridad legal para que los presentes Términos de los Responsables del Tratamiento de Datos sean vinculantes para el Cliente; (b) ha leído y comprende los presentes Términos de los Responsables del Tratamiento de Datos; y (c) acepta, en nombre del Cliente, los presentes Términos de los Responsables del Tratamiento de Datos. Si no tiene la autoridad legal pertinente para que sean vinculantes para el Cliente, no acepte estos Términos de los Responsables del Tratamiento de Datos.
No acepte estos Términos de los Responsables del Tratamiento de Datos si es revendedor. Estos Términos de los Responsables del Tratamiento de Datos estipulan los derechos y las obligaciones que se aplican a la relación entre los usuarios de los Servicios de Medición y Google.
1. Introducción
Los presentes Términos de los Responsables del Tratamiento de Datos reflejan el contrato entre las partes sobre el tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos según la Opción para Compartir Datos.
2. Definiciones e interpretación
2.1
En los presentes Términos de los Responsables del Tratamiento de Datos, los términos definidos se entenderán del siguiente modo:
"Términos Adicionales" hace referencia a los términos adicionales que se mencionan en el Apéndice 1, que reflejan el contrato entre las partes sobre los términos que rigen el tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos en relación con una determinada Legislación de Protección de Datos Aplicable.
"Entidad Asociada" hace referencia a cualquier entidad que, directa o indirectamente, controla una parte, está controlada por una parte o comparte el control con ella.
"Legislación de Protección de Datos Aplicable" hace referencia, según corresponda, al tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos, a cualquier ley o reglamento de protección o seguridad de datos nacional, federal, europeo, estatal, provincial o de cualquier otro tipo, incluida la Legislación sobre Protección de Datos Europea, la LGPD y las Leyes de Privacidad de los Estados de EE. UU.
"Información Confidencial" hace referencia a estos Términos de los Responsables del Tratamiento de Datos.
"Afectado por el Responsable del Tratamiento de Datos" hace referencia al sujeto al que conciernen los Datos Personales en Poder del Responsable del Tratamiento de Datos.
"Datos Personales en Poder del Responsable del Tratamiento de Datos" hace referencia a los datos personales tratados por una parte según la Opción para Compartir Datos.
"Opción para Compartir Datos" hace referencia a la opción para compartir datos que el Cliente ha habilitado a través de la interfaz de usuario de los Servicios de Medición y que permite a Google y a sus Entidades Asociadas utilizar datos personales para mejorar los productos y servicios de Google y de esas Entidades.
"Responsable Final del Tratamiento de Datos" hace referencia al responsable último, de cada parte, del tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos.
"RGPD de la UE" hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril del 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
"Legislación sobre Protección de Datos Europea" hace referencia, según corresponda: (a) al RGPD y/o (b) a la FDPA de Suiza.
"RGPD" hace referencia, según corresponda: (a) al RGPD de la UE y/o (b) al RGPD del Reino Unido.
"Google" hace referencia a lo siguiente:
- (a) Cuando una Entidad de Google es una de las partes del Contrato, a esa Entidad de Google.
- (b) Cuando el Contrato se suscribe entre el Cliente y un revendedor externo y:
- (i) El revendedor externo está registrado como entidad legal en Norteamérica o en otra región fuera de Europa, Oriente Medio, África, Asia y Oceanía, a Google LLC (anteriormente, Google Inc.).
- (ii) El revendedor externo está registrado como entidad legal en Europa, Oriente Medio o África, a Google Ireland Limited.
- (iii) El revendedor externo está registrado como entidad legal en Asia y Oceanía, a Google Asia Pacific Pte. Ltd.
"Entidad de Google" hace referencia a Google LLC, Google Ireland Limited o cualquier otra Entidad Asociada de Google LLC.
"LGPD" hace referencia a la Ley General de Protección de Datos de Brasil (Lei Geral de Proteção de Dados Pessoais).
"Servicios de Medición" hace referencia a Google Analytics, Google Analytics 360, Google Analytics for Firebase, Google Optimize o Google Optimize 360, según la Opción para Compartir Datos sobre la cual las partes acordaron los presentes Términos de los Responsables del Tratamiento de Datos.
"Políticas" hace referencia a la Política de Consentimiento de Usuarios Finales de Google, disponible en https://www.google.com/about/company/user-consent-policy.html.
"Términos del Tratamiento de Datos" hace referencia a lo siguiente:
- (a) Cuando Google es una de las partes del Contrato, a los términos del tratamiento de datos, disponibles en https://business.safety.google/adsprocessorterms.
- (b) Cuando el Contrato se suscribe entre el Cliente y un revendedor externo, a los términos que reflejan la relación entre el responsable y el encargado del tratamiento de datos, si la hubiera, según lo acordado entre el Cliente y el revendedor externo.
"FDPA de Suiza" hace referencia a la Ley Federal de Protección de Datos de Suiza del 19 de junio de 1992.
"Fecha de Entrada en Vigor de los Términos" hace referencia a la fecha en la que el Cliente hizo clic para aceptar los presentes Términos de los Responsables del Tratamiento de Datos o en la que las partes acordaron de otro modo dichos términos.
"Datos Personales en Poder del Responsable del Tratamiento de Datos del Reino Unido" hace referencia a los Datos Personales en Poder del Responsable del Tratamiento de Datos que conciernen a los Afectados por el Responsable del Tratamiento de Datos que se encuentran en el Reino Unido.
"RGPD del Reino Unido" hace referencia al RGPD de la UE tal como ha sido enmendado e incorporado a la legislación del Reino Unido en virtud de la Ley del 2018 sobre la Salida del Reino Unido de la Unión Europea, así como a la legislación secundaria aplicable que se haya creado en virtud de esa Ley.
"Leyes de Privacidad de los Estados de EE. UU." tiene el significado que se indica aquí.
2.2
Los términos "responsable del tratamiento de datos", "afectado", "datos personales", "tratamiento" y "encargado del tratamiento", tal como se utilizan en los presentes Términos de los Responsables del Tratamiento de Datos, tienen los significados dados en (a) la Legislación de Protección de Datos Aplicable; o (b) el RGPD, a falta de dicho significado o ley.
2.3
Todos los ejemplos expuestos en los presentes Términos de los Responsables del Tratamiento de Datos tienen fines ilustrativos y no son ejemplos exclusivos de un concepto particular.
2.4
Cualquier referencia a un marco legal, ley u otra disposición legislativa es una referencia a tales instrumentos, con sus ocasionales enmiendas o nuevas promulgaciones.
2.5
En la medida en que cualquier versión traducida de este Contrato no coincida con la versión en inglés, prevalecerá la versión en inglés.
2.6
Las referencias que se hagan en las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos a los "Términos de Protección de Datos entre Responsables del Tratamiento de Datos de Google Ads" deben considerarse referencias a los "Términos de Protección de Datos de Medición de Google entre Responsables de Tratamiento de Datos".
3. Aplicación de los presentes Términos de los Responsables del Tratamiento de Datos
3.1 General
Los presentes Términos de los Responsables del Tratamiento de Datos solo serán aplicables a la Opción para Compartir Datos para la cual las partes acordaron los presentes Términos de los Responsables del Tratamiento de Datos (por ejemplo, la Opción para Compartir Datos para la cual el Cliente hizo clic para aceptar los presentes Términos de los Responsables del Tratamiento de Datos).
3.2 Duración
Estos Términos de los Responsables del Tratamiento de Datos se aplicarán a partir de la Fecha de Entrada en Vigor de los Términos, continuarán vigentes mientras Google o el Cliente traten los Datos Personales en Poder del Responsable del Tratamiento de Datos y dejarán de aplicarse automáticamente en cuanto dejen de tratarlos.
4. Funciones y restricciones aplicadas al tratamiento
4.1 Responsables Independientes del Tratamiento de Datos
De conformidad con la Sección 4.4 (Responsables Finales del Tratamiento de Datos), cada parte:
- (a) Es un responsable independiente del tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos.
