Las Mejores Empresas Para Trabajar, S.A.P.I. de C.V.

Contrato de Productos y

Servicios.

Octubre 1, 2023

CONTENIDO

1. DEFINICIONES
2. OBLIGACIONES DEL CLIENTE

Cooperación y asistencia

Telecomunicaciones y servicios de Internet

3. CUOTAS

Cuotas

Facturas y Pago

Créditos por Servicios Futuros

4. PROPIEDAD Y USO DE LOS DATOS

Datos de clientes

Datos agregados y datos sin tratar

5. PROPIEDAD INTELECTUAL
6. CONFIDENCIALIDAD
7. SEGURIDAD DE LA INFORMACIÓN
8. PRIVACIDAD DE LOS DATOS

Derechos de los interesados

Derechos a auditorías, inspecciones, evaluaciones de impacto sobre la

protección de datos y consultas previas

Remuneración y costes

Supresión de datos personales de clientes

Subencargados

Violación de datos personales

9. DECLARACIONES Y GARANTÍAS ADICIONALES DE GPTW

Informe de transparencia GPTW y transferencia de datos desde la UE

10. DURACIÓN Y RESCICIÓN

Plazo

Rescisión por causa justificada

Derechos y obligaciones tras el vencimiento o la rescisión

Supervivencia

11. INDEMNIFICACION
12. LIMITACIÓN DE RESPONSABILIDAD
13. GENERAL

Gastos adicionales por trabajos no indicados en la orden de pedido GPTW

Renuncia

Avisos

Cesión

Contratista independiente

Divisibilidad

Enmiendas

Uso del nombre/logotipo

Honorarios legales

Seguros

Fuerza mayor

Sucesores y cesionarios

Contrapartidas

Títulos y subtítulos

Litigios

Recursos

Ausencia de terceros beneficiarios

Contrato completo

Formato digital

Este CONTRATO DE PRODUCTOS Y SERVICIOS ( “Contrato”) se incorpora  por referencia y forma parte de la Orden de Servicio (ODS) de LMEPT,   la “External Security Policy” (ESP), disponible en https://www.greatplacetowork.com/externalsecurity-policy; y los Términos y Condiciones de Certificación (Términos de Certificación), disponible en  https://www.greatplacetowork.com/certification-bestworkplaces-lists-terms,  (colectivamente, el “Contrato Principal”) celebrado entre: (i) Las Mejores Empresas Para Trabajar, S.A.P.I. de C,V. (LMEPT) actuando en nombre propio y como licenciataria de  Great Place To Work Institute, Inc.(GPTW ) ; y (ii) el Cliente actuando en su propio nombre y posiblemente como agente de cada Afiliada del Cliente.  LMEPT y el Cliente son cada uno una “Parte” y, colectivamente, las “Partes” de este Contrato.

CONSIDERANDO QUE LMEP y GPTW celebraron un contrato de licencia en virtud del cual LMEPT comercializa en el Territorio Mexicano los productos y servicios de evaluación de la cultura de trabajo, del rendimiento laboral, y de certificación y acreditación de lugares de trabajo, para ayudar a las empresas y organizaciones a evaluar y mejorar sus lugares de trabajo; y

CONSIDERANDO que el Cliente desea contratar a LMEPT para que preste los Servicios (definidos a continuación) de conformidad con los términos del presente Contrato.

POR CONSIGUIENTE, en consideración de las declaraciones aquí contenidas, las Partes acuerdan lo siguiente:

CONDICIONES GENERALES

1. DEFINICIONES

Los términos en mayúsculas no definidos en esta Sección 1 tienen el significado que se les atribuye cuando se utilizan en el Contrato.

• “Afiliado” se refiere a las filiales de propiedad total y mayoritaria de GPTW y a los licenciatarios de Great Place To Work Institute, Inc. sin participación de GPTW, entre los que está LMEPT.

• “Datos Agregados” significa (a) la información específica del Cliente, los datos y el contenido incluido en cualquier informe(s) entregado por GPTW o LMEPT al Cliente en virtud del presente Contrato; y (b) cualquier otro dato agregado que se deriva de los Datos Brutos y que es entregado por GPTW o LMEPT al Cliente en virtud del presente Contrato. Para evitar cualquier duda, los Datos Agregados no incluyen ningún Dato Bruto ni ningún Dato del Cliente.

• “Evaluación” significa cualquier evaluación llevada a cabo por GPTW a través  de LMEPT como parte de los Servicios en virtud de los cuales GPTW utiliza sus herramientas y metodologías para evaluar y medir la cultura del lugar de trabajo (incluyendo, pero no limitado a, el uso de Trust Index Survey, Culture Audit, Culture Brief, Trust Model y Methodology).

• “Certificación” significa el proceso a través del cual los Clientes pueden medir las experiencias de sus empleados y que las experiencias de dichos empleados pueden ser “Certificadas” a través de la confirmación y el desempeño con los Modelos Great Place To Work.

• “Cliente afiliado” se refiere a las filiales de propiedad absoluta y mayoritaria del cliente.
• “Información del Cliente” se refiere a los datos propiedad del Cliente y la información que el Cliente proporciona a LMEPT  y GPTW para que  puedan, como parte de los Servicios, llevar a cabo una Evaluación (por ejemplo, información demográfica y corporativa necesaria para distribuir la Encuesta a los participantes, como dirección de correo electrónico, ID de empleado y otra información de identificación personal) y los datos de su propiedad que pueden ser proporcionados por el Cliente a GPTW para el  Culture Audit  o el Culture Brief.  Para evitar cualquier duda, los Datos del cliente no incluyen los Datos Agregados ni los Datos Brutos.
• “Datos personales del cliente” significa cualquier Dato Personal Tratado por un Encargado en nombre del Cliente de conformidad con o en relación con el Contrato Principal.

• “Consentimiento” del Titular significa cualquier indicación libre, específica, informada e inequívoca de los deseos del Titular por la que éste, mediante una declaración o una clara acción afirmativa, manifieste su consentimiento con el tratamiento de los Datos Personales que le conciernen.

• “Responsable” la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y medios del tratamiento de Datos Personales.

• “Datos” los Datos brutos y los Datos agregados.

• “Legislación sobre protección de datos ” significa el Reglamento General de

Protección de Datos (GDPR) de 2016 de la Unión Europea (UE), la Ley de

Protección del Consumidor de California de 2018 AB 375 (CCPA) y las Leyes de Protección de Datos de cualquier otro país, estado u organismo regulador.

• “Honorarios” se refiere a los honorarios a pagar por el Cliente a LMEPT según lo establecido en el presente Contrato, incluido en el Contrato Principal aplicable.

• “GDPR” significa Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (Reglamento general de protección de datos).
• “GPTW” significa Great Place To Work Institute, Inc

1.15“Propiedad intelectual de GPTW” significa (a) todas las obras protegidas por

Derechos de Autor propiedad de Great Place To Work, Inc., o LMEPT (incluyendo, sin limitación, libros, artículos, folletos, Encuestas, Encuestas del Índice de Confianza, Auditorías Culturales, Resúmenes Culturales, Modelo y Metodología de Confianza, la forma y estructura de los informes, y otros materiales, herramientas y metodologías), independientemente de que los derechos de autor de dichas obras hayan sido registrados en los EE.UU. o en cualquier otra jurisdicción; (b) toda la información y material confidencial propiedad de GPTW o LMEPT o en cualquier otra jurisdicción; (b) toda la información y material confidencial perteneciente a LMEPT o GPTW; (c) todos los nombres, marcas de servicio, iconos y logotipos de GPTW o LMEPT; (d) todas las técnicas, algoritmos y métodos o derechos sobre los mismos propiedad de GPTW o cedidos bajo licencia a GPTW durante la vigencia del presente Contrato y empleados por GPTW en relación con los Servicios GPTW prestados al Cliente; (e) los Datos brutos y los Datos agregados GPTW; (f) los Servicios GPTW; y (g) las Aplicaciones.

• “Materiales GPTW” se refiere a todas las técnicas, algoritmos y métodos o derechos sobre los mismos de los que GPTW sea titular o licenciatario durante la vigencia del presente Contrato y que GPTW emplee en relación con los Servicios prestados al Cliente.

• “Duración Inicial” significa el Plazo Inicial establecido en la ODS respectiva .

• “Derechos de Propiedad Intelectual” se refiere a Derechos de P,atente

(incluyendo, sin limitación, solicitudes y divulgaciones de patentes), Derechos de Autor, Secretos Comerciales o Industriales,  know-how y cualquier otro Derecho de Propiedad Intelectual reconocido en cualquier país o jurisdicción del mundo.

• “Pagos Tardíos” tiene el significado establecido en la Sección 3.2

• “Datos personales” significa cualquier información relativa a una persona física identificada o identificable (“Titular”); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o a uno o más factores específicamente relacionados a la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física. A los efectos del presente Contrato, los Datos Personales excluyen la información proporcionada por una persona directamente a LMEPT o GPTW siempre y cuando LMEPT o GPTW no estuviera recopilando dicha información en nombre del Cliente o con el fin de completar las transacciones requeridas en virtud del presente Contrato.

• “Violación de datos personales” significa una violación de la seguridad que provoque la destrucción accidental o ilícita, o la pérdida, la alteración, la difusión o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo.

• “Derechos de Propiedad Intelectual (DPI) Pre-existentes” tiene el significado establecido en la Sección 5.1.

• “Tratamiento” se entenderá cualquier operación o conjunto de operaciones sobre datos personales, efectuadas o no mediante procedimientos automatizados, y aplicadas a Datos Personales o a conjuntos de Datos Personales, como recabar, registrar, organizar, estructurar, almacenar , adaptar o modificar, extraer, consultar, utilizar, transferir, difundir o de cualquier otra forma permitir el acceso, armonizar o interconectar, bloquear, cancelar o eliminar. La naturaleza y la finalidad, así como el objeto y la duración del Tratamiento de los Datos Personales del Cliente, es recabar datos de encuestas de empleados del Cliente para su tratamiento y archivo con fines de investigación científica e histórica y fines estadísticos que evalúen la cultura, el rendimiento y la acreditación del lugar de trabajo para ayudar a las organizaciones a evaluar y mejorar sus lugares de trabajo.
• “Encargado” significa una persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del Responsable.

• “Datos Brutos” se refiere a las respuestas confidenciales y anónimas recibidas por LMEPT o GPTW del Cliente y de los empleados del Cliente en relación con, entre otras cosas, la(s) Encuesta(s) del Índice de Confianza (Trust Index) y/o la(s) Auditoría(s) Cultural(es) (Culture Audit), el(los) Informe(s) Cultural(es) (Culture Brief), los grupos de discusión y las entrevistas individuales administradas por LMEPT o GPTW en virtud del presente Contrato. Para evitar cualquier duda, los Datos Brutos no incluyen los Datos Agregados ni los Datos del Cliente.

• “Software” significa cualquier software propiedad de GPTW o licenciado por GPTW y utilizado por GPTW para proporcionar los Servicios.

• “Servicios” se refiere a los servicios que LMEPT como licenciataria de GPTW prestará al Cliente, utilizando las herramientas y metodologías de GPTW, y que se describen en la ODS correspondiente .

• “Subencargado” significa cualquier persona (incluyendo a GPTW, cualquier tercero y cualquier Afiliado de GPTW, pero excluyendo un empleado de GPTW o cualquiera de sus subcontratistas) designado por o en nombre de GPTW o cualquier

Afiliado de GPTW para Tratar los Datos Personales del Cliente en nombre del Cliente en relación con el Contrato Principal.

• “Autoridad supervisora” es una autoridad pública independiente establecida por un Estado Miembro de conformidad con el artículo 51 del GDPR.

• “Encuesta” se refiere a la encuesta de compromiso de los empleados del Cliente basada en la web que consta de las preguntas estándar de la encuesta de GPTW y/o preguntas adicionales solicitadas por el Cliente.

• “Plazo” tiene el significado establecido en la Sección 10.1.
• “ODS” significa la Orden de Servicio firmada por el Cliente.
• “Emprising” significa la plataforma de encuestas analíticas de GPTW denominada Emprising.