- (b) Determinará de forma individual los fines del tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos, así como los medios con que se lleva a cabo.
- (c) Cumplirá las obligaciones que le correspondan en virtud de la Legislación de Protección de Datos Aplicable con respecto al tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos.
4.2 Restricciones Aplicadas al Tratamiento
La Sección 4.1 (Responsables Independientes del Tratamiento de Datos) no influirá en las restricciones que se aplican a los derechos de las partes a usar o tratar de otro modo los Datos Personales en Poder del Responsable del Tratamiento de Datos en virtud del Contrato.
4.3 Consentimiento de Usuarios Finales
El Cliente cumplirá las Políticas que rigen los Datos Personales en Poder del Responsable del Tratamiento de Datos según la Opción para Compartir Datos elegida y asumirá en todo momento la responsabilidad de demostrar su cumplimiento.
4.4 Responsables Finales del Tratamiento de Datos
Sin reducir las obligaciones de ninguna de las partes en virtud de los presentes Términos de los Responsables del Tratamiento de Datos, cada una de las partes reconoce que: (a) las Entidades Asociadas o los clientes de la otra parte pueden ser Responsables Finales del Tratamiento de Datos; y (b) la otra parte puede actuar como encargado del tratamiento en nombre de sus Responsables Finales del Tratamiento de Datos. Cada una de las partes se asegurará de que sus correspondientes Responsables Finales del Tratamiento de Datos cumplan los Términos de los Responsables del Tratamiento de Datos.
4.5 Transparencia
El Cliente reconoce que Google ha publicado información sobre cómo utiliza Google la información de sitios, aplicaciones u otras propiedades que usan sus servicios en https://business.safety.google/privacy/. Sin perjuicio de las obligaciones establecidas en la Sección 4.1(c), el Cliente puede incluir un enlace a esa página para proporcionar a los Afectados por el Responsable del Tratamiento de Datos información sobre el Tratamiento de Datos Personales en Poder del Responsable del Tratamiento de Datos que lleva a cabo Google.
5. Responsabilidad
5.1
Si Google:
- (a) Es una de las partes del Contrato y el Contrato se rige por las leyes de:
- (i) Un estado de Estados Unidos de América, en cuyo caso, independientemente de lo estipulado en el Contrato, la responsabilidad total de cualquiera de las partes hacia la otra en virtud de los presentes Términos de los Responsables del Tratamiento de Datos, o en conexión con ellos, se ceñirá al máximo importe monetario o al máximo importe según los pagos que se haya establecido como límite de las responsabilidades de esa parte en el Contrato (y, por lo tanto, ninguna exclusión que se aplique a demandas de indemnización con arreglo a la limitación de responsabilidades del Contrato será aplicable a las demandas de indemnización en virtud del Contrato con relación a la Legislación de Protección de Datos Aplicable).
- (ii) Una jurisdicción que no sea un estado de Estados Unidos de América, en cuyo caso la responsabilidad de las partes en virtud de los presentes Términos de los Responsables del Tratamiento de Datos, o en conexión con ellos, estará sujeta a las exclusiones y limitaciones de responsabilidades estipuladas en el Contrato.
- (b) No es ninguna de las partes del Contrato, en la medida permitida por la legislación aplicable, Google no será responsable de la pérdida de ingresos ni de daños indirectos, especiales, fortuitos, derivados, ejemplares o punitivos del Cliente, aunque Google o sus Entidades Asociadas hubieran sido avisadas, supieran o debieran haber sabido que la indemnización por daños y perjuicios no es suficiente para servir de solución. La responsabilidad acumulada total de Google (y sus Entidades Asociadas) ante el Cliente o ante cualquier otra parte por la pérdida o los daños resultantes de cualquier reclamación, daño o acción legal derivados o relacionados con los presentes Términos de los Responsables del Tratamiento de Datos no excederá los quinientos dólares estadounidenses (500 USD).
6. Efecto de los Términos de los Responsables del Tratamiento de Datos
6.1 Orden de Prioridad
Si hay algún conflicto o incoherencia entre los Términos Adicionales, el resto de los presentes Términos de los Responsables del Tratamiento de Datos y/o el resto del Contrato, de conformidad con las Secciones 4.2 (Restricciones Aplicadas al Tratamiento) y 6.2 (Sin Efecto en los Términos del Tratamiento de Datos), se aplicará el siguiente orden de prioridad: (a) los Términos Adicionales (si corresponde); (b) el resto de estos Términos de los Responsables del Tratamiento de Datos; y (c) el resto del Contrato. De conformidad con las adendas realizadas a los presentes Términos de los Responsables del Tratamiento de Datos, el Contrato suscrito entre Google y el Cliente continúa siendo válido.
6.2 Sin Efecto en los Términos del Tratamiento de Datos
Los presentes Términos de los Responsables del Tratamiento de Datos no sustituirán ni afectarán a ninguno de los Términos del Tratamiento de Datos. En aras de evitar dudas, si el Cliente es una de las partes que se rigen por los Términos del Tratamiento de Datos en relación con los Servicios de Medición, los Términos del Tratamiento de Datos se seguirán aplicando a los Servicios de Medición, sin perjuicio de que estos Términos de los Responsables del Tratamiento de Datos se apliquen a los Datos Personales en Poder del Responsable del Tratamiento de Datos que se traten de conformidad con la Opción de Compartir Datos.
7. Cambios en los presentes Términos de los Responsables del Tratamiento de Datos
7.1 Cambios en los Términos de los Responsables del Tratamiento de Datos
Google puede cambiar los presentes Términos de los Responsables del Tratamiento de Datos si el cambio:
- (a) Refleja un cambio en el nombre o en la forma de una entidad legal.
- (b) Es necesario para cumplir las leyes y reglamentos aplicables, una resolución judicial o una directriz emitidas por un organismo supervisor o una agencia gubernamentales, o refleja la adopción de una Solución de Transferencia Alternativa por parte de Google (como se define en el Apéndice 1A).
- (c) Se ajusta a lo descrito en la Sección 7.2 (Cambios en las URLs).
- (d) No (i) trata de alterar de ninguna otra forma la categorización de las partes como responsables del tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos en virtud de la Legislación de Protección de Datos Aplicable; ni (ii) amplía el alcance o elimina restricciones de los derechos de cualquiera de las partes a usar o tratar de otro modo los Datos Personales en Poder del Responsable del Tratamiento de Datos; ni (iii) tiene un efecto significativamente negativo en el Cliente, según lo determine razonablemente Google.
7.2 Cambios en las URLs
Ocasionalmente, Google puede cambiar cualquier URL a la que se haga referencia en los presentes Términos de los Responsables del Tratamiento de Datos y el contenido en cualquiera de dichas URLs.
7.3 Notificación de Cambios
Si Google tiene la intención de cambiar los presentes Términos de los Responsables del Tratamiento de Datos con arreglo a la Sección 7.1(b) y tal cambio tendrá un impacto adverso sustancial en el Cliente, según lo determine Google de manera razonable, Google tomará medidas comercialmente razonables para informar al Cliente al menos 30 días (o el periodo más corto que se requiera para cumplir la legislación aplicable, el reglamento aplicable, una resolución judicial o las directrices emitidas por un organismo regulador o una agencia gubernamentales) antes de que el cambio entre en vigor. Si el Cliente se opone al cambio, puede desactivar la Opción para Compartir Datos.
8. Disposiciones Adicionales
8.1
Esta Sección 8 (Disposiciones Adicionales) solo será aplicable cuando Google no sea ninguna de las partes del Contrato.
8.2
Cada una de las partes cumplirá las obligaciones establecidas en estos Términos de los Responsables del Tratamiento de Datos con un nivel de competencia y diligencia razonable.
8.3
Ninguna de las partes usará ni revelará Información Confidencial de la otra parte sin su aprobación previa por escrito, salvo para ejercer sus derechos o cumplir sus obligaciones conforme a los presentes Términos de los Responsables del Tratamiento de Datos o, si lo requiere la legislación, un reglamento o una resolución judicial, en cuyo caso la parte que se vea obligada a revelar Información Confidencial lo notificará a la otra parte con la mayor anticipación que sea razonablemente posible.
8.4
En la medida en que la ley lo permite, a menos que se especifique expresamente lo contrario en los presentes Términos de los Responsables del Tratamiento de Datos, Google no ofrece ninguna otra garantía de ningún tipo, implícita ni explícita, obligatoria ni de otra clase, incluidas, entre otras, las garantías de comerciabilidad, adecuación para un fin particular y no infracción.
8.5
Ninguna de las partes será responsable del incumplimiento de sus obligaciones ni del retraso en el cumplimiento si estos están motivados por circunstancias que escapan a su control razonable.
8.6
Aun en el caso de que alguna de las disposiciones establecidas en los presentes Términos de los Responsables del Tratamiento de Datos, ya sea en parte o en su totalidad, se considerara no válida, ilegal o inaplicable, las demás disposiciones de los Términos de los Responsables del Tratamiento de Datos conservarán su total validez.
8.7
(a) Salvo lo estipulado en la sección (b) más adelante, los presentes Términos de los Responsables del Tratamiento de Datos se regirán e interpretarán de conformidad con las leyes del estado de California, lo que no incluye sus principios de leyes en conflicto. En caso de que existan conflictos entre cualquier legislación, normativa o reglamento de otras partes del mundo y la legislación, las normativas y los reglamentos de California, prevalecerán y regirán la legislación, las normativas y los reglamentos de California. Cada parte se compromete a someterse a la jurisdicción exclusiva y personal de los tribunales ubicados en el condado de Santa Clara, California. La Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías y la Ley Uniforme de Transacciones de Información Computarizada de Estados Unidos no se aplicarán a los presentes Términos de los Responsables del Tratamiento de Datos.
(b) Si el Contrato se suscribe entre el Cliente y un revendedor externo, y el revendedor externo está registrado como entidad legal en Europa, Oriente Medio o África, los presentes Términos de los Responsables del Tratamiento de Datos se regirán por la legislación inglesa. Cada una de las partes acuerda someterse a la jurisdicción exclusiva de los tribunales ingleses en relación con cualquier disputa (ya sea contractual o no contractual) que surja de estos Términos de los Responsables del Tratamiento de Datos o en relación con ellos.
(c) En caso de que las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos sean aplicables y estipulen una legislación aplicable que difiera de las leyes descritas en las secciones (a) y (b) de arriba, la legislación aplicable establecida en las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos será aplicable únicamente con respecto a dichas Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos.
(d) La Convención de las Naciones Unidas sobre los Contratos de Compraventa Internacional de Mercaderías y la Ley Uniforme de Transacciones de Información Computarizada de Estados Unidos no son aplicables a los presentes Términos de los Responsables del Tratamiento de Datos.
8.8
Todos los avisos de resolución o incumplimiento se harán por escrito en inglés y se enviarán a la atención del Departamento Jurídico de la otra parte. La dirección de correo electrónico para enviar avisos al Departamento Jurídico de Google es legal-notices@google.com. Los avisos se considerarán recibidos cuando se verifique mediante acuse de recibo escrito o automático, o bien mediante registro electrónico (si procede).
8.9
El hecho de que cualquiera de las partes no ejerza alguno de los derechos que figuran en estos Términos de los Responsables del Tratamiento de Datos, o se retrase en hacerlo, no significa que renuncie a tal derecho. Ninguna de las partes puede realizar la cesión de ninguna parte de estos Términos de los Responsables del Tratamiento de Datos sin el consentimiento por escrito de la otra parte, excepto si es a una Entidad Asociada y siempre y cuando: (a) el cesionario acepte por escrito acatar los Términos de los Responsables del Tratamiento de Datos; (b) la parte cedente siga siendo responsable de las obligaciones contraídas mediante estos Términos de los Responsables del Tratamiento de Datos si el cesionario las incumple; (c) en el caso del Cliente, la parte cedente haya transferido su cuenta o sus cuentas de Servicios de Medición al cesionario; y (d) la parte cedente haya notificado la cesión a la otra parte. Cualquier otro intento de cesión se considerará nulo de pleno derecho.
8.10
Las partes son contratistas independientes. Estos Términos de los Responsables del Tratamiento de Datos no constituyen ninguna representación, asociación comercial ni asociación temporal de empresas. Estos Términos de los Responsables del Tratamiento de Datos no confieren ningún beneficio a ningún tercero a menos que se indique expresamente lo contrario.
8.11
En la medida en que lo permita la legislación aplicable, los presentes Términos de los Responsables del Tratamiento de Datos estipulan todos los términos acordados por las partes. Al suscribir estos Términos de los Responsables del Tratamiento de Datos, ninguna parte se ha amparado en ninguna declaración, representación o garantía (expresada ya sea por negligencia o de forma inocente) que no se estipule expresamente en los presentes Términos de los Responsables del Tratamiento de Datos, ni tales declaraciones, representaciones o garantías serán constituyentes de derechos ni compensación para ninguna de las partes.
Apéndice 1: Términos Adicionales a la Legislación de Protección de Datos Aplicable
PARTE A: TÉRMINOS ADICIONALES A LA LEGISLACIÓN SOBRE PROTECCIÓN DE DATOS EUROPEA
1. Introducción
Este Apéndice 1A solo se aplicará en la medida en que la Legislación sobre Protección de Datos Europea se aplique al tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos.
2. Definiciones
2.1 En el presente Apéndice 1A, los términos definidos se entenderán del siguiente modo:
"País Adecuado" hace referencia a lo siguiente:
- (a) En lo que respecta al tratamiento de datos de conformidad con el RGPD de la UE: al EEE o a un país o territorio reconocidos como lugares que garantizan la protección de datos adecuada en virtud del RGPD de la UE;
- (b) En lo que respecta al tratamiento de datos de conformidad con el RGPD del Reino Unido: al Reino Unido o a un país o territorio reconocidos como lugares que garantizan la protección adecuada en virtud del RGPD del Reino Unido y de la Ley de Protección de Datos del 2018; y/o
- (c) En lo que respecta al tratamiento de datos de conformidad con la FDPA de Suiza: a Suiza o a un país o territorio (i) incluidos en la lista de estados cuya legislación garantiza la protección adecuada, de conformidad con lo publicado por el Comisionado Federal para la Protección de Datos y la Información de Suiza, o bien (ii) reconocidos como lugares que garantizan la protección adecuada por parte del Consejo Federal de Suiza en virtud de la FDPA de Suiza, en cada caso, a menos que se tome como base un marco de protección de datos opcional.
"Solución de Transferencia Alternativa" hace referencia a un mecanismo (distinto de las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos) que permite la transferencia legal de datos personales a un tercer país de conformidad con la Legislación sobre Protección de Datos Europea; por ejemplo, un marco de protección de datos reconocido como garante de que las entidades participantes proporcionan la protección adecuada.
"Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos" hace referencia a los términos disponibles en business.safety.google/adscontrollerterms/sccs/c2c.
"EEE" hace referencia a "Espacio Económico Europeo".
"Datos Personales en Poder del Responsable del Tratamiento de Datos Europeos" hace referencia a los Datos Personales en Poder del Responsable del Tratamiento de Datos que conciernen a los Afectados por el Responsable del Tratamiento de Datos que se encuentran en el EEE o Suiza.
"Legislación Europea" hace referencia, según corresponda, a: (a) la legislación de la UE o del Estado miembro de la UE (si el RGPD de la UE se aplica al tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos); (b) la legislación del Reino Unido o de una parte del Reino Unido (si el RGPD del Reino Unido se aplica al tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos); y (c) la legislación de Suiza (si la FDPA de Suiza se aplica al tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos).
"Responsables Finales del Tratamiento de Datos de Google" hace referencia a los Responsables Finales del Tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos y son tratados por Google.