2. OBLIGACIONES DEL CLIENTE

• Cooperación y asistencia. Como condición para que LMEPT y GPTW cumplan con el presente Contrato, el Cliente deberá en todo momento: (a) proporcionar a LMEPT y GPTW  de buena fe cooperación  y acceso a la información, instalaciones y equipos que GPTW pueda razonablemente requerir para prestar los Servicios, incluyendo, pero no limitado a, proporcionar los Datos del Cliente; (b) proporcionar la asistencia de personal que GPTW pueda razonablemente solicitar de vez en cuando; y (c) cumplir con sus obligaciones en virtud del presente Contrato.
• Telecomunicaciones y servicios de Internet. El Cliente reconoce y acepta que el uso de Servicios de Evaluación por parte del Cliente y sus usuarios depende del acceso a los servicios de telecomunicaciones e Internet. El Cliente y los usuarios del Cliente serán los únicos responsables de adquirir y mantener todos los servicios de telecomunicaciones e Internet y demás hardware y software necesarios para acceder y utilizar los Servicios de Evaluación, incluidos, entre otros, todos los costos,  gastos e impuestos de cualquier tipo relacionados con lo anterior.

3. HONORARIOS

• Como contraprestación por los Servicios por parte de LMEPT y GPTW, el Cliente pagará a LMEPT los honorarios por los importes y en los términos establecidos en la ODS.

• Facturas y Pago.

• El Cliente pagará a LMEPT el monto total de los honorarios no controvertidos, en los términos de pago establecidos en el Contrato Principal y facturados al Cliente. LMEPT se reserve el derecho de suspender los servicios al Cliente si los pagos no se hacen en tiempo. Para reestablecer los Servicios puede ser necesario que el Cliente pague honorarios adicionales.
• LMEPT enviará las facturas por correo electrónico al contacto principal del Cliente especificado en el Contrato Principal. En la ODS se especifican otros requisitos de facturación con respecto a las fechas de vencimiento de los pagos. Las opciones de pago se establecerán en la factura e incluirán el pago por cheque o transferencia, o el pago en línea.

3.3 Créditos para futuros servicios. Si en algún momento LMEPT emite un crédito para futuros servicios al Cliente, el Cliente deberá utilizar los créditos dentro de los doce (12) meses siguientes a la emisión del crédito.

4. PROPIEDAD Y USO DE LOS DATOS

4.1 Datos del cliente.

• Por acuerdo entre LMEPT y el Cliente, los Datos del Cliente y todos los Derechos de Propiedad Intelectual del mismo o los derechos relacionados con éstos son y seguirán siendo propiedad exclusiva del Cliente o de sus licenciantes.

• LMEPT y GPTW utilizarán los Datos del Cliente únicamente para prestar los

Servicios y para los fines para los que dichos Datos del Cliente se facilitaron a

LMEPT y GPTW o para los que posteriormente se autorizó su uso, y GPTW se asegurará de que cualquier Información Personal incluida en los Datos del Cliente se mantenga y proteja adecuadamente de conformidad con la Sección 7.

4.2 Datos Agregados y Datos Brutos.

• Por acuerdo entre LMEPT y El Cliente, los Datos Brutos y los Datos Agregados, así como todos los Derechos de Propiedad Intelectual de los mismos o los derechos relacionados con éstos, son y seguirán siendo propiedad exclusiva de GPTW.

• Para proteger la confidencialidad de los encuestados del Cliente, GPTW no facilitará al Cliente los Datos Agregados. El Cliente podrá utilizar los Datos Agregados únicamente como se describe en la Sección 5.3.

• GPTW se compromete a utilizar los Datos Agregados únicamente para los fines de GPTW, incluyendo, sin limitación, la evaluación comparativa, la creación de mejores prácticas, la certificación de empresas como lugares de trabajo reconocidos, la creación de listas de empresas para su publicación, el análisis estadístico y otros fines de Investigación y Desarrollo.

• Para proteger la confidencialidad de los encuestados del Cliente, GPTW no informará sobre los resultados de las evaluaciones en las que hayan respondido menos de cinco (5) personas de un grupo demográfico de clientes.

5. TRATAMIENTO DE LA PROPIEDAD INTELECTUAL

• Sin perjuicio de cualquier disposición contraria del presente Contrato, (a) todos los Derechos de Propiedad Intelectual pertenecientes a una Parte, subcontratista o tercero antes de la Fecha de Entrada en Vigor, o creados sin conexión con la prestación de los Servicios por parte de LMEPT y GPTW (“DPI Preexistentes”) permanecerán con, y serán conferidos a la Parte, subcontratista o tercero (según corresponda), y no se entenderá como cedida en virtud del presente Contrato (b) todos los Derechos de Propiedad Intelectual sobre todas las mejoras y modificaciones, o trabajos derivados, de cualquier DPI Preexistente realizados por cualquiera de las Partes pertenecerán al propietario del DPI Preexistente correspondiente.

• Por acuerdo entre a LMEPT y el Cliente, la Propiedad Intelectual de GPTW, y todos los Derechos de Propiedad Intelectual relacionados con ésta (excepto los derechos limitados concedidos al Cliente y a los usuarios del Cliente en el presente documento), son y seguirán siendo propiedad exclusiva de GPTW o de sus licenciantes.  El Cliente no adquiere ningún derecho sobre la Propiedad Intelectual de GPTW.  Cualquier uso de la Propiedad Intelectual de GPTW distinto al expresamente descrito en este Contrato requiere la aprobación previa y por escrito de GPTW.

• Sin la aprobación previa por escrito de GPTW, que podrá ser denegada a la sola discreción de GPTW, el Cliente no podrá utilizar o reutilizar cualquier Propiedad Intelectual de GPTW salvo para la recepción de los Servicios durante la vigencia del presente Contrato (incluyendo en cualquier encuesta realizada ya sea internamente   o con otro proveedor fuera del ámbito de aplicación del presente Contrato). Los informes proporcionados por GPTW al Cliente pueden ser distribuidos internamente por el Cliente, pero cualquier distribución externa requiere la aprobación previa por escrito de GPTW, que no será denegada injustificadamente.

• Cada una de las Partes no infringirá ni se apropiará indebidamente de los Derechos de Propiedad Intelectual de la otra Parte o de terceros en el cumplimiento de sus obligaciones en virtud del presente Contrato.

• Cada Parte reconoce y acepta que la Propiedad Intelectual de la otra Parte es propiedad valiosa de la otra Parte. Cada una de las Partes salvaguardará y protegerá la Propiedad Intelectual que reciba. Las Partes no alterarán ni modificarán ni permitirán que otros alteren o modifiquen la Propiedad Intelectual de la otra Parte sin la aprobación previa por escrito de la otra Parte. Únicamente a título de ejemplo, y en ninguna medida como limitación de esta disposición, no podrá revisarse ningún texto ni alterarse, distorsionarse o modificarse en modo alguno ninguna marca o logo.

• En el caso de que una Parte tenga conocimiento de cualquier infracción o uso no autorizado de la Propiedad Intelectual de la otra Parte por dicha Parte, su personal o un tercero, dicha Parte notificará inmediatamente a la otra Parte dicha infracción o uso no autorizado. Si dicha infracción o uso no autorizado es realizado por esa Parte o su personal, esa Parte cesará inmediatamente dicha infracción o uso no autorizado; si dicha infracción o uso no autorizado es realizado por un tercero, esa Parte cooperará con la otra Parte para que el tercero cese dicha infracción o uso no autorizado.

6. CONFIDENCIALIDAD

• Cualquier Dato del Cliente proporcionado por el Cliente a LMEPT o GPTW u

obtenido de otro modo por LMEPT o GPTW como Parte receptora en relación con el negocio o las operaciones del Cliente o de sus clientes o de cualquier persona, empresa, cliente u organización asociada con el Cliente, será tratado por LMEPT y

GPTW como confidencial, y no revelarán los mismos a terceros sin el consentimiento previo por escrito del Cliente.  Las Partes reconocen y acuerdan que los Datos del Cliente no incluyen los Datos Brutos y los Datos Agregados, que son Propiedad Intelectual de GPTW.

• En caso de que el Cliente, como Parte receptora, tenga acceso a cualquier información y/o material confidencial perteneciente a LMEPT o GPTW (incluida la Propiedad Intelectual de GPTW o LMEPT), ya sea dicho acceso intencionado o involuntario, el Cliente tratará dicha información y/o material como confidencial y no revelará dicha información y/o material a terceros sin el consentimiento previo por escrito de GPTW o de LMEPT.
• Las disposiciones de confidencialidad establecidas en el presente documento no se aplicarán a la información confidencial que (a) sea de dominio público o entre en él, salvo que sea por actos u omisiones de la Parte receptora, (b) sea obtenida por la Parte receptora de un tercero que la haya obtenido legalmente sin obligación de confidencialidad, (c) sea o haya sido generada independientemente por la Parte receptora, según conste en documentos escritos, o (d) sea debidamente divulgada por la Parte receptora en virtud de una obligación legal, la orden de un tribunal competente o la de un organismo regulado competente que exija la divulgación de información o material confidencial perteneciente a la otra Parte, siempre que la Parte receptora notifique a la otra Parte antes de su divulgación, , para que puedan tomarse medidas para intentar anular o limitar cualquier divulgación, salvo que dicha notificación esté prohibida.

• Las anteriores obligaciones en materia de confidencialidad se aplicarán con carácter retroactivo, desde el primer contacto entre el Cliente y LMEPT en relación con los Servicios, y permanecerán en pleno vigor y efecto a pesar de cualquier rescisión del presente Contrato.

7. SEGURIDAD DE LOS DATOS

• La plataforma de encuestas analíticas de GPTW denominada Emprising está alojada con el proveedor de la nube Microsoft Azure. GPTW contrata con Azure para mantener el más alto nivel de seguridad de datos y privacidad de datos de cumplimiento global en todo momento. Esta protección legal se transmite a todos los clientes de GPTW a través de las garantías incluidas en el Contrato de Productos y Servicios durante toda la vigencia de nuestro contrato, tal y como se detalla a continuación. Los informes de auditoría de Azure y otra documentación de recursos, así como la herramienta Azure Compliance Manager utilizada por GPTW para cumplir con el GDPR y otras leyes de privacidad se encuentran en las siguientes URL: https://servicetrust.microsoft.com/ y otras ofertas de cumplimiento:

https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings. Un artículo general sobre el cumplimiento de Azure se encuentra aquí: https://www.communicationsquare.com/news/everything-about-gdpr-compliancein-microsoft-cloud/ y un blog aquí: https://azure.microsoft.com/enus/blog/protecting-privacy-in-microsoft-azure-gdpr-azure-policy-updates/ También hay algunos recursos de cumplimiento específicos de cada país. Por ejemplo, el cumplimiento en Alemania se trata en la siguiente URL: https://servicetrust.microsoft.com/ViewPage/GermanComplianceResourcesV3.

• GPTW proporciona el más alto estándar de protección legal garantizando a nuestros clientes que durante toda la vigencia del Contrato Principal , GPTW no ha recibido notificación de incumplimiento de las siguientes normas de la industria: Estados financieros auditados por CPA de la firma Abbott, Stringham & Lynch, la

Organización Internacional de Normalización (ISO) para la seguridad de los datos ISO 27001:2013, la gestión de la continuidad del negocio ISO 22301:2019 y la gestión de la calidad ISO 9001:2015, así como el marco de ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST 2015).  Si procede, GPTW también cumple con el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) a través de un proveedor externo.    GPTW también proporciona estas garantías y declaraciones para la Red GPTW aunque no sea compatible con Emprising.  Las preguntas y respuestas de la encuesta Emprising nunca tocan la Red GPTW.  Cualquier comunicación entre Emprising alojado en Azure y la Red GPTW se limita estrictamente a una conexión VPN segura de extremo a extremo utilizando el protocolo IPSec.  En consecuencia, GPTW considera que las auditorías financieras y de seguridad de terceros de la Red GPTW son de “uso restringido” y confidencial y no las divulga a ningún Cliente.

• GPTW tiene un Director de Protección de Datos (CDPO) y un Auditor Líder Certificado (Auditor) para ISO 27001:2013 para garantizar el cumplimiento de estas normas de la industria. El CDPO y el Auditor dependen directamente del CEO y Presidente de GPTW.