"Transferencias Europeas Autorizadas" hace referencia al tratamiento de los Datos Personales en Poder del Responsable del Tratamiento de Datos que tiene lugar en un País Adecuado, o a la transferencia a un País Adecuado de Datos Personales en Poder del Responsable del Tratamiento de Datos.
"Transferencias Europeas Sujetas a Restricciones" hace referencia a las transferencias de Datos Personales en Poder del Responsable del Tratamiento de Datos que (a) están sujetas a la Legislación sobre Protección de Datos Europea; y (b) no son Transferencias Europeas Autorizadas.
"Datos Personales en Poder del Responsable del Tratamiento de Datos del Reino Unido" hace referencia a los Datos Personales en Poder del Responsable del Tratamiento de Datos que conciernen a los Afectados por el Responsable del Tratamiento de Datos que se encuentran en el Reino Unido.
2.2 Los términos "importador de datos" y "exportador de datos" tienen el significado que se especifica en las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos.
3. Responsables Finales del Tratamiento de Datos de Google
Los Responsables Finales del Tratamiento de Datos de Google son: (i) Google Ireland Limited en lo que respecta a los Datos Personales en Poder del Responsable Europeo del Tratamiento de los Datos que son tratados por Google; y (ii) Google LLC en lo que respecta a los Datos Personales en Poder del Responsable del Tratamiento de los Datos del Reino Unido que son tratados por Google. Cada una de las partes se asegurará de que sus correspondientes Responsables Finales del Tratamiento de Datos cumplan las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos (si procede).
4. Transferencias de Datos
4.1 Transferencias Europeas Sujetas a Restricciones. Cualquiera de las partes puede hacer Transferencias Europeas Sujetas a Restricciones si cumple lo dispuesto en la Legislación sobre Protección de Datos Europea sobre las Transferencias Europeas Sujetas a Restricciones.
4.2 Solución de Transferencia Alternativa.
- (a) Si Google ha adoptado una Solución de Transferencia Alternativa para cualquier Transferencia Europea Sujeta a Restricciones: (i) Google se asegurará de que dichas Transferencias Europeas Sujetas a Restricciones se realicen de acuerdo con esa Solución de Transferencia Alternativa; y (ii) la Sección 5 (Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos) del Apéndice 1A no se aplicará a esas Transferencias Europeas Sujetas a Restricciones.
- (b) Si Google no ha adoptado ninguna Solución de Transferencia Alternativa para las Transferencias Europeas Sujetas a Restricciones o informa al Cliente de que ha dejado de utilizar la que había adoptado, se aplicará la Sección 5 (Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos) de este Apéndice 1A a dichas Transferencias Europeas Sujetas a Restricciones.
4.3 Disposiciones de Transferencia Ulterior.
- (a) Aplicación del Apartado 4.3. Los apartados 4.3(b) (Uso de los Datos Personales del Proveedor de Datos) y 4.3(c) (Protección de los Datos Personales del Proveedor de Datos) del presente Apéndice 1A solo se aplicarán en la medida en que:
- (i) Una parte (el "Receptor de Datos") trata los Datos Personales en Poder del Responsable del Tratamiento de Datos que la otra parte pone a disposición (el "Proveedor de Datos") en relación con el Contrato (como los Datos Personales en Poder del Responsable del Tratamiento de Datos, "Datos Personales del Proveedor de Datos").
- (ii) El Proveedor de Datos o su Entidad Asociada están certificados en virtud de una Solución de Transferencia Alternativa.
- (iii) El Proveedor de Datos notifica por escrito al Receptor de Datos dicha certificación de Solución de Transferencia Alternativa.
- (b) Uso de los Datos Personales del Proveedor de Datos.
- (i) En la medida en que una Solución de Transferencia Alternativa aplicable incluya un principio de transferencia ulterior, y de acuerdo con dichos principios y según la Solución de Transferencia Alternativa pertinente, el Receptor de Datos solo utilizará los Datos Personales del Proveedor de Datos de conformidad con el consentimiento que hayan proporcionado los Afectados por el Responsable del Tratamiento de Datos correspondientes.
- (ii) En la medida en que el Proveedor de Datos no obtenga el consentimiento de los correspondientes Afectados por el Responsable del Tratamiento de Datos según lo requerido por el Contrato, el Receptor de Datos no incumplirá el apartado 4.3(b)(i) si utiliza Datos Personales del Proveedor de Datos que se ajusten al consentimiento requerido.
- (c) Protección de los Datos Personales del Proveedor de Datos.
- (i) El Receptor de Datos proporcionará un nivel de protección de los Datos Personales del Proveedor de Datos que sea, al menos, equivalente al que exige la Solución de Transferencia Alternativa aplicable.
- (ii) Si el Receptor de Datos determina que no puede cumplir lo establecido en el apartado 4.3(c)(i), deberá: (A) avisar por escrito al Proveedor de Datos; o bien (B) dejar de tratar los Datos Personales del Proveedor de Datos o tomar medidas razonables y adecuadas para remediar dicho incumplimiento.
- (d) Adopción y Certificación de la Solución de Transferencia Alternativa. En la página https://policies.google.com/privacy/frameworks puedes consultar información sobre la adopción o la certificación de Google y/o de sus Entidades Asociadas en relación con cualquier Solución de Transferencia Alternativa. El presente apartado 4.3(d) constituye un aviso por escrito de Google o de sus Entidades Asociadas (con certificaciones actuales) en la Fecha de Entrada en Vigor de los Términos a efectos del apartado 4.3(a)(iii).
5. Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos
5.1 Transferencias de Datos Personales en Poder del Responsable del Tratamiento de Datos Europeos al Cliente. En la medida en que:
- (a) Google transfiere los Datos Personales en Poder del Responsable del Tratamiento de Datos Europeos al Cliente.
- (b) La transferencia es una Transferencia Europea Sujeta a Restricciones, el Cliente como importador de datos se considerará que ha firmado las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos con Google Ireland Limited (el Responsable Final del Tratamiento de Datos de Google aplicable) como exportador de datos y las transferencias estarán sujetas a dichas Cláusulas.
5.2 Transferencias de Datos Personales en Poder del Responsable del Tratamiento de Datos del Reino Unido al Cliente. En la medida en que:
- (a) Google transfiere los Datos Personales en Poder del Responsable del Tratamiento de Datos del Reino Unido al Cliente.
- (b) La transferencia es una Transferencia Europea Sujeta a Restricciones, el Cliente como importador de datos se considerará que ha firmado las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos con Google LLC (el Responsable Final del Tratamiento de Datos de Google aplicable) como exportador de datos y las transferencias estarán sujetas a dichas Cláusulas.
5.3 Transferencias de Datos Personales en Poder del Responsable del Tratamiento de Datos Europeos a Google. Las partes reconocen que, en la medida en que el Cliente transfiera a Google Datos Personales en Poder del Responsable del Tratamiento de Datos Europeos, las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos no son obligatorias porque la dirección de Google Ireland Limited (el Responsable Final del Tratamiento de Datos de Google aplicable) se encuentra en un País Adecuado y dichas transferencias se consideran Transferencias Europeas Autorizadas. Esto no afecta a las obligaciones de Google en virtud del apartado 4.1 (Transferencias Europeas Sujetas a Restricciones) del presente Apéndice 1A.
5.4 Transferencias de Datos Personales en Poder del Responsable del Tratamiento de Datos del Reino Unido a Google. En la medida en que el Cliente transfiera a Google Datos Personales en Poder del Responsable del Tratamiento de Datos del Reino Unido, se considerará que dicho Cliente, como exportador de datos, ha suscrito las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos con Google LLC (el Responsable Final del Tratamiento de Datos de Google aplicable) como importador de datos, y las transferencias estarán sujetas a dichas Cláusulas, ya que Google LLC no tiene su sede principal en un País Adecuado.
5.5 Ponerse en Contacto con Google e Información del Cliente.
- (a) El Cliente puede ponerse en contacto con Google Ireland Limited y/o Google LLC en relación con las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos a través de la página https://support.google.com/policies/troubleshooter/9009584 o de cualquier otro medio que Google proporcione ocasionalmente.
- (b) El Cliente reconoce que Google, de conformidad con las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos, tiene la obligación de registrar determinada información, incluidos (i) la identidad y los datos de contacto del importador de datos (lo que incluye a cualquier persona de contacto con responsabilidad sobre la protección de datos); y (ii) las medidas técnicas y organizativas implementadas por el importador de datos. En consecuencia, el Cliente proporcionará, cuando se le exija y según le corresponda, dicha información a Google a través de los medios que pueda proporcionar Google y se asegurará de que toda la información proporcionada sea precisa y esté actualizada.
5.6 Responder a las Consultas de los Afectados. El importador de datos aplicable será responsable de responder a las consultas de los afectados y de las autoridades de control en relación con el tratamiento por parte del importador de los Datos Personales en Poder del Responsable del Tratamiento de Datos aplicable.
5.7 Eliminación de Datos tras la Resolución. En la medida en que:
- (a) Google LLC actúe como importador de datos y el Cliente actúe como exportador de datos en virtud de las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos.
- (b) El Cliente rescinde el Contrato de conformidad con la Cláusula 16(c) de las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos y, a efectos de la Cláusula 16(d) de dichas Cláusulas, el Cliente indica a Google que elimine los Datos Personales en Poder del Responsable del Tratamiento de Datos y, a menos que la Legislación Europea exija lo contrario, Google facilitará dicha eliminación tan pronto como sea razonablemente posible y en la medida en que sea posible (teniendo en cuenta que Google es un responsable independiente del tratamiento de estos datos, así como la naturaleza y las funciones de los Servicios de Medición).
6. Responsabilidad si se aplican las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos.
En el caso de que las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos se apliquen de conformidad con la Sección 5 (Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos) del presente Apéndice 1A, la responsabilidad total combinada de:
- (a) Google, Google LLC y Google Ireland Limited respecto al Cliente.
- (b) El Cliente con respecto a Google, Google LLC y Google Ireland Limited, en virtud o en relación con el Contrato y con las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos combinadas, estarán sujetos a la Sección 5 (Responsabilidad). La Cláusula 12 de las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos no afectará a la disposición anterior.
7. Beneficiarios Terceros
Si Google LLC y/o Google Ireland Limited no son parte del Contrato, pero sí parte de las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos aplicables de conformidad con la Sección 5 (Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos) de este Apéndice 1A, Google LLC y/o Google Ireland Limited (según corresponda) serán beneficiarios terceros de la Sección 4.4 (Responsables Finales del Tratamiento de Datos), Secciones 3 (Responsables Finales del Tratamiento de Datos de Google), 5 (Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos) y 6 (Responsabilidad si se Aplican las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos) de este Apéndice 1A. En la medida en que este apartado 7 (Beneficiarios Terceros) entre en conflicto o no sea coherente con cualquier otra cláusula del Contrato, se aplicará este apartado 7 (Beneficiarios Terceros).
8. Prioridad
8.1 Si hay algún conflicto o incoherencia entre las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos, el presente Apéndice 1A, el resto de los Términos de los Responsables del Tratamiento de Datos y/o el resto del Contrato, prevalecerán las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos.
8.2 Cláusulas Comerciales Adicionales. De conformidad con las adendas realizadas a los presentes Términos de los Responsables del Tratamiento de Datos, el Contrato continúa siendo válido. De la Sección 5.5 (Ponerse en Contacto con Google) a la 5.7 (Eliminación de Datos tras la Resolución) y 6 (Responsabilidad si se Aplican las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos) del presente Apéndice 1A son cláusulas comerciales adicionales relativas a las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos que permite la Cláusula 2(a) (Effect and invariability of the Clauses) de las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos.
8.3 Sin Modificación de las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos. Nada de lo establecido en el Contrato (incluidos los presentes Términos de los Responsables del Tratamiento de Datos) pretende modificar o contradecir las Cláusulas Contractuales Tipo del Responsable del Tratamiento de Datos ni perjudicar los derechos o libertades fundamentales de los afectados en virtud de la Legislación sobre Protección de Datos Europea.
PARTE B: TÉRMINOS ADICIONALES A LAS LEYES DE PRIVACIDAD DE LOS ESTADOS DE EE. UU.
1. Introducción.
Google puede ofrecer (y el Cliente, activar) determinados ajustes, configuraciones u otras funciones en los Servicios de Medición relacionados con el tratamiento de datos restringido, tal como se describe en la documentación complementaria disponible en business.safety.google/rdp y que se actualiza ocasionalmente (en adelante, el "Tratamiento de Datos Restringido" o TDR). El presente Apéndice 1B refleja el acuerdo de las partes respecto al tratamiento de los Datos Personales del Cliente y los Datos Desidentificados (según se define a continuación), de conformidad con el Contrato en relación con las Leyes de Privacidad de los Estados de EE. UU., y tiene validez exclusivamente en la medida en que se aplique cada una de estas leyes.
2. Definiciones e Interpretación Adicionales.
En este Apéndice 1B, los términos definidos se entenderán del siguiente modo:
- (a) "Datos Personales del Cliente" hace referencia a los datos personales que Google trata en nombre del Cliente en la prestación por parte de Google de los Servicios de Medición.
- (b) "Datos Desidentificados" hace referencia a la información "desidentificada" (tal como se define en la CCPA) y los "datos desidentificados" (según la definición de otras Leyes de Privacidad de los Estados de EE. UU.) que revela una parte a la otra.
- (c) "Instrucciones" hace referencia de forma conjunta a las instrucciones del Cliente a Google para tratar los Datos Personales del Cliente de acuerdo con las Leyes de Privacidad de los Estados de EE. UU.: (a) para proporcionar los Servicios de TDR y cualquier asistencia técnica relacionada; (b) tal como se especifica a través del uso por parte del Cliente de los Servicios de TDR (incluidos los ajustes y la funcionalidad de dichos Servicios de TDR) y cualquier asistencia técnica relacionada; (c) tal como se documenta en el Contrato, incluido el presente Apéndice 1B; (d) tal como se documenta en otras instrucciones proporcionadas por escrito por el Cliente y reconocidas por Google como instrucciones constitutivas para los propósitos del presente Apéndice 1B; y (e) para tratar los Datos Personales del Cliente de acuerdo con las Leyes de Privacidad de los Estados de EE. UU. para proveedores de servicios y encargados del tratamiento.
- (d) "Servicios de TDR" hace referencia a los Servicios de Responsables del Tratamiento de Datos que funcionan con Tratamiento de Datos Restringido.
- (e) "Periodo de Vigencia" hace referencia al periodo desde la Fecha de Entrada en Vigor de los Términos hasta el final de la prestación por parte de Google de los Servicios de Medición en virtud del Contrato.
- (f) Los términos "empresa", "consumidor", "información personal", "ventas", "vender", "proveedor de servicios" y "compartir", tal como se utilizan en el presente Apéndice 1B tienen los significados establecidos en las Leyes de Privacidad de los Estados de EE. UU.
- (g) El Cliente es el único responsable del cumplimiento de las Leyes de Privacidad de los Estados de EE. UU. en lo que respecta al uso de los servicios de Google, incluido el Tratamiento de Datos Restringido.
3. Términos de las Leyes de Privacidad de los Estados de EE. UU. (de acuerdo con el Tratamiento de Datos Restringido).
3.1 Tratamiento de Datos.
3.1.1
- (a) Responsabilidades del Encargado del Tratamiento y del Responsable del Tratamiento. Las partes reconocen y aceptan que:
- (i) La Sección 7 (Objeto y Detalles del Tratamiento de Datos de Acuerdo con las Leyes de Privacidad de los Estados de EE. UU.) del presente Apéndice 1B describe el objeto y los detalles del tratamiento de los Datos Personales del Cliente.