8. PRIVACIDAD DE LOS DATOS

• GPTW realizará esfuerzos comercialmente razonables y coherentes con los estándares del sector para recopilar, transmitir, almacenar, proteger y mantener los Datos y los Datos del cliente obtenidos a través de los Servicios de conformidad con los detalles proporcionados en la Política de privacidad global de GPTW que se encuentra en la siguiente URL: https://www.greatplacetowork.com/privacy-policy. GPTW declara y garantiza que durante la Vigencia cumple con el Reglamento General de Protección de Datos (GDPR) de 2016 de la Unión Europea (UE), la Ley de Protección al Consumidor de California de 2018 AB 375 (CCPA), las Normas de

Privacidad Transfronteriza de la Cooperación Económica Asia-Pacífico (APEC) y las Leyes de Protección de Datos de todos los demás países, estados u organismos reguladores.  GPTW también está certificada en virtud del Escudo de Privacidad EE. UU./UE y EE. UU./CH.  En caso necesario, se adjunta a este Contrato una Cláusula Contractual Tipo ejecutada (nueva CCE) mencionada en la Decisión de Ejecución final del 4 de junio de 2021 publicada por la Comisión Europea. GPTW recopila Datos para tratarlos y archivarlos con fines de investigación científica e histórica y fines estadísticos de evaluación de la cultura, el rendimiento y la acreditación de los lugares de trabajo para ayudar a las organizaciones a evaluar y mejorar sus lugares de trabajo.  Este lenguaje exacto se encuentra en el artículo 89 del GDPR.  Los tipos y categorías de Datos Personales de Clientes que se tratarán se encuentran en la sección demográfica y en las preguntas del Índice de Confianza de la encuesta.

GPTW NO VENDE DATOS PERSONALES a terceros.

• En relación con los Servicios, GPTW puede recibir, tratar y almacenar Datos Personales en los Estados Unidos u otras jurisdicciones. Los Datos Personales recibidos por GPTW serán protegidos por GPTW tal y como se describe en la Sección anterior. En el caso de que se requiera el consentimiento de cualquier individuo antes de la transferencia de Información Personal a GPTW, el Cliente es responsable de obtener el consentimiento de cualquier individuo afectado. Dicho consentimiento deberá ser libre, específico, informado, inequívoco y otorgado mediante una declaración o acción afirmativa clara.

• GPTW cuenta con un Director de Protección de Datos (CDPO por sus siglas en inglés) y personal a tiempo completo para garantizar el cumplimiento de todas las leyes de protección de datos. El CDPO depende directamente del CEO y Presidente de GPTW.  GPTW también emplea a tiempo completo a un Profesional certificado en privacidad de la información (CIPP por sus siglas en inglés) y a un Gestor certificado de privacidad de la información (CIPM por sus siglas en inglés) que están certificados por la Asociación Internacional de Profesionales de la Privacidad en www.iapp.org cuyas credenciales están acreditadas por el American National

Standards Institute (ANSI) bajo la norma 17024:2012 de la Organización Internacional de Normalización (ISO).

• Derechos del Titular. Teniendo en cuenta la naturaleza del Tratamiento, GPTW y cada Afiliado de GPTW (entre éstos LMEPT) ayudarán al Cliente a responder a las solicitudes de ejercicio de los derechos del Titular en virtud de cualquier Ley de

Protección de Datos.  GPTW, a través de LMEPT, notificará inmediatamente al Cliente si cualquier Encargado recibe una solicitud de un Titular en virtud de cualquier Ley de Protección de Datos con respecto a los Datos Personales del Cliente.  GPTW se asegurará de que el Encargado no responda a dicha solicitud salvo por instrucciones documentadas del Cliente o por exigencia de cualquier Ley de Protección de Datos a la que esté sujeto el Encargado, en cuyo caso GPTW, a través de LMEPT. informará al Cliente, en la medida en que lo permita cualquier Ley de Protección de Datos, de dicho requisito legal antes de que el Encargado responda a la solicitud.  La naturaleza y la finalidad, así como el objeto y la duración del Tratamiento de la cuenta es recopilar datos de encuestas de empleados del Cliente para su tratamiento y almacenamiento con fines de investigación científica e histórica y fines estadísticos que evalúen la cultura, el rendimiento y la acreditación del lugar de trabajo, para ayudar a las organizaciones a evaluar y mejorar sus lugares de trabajo. Los tipos y categorías de Datos Personales de Clientes que se tratarán se encuentran en la sección demográfica y en las preguntas del Índice de Confianza de la encuesta.

• Derechos a Auditorías, Inspecciones, Evaluaciones de Impacto de la Protección de Datos (PIAs) y Consultas Previas. GPTW y cada Afiliado de GPTW (entre estos LMEPT) pondrán a disposición del Cliente, previa solicitud, toda la información necesaria para contribuir a las Auditorías, Inspecciones. Evaluaciones de Impacto de Protección de Datos, y Consultas Previas del Cliente en relación con el Tratamiento de los Datos Personales del Cliente por el Encargado para cumplir con los requisitos de cualquier Ley de Protección de Datos. GPTW, a través de LMEPT, informará inmediatamente al Cliente si, en su opinión, una instrucción conforme a esta Sección infringe cualquier Ley de Protección de Datos.  El Cliente que lleve a cabo una Auditoría, Inspección, Evaluación de Impacto de Protección de Datos, o Consulta

Previa en virtud de la presente Sección deberá notificar a GPTW o al Afiliado de GPTW pertinente con una antelación razonable y deberá hacer (y asegurarse de que cada uno de sus auditores encargados haga) esfuerzos razonables para evitar causar cualquier daño, lesión o interrupción a las instalaciones, equipos, personal y negocios del Encargado mientras el personal del Cliente se encuentre en dichas instalaciones en el curso de dicha Auditoría, Inspección, Evaluación de Impacto de Protección de Datos, o Consulta Previa. Un Encargado no necesita dar acceso a sus instalaciones en virtud de esta Sección: (i) a cualquier individuo a menos que él o ella presente pruebas razonables de identidad y autoridad;  (ii) fuera del horario normal de trabajo en dichos locales; o (iii) para más de una Auditoría, Inspección, Evaluación del Impacto de los Datos o Consulta Previa con respecto a cada Encargado en cualquier año natural, excepto si el Cliente es requerido para ello por una Autoridad de Control o cualquier autoridad reguladora similar responsable de la aplicación de las Leyes de Protección de Datos en cualquier país

• Remuneración y costos. El Cliente remunerará a LMEPT y a GPTW en función del tiempo y los costos empleados para cumplir las obligaciones derivadas de esta Sección, basándose en las tarifas horarias de 650 $/hora de CDPO y CIPP de GPTW y en las tarifas horarias de otro personal de GPTW o LMEPT según sea necesario. GPTW y LMEPT también tienen derecho a una remuneración por cualquier tiempo y material utilizado para adaptar y cambiar las actividades de Tratamiento con el fin de cumplir con cualquier cambio en la instrucción del Cliente, incluidos los costos de implementación y los costos adicionales necesarios para cumplir con las obligaciones en virtud del Contrato Principal debido al cambio en la instrucción. LMEPT facturará al Cliente un depósito que deberá pagar antes de realizar los trabajos de esta Sección que requieran remuneración y/o costos.

• Eliminación de datos personales de la empresa. LMEPT y GPTW borrarán y destruirán los Datos Personales del Cliente utilizados en el Tratamiento una vez finalizado su uso en el mismo, como borrar el archivo de nombres de empleados y direcciones de correo electrónico del Cliente cuando se cierre una encuesta.

• GPTW podrá contratar a uno o varios Subencargados en los mismos términos previstos en el presente Contrato. GPTW a través de LMEPT, notificará previamente por escrito al Cliente el nombramiento de cualquier nuevo Subencargado, incluyendo todos los detalles del proceso que llevará a cabo el Subencargado.  Dentro de los cinco (5) días hábiles siguientes a la recepción de dicha notificación, el Cliente podrá notificar por escrito a GPTW, a través de LMEPT, cualquier objeción (por motivos razonables) al nombramiento propuesto.  GPTW seguirá siendo responsable de las acciones de cualquier Subencargado.

• Violación de datos personales. GPTW a través de LMEPT, notificará al Cliente sin demora, y en ningún caso excederá en tiempo 72 horas, después de que un Encargado tenga conocimiento de una Violación de Datos Personales que afecte a Datos Personales del Cliente. Se proporcionará al Cliente información suficiente para permitirle cumplir con cualquier obligación de notificar o informar a los Titulares de la Violación de Datos Personales en virtud de las Leyes de Protección de Datos. GPTW cooperará con el Cliente y tomará las medidas comerciales razonables que le indique el Cliente para ayudar en la investigación, mitigación y remediación de cada Infracción de Datos Personales.

9. DECLARACIONES Y GARANTÍAS ADICIONALES DE GPTW

9.2 9.1 Informe de transparencia de GPTW para transferencias de datos fuera de la UE. El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (UE) emitió una Decisión que invalidaba el uso del Escudo de Privacidad como medio para transferir datos personales de la UE a los  Estados Unidos de América .  La Decisión no invalidó el Escudo de Privacidad en sí mismo y GPTW sigue cumpliendo sus requisitos.  La Decisión confirmó el uso de las Cláusulas Contractuales Tipo (CCT) de 2010 como medio para transferir datos personales de la UE a  los Estados Unidos de América . si el cliente realiza una “evaluación” de GPTW en dos partes.  En primer lugar, GPTW debe informar al Cliente en caso de que no pueda cumplir las CEC, lo que GPTW garantiza.  En segundo lugar, GPTW ha puesto en marcha lo que en la decisión del Tribunal se denomina “medidas suplementarias”.   Una de las medidas suplementarias aplicadas por GPTW es garantizar que GPTW emitirá un Informe de Transparencia en caso necesario. Inicialmente en virtud de un acuerdo con el

Departamento de Justicia de los Estados Unidos de América y posteriormente de la Sección 604 de la Ley de Libertad de los Estados Unidos de América  de 2015, una serie de empresas tecnológicas han publicado estadísticas en “Informes de Transparencia” sobre las órdenes de producción recibidas de las autoridades de seguridad nacional y aplicación de la ley. Los proveedores están autorizados a divulgar estadísticas agregadas sobre el número de solicitudes recibidas en virtud de diversas autoridades penales y de seguridad nacional, pero dadas las órdenes de no divulgación que generalmente acompañan a las cartas FISA y de Seguridad Nacional, las divulgaciones se limitan a un número preestablecido de puntos de datos y al uso de rangos generales de números (“bandas”). Desde su constitución como empresa y hasta la fecha del presente Contrato, GPTW nunca ha recibido ni se le ha notificado una Carta de Seguridad Nacional, una orden en virtud de la Ley de Vigilancia de Inteligencia Extranjera, ni ninguna otra solicitud clasificada de información del usuario en virtud de las leyes de seguridad nacional de los Estados Unidos de América o de cualquier otro país”. En consecuencia, GPTW nunca ha tenido que emitir un Informe de Transparencia. Tal declaración refuerza aún más la proposición de que la confianza en las Cláusulas Estándar Contractual (SCC) puede garantizar una protección adecuada de los datos de los ciudadanos de la UE, a pesar de la existencia de la OE 12333, el PPD 28 y la Sección 702 de la FISA.

9.7 GPTW garantiza al Cliente que los Servicios serán prestados: (i) de manera profesional y de acuerdo con los estándares de la industria; (ii) por personal con las habilidades, conocimientos, experiencia y formación necesarios para llevar a cabo dichos Servicios; y (iii) de conformidad con los requisitos del Contrato Principal y todas las leyes, reglamentos, ordenanzas, órdenes, decretos y requisitos presentes y futuros aplicables a la prestación de los Servicios. GPTW garantiza y declara que realizará los esfuerzos comercialmente razonables para asegurar que ningún Software o Dato incluya y/o cause que los datos y/o el sistema informático del Cliente se infecten por cualquier virus o cualquier otro tipo de programa malicioso (malware).

10. VIGENCIA Y RESCISIÓN

• El presente Contrato comenzará en la Fecha de Entrada en Vigor señalada en la ODS y continuará durante el Plazo establecido en el ODS, (el “Periodo Inicial”), a menos que se rescinda antes según lo dispuesto en el presente Contrato. La ODS regula si este Contrato se renovará automáticamente por periodos de renovación posteriores, cada uno de ellos de duración equivalente al Periodo Inicial, a menos que cualquiera de las Partes notifique a la otra por escrito su intención de no renovar al menos treinta (30) días naturales antes de que finalice el Periodo Inicial o el periodo de renovación en curso, según corresponda. El Periodo Inicial y cualquier periodo de renovación se denominarán colectivamente (la “Vigencia”).