- (ii) Google es el proveedor de servicios y encargado del tratamiento de los Datos Personales del Cliente en virtud de las Leyes de Privacidad de los Estados de EE. UU.
- (iii) El Cliente es responsable o encargado, según corresponda, del tratamiento de Datos Personales del Cliente en virtud de las Leyes de Privacidad de los Estados de EE. UU.
- (b) Clientes del Encargado del Tratamiento. Si el Cliente es el encargado del tratamiento:
- (i) El Cliente garantiza de forma continuada que el responsable del tratamiento pertinente ha autorizado: (A) las Instrucciones, (B) el nombramiento de Google como otro encargado del tratamiento por parte del Cliente, y (C) la contratación de subcontratistas por parte de Google, tal como se describe en el apartado 3.6 (Subcontratistas) del presente Apéndice 1B.
- (ii) El Cliente reenviará inmediatamente al responsable del tratamiento de datos pertinente cualquier aviso proporcionado por Google en virtud de los apartados 3.3.2(a) (Notificación de Incidentes) y 3.6 (Subcontratistas).
- (iii) El Cliente podrá poner a disposición del responsable del tratamiento oportuno cualquier información proporcionada por Google en virtud de los apartados 3.3.3(c) (Derechos de Auditoría del Cliente) y 3.6 (Subcontratistas).
3.1.2 Instrucciones del Cliente. Al suscribir el presente Apéndice 1B, el Cliente instruye a Google para que realice el tratamiento de los Datos Personales del Cliente solo de acuerdo con las Instrucciones.
3.1.3 Cumplimiento de las Instrucciones por Parte de Google. Google cumplirá las Instrucciones a menos que estén prohibidas por las Leyes de Privacidad de los Estados de EE. UU.
3.1.4 Productos Adicionales. Si el Cliente utiliza un producto, servicio o aplicación proporcionados por Google o un tercero que: (a) no forme parte de los Servicios de TDR; y (b) sea accesible para su uso dentro de la interfaz de usuario de los Servicios de TDR o esté integrado de otra manera con los Servicios de TDR (un "Producto Adicional"), los Servicios de TDR podrán permitir que ese Producto Adicional acceda a los Datos Personales del Cliente según sea necesario para la interoperabilidad del Producto Adicional con estos Servicios. Para mayor claridad, el presente Apéndice 1B no se aplica al tratamiento de los datos personales en relación con la provisión de ningún Producto Adicional utilizado por el Cliente, incluidos los datos personales transmitidos desde ese Producto Adicional o hacia el mismo.
3.2 Eliminación de los Datos al Vencimiento de la Vigencia. El Cliente puede solicitar a Google que elimine los Datos Personales del Cliente restantes (incluidas las copias que se hayan realizado) de los sistemas de Google cuando finalice la Vigencia, de acuerdo con la legislación aplicable. Google cumplirá las presentes instrucciones tan pronto como sea razonablemente posible y dentro de un periodo máximo de 180 días, salvo que las leyes aplicables exijan su almacenamiento.
3.3 Seguridad de los Datos.
3.3.1 Medidas de Seguridad y Asistencia de Google.
- (a) Medidas de Seguridad de Google. Google implementará y mantendrá medidas técnicas y organizativas para proteger los Datos Personales del Cliente frente a la destrucción, la pérdida, la alteración y la divulgación o el acceso sin autorización accidentales o indebidos (en adelante, las "Medidas de Seguridad"). Las Medidas de Seguridad incluyen medidas para: (i) cifrar los datos personales; (ii) garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuadas de los sistemas y servicios de Google; (iii) restaurar rápidamente el acceso a los datos personales tras un incidente; y (iv) llevar a cabo pruebas periódicas de efectividad. Google puede actualizar o modificar las Medidas de Seguridad ocasionalmente, siempre que dichas actualizaciones y modificaciones no den lugar a una degradación de la seguridad general de los Datos Personales del Cliente.
- (b) Acceso y Cumplimiento. Google se asegurará de que todas las personas con autorización para tratar los Datos Personales del Cliente se hayan comprometido a su confidencialidad o tengan una obligación legal de confidencialidad.
- (c) Asistencia de Seguridad de Google. Google (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales del Cliente y la información disponible para Google) prestará asistencia al Cliente (o al responsable del tratamiento oportuno, en los casos en los que el Cliente sea el encargado del tratamiento) para que cumpla las obligaciones del Cliente con respecto a la seguridad de los datos personales y a las brechas de seguridad de dichos datos, incluidas las obligaciones del Cliente (o del responsable del tratamiento oportuno, en los casos en los que el Cliente sea el encargado del tratamiento) con respecto a dicha materia y en virtud de las Leyes de Privacidad de los Estados de EE. UU. Google prestará esta asistencia de las siguientes maneras:
- (i) Implementando y manteniendo las Medidas de Seguridad de acuerdo con el apartado 3.3.1(a) (Medidas de Seguridad de Google).
- (ii) Cumpliendo los términos del apartado 3.3.2 (Incidentes de Datos).
- (iii) Proporcionando al Cliente los derechos concedidos en virtud del apartado 3.3.3(c) (Derechos de Auditoría del Cliente).
3.3.2 Incidentes de Datos.
- (a) Notificación de Incidentes. Si Google tiene conocimiento de un Incidente de Datos (tal como se define más abajo), deberá: (i) notificar el Incidente de Datos al Cliente sin retrasos indebidos y (ii) tomar rápidamente medidas razonables para minimizar el daño y proteger los Datos Personales del Cliente. En este Apéndice 1B, "Incidente de Datos" hace referencia a una brecha de seguridad de Google que lleva a una situación accidental o ilegítima de destrucción, pérdida, alteración y acceso o divulgación sin autorización de Datos Personales del Cliente alojados en los sistemas que Google gestiona o controla de forma alguna. No se consideran "Incidentes de Datos" los intentos fallidos ni las actividades que no comprometan la seguridad de los Datos Personales del Cliente, incluidos los intentos fallidos de inicio de sesión, pings, exploraciones de puertos, ataques de denegación de servicio y otros ataques de red a los cortafuegos o a los sistemas en red.
- (b) Entrega de la Notificación. Google enviará la notificación de cualquier Incidente de Datos a la dirección de correo electrónico designada por el Cliente, a través de la interfaz de usuario de los Servicios de TDR o de otros medios proporcionados por Google, para recibir determinadas notificaciones de Google relacionadas con el presente Apéndice 1B ("Dirección de Correo Electrónico a Efectos de Notificaciones") o, a discreción de Google (incluso si el Cliente no ha proporcionado la Dirección de Correo Electrónico a Efectos de Notificaciones), mediante otra comunicación directa (por ejemplo, una llamada telefónica, un correo electrónico o una reunión presencial). El Cliente es el único responsable de proporcionar la Dirección de Correo Electrónico a Efectos de Notificaciones y de garantizar que esta Dirección esté al día y sea válida.
- (c) Notificaciones de Terceros. El Cliente es el único responsable de cumplir las leyes de notificación de incidentes aplicables al Cliente y de cumplir las obligaciones de notificación de terceros relacionadas con cualquier Incidente de Datos.
- (d) Ausencia de Reconocimiento de Culpa por Parte de Google. La notificación o respuesta de Google a un Incidente de Datos en virtud del presente apartado 3.3.2 (Incidentes de Datos) no se interpretará como un reconocimiento por parte de Google de ninguna culpa ni responsabilidad con respecto al Incidente de Datos.
3.3.3 Responsabilidades y Evaluación de Seguridad del Cliente.
- (a) Responsabilidades de Seguridad del Cliente. El Cliente acepta que, sin perjuicio de las obligaciones de Google en virtud de los apartados 3.3.1 (Medidas de Seguridad y asistencia de Google) y 3.3.2 (Incidentes de Datos):
- (i) El Cliente es responsable del uso que haga de los Servicios de TDR, lo que incluye lo siguiente: (1) hacer un uso correcto de los Servicios de TDR para garantizar un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales del Cliente; y (2) proteger las credenciales, los sistemas y los dispositivos de autenticación de cuenta que utilice el Cliente para acceder a los Servicios de TDR.