• Rescisión por causa justificada. Cualquiera de las Partes podrá rescindir el presente Contrato mediante notificación por escrito si la otra Parte incumple sustancialmente el presente Contrato y no corrige el incumplimiento en el plazo de treinta (30) días a partir de la notificación por escrito en la que se especifique el incumplimiento; siempre que el período de subsanación de cualquier incumplimiento con respecto al pago de los Honorarios de LMEPT sea de cinco (5) días hábiles a partir del envío de la notificación por escrito.

• Derechos y obligaciones en caso de terminación o rescisión. A la expiración o terminación de este Contrato, el derecho del Cliente y de los usuarios del Cliente a acceder y utilizar los Servicios (y cualquier Propiedad Intelectual de GPTW o de LMEPT) terminará inmediatamente, el Cliente y sus usuarios cesarán inmediatamente todo uso de los Servicios (y cualquier Propiedad Intelectual de GPTW o de LMEPT) excepto los Datos Agregados recibidos en informes que podrán seguir siendo utilizados internamente por el Cliente, y cada una de las Partes devolverá y dejará de utilizar cualquier información, material u otros elementos confidenciales (y todas las copias de los mismos) que pertenezcan a la otra Parte a más tardar diez (10) días hábiles después de la fecha efectiva de expiración o rescisión del presente Contrato.

• Supervivencia. Los derechos y obligaciones de LMEPT y el Cliente contenidos en las Secciones 3 (Honorarios), 4 (Propiedad), 5 (Propiedad Intelectual), 6

(Confidencialidad), 7 (Protección de Datos), 8 (Privacidad de Datos), 11

(Indemnización), 12 (Limitación de Responsabilidad), y 13 (General) sobrevivirán a cualquier expiración o terminación de este Contrato.

11. INDEMNIZACIÓN

• Una Parte liberará, defenderá, eximirá de responsabilidad e indemnizará a la otra Parte y a sus empleados, funcionarios, directores, accionistas, agentes, representantes, sucesores y cesionarios, de y contra cualquier reclamación, demanda, causal de acción legal, pérdida, daño, responsabilidad, costos y gastos, incluidos los honorarios y costos razonables de abogados, que surjan de, resulten de o estén relacionados con (a) cualquier acto u omisión negligente o ilícito, o infracción de la ley por la Parte, o cualquiera de sus empleados, funcionarios, directores, representantes o afiliados; (b) un incumplimiento de cualquier declaración u obligación de una de las  Parte contenidas en el Contrato Principal. Además, una Parte liberará, defenderá, eximirá de responsabilidad e indemnizará a la otra Parte y a sus empleados, funcionarios, directores, accionistas, agentes, representantes, sucesores y cesionarios, de y contra cualquier reclamación, demanda, causal de acción, pérdida, daño, responsabilidad, costos y gastos de terceros, incluidos los honorarios y costos razonables de abogados, que surjan de, resulten de o estén relacionados con cualquier reclamación que alegue infracción o violación de los derechos de propiedad intelectual de cualquier tercero.

• La Parte indemnizada notificará sin demora a la Parte indemnizadora cualquier reclamación sujeta a indemnización, cederá a la Parte indemnizadora el control de la defensa y resolución de la reclamación y prestará asistencia razonable a la Parte indemnizadora con respecto a dicha defensa y resolución.

12. LIMITACIÓN DE RESPONSABILIDAD

• Si una Parte tuviera derecho a reclamar daños y perjuicios a la otra Parte por cualquier motivo en relación con el presente Contrato (incluyendo, sin limitación, por incumplimiento de contrato, incumplimiento de garantía, negligencia u otra reclamación extracontractual), la otra Parte será responsable únicamente por el importe de los daños directos reales de la otra Parte hasta el importe que el Cliente pagó a LMEPT por los Servicios objeto de la reclamación. En ningún caso la responsabilidad agregada de la Parte a la otra Parte, para todas las reclamaciones derivadas o relacionadas con el presente Contrato, excederá el importe de los honorarios pagados por el Cliente a LMEPT en el Periodo Inicial de doce (12) meses del presente Contrato. Estos límites son la responsabilidad máxima de la otra Parte.

• En ningún caso ninguna de las Partes será responsable de: (a) cualquier daño derivado o relacionado con el incumplimiento por la otra Parte o sus filiales o personal de sus responsabilidades; y/o (b) cualquier pérdida de beneficios, pérdida de negocio, pérdida de datos, pérdida de uso, pérdida de ahorros u otros daños consecuentes, especiales, incidentales, indirectos, ejemplares o punitivos, incluso si cualquiera de las Partes ha sido advertida de la posibilidad de tales daños.

• Las limitaciones de responsabilidad contenidas en las Secciones 12.1 y 12.2 no se aplicarán a las responsabilidades derivadas de: (a) negligencia grave, fraude, violación de la ley o tergiversación de una Parte; (b) obligaciones de indemnización de una Parte; o (c) reclamaciones cubiertas por el seguro de una Parte.

13. GENERAL

• Gastos suplementarios por trabajos no indicados en la Orden de Servicio

LMEPT. En un esfuerzo de total transparencia y facilidad de hacer negocios con

LMEPT al menor precio posible para el Cliente, hay un enlace a la Política de Seguridad Externa de GPTW en la parte inferior del sitio web de GPTW US. En dicha Política se encuentran todas las respuestas para rellenar las encuestas de seguridad del Cliente, asimismo el Cliente puede acceder a la información de LMEPT para registrarlo como proveedor. El cliente acepta que si requiere  la participación de LMEPT para llenar una encuesta de seguridad del cliente, el registro, o similares, se facturará por este trabajo adicional a $ 650 dólares de los Estados Unidos de América la hora.

• Exención. Queda entendido y acordado que ningún fallo o retraso por cualquiera de las Partes en el ejercicio de cualquier derecho, poder o privilegio en virtud del presente Contrato, en uno o más casos o para insistir en el estricto cumplimiento de la ejecución del presente Contrato o para aprovechar cualquier derecho respectivo, operará como una renuncia al mismo o la renuncia de tales derechos en otros casos, pero el mismo continuará y permanecerá en pleno vigor y efecto, ni cualquier ejercicio individual o parcial del mismo impedirá cualquier otro o posterior ejercicio del mismo o el ejercicio de cualquier derecho, poder o privilegio en virtud del presente Contrato.

• Todas las notificaciones en virtud del presente se harán por escrito y se entregarán personalmente, con acuse de recibo, a la Parte en la dirección establecida en la ODS de LMEPT.

• Cesión de derechos. El presente Contrato no podrá ser cedido en su totalidad o en parte, o de cualquier otra forma transferido por LMEPT sin el consentimiento previo por escrito del Cliente, pero LMEPT podrá utilizar los servicios de terceros para ayudar a LMEPT en la prestación de los Servicios; en cuyo caso  los terceros deberán firmar un contrato con LMEPT con al menos términos tan limitantes como los de este Contrato. Cualquier intento de cesión o transferencia del presente Contrato que no se ajuste a lo dispuesto en la presente Sección carecerá de efecto legal y se considerará nulo.

• Independencia de las Partes.

• LMEPT es un prestador de servicios independiente y nada de lo aquí estipulado se interpretará en sentido contrario. LMEPT no asumirá ni creará obligaciones o responsabilidades expresas o implícitas, en nombre o representación del Cliente. Para el cumplimiento del Contrato Principal LMEPT utilizará sus propios recursos en la prestación de los Servicios. Los Servicios son automatizados y se prestan mediante una plataforma de GPTW, no obstante, LMEPT suministrará toda la mano de obra necesaria para prestar, los Servicios y podrá utilizar proveedores de servicios s para ello. LMEPT será el único responsable de la dirección y control de los agentes, empleados, representantes y proveedores de LMEPT. El Cliente no tendrá ni ejercerá control disciplinario o autoridad sobre LMEPT o los agentes, empleados, representantes o proveedores.

• Ningún agente, empleado, representante o proveedor de LMEPT será o se considerará empleado, agente, representante o proveedor del Cliente. Las Partes están de acuerdo en que las obligaciones laborales respecto del personal que utilicen para la prestación de los Servicios son exclusiva responsabilidad de cada una de ellas. En ningún caso una Parte asumirá las responsabilidades laborales de la otra

• Si alguna disposición del presente Contrato es considerada inválida por un tribunal de jurisdicción competente, la misma se considerará separable del resto del presente Contrato y las Partes acuerdan renegociar dicha disposición de buena fe, con el fin de mantener la posición económica de que disfruta cada Parte lo más cercana posible a la que tenía en virtud de la disposición declarada inaplicable. En caso de que las Partes no puedan llegar a una sustitución mutuamente aceptable y aplicable de dicha disposición, (i) dicha disposición quedará excluida del presente Contrato, (ii) el resto del Contrato se interpretará como si dicha disposición estuviera excluida y (iii) el resto del Contrato será aplicable de conformidad con sus términos.

• Una vez suscrita la ODS el presente Contrato, como parte integrante de la ODS, tendrá plenos efectos jurídicos sólo podrá modificarse mediante acuerdo por escrito firmado por ambas Partes.

• Uso de nombres/logotipos. El Cliente puede solicitar permiso para el uso del logotipo GPTW, y al hacerlo, debe solicitar llenar y completar el “Acuerdo de Consentimiento de Uso de Materiales del Instituto Great Place To Work®” (el “Formulario de Consentimiento de Material GPTW”) descargable en www.greatplacetowork.com/images/GPTW-Material-Consent-Form.doc. El Cliente entiende que está sujeto a todas las normas y directrices establecidas en el Formulario de Consentimiento de Material de GPTW, la Política de Uso de

Propiedad Intelectual de GPTW en www.greatplacetowork.com/IntellectualProperty-Usage-Policy, la Política de Identidad de Marca de GPTW en https://www.greatplacetowork.com/gptw-brand-identity-policy y la Guía de Uso de Marca de GPTW en que rigen el uso del LOGOTIPO® de Great Place To Work®.

GPTW podrá incluir el nombre del Cliente en una lista de clientes, a menos que el Cliente notifique lo contrario por escrito.

• Honorarios legales. Si fuera necesaria cualquier acción legal o de equidad para hacer cumplir o interpretar este Contrato, la Parte vencedora tendrá derecho al reembolso de los honorarios razonables de abogados, costos y gastos necesarios, además de cualquier otra compensación a la que dicha Parte pueda tener derecho. Las Partes acuerdan que los honorarios del abogado interno de GPTW se facturarán a razón de $650 dólares de los Estados Unidos de América la hora.

13.11 Fuerza Mayor. Ninguna de las Partes será responsable, y su cumplimiento será excusado, por cualquier retraso resultante de circunstancias o causas más allá de su control razonable, incluyendo, sin limitación, incendio u otro siniestro, caso fortuito, huelga o conflicto laboral, guerra, sabotaje, terrorismo, actos de agresión u otro tipo de violencia, siempre que dicha Parte haya hecho esfuerzos comercialmente razonables para mitigar sus efectos y haya notificado por escrito a la otra Parte con prontitud. El plazo de ejecución se prorrogará por el periodo de retraso o imposibilidad de ejecución debido a tales acontecimientos hasta un periodo de treinta (30) días hábiles.

• El presente Contrato podrá ejecutarse en dos o más ejemplares, cada uno de los cuales se considerará un original y todos juntos constituirán un único documento.

• Títulos y Subtítulos. Los títulos y subtítulos utilizados en el presente Contrato se utilizan únicamente por comodidad y no deben tenerse en cuenta a la hora de interpretar el presente Contrato.

• Si surgiera cualquier controversia o desacuerdo entre las Partes con respecto a la interpretación de cualquier disposición del presente Contrato, el cumplimiento de cualquiera de las Partes en virtud del presente Contrato, o cualquier otro asunto que sea objeto de controversia entre las Partes en relación con el presente Contrato, entonces, a petición escrita de cualquiera de las Partes, las Partes se reunirán con el fin de resolver dicha controversia. Las Partes acuerdan discutir el problema y negociar de buena fe sin necesidad de ningún procedimiento formal relacionado con el mismo. Si tales esfuerzos no tienen éxito, las Partes someterán cualquier disputa derivada o relacionada con el presente Contrato a arbitraje vinculante por un único árbitro de conformidad con las normas del Centro de Arbitraje de México. Si fuera necesario hacer cumplir o interpretar el presente Contrato, la Parte vencedora tendrá derecho a que se le reembolsen honorarios razonables de abogados, costos y gastos necesarios, además de cualquier otra reparación a la que pudiera tener derecho dicha Parte. El presente Contrato, y todos los asuntos colaterales al mismo, se regirán por las leyes de los Estados Unidos (incluidas, entre otras, las leyes estadounidenses sobre derechos de autor y marcas comerciales) y las leyes del Estado de Delaware aplicables a los contratos celebrados y que deban ejecutarse íntegramente en dicho Estado, sin tener en cuenta ninguna elección de ley o conflicto de normas jurídicas. Sin perjuicio de lo anterior, cualquiera de las Partes será libre en cualquier momento de solicitar medidas cautelares si la Propiedad Intelectual de una de las Partes está siendo violada por la otra Parte o sus filiales. Para cualquier litigio que pueda surgir con respecto a este Contrato, las partes se someten irrevocable e incondicionalmente (i) a la jurisdicción y competencia exclusivas (y renuncian a cualquier reclamación de “forum non conveniens” (foro no convenido) y a cualquier objeción en cuanto a la determinación de la competencia) del Tribunal de Distrito de los Estados Unidos para el Estado de Massachusetts, o (ii) si dicho tribunal no tiene jurisdicción, al tribunal estatal competente con sede en el condado de Middlesex, Massachusetts, en relación con cualquier acción, pleito o procedimiento que surja de o esté relacionado con el presente Contrato y el objeto del mismo, ya sea contractual, extracontractual (incluida la negligencia) o cualquier otra forma de acción.
• Los derechos y recursos aquí previstos serán acumulativos y ninguno de ellos será exclusivo de ningún otro, y se sumarán a cualquier otro recurso disponible por ley o en equidad.

• Sin Terceros Beneficiarios. Este Contrato está destinado al beneficio único y exclusivo de los firmantes y no está destinado a beneficiar a terceros (salvo lo descrito en la Sección 10). Sólo las Partes de este Contrato podrán hacerlo cumplir.

• Acuerdo Íntegro. Los documentos que integran el Contrato Principal constituyen la totalidad del entendimiento entre las Partes. Todas las declaraciones o compromisos anteriores ya sean verbales o por escrito, quedan anulados por el Contrato Principal.

• Formato Digital. Las Partes acuerdan que el original del Contrato, incluida la página de la firma, podrá ser copiado y almacenado en formato digital en los sistemas informáticos de una de las Partes y que cualquier impresión u otro resultado visualmente legible que reproduzca con exactitud el original del Contrato, podrá ser utilizado para cualquier fin para el que se concibió el original, incluida la prueba del contenido del escrito original.

GREAT PLACE TO WORK INSTITUTE, INC.

CLÁUSULAS CONTRACTUALES ESTÁNDAR SEPTIEMBRE 26, 2021

EL PRESENTE CONTRATO DE TRATAMIENTO  DE DATOS (este “Contrato”) se realiza entre.:

( Nombre del  Cliente)  (en adelante el “Responsable”); y

LAS MEJORES EMPRESAS PARA TRABAJAR, S.A.P.I. DE C.V., sociedad constituida conforme a las leyes de la República Mexicana, con domicilio en Montes Urales No. 424, Lomas de Chapultepec, c.p.11000 Ciudad de México. (el Encargado)

GREAT PLACE TO WORK INSTITUTE, INC., una sociedad constituida conforme a las leyes del Estado de California en Estados Unidos, con dirección en 1999 Harrison Street Suite 2070 Oakland, CA 94612 (el “Sub-Encargado” o “GPTW”).

El Responsable, el Encargado y el Sub Encargado también podrán denominarse aquí colectivamente las “Partes” y cada una individualmente la “Parte”.

1. INFORMACIÓN GENERAL

El Responsable está interesado en los productos y servicios de acreditación laboral ofrecidos por el Encargado y el Sub-Encargado.

El Encargado prestará servicios al Responsable de acuerdo con la Orden de Servicios y el Contrato de Productos y Servicios suscritos entre las Partes (en conjunto el “Contrato de Servicios”), que incluye el tratamiento de datos personales en nombre del Responsable para los fines establecidos en la Sección 1.1 y de conformidad con lo dispuesto en el Anexo 1 del presente documento.  El Encargado y el Sub-Encargado están establecidos en un tercer país, es decir, un país fuera del Espacio Económico Europeo (“EEE”), para el que la Comisión Europea de la Unión Europea no emitió la denominada decisión de adecuación, declarando que garantiza un nivel adecuado de protección de datos, tal y como exige el Reglamento (UE) 2016/679. Por consiguiente, las Partes han acordado incluir determinadas cláusulas contractuales tipo [C(2021) 3972; “CCE”] en el presente Contrato, para legitimar la transferencia de datos prevista de conformidad con el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679. Estas CCE se adjuntan al presente documento como Anexo 1, que debe firmarse por separado. Las Partes han determinado que estas CEC proporcionan una salvaguarda suficiente para garantizar un nivel adecuado de protección de datos para los datos personales que serán tratados por

Encargado en nombre del Responsable, como se establece en la Evaluación de

Impacto de la Transferencia (“EIT”) cuya conclusión se adjunta como Anexo 2.

Como complemento del Anexo 1, se aplicarán los siguientes términos y condiciones. En caso de conflicto o incoherencia entre los términos y condiciones establecidos en el cuerpo del presente Contrato y los CCE incluidos en el Anexo 1, el Anexo 1 prevalecerá y tendrá prioridad en la medida de dicho conflicto o incoherencia en relación con la transferencia de datos personales.

2. DEFINICIONES

Cuando en el presente Acuerdo se utilicen términos definidos en el Reglamento (UE) 2016/679 (el “Reglamento”), dichos términos tendrán el mismo significado que en el Reglamento.

3. OBLIGACIONES DEL RESPONSABLE

El Responsable garantiza y manifiesta que está autorizado en términos de  la legislación aplicable, incluido el Reglamento, a remitir los datos personales al Encargado.

El Responsable garantiza y manifiesta que cumple con todas sus obligaciones en términos   de la legislación aplicable, incluido el Reglamento.

4. DERECHO DE AUDITORÍA (INCLUYENDO INSPECCIÓN)

En el entendido de que el tratamiento de dato personales se lleva a cabo en la plataforma  gestionada por el Sub-Encargado,  previa solicitud por escrito del Responsable, el Sub-Encargado a través del Encargado se compromete a poner a su disposición toda la información y toda la asistencia necesarias para demostrar el cumplimiento de las obligaciones establecidas en el presente Contrato, en la medida en que el Responsable no pueda obtener dicha información por otros medios sin la participación del Encargado  o el Subencargado y en la medida en que sea comercialmente razonable. Además, el Encargado, previa solicitud por escrito del Responsable en el momento oportuno, proporcionará una copia de las auditorías y/o certificaciones del Subencargado o terceros disponibles y más recientes sobre el cumplimiento por parte del Sub-Encargado de los requisitos establecidos en el presente Contrato, o cualquier resumen de las mismas.

Si, basándose en la información obtenida por el Responsable en virtud de la Sección 4.1 del presente Contrato, tiene motivos razonables para dudar del cumplimiento por parte del  Sub-Encargado de los requisitos establecidos en el presente Contrato, el Responsable tendrá derecho, previa notificación por escrito y a intervalos razonables, a verificar el cumplimiento por parte del Sub-Encargado  de los requisitos establecidos en el presente Contrato, solicitando una carta de autocertificación a un representante legal del Sub-Encargado, acompañada de los informes y detalles pertinentes (como copias de los acuerdos de tratamiento suscritos con otros subencargados, detalles sobre la seguridad de la información, etc.) que el SubEncargado se compromete a recopilar en respuesta a la solicitud de autocertificación (colectivamente, la “Carta de Autocertificación”).

Si sobre la base de la información que el Responsable obtuvo en virtud de las Secciones 4.1 y 4.2 del presente Acuerdo, tiene motivos razonables para dudar del cumplimiento por parte del Sub-Encargado de los requisitos establecidos en el presente Contrato, el Responsable tiene derecho a auditar, incluso a inspeccionar (si fuera necesario) en las instalaciones del Sub-Encargado, el tratamiento por parte del Sub-Encargado de los datos personales en virtud del presente Acuerdo, a intervalos razonables o si existen indicios de incumplimiento del presente Contrato por parte del Sub-Encargado. La auditoría se llevará a cabo durante las horas normales de trabajo, previa notificación por escrito al Sub-Encargado, a través del Encargado, con treinta (30) días de antelación, sin interrumpir el curso normal de los negocios del Sub-Encargado. El Responsable opta por ejercer su derecho de auditoría encargando a un auditor externo, independiente y certificado, que será designado en conferencia con el Sub-Encargado.

Las Partes se consultarán mutuamente sobre los resultados de una auditoría a la mayor brevedad posible. El Sub-Encargado aplicará las medidas de mejora propuestas en la medida en que, a su discreción, resulten adecuadas, teniendo en cuenta los riesgos de tratamiento asociados a las actividades de tratamiento, el estado de la técnica, los costos de aplicación y el mercado en el que opera.

El Sub-Encargado a través del Encargado tendrá derecho a facturar al Responsable los costos en que incurra en el contexto de esta Sección del Contrato

5. ASISTENCIA AL RESPONSABLE

El Encargado o el Sub-Encargado asistirán al Responsable en el cumplimiento de la obligación del Responsable de responder a las solicitudes de ejercicio de los derechos del Titular establecidos en el Capítulo II del Reglamento y de las obligaciones previstas en los artículos 32 a 36 del Reglamento: (i) en la medida en que el Responsable no pueda cumplir estos requisitos en virtud del Reglamento sin la asistencia del Encargado o el Sub-Encargado, (ii) en la medida en que la prestación de esta asistencia sea comercialmente razonable en el contexto del ámbito y el alcance de la asistencia requerida y (iii) teniendo en cuenta la naturaleza del proceso y la información disponible para el Encargado o el Sub-Encargado.

El Encargado tendrá derecho a facturar al Responsable los gastos en que incurra éste o el Sub-Encargado en el contexto de la presente Sección 5 del Contrato.

TRANSFERENCIAS FUERA DEL EEE

El Encargado o el Sub-Encargado podrán transferir datos personales a un Sub-

Encargado mencionado en el Anexo III situado fuera del Espacio Económico Europeo (EEE) si el Encargado o el Sub-Encargado, además de cumplir los requisitos establecidos en la Cláusula 8.8 del Anexo 1, suscribe un acuerdo vinculante con otro

Sub-Encargado. Este acuerdo incluirá las obligaciones derivadas del presente

Contrato, incluidas las instrucciones establecidas en los Anexos I-II del Anexo 1. Para evitar cualquier duda, es responsabilidad del Responsable garantizar el cumplimiento de los requisitos de transferencia del Capítulo V del Reglamento. Para salvaguardar que las CCE efectivamente legitiman la Transferencia en virtud de la legislación aplicable en materia de protección de datos y proporcionan un nivel adecuado de protección de datos, tal y como exige el Reglamento, el Encargado o el Sub-Encargado ha realizado una evaluación del impacto de la transferencia que el Responsable considera suficiente a tal efecto. Si, en cualquier momento, cualquiera de las Partes tuviera conocimiento de que la transferencia de datos personales puede dar lugar a un aumento del riesgo de que cualquier organismo público, privado o gubernamental de cualquier país exija u obtenga acceso a los datos personales tratados en el contexto del Contrato de Servicios, las Partes colaborarán para garantizar la ejecución de una adenda al presente Contrato con el fin de salvaguardar adecuadamente los datos personales transferidos.

El Responsable tendrá derecho en todo momento a retirar su consentimiento a la contratación de otros Sub-Encargados (incluyendo cualquier transferencia a terceros países relacionada), prevista en la Sección 6.1. En tal caso, el Encargado o el SubEncargado deberán cesar inmediatamente con la transferencia y deberán, a petición del Responsable, proporcionar una confirmación por escrito de ello. El Responsable acepta que la revocación del consentimiento por parte del Responsable en virtud de la presente Sección 6.2 no afectará a ninguna de las obligaciones del Responsable en virtud de un Contrato de Servicios, incluso si dicha revocación, en la medida en que el Encargado o el Sub-Encargado lo demuestren razonablemente, afecta negativamente al cumplimiento por parte del Encargado o el Sub-Encargado de sus obligaciones en virtud del Contrato de Servicios.