- (ii) Google no tiene la obligación de proteger los Datos Personales del Cliente que el Cliente decida almacenar o transferir fuera de los sistemas de Google y de sus subcontratistas.
- (b) Evaluación de Seguridad del Cliente. El Cliente confirma y acepta que las Medidas de Seguridad implementadas y mantenidas por Google, tal como se estipula en el apartado 3.3.1(a) (Medidas de Seguridad de Google), proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos Personales del Cliente, teniendo en cuenta las posibilidades tecnológicas más punteras, los costes de implementación y la naturaleza, el alcance, el contexto y los propósitos del tratamiento de los Datos Personales del Cliente, así como los riesgos para los individuos.
- (c) Derechos de Auditoría del Cliente.
- (i) El Cliente podrá realizar una auditoría para verificar el cumplimiento por parte de Google de sus obligaciones en virtud del presente Apéndice 1B. Para ello, podrá solicitar y revisar (1) un certificado emitido para la verificación de seguridad que refleje el resultado de una auditoría realizada por un tercero (por ejemplo, SOC 2 tipo II, una certificación ISO/IEC 27001 o similar, o bien otra certificación de seguridad de una auditoría realizada por un tercero acordado entre el Cliente y Google) en un plazo de 12 meses a partir de la fecha de la solicitud del Cliente; y (2) cualquier otra información que Google determine que sea razonablemente necesaria para verificar su cumplimiento.
- (ii) Asimismo, Google podrá, a su entera discreción y en respuesta a una solicitud del Cliente, iniciar una auditoría externa para verificar el cumplimiento de sus obligaciones en virtud del presente Apéndice 1B. En estas auditorías, Google pondrá a disposición del auditor externo toda la información necesaria para demostrar su cumplimiento. Si es el Cliente quien solicita la auditoría, puede que se le cobre la tarifa (basada en los costes razonables de Google) correspondiente. Google proporcionará al Cliente más detalles de cualquier tarifa aplicable, así como la base de su cálculo, antes de cualquier auditoría. El Cliente será responsable de todas las tarifas cobradas por cualquier auditor externo elegido por el Cliente para que realice dicha auditoría.
- (iii) Nada de lo previsto en el presente Apéndice 1B requerirá que Google revele al Cliente o a su auditor externo, o que permita al Cliente o a su auditor externo, acceder a:
- (1) Datos de cualquier otro cliente de una Entidad de Google.
- (2) Cualquier información financiera o contable interna de una Entidad de Google.
- (3) Cualquier secreto comercial de una Entidad de Google.
- (4) Cualquier información que, en la opinión razonable de Google, pueda: (A) poner en peligro la seguridad de los sistemas o las instalaciones de alguna Entidad de Google; o (B) hacer que cualquier Entidad de Google incumpla sus obligaciones en virtud de las Leyes de Privacidad de los Estados de EE. UU. o sus obligaciones de seguridad y/o privacidad en relación con el Cliente o con un tercero.
- (5) Cualquier información a la que el Cliente o su auditor externo intenten acceder por cualquier motivo que no sea el cumplimiento de buena fe de las obligaciones del Cliente conforme a las Leyes de Privacidad de los Estados de EE. UU.
3.4 Asistencia con las Evaluaciones de Impacto. Google (teniendo en cuenta la naturaleza del tratamiento y la información disponible para Google) prestará asistencia al Cliente (o al responsable del tratamiento oportuno, en los casos en los que el Cliente sea el encargado del tratamiento) para que cumpla sus obligaciones en relación con las evaluaciones de impacto relativas a la protección de datos y las consultas normativas anteriores, en la medida en que lo exijan las Leyes de Privacidad de los Estados de EE. UU.:
- (a) Proporcionando la Documentación de Seguridad.
- (b) Facilitando la información incluida en el Contrato (incluido el presente Apéndice 1B).
- (c) Aportando o poniendo a su disposición, de acuerdo con las prácticas estándar de Google, otros materiales relacionados con la naturaleza de los Servicios de TDR y el tratamiento de los Datos Personales del Cliente (por ejemplo, materiales del Centro de Ayuda).
3.5 Derechos de los Afectados.
3.5.1 Respuestas a Solicitudes de los Afectados. Si Google recibe una solicitud de un afectado en relación con los Datos Personales del Cliente, el Cliente autoriza a Google y este, por la presente, le notifica al Cliente que va a:
- (a) Responder directamente a la solicitud del afectado de acuerdo con las funciones estándar de una herramienta (si la hubiera) que una Entidad de Google haya puesto a disposición de los afectados y que permita a Google responder directamente y de manera estandarizada a determinadas solicitudes de los afectados en relación con los Datos Personales del Cliente, como los ajustes de publicidad online o un complemento de inhabilitación del navegador ("Herramienta del Afectado"), en caso de que la solicitud se presente a través de una Herramienta del Afectado.
- (b) Aconsejar al afectado que envíe su solicitud al Cliente, y este será responsable de responder a dicha solicitud (si la solicitud no se realiza a través de una Herramienta del Afectado).
3.5.2 Asistencia de Google con la Solicitud del Afectado. Google prestará asistencia al Cliente (o al responsable del tratamiento oportuno, en los casos en los que el Cliente sea el encargado del tratamiento) para que cumpla sus obligaciones de acuerdo con las Leyes de Privacidad de los Estados de EE. UU. en respuesta a las solicitudes para ejercer los derechos del afectado, en todos los casos, teniendo en cuenta la naturaleza del tratamiento de Datos Personales del Cliente, y:
- (a) Proporcionando las funciones de los Servicios de TDR.
- (b) Cumpliendo con los compromisos establecidos en el apartado 3.5.1 (Respuestas a las Solicitudes de los Afectados).
- (c) Poniendo a su disposición Herramientas del Afectado, si procede en lo que respecta a los Servicios de TDR.
3.5.3 Rectificación. Si el Cliente tiene constancia de que cualquiera de los Datos Personales del Cliente son inexactos o están obsoletos, el Cliente será responsable de rectificar o eliminar los datos en cuestión si así lo requieren las Leyes de Privacidad de los Estados de EE. UU., lo que incluye el uso de las funciones de los Servicios de TDR (si están disponibles).
3.6 Subcontratistas.
- (a) Por lo general, el Cliente autoriza a Google a contratar a otras entidades como subcontratistas en relación con la prestación de los Servicios de TDR. Al contratar a cualquier subcontratista, Google:
- (i) Garantizará a través de un contrato por escrito que: (1) el subcontratista solo accede y utiliza los Datos Personales del Cliente en la medida en que sea necesario para el cumplimiento de las obligaciones a las que se ha subcontratado, y lo haga de conformidad con el Contrato (incluido el presente Apéndice 1B); y (2) si el tratamiento de los Datos Personales del Cliente está sujeto a las Leyes de Privacidad de los Estados de EE. UU., deberá cerciorarse de que las obligaciones de protección de datos del presente Apéndice 1B se impongan al subcontratista.
- (ii) Deberá notificarlo a los nuevos subcontratistas que se contraten y ofrecer una oportunidad al Cliente para oponerse a dichos subcontratistas, si así lo exigen las Leyes de Privacidad de los Estados de EE. UU.
- (iii) Seguirá siendo completamente responsable de todas las obligaciones subcontratadas y de todos los actos y omisiones del subcontratista.
- (b) El Cliente puede oponerse a cualquier nuevo subcontratista rescindiendo el Contrato por conveniencia inmediatamente después notificarlo por escrito a Google, con la condición de que el Cliente proporcione dicha notificación en el plazo de 90 días tras ser informado de la contratación del nuevo subcontratista, tal como se describe en el apartado 3.6(a)(ii) en el presente documento.