7. INDEMNIZACIÓN

El Encargado se compromete a indemnizar y mantener indemne al Responsable por todos y cada uno de los daños y perjuicios sufridos por el Responsable debido al tratamiento de datos personales por parte del Encargado o el Sub-Encargado en incumplimiento del presente Contrato, en la medida en que dichos daños y perjuicios estén cubiertos por la(s) póliza(s) de seguro del Encargado o el Sub-Encargado.

8. CONFIDENCIALIDAD

El Encargado y el Sub-Encargado se comprometen a no divulgar o revelar de ningún modo a terceros información relativa al manejo de datos personales en virtud del presente Contrato, u otra información recibida por el Encargado o el Sub-Encargado, como consecuencia del presente Acuerdo. Esta obligación de confidencialidad no será aplicable a la información que el Encargado deba revelar a una autoridad gubernamental, sin perjuicio de lo dispuesto en la Sección III del Anexo 1. Esta obligación de confidencialidad subsistirá tras la rescisión o expiración del presente Contrato.

9. LA DURACIÓN DEL CONTRATO

Este Acuerdo tiene vigencia a partir de su ejecución y mientras el Encargado o el

Sub-Encargado procese datos personales en nombre del Responsable, o hasta que el Responsable notifique por escrito la terminación de este Contrato. En caso de notificación de terminación, dicha notificación deberá enviarse al menos tres (3) meses antes de la terminación de este Contrato.

10. CONTRATO COMPLETO, ETC.

Con respecto al tema del presente, este Contrato reemplazará cualquier Contrato de Encargado (Data Processing  Agreement  o DPA) anterior, las regulaciones de DPA en Términos y condiciones y entendimientos entre las Partes.

Este Contrato ha sido firmado en la fecha de la última firma que se establece a continuación.

CLIENTE

Dirección e información de contacto del cliente tal como aparecen en la Orden de Servicio de LMEPT.

Fecha y firma del cliente tal como aparece en la Orden de Servicio de LMEPT.   (LUGAR Y FECHA:                    )

LAS MEJORES EMPRESAS PARA TRABAJAR, S.A.P.I. DE C.V.

Firma:

Nombre:

Puesto:

ANEXO 1

CLÁUSULAS CONTRACTUALES ESTÁNDAR (CCE)

SECCIÓN I

Cláusula 1

Propósito y Alcance

1. El objeto de las presentes cláusulas contractuales estándar es garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al manejo de datos personales y sobre la libre circulación de dichos datos (Reglamento General de Protección de Datos)[1]para la transferencia de datos personales a un tercer país.

1. Las Partes:

1. la(s) persona(s) física(s) o moral(es), autoridad(es) pública(s), agencia(s) u otro(s) organismo(s) (en adelante, “entidad(es”) que transfieren los datos personales, tal como se enumeran en el Anexo I.A (en adelante, cada uno referido como “exportador de datos”), y
2. la entidad o entidades en un tercer país que reciben los datos personales del exportador de datos, directa o indirectamente a través de otra entidad que también sea Parte en estas Cláusulas, tal como se enumera en el

Anexo I.A (en adelante, cada uno referido como “importador de datos”) han aceptado estas cláusulas contractuales tipo (en adelante: “Cláusulas’).

1. Estas Cláusulas se aplican respecto de la transferencia de datos personales según lo especificado en el Anexo I.B

1. El Apéndice de estas Cláusulas que contiene los Anexos a que se refiere el mismo, forma parte integrante de las presentes Cláusulas.

Cláusula 2

Efecto e invariabilidad de las Cláusulas

1. Estas Cláusulas establecen salvaguardias adecuadas, incluidos los derechos de los titulares y los recursos legales , de conformidad con el artículo 46(1) y el artículo 46(2)(c) del Reglamento (UE) 2016/679 y, con respecto a las transferencias de datos que hacen los Responsables a Encargados y/o Encargados a otros Encargados, Cláusulas contractuales tipo conforme al artículo 28(7) del Reglamento (UE) 2016/679, siempre que no sean modificados, salvo para seleccionar el(los) Módulo(s) adecuado(s) o para añadir o actualizar información en el Apéndice. Esto no impide que las Partes incluyan las Cláusulas contractuales estándar establecidas en estas Cláusulas en un contrato más amplio y/o agreguen otras Cláusulas o garantías adicionales, siempre que no contradigan, directa o indirectamente, estas Cláusulas, ni perjudiquen los derechos fundamentales o libertades de los Titulares.

679. Las presentes Cláusulas se entienden sin perjuicio de las obligaciones a las que está sujeto el exportador de datos en virtud del Reglamento (EU) 2016/679.

Cláusula 3

Terceros beneficiarios

1. Los titulares podrán invocar y hacer cumplir estas Cláusulas, como terceros beneficiarios, frente al exportador de datos y/o importador de datos, con las siguientes excepciones:
   1. Cláusula 1, Cláusula 2, Cláusula 3, Cláusula 6, Cláusula 7;
   2. Cláusula 8 – Cláusula 8.1(b), 8.9(a), (c), (d) y (e);

• Cláusula 9 – Cláusula 9(a), (c), (d) y (e);

1. Cláusula 12 – Cláusula 12(a), (d) y (f);
2. Cláusula 13;
3. Cláusula 15.1(c), (d) y (e);

• Cláusula 16(e);
• Cláusula 18 – Cláusula 18(a) y (b).

679. El párrafo (a) se entiende sin perjuicio de los derechos de los titulares según el Reglamento (EU) 2016/679.

Cláusula 4 Interpretación

1. Cuando estas Cláusulas utilicen términos definidos en el Reglamento (UE) 2016/679, dichos términos tendrán el mismo significado que en dicho Reglamento.

679. Estas Cláusulas serán leídas e interpretadas a la luz de lo dispuesto en el Reglamento (EU) 2016/679.

679. Estas Cláusulas no deberán interpretarse de forma que entren en conflicto con los derechos y obligaciones previstos en el Reglamento (EU) 2016/679.

Cláusula 5

Jerarquía

En caso de contradicción entre estas Cláusulas y las disposiciones de otros contratos celebrados entre las Partes, ya sea existentes en el momento en que estas Cláusulas se acuerdan, o se celebren posteriormente, estas Cláusulas prevalecerán.

Cláusula 6

Descripción de la(s) transferencia(s)

Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y los fines para los cuales se transfieren, se especifican en el Anexo I.B.

Cláusula 7 (opcional)

Cláusula de Adhesión

1. Una entidad que no sea Parte en estas Cláusulas podrá, con el acuerdo de las Partes, adherirse a estas Cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, completando el Apéndice y firmando el Anexo I.A.

1. Una vez que haya completado el Apéndice y firmado el Anexo I.A, la entidad adherente se convertirá en Parte de estas Cláusulas y tendrá los derechos y obligaciones de un exportador o importador de datos de acuerdo con su designación en el Anexo I.A.

1. La entidad adherente no tendrá derechos u obligaciones derivados de estas Cláusulas desde el período anterior a convertirse en Parte.

SECCIÓN II – OBLIGACIONES DE LAS PARTES

Cláusula 8

Garantías de protección de datos

El exportador de datos garantiza que ha realizado esfuerzos razonables para determinar que el importador de datos es capaz, mediante la implementación de medidas técnicas y organizativas adecuadas, de satisfacer sus obligaciones en virtud de estas Cláusulas.

MÓDULO DOS: Transferencia de Responsable a Encargado

8.1   Instrucciones

1. El importador de datos tratará los datos personales únicamente siguiendo instrucciones documentadas del exportador de datos. El exportador de datos podrá dar dichas instrucciones durante toda la duración del contrato.

1. El importador de datos informará inmediatamente al exportador de datos si no puede seguir dichas instrucciones.
   • Limitación de finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia, tal como se establece en el Anexo I.B, a menos que reciba instrucciones adicionales del exportador de datos.

• Transparencia

Previa solicitud, el exportador de datos pondrá a disposición del Titular una copia de estas Cláusulas, incluido el Apéndice tal como lo completaron las Partes, de forma gratuita. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidas las medidas descritas en el Anexo II y los datos personales, el exportador de datos podrá redactar parte del texto del Apéndice de estas Cláusulas antes de compartir una copia, pero deberá proporcionar un resumen de información significativa donde el Titular no podría de otro modo comprender su contenido o ejercer sus derechos. Previa solicitud, las Partes proporcionarán al Titular los motivos de las redacciones, en la medida de lo posible sin revelar la información redactada. Esta Cláusula se entiende sin perjuicio de las obligaciones del exportador de datos conforme a los artículos 13 y 14 del Reglamento (EU) 2016/679.

• Exactitud

Si el importador de datos tiene conocimiento de que los datos personales que ha recibido son inexactos o están desactualizados, informará al exportador de datos sin demora. En este caso, el importador de datos cooperará con el exportador de datos para borrar o rectificar los datos.

• Duración del manejo y eliminación o devolución de los datos

El manejo por parte del importador de datos sólo tendrá lugar durante el tiempo especificado en el anexo I.B. Una vez finalizada la prestación de los servicios de tratamiento de datos, el importador de datos deberá, a elección del exportador de datos, eliminar todos los datos personales tratados en nombre del exportador de datos y certificar al exportador de datos que lo ha hecho, o regresar a el exportador de datos todos los datos personales manejados en su nombre y eliminar las copias existentes. Hasta que los datos sean eliminados o devueltos, el importador de datos seguirá velando por el cumplimiento de las presentes Cláusulas. En el caso de leyes locales aplicables al importador de datos que prohíban la devolución o eliminación de datos personales, el importador de datos garantiza que continuará garantizando el cumplimiento de estas Cláusulas y solo lo tratará en la medida y durante el tiempo que lo exija la ley local. Esto es sin perjuicio de la Cláusula 14, en particular el requisito de que el importador de datos conforme a la Cláusula 14(e) notifique al exportador de datos durante la duración del contrato si tiene motivos para creer que está o ha estado sujeto a leyes o prácticas. no cumple con los requisitos de la Cláusula 14(a).

• Seguridad del proceso

1. El importador de datos y, durante la transmisión, también el exportador de datos, deberán implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos, incluida la protección contra una violación de la seguridad que conduzca a la accidental o ilegal destrucción, pérdida, alteración, divulgación no autorizada o acceso a dichos datos (en adelante, ‘violación de datos personales’). Al evaluar el nivel apropiado de seguridad, las Partes tendrán debidamente en cuenta el estado de la técnica, los costos de implementación, la naturaleza, alcance, contexto y propósito(s) del tratamiento y los riesgos involucrados en el tratamiento para los Titulares. En particular, las Partes considerarán recurrir a la encriptación o la disociación de los datos, incluso durante la transmisión, cuando el propósito del tratamiento pueda cumplirse de esa manera. En caso de disociación de los datos, la información adicional para atribuir los datos personales a un Titular específico permanecerá, cuando sea posible, bajo el control exclusivo del exportador de datos. Para cumplir con sus obligaciones en virtud del presente apartado, el importador de datos aplicará al menos las medidas técnicas y organizativas especificadas en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel adecuado de seguridad.

1. El importador de datos sólo concederá acceso a los datos personales a miembros de su personal en la medida estrictamente necesaria para la ejecución, gestión y seguimiento del contrato. Garantizará que las personas autorizadas a tratar los datos personales se hayan comprometido a mantener la confidencialidad o estén bajo una obligación legal adecuada de confidencialidad.

1. En caso de una violación de datos personales relacionados con datos personales tratados por el importador de datos conforme a estas Cláusulas, el importador de datos deberá tomar las medidas apropiadas para abordar la violación, incluidas medidas para mitigar sus efectos adversos. El importador de datos también notificará al exportador de datos sin demora una vez que haya tenido conocimiento de la infracción. Dicha notificación contendrá los detalles de un punto de contacto donde se puede obtener más información, una descripción de la naturaleza de la infracción (incluyendo, cuando sea posible, categorías y número aproximado de Titulares y registros de datos personales afectados), sus probables consecuencias y las medidas. adoptadas o propuestas para abordar el incumplimiento, incluidas, en su caso, medidas para mitigar sus posibles efectos adversos. Cuando, y en la medida en que, no sea posible proporcionar toda la información al mismo tiempo, la notificación inicial contendrá la información disponible en ese momento y, a medida que esté disponible, se proporcionará posteriormente sin demora, información adicional.

1. El importador de datos cooperará y ayudará al exportador de datos para permitirle cumplir con sus obligaciones en virtud del Reglamento (UE) 2016/679, en particular para notificar a la autoridad de control competente y a los Titulares afectados, teniendo en cuenta la naturaleza del tratamiento. y la información disponible para el importador de datos.
   • Datos sensibles

Cuando la transferencia implique datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical, datos genéticos o datos biométricos con el fin de únicamente identificar  a una persona física, datos relativos a la salud o a la vida sexual de una persona o orientación sexual, o datos relacionados con condenas y delitos penales (en adelante, “datos sensibles”), el importador de datos deberá aplicar las restricciones específicas y/o salvaguardias adicionales descritas en el Anexo I.B.

• Transferencias Posteriores

El importador de datos sólo revelará los datos personales a un tercero siguiendo instrucciones por escrito del exportador de datos. Además, los datos solo podrán divulgarse a un tercero ubicado fuera de la Unión Europea[2] (en el mismo país que el importador de datos o en otro tercer país, en lo sucesivo, “transferencia posterior”) si el tercero está o acepta estarán obligados por estas Cláusulas, bajo el Módulo correspondiente, o si:

1. la transferencia posterior se realiza a un país que se beneficia de una decisión de adecuación de conformidad con el artículo 45 del Reglamento (UE)

2016/679 que cubre la transferencia posterior;

1. el tercero garantiza de otro modo de conformidad con los artículos 46 o 47 del

Reglamento (UE) 2016/679 con respecto al tratamiento en cuestión;

1. la transferencia posterior es necesaria para el establecimiento, ejercicio o defensa de reclamaciones legales en el contexto de procedimientos administrativos, regulatorios o judiciales específicos; o
2. la transferencia posterior es necesaria para proteger los intereses vitales del titular o de otra persona física.

Cualquier transferencia posterior está sujeta al cumplimiento por parte del importador de datos de todas las demás salvaguardias previstas en estas Cláusulas, en particular la limitación de la finalidad.

8.9   Documentación y cumplimiento

1. El importador de datos deberá atender pronta y adecuadamente las consultas del exportador de datos relacionadas con el tratamiento conforme a estas Cláusulas.

1. Las Partes deberán poder demostrar el cumplimiento de estas Cláusulas. En particular, el importador de datos conservará la documentación adecuada sobre

las actividades de proceso realizadas en nombre del exportador de datos.

1. El importador de datos pondrá a disposición del exportador de datos toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y, a solicitud del exportador de datos, permitirá y contribuirá a auditorías de las actividades de tratamiento cubiertas por estas Cláusulas, a intervalos razonables o si hay indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el exportador de datos puede tener en cuenta las certificaciones pertinentes en poder del importador de datos.

1. El exportador de datos puede optar por realizar la auditoría por sí mismo o encargar un auditor independiente. Las auditorías podrán incluir inspecciones en las instalaciones o instalaciones físicas del importador de datos y, cuando corresponda, se llevarán a cabo con un aviso razonable.

1. Las Partes pondrán la información a que se refieren los párrafos (b) y (c), incluidos los resultados de cualquier auditoría, a disposición de la autoridad de supervisión competente que la solicite.

Cláusula 9

Uso de sub-Encargados

MÓDULO DOS: Transferencia de Responsable a Encargado

1. El importador de datos no subcontratará ninguna de sus actividades de tratamiento realizadas en nombre del exportador de datos conforme a estas Cláusulas a un subencargado, sin la autorización previa y específica por escrito del exportador de datos. El importador de datos deberá presentar la solicitud de autorización específica al menos treinta (30) días antes de la contratación del subencargado, junto con la información necesaria para que el exportador de datos pueda decidir sobre la autorización. El listado de subencargados ya autorizados por el exportador de datos se encuentra en el Anexo III. Las Partes mantendrán actualizado el anexo III.

8. Cuando el importador de datos contrate a un subencargado para realizar actividades de tratamiento específicas (en nombre del exportador de datos), deberá hacerlo mediante un contrato escrito que establezca, en esencia, las mismas obligaciones de protección de datos que las que vinculan al importador de datos bajo estas Cláusulas, incluso en términos de derechos de terceros beneficiarios para Titulares.[3]Las Partes acuerdan que, al cumplir con esta Cláusula, el importador de datos cumple con sus obligaciones bajo la Cláusula 8.8. El importador de datos deberá asegurarse de que el subencargado cumpla con las obligaciones a las que está sujeto el importador de datos conforme a estas Cláusulas.

1. El importador de datos deberá proporcionar, a solicitud del exportador de datos, una copia de dicho contrato con el subencargado y cualquier modificación posterior al exportador de datos. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos datos personales, el importador de datos puede redactar el texto del contrato o antes de compartir una copia.

1. El importador de datos seguirá siendo totalmente responsable ante el exportador de datos por el cumplimiento de las obligaciones del subencargado en virtud de su contrato con el importador de datos. El importador de datos deberá notificar al exportador de datos de cualquier incumplimiento por parte del subencargado de sus obligaciones en virtud de ese contrato.

1. El importador de datos acordará con el subencargado una Cláusula de tercero beneficiario en virtud de la cual -en caso de que el importador de datos haya desaparecido de facto, haya dejado de existir jurídicamente o se haya declarado insolvente- el exportador de datos tendrá derecho a terminar el contrato de subencargado y a ordenar al subencargado que borre o devuelva los datos personales.

Cláusula 10

Derechos del titular

MÓDULO DOS: Transferencia de Responsable a Encargado

1. El importador de datos notificará sin demora al exportador de datos cualquier solicitud que haya recibido de un Titular. No responderá por sí mismo a dicha solicitud a menos que haya sido autorizado para ello por el exportador de datos.

679. El importador de datos asistirá al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los Titulares para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679. A este respecto, las Partes establecerán en el Anexo II las medidas técnicas y organizativas apropiadas, teniendo en cuenta la naturaleza del tratamiento, mediante las cuales se prestará la asistencia, así como el ámbito y el alcance de la asistencia requerida.

1. En el cumplimiento de sus obligaciones en virtud de las letras a) y b), el importador de datos deberá cumplir las instrucciones del exportador de datos.

Cláusula 11

Reparación

1. El importador de datos informará a los Titulares en un formato transparente y fácilmente accesible, mediante notificación individual o en su sitio web, de un punto de contacto autorizado para tramitar las reclamaciones. Atenderá con prontitud las quejas que reciba de un Titular.
2. En caso de controversia entre un Titular y una de las Partes en relación con el cumplimiento de las presentes Cláusulas, dicha Parte hará todo lo posible por resolver la cuestión de forma amistosa y oportuna. Las Partes se mantendrán mutuamente informadas sobre tales controversias y, cuando proceda, cooperarán para resolverlas

1. Cuando el Titular invoque un derecho de tercero beneficiario con arreglo a la Cláusula 3, el importador de datos aceptará la decisión del Titular para:
   1. presentar una reclamación ante la autoridad de control en el Estado Miembro de su residencia habitual o lugar de trabajo, o ante la autoridad de control competente conforme a la Cláusula 13;
   2. someter el litigio a los tribunales competentes en el sentido de la Cláusula 18.

679. Las Partes aceptan que el Titular pueda estar representado por un organismo, organización o asociación sin ánimo de lucro en las condiciones establecidas en el apartado 1 del artículo 80 del Reglamento (EU) 2016/679.

1. El importador de datos acatará una decisión que sea vinculante en virtud de la legislación aplicable de la UE o de un Estado miembro.

1. El importador de datos acepta que la elección efectuada por el Titular no perjudicará sus derechos sustantivos y procesales a interponer recursos de conformidad con la legislación aplicable.

Cláusula 12

Responsabilidad

MÓDULO DOS: Transferencia de Responsable a Encargado

1. Cada Parte será responsable frente a la(s) otra(s) Parte(s) de los daños y perjuicios que cause(n) a la(s) otra(s) por cualquier incumplimiento de las presentes Cláusulas.

1. El importador de datos será responsable ante el Titular, y éste tendrá derecho a ser indemnizado, por cualquier daño material o moral que el importador de datos o su sub-Encargado cause al Titular por infringir los derechos de tercero beneficiario previstos en las presentes Cláusulas.

1. No obstante lo dispuesto en el párrafo (b), el exportador de datos será responsable ante el Titular, y el Titular tendrá derecho a recibir una indemnización, por cualquier daño material o moral que el exportador de datos o el importador de datos (o su sub-Encargado) cause al Titular por infringir los derechos de terceros beneficiarios en virtud de las presentes Cláusulas. Todo ello sin perjuicio de la responsabilidad del exportador de datos y, cuando el exportador de datos sea un Encargado que actúe por cuenta de un Responsable, de la responsabilidad del Responsable en virtud del Reglamento (UE) 2016/679 o del Reglamento (UE) 2018/1725, según corresponda.

1. Las Partes acuerdan que si el exportador de datos es considerado responsable en virtud del párrafo (c) de los daños causados por el importador de datos (o su sub-Encargado), tendrá derecho a reclamar al importador de datos la parte de la indemnización correspondiente a la responsabilidad del importador de datos por los daños.

1. Cuando más de una Parte sea responsable de cualquier daño causado al Titular como consecuencia de un incumplimiento de estas Cláusulas, todas las Partes responsables serán solidariamente responsables y el Titular tendrá derecho a interponer una acción judicial contra cualquiera de estas Partes.

1. Las Partes acuerdan que si una Parte es considerada responsable en virtud del apartado€(e), tendrá derecho a reclamar a la otra Parte o Partes la parte de la indemnización que corresponda a su responsabilidad por el daño.

1. El importador de datos no podrá invocar la conducta de un sub-Encargado para eludir su propia responsabilidad.

Cláusula 13

Supervisión

MÓDULO DOS: Transferencia de Responsable a Encargado

1. La autoridad de control responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, tal como se indica en el Anexo I.C, actuará como autoridad de control competente.

1. El importador de datos se compromete a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualesquiera procedimientos encaminados a garantizar el cumplimiento de las presentes Cláusulas. En particular, el importador de datos se compromete a responder a las investigaciones, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control, incluidas las medidas correctivas y compensatorias. Facilitará a la autoridad de control una confirmación por escrito de que se han adoptado las medidas necesarias.

SECCIÓN III – LEGISLACIÓN LOCAL Y OBLIGACIONES EN CASO DE

ACCESO DE LAS AUTORIDADES PÚBLICAS

Cláusula 14

Leyes y prácticas locales que afectan al cumplimiento de las Cláusulas

MODULO DOS: Transferencia de Responsable al Encargado

1. Las Partes garantizan que no tienen motivos para creer que las leyes y prácticas del tercer país de destino aplicables al tratamiento de los datos personales por parte del importador de datos, incluido cualquier requerimiento de revelar datos personales o medidas que autoricen el acceso a las autoridades públicas, impidan al importador de datos cumplir sus obligaciones en virtud de las presentes Cláusulas. Todo ello en el entendimiento de que las leyes y prácticas que respetan la esencia de los derechos y libertades fundamentales y no exceden de lo necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679, no están en contradicción con estas Cláusulas.

1. Las Partes declaran que, al ofrecer la garantía del apartado (a), han tenido debidamente en cuenta, en particular, los siguientes elementos:
   1. Las circunstancias específicas de la transferencia, incluida la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que se produce la transferencia; el lugar de almacenamiento de los datos transferidos;

• Las leyes y prácticas del tercer país de destino -incluidas las que exigen la divulgación de datos a las autoridades públicas o autorizan el acceso de dichas autoridades- relevantes a la luz de las circunstancias específicas de la transferencia, y las limitaciones y garantías aplicables [4];
• Todas las garantías contractuales, técnicas u organizativas establecidas para complementar las garantías previstas en las presentes Cláusulas, incluidas las medidas aplicadas durante la transmisión y el tratamiento de los datos personales en el país de destino.