3.7 Ponerse en Contacto con Google. El Cliente puede ponerse en contacto con Google en relación con el ejercicio de sus derechos en virtud del presente Apéndice 1B a través de los métodos descritos en privacy.google.com/businesses/processorsupport o por otros medios que pueda proporcionar Google ocasionalmente.
4. Términos de las Leyes de Privacidad de los Estados de EE. UU.
4.1 Datos Desidentificados. En lo que respecta al tratamiento de los Datos Personales del Cliente con o sin el Tratamiento de Datos Restringido habilitado, y en la medida en que una o varias de las Leyes de Privacidad de los Estados de EE. UU. se apliquen al tratamiento de estos Datos Personales, cada parte cumplirá con los requisitos del tratamiento de los Datos Desidentificados en virtud de las Leyes de Privacidad de los Estados de EE. UU. en lo que respecta a los Datos Desidentificados que reciba de la otra parte de conformidad con el Contrato. A efectos del presente apartado 4.1 (Datos Desidentificados), el término "Datos Personales del Cliente" hace referencia a los datos personales tratados por una parte en virtud del Contrato y en relación con la prestación o el uso de los Servicios de Medición.
5. Obligaciones de Google en Virtud de la CCPA.
5.1 En lo referente al tratamiento de los Datos Personales del Cliente en virtud del Tratamiento de Datos Restringido, y en la medida en que la CCPA se aplique a dicho tratamiento de Datos Personales del Cliente, Google actuará como proveedor de servicios del Cliente, y, a menos que se indique lo contrario para los proveedores de servicios en la CCPA, según lo determine razonablemente Google:
- (a) Google no venderá ni compartirá los Datos Personales del Cliente que obtenga del Cliente en relación con el Contrato.
- (b) Google no conservará, utilizará ni revelará los Datos Personales del Cliente (incluidos los de fuera de las relaciones comerciales directas entre Google y el Cliente) para fines distintos a los empresariales, según lo estipulado en la CCPA, en nombre del Cliente y para el propósito específico de prestar los Servicios de TDR, tal como se describe con más detalle en la documentación disponible en business.safety.google/rdp, y que se actualiza ocasionalmente.
- (c) Google no combinará los Datos Personales del Cliente que reciba del Cliente ni en su nombre con (i) información personal que Google reciba de otra persona o personas, o en nombre de otra persona o personas, ni (ii) información personal recogida de la interacción de Google con el consumidor, tal como se describe más adelante en la documentación complementaria disponible en business.safety.google/rdp, en la medida en que lo permita la CCPA.
- (d) Google tratará los Datos Personales del Cliente con el fin específico de prestar los Servicios de TDR, según se describe más adelante en el Contrato y en la documentación complementaria (por ejemplo, artículos del Centro de Ayuda), o en la medida en que lo permita la CCPA. Asimismo, las partes acuerdan que el Cliente ponga esos Datos Personales del Cliente a disposición de Google con dichos fines.
- (e) Google permitirá que se realicen auditorías que verifiquen el cumplimiento de sus obligaciones en virtud del presente Apéndice 1B de acuerdo con el apartado 3.3.3(c) (Derechos de Auditoría del Cliente) de este documento.
- (f) Google avisará al Cliente si determina que ya no puede cumplir las obligaciones que estipula la CCPA. Este apartado 5.1(f) no merma los derechos ni las obligaciones de ninguna de las partes en otras partes del Contrato.
- (g) Si el Cliente cree razonablemente que Google está tratando Datos Personales del Cliente de forma no autorizada, el Cliente tiene derecho a informar a Google sobre ello a través de los métodos descritos en privacy.google.com/businesses/processorsupport. Asimismo, las partes colaborarán de buena fe para corregir las actividades de tratamiento presuntamente infractoras, si es necesario.
- (h) Google cumplirá las obligaciones aplicables en virtud de la CCPA y proporcionará el mismo nivel de protección de la privacidad que requiere la CCPA.
5.2 En lo que respecta al tratamiento de Datos Personales del Cliente sin estar habilitado el Tratamiento de Datos Restringido, y en la medida en que la CCPA se aplique al tratamiento de Datos Personales del Cliente:
- (a) Google tratará los Datos Personales del Cliente con el fin específico de prestar los Servicios de Medición que corresponda, según se describe más adelante en el Contrato y en la documentación complementaria (por ejemplo, artículos del Centro de Ayuda), o en la medida en que lo permita la CCPA. Asimismo, las partes acuerdan que el Cliente ponga esos Datos Personales del Cliente a disposición de Google con dichos fines.
- (b) Google permitirá que se realicen auditorías que verifiquen el cumplimiento de sus obligaciones en virtud del presente Apéndice 1B de acuerdo con el apartado 3.3.3(c) (Derechos de Auditoría del Cliente) de este documento.
- (c) Google avisará al Cliente si determina que ya no puede cumplir las obligaciones que estipula la CCPA.
- (d) Si el Cliente cree razonablemente que Google está tratando Datos Personales del Cliente de forma no autorizada, tiene derecho a informar a Google sobre ello a través de los métodos descritos en privacy.google.com/businesses/processorsupport; y las partes colaborarán de buena fe para corregir las actividades de tratamiento presuntamente infractoras, si es necesario.
- (e) Google cumplirá las obligaciones aplicables en virtud de la CCPA y proporcionará el mismo nivel de protección de la privacidad que requiere la CCPA.
6. Cambios en el Apéndice 1B.
Además de la Sección 7 de los Términos de los Responsables del Tratamiento de Datos (Cambios en estos Términos de los Responsables del Tratamiento de Datos), según corresponda, Google puede cambiar este Apéndice 1B sin previo aviso siempre que el cambio (a) se base en la legislación aplicable, en las normativas aplicables, en una resolución judicial o en una directriz emitida por parte de un organismo regulador o un organismo público; o bien (b) no tenga un efecto adverso sustancial en el Cliente conforme a las Leyes de Privacidad de los Estados de EE. UU., según lo determine Google de manera razonable.
7. Objeto y Detalles del Tratamiento de Datos de Acuerdo con las Leyes de Privacidad de los Estados de EE. UU.
La prestación por parte de Google de los Servicios de TDR y de cualquier otra asistencia técnica relacionada al Cliente.
Duración del Tratamiento
La Vigencia más el periodo a partir del fin de la Vigencia hasta la eliminación por parte de Google de todos los Datos Personales del Cliente de acuerdo con el presente Apéndice 1B.
Naturaleza y Propósito del Tratamiento
Google tratará (lo que incluye recoger, registrar, organizar, estructurar, almacenar, alterar, recuperar, utilizar, divulgar, combinar, borrar y destruir, según corresponda a los Servicios de TDR y a las Instrucciones) los Datos Personales del Cliente con el propósito de proporcionar al Cliente los Servicios de TDR y cualquier asistencia técnica relacionada de acuerdo con el Apéndice 1B, o según lo permitido por los encargados del tratamiento en virtud de las Leyes de Privacidad de los Estados de EE. UU.
Tipos de Datos Personales
Los Datos Personales del Cliente pueden incluir los tipos de datos personales descritos en virtud de las Leyes de Privacidad de los Estados de EE. UU.
Categorías de Afectados
Los Datos Personales del Cliente afectan a las siguientes categorías de afectados:
- Los afectados sobre los cuales Google recoge datos personales en su prestación de los Servicios de TDR.
- Los afectados cuyos datos personales se transfieren a Google en relación con los Servicios de TDR por parte del Cliente, según las indicaciones del Cliente o en su nombre.
Dependiendo de la naturaleza de los Servicios de TDR, estos afectados pueden incluir individuos: (a) a quienes haya ido dirigida o vaya dirigida en un futuro la publicidad online; (b) que hayan visitado sitios web o aplicaciones específicos con respecto a los cuales Google proporcione los Servicios de TDR; o (c) que sean clientes o usuarios de los productos o servicios del Cliente.
Términos de Protección de Datos de Medición de Google entre Responsables de Tratamiento de Datos, versión 4.0