1. El importador de datos garantiza que, al llevar a cabo la evaluación prevista en el apartado (b), ha hecho su mejor esfuerzo para proporcionar al exportador de datos la información relevante y se obliga a seguir cooperando con el exportador de datos para garantizar el cumplimiento de estas Cláusulas.

1. Las Partes acuerdan documentar la evaluación prevista en la letra b) y ponerla a disposición de la autoridad de control competente a petición de ésta.

1. El importador de datos se compromete a notificar oportunamente al exportador de datos si, después de haber aceptado las presentes Cláusulas y durante la vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a leyes o prácticas que no se ajustan a los requisitos del párrafo del inciso a), incluso a raíz de un cambio en la legislación del tercer país o de una medida (como una solicitud de divulgación) que indique una aplicación de dicha legislación en la práctica que no se ajusta a los requisitos del párrafo del inciso a).
2. Tras una notificación con arreglo al párrafo del inciso e), o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir sus obligaciones con arreglo a las presentes Cláusulas, el exportador de datos determinará sin demora las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para hacer frente a la situación. El exportador de datos suspenderá la transferencia de datos si considera que no pueden garantizarse las salvaguardias adecuadas para dicha transferencia, o si así se lo ordena la autoridad de control competente. En este caso, el exportador de datos tendrá derecho a rescindir el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas. Si el contrato implica a más de dos Partes, el exportador de datos podrá ejercer este derecho de resolución únicamente con respecto a la Parte pertinente, a menos que las Partes hayan acordado otra cosa. Cuando el

contrato se rescinda de conformidad con esta Cláusula, se aplicará la Cláusula 16 incisos (d) y (e).

Cláusula 15

Obligaciones del importador de datos en caso de acceso de autoridades públicas

MÓDULO DOS: Transferencia de Responsable a Encargado

15.1   Notificación

1. El importador de datos se compromete a notificar sin demora al exportador de datos y, cuando sea posible, al Titular (si es necesario con la ayuda del exportador de datos) si:
   1. recibe una solicitud legalmente vinculante de una autoridad pública, incluidas las autoridades judiciales, con arreglo a la legislación del país de destino, para la divulgación de datos personales transferidos en virtud de las presentes Cláusulas; dicha notificación incluirá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta proporcionada; o bien
   2. tenga conocimiento de cualquier acceso directo por parte de las autoridades públicas a los datos personales transferidos en virtud de las presentes Cláusulas, de conformidad con la legislación del país de destino; dicha notificación incluirá toda la información de que disponga el importador.

1. Si la legislación del país de destino prohíbe al importador de datos notificar al exportador de datos y/o al Titular, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con vistas a comunicar toda la información posible, lo antes posible. El importador de datos se compromete a documentar sus mejores esfuerzos para poder demostrarlos a petición del exportador de datos.

1. Cuando lo permita la legislación del país de destino, el importador de datos se compromete a facilitar al exportador de datos, a intervalos regulares durante la vigencia del contrato, toda la información pertinente posible sobre las solicitudes recibidas (en particular, número de solicitudes, tipo de datos solicitados, autoridad(es) solicitante(s), si las solicitudes han sido impugnadas y el resultado de dichas impugnaciones, etc.).

1. El importador de datos se compromete a conservar la información contemplada en las letras a) a c) durante la vigencia del contrato y a ponerla a disposición de la autoridad de control competente a petición de ésta.

1. Los párrafos (a) a (c) se entienden sin perjuicio de la obligación del importador de datos, de conformidad con la Cláusula 14(e) y la Cláusula 16, de informar sin demora al exportador de datos cuando no pueda cumplir con estas Cláusulas.

15.2   Revisión de la legalidad y minimización de datos

1. El importador de datos se compromete a revisar la legalidad del requerimiento de divulgación, en particular si se mantiene dentro de los poderes otorgados a la autoridad pública solicitante, y a impugnar el requerimiento si, tras una evaluación minuciosa, llega a la conclusión de que existen motivos razonables para considerar que el requerimiento es ilegal bajo la legislación del país de destino, las obligaciones aplicables en virtud del Derecho Internacional y los principios de cortesía internacional. El importador de datos deberá, en las mismas condiciones, hacer uso de las posibilidades de impugnación. Al impugnar un requerimiento, el importador de datos solicitará medidas cautelares con vistas a suspender los efectos del requerimiento hasta que la autoridad judicial competente se haya pronunciado sobre el fondo de la misma. No revelará los datos personales solicitados hasta que sea requerido para ello en

virtud de las normas procesales aplicables. Estos requisitos se entienden sin perjuicio de las obligaciones que la Cláusula 14 (e) impone al importador de datos.

1. El importador de datos acepta documentar su evaluación jurídica y cualquier impugnación del requerimiento de divulgación y, en la medida en que lo permita la legislación del país de destino, poner la documentación a disposición del exportador de datos. También la pondrá a disposición de la autoridad de control competente a petición de ésta.

1. El importador de datos se compromete a proporcionar la cantidad mínima de información permitida al responder un requerimiento de divulgación, sobre la base de una interpretación razonable del requerimiento.

SECCIÓN IV – DISPOSICIONES FINALES

Cláusula 16

Incumplimiento de las Cláusulas y rescisión

1. El importador de datos informará sin demora al exportador de datos en caso de que, por cualquier motivo, no pueda cumplir las presentes Cláusulas.

1. En el caso de que el importador de datos incumpla estas Cláusulas o no pueda cumplirlas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se garantice de nuevo el cumplimiento o se rescinda el contrato. Todo ello sin perjuicio de lo dispuesto en la Cláusula 14(f).

1. El exportador de datos tendrá derecho a terminar el contrato, en la medida en que se refiera al tratamiento de datos personales con arreglo a las presentes Cláusulas, cuando:
   1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos de conformidad con el apartado (b) y no se restablezca el cumplimiento de estas Cláusulas en un plazo razonable y, en cualquier caso, en el plazo de un mes desde la suspensión;
   2. el importador de datos incumple de forma sustancial o persistente las presentes Cláusulas; o
   3. el importador de datos incumpla una decisión vinculante de un tribunal competente o de una autoridad de control en relación con las obligaciones que le incumben en virtud de las presentes Cláusulas.

En estos casos, informará de dicho incumplimiento a la autoridad de control competente. Cuando el contrato afecte a más de dos Partes, el exportador de datos sólo podrá ejercer este derecho de rescisión con respecto a la Parte de que se trate, salvo que las Partes hayan acordado otra cosa.

1. Los datos personales que se hayan transferido antes de la terminación o rescisión del contrato con arreglo a la letra c) se devolverán inmediatamente al exportador de datos, a elección de éste, o se eliminarán en su totalidad. Lo mismo se aplicará a cualquier copia de los datos. El importador de datos certificará la eliminación de los datos al exportador de datos. Hasta que los datos sean borrados o devueltos, el importador de datos continuará garantizando el cumplimiento de estas Cláusulas. En caso de que la legislación local aplicable al importador de datos prohíba la devolución o la supresión de los datos personales transferidos, el importador de datos garantiza que seguirá velando por el cumplimiento de las presentes Cláusulas y que sólo tratará los datos en la medida y durante el tiempo que exija dicha legislación local.

679. Cualquiera de las Partes podrá revocar su acuerdo de quedar vinculada por las presentes Cláusulas cuando (i) la Comisión Europea adopte una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que cubra la transferencia de datos personales a los que se aplican las presentes Cláusulas; o (ii) el Reglamento (UE) 2016/679 pase a formar parte del marco jurídico del país al que se transfieren los datos personales. Esto se entiende sin perjuicio de otras obligaciones aplicables al tratamiento en cuestión en virtud del Reglamento, siempre que así lo exija la legislación local (EU) 2016/679.

Cláusula 17

Legislación aplicable

MÓDULO DOS: Transferencia Responsable a Encargado

Las presentes Cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que ésta será la legislación del Estado miembro en el que el Responsable tenga su sede.

Cláusula 18

Elección de foro y jurisdicción

MÓDULO DOS: Transferencia Responsable a Encargado

Cualquier litigio derivado de estas Cláusulas será resuelto por los tribunales de un Estado miembro de la UE.

Las Partes acuerdan que serán los tribunales del Estado miembro en el que el Responsable tenga su principal sede.

El Titular también podrá emprender acciones legales contra el exportador o importador de datos ante los tribunales del Estado miembro en el que tenga su residencia habitual.

Las Partes acuerdan someterse a la jurisdicción de dichos tribunales.

__________________

El presente Contrato ha sido firmado en la fecha de la última firma que figura a continuación.

CLIENTE

Dirección e información de contacto del cliente tal y como aparece en la Orden de Servicio (ODS) firmada por el Cliente.

Fecha y firma del cliente tal y como aparece en la ODS.

• Cuando el exportador de datos sea un Encargado sujeto al Reglamento (UE) 2016/679 que actúe en nombre de una institución u organismo de la Unión como Responsable, con base en estas Cláusulas al contratar a otro Encargado (subtratante) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al manejo de datos personales por las instituciones de la Unión, órganos y organismos de la Unión y sobre la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21. 11.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el Responsable y el Encargado de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725 estén alineadas. Este será el caso, en particular, cuando el Responsable y el Encargado se basen en las Cláusulas contractuales tipo incluidas en la Decisión 2021/915.
• El Acuerdo sobre el Espacio Económico Europeo (EEA)  prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEA: Islandia, Liechtenstein y Noruega. la legislación de la unión en materia de protección de datos incluido el Reglamento (UE) 2016 / 679 está cubierta por el

EEA y se ha incorporado en su Anexo XI. Por lo tanto, cualquier divulgación por parte del importador

de datos a un tercero situado en el EEA no se califica como transferencia ulterior a efectos de estasCláusulas.

• Este requisito puede ser satisfecho por el sub-Encargado adhiriéndose a estas Cláusulas bajo el Módulo apropiado, de acuerdo con la Cláusula Cláusulas incluida en la Decisión 2021/915 7.
• Por lo que se refiere al impacto de tales leyes y prácticas en el cumplimiento de estas Cláusulas, pueden considerarse diferentes elementos como parte de una evaluación global. Dichos elementos pueden incluir la experiencia práctica pertinente y documentada con casos anteriores de solicitudes de revelación de información por parte de las autoridades públicas, o la ausencia de tales solicitudes, que abarquen un marco temporal suficientemente representativo. Esto se refiere, en particular, a los registros internos u otra documentación, elaborada de forma continua de conformidad con la diligencia debida y certificada a nivel de la alta dirección, siempre que esta información pueda compartirse legalmente con terceros. Cuando se confíe en esta experiencia práctica para llegar a la conclusión de que no se impedirá al importador de datos cumplir con estas Cláusulas, deberá apoyarse en otros elementos pertinentes y objetivos, y corresponderá a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de su fiabilidad y representatividad, para apoyar esta conclusión. En particular, las Partes han de tener en cuenta si su experiencia práctica se ve corroborada y no contradicha por información fiable, públicamente disponible o accesible de otro modo, sobre la existencia o ausencia de solicitudes en el mismo sector y/o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de organismos de supervisión independientes.

APÉNDICE

NOTA EXPLICATIVA

Debe ser posible distinguir claramente la información aplicable a cada transferencia o categoría de transferencias y, a este respecto, determinar el papel o papeles respectivos de las Partes como exportador(es) y/o importador(es) de datos. Esto no requiere necesariamente cumplimentar y firmar apéndices separados para cada transferencia/categoría de transferencias y/o relación contractual, cuando esta transparencia pueda lograrse mediante un único apéndice. No obstante, cuando sea necesario para garantizar una claridad suficiente, se utilizarán apéndices separados.

ANEXO I

1. LISTA DE LAS PARTES

MÓDULO DOS: Transferencia Responsable a Encargado

Exportador de Datos: [Identidad y datos de contacto del exportador o exportadores de datos y, en su caso, de su responsable de la protección de datos y/o representante en la Unión Europea].

1. Nombre: CLIENTE

Dirección: Según se declara en la ODS:

Nombre de la persona de Contacto, puesto y detalles de contacto según se declara en la ODS:

Actividades relevantes para los datos transferidos bajo estas Cláusulas:

Según lo firmado y fechado por el cliente en la ODS:

Puesto (Responsable/Encargado): Responsable

Importador(es) de datos: [Identidad y datos de contacto del importador(es) de datos, incluida cualquier persona de contacto responsable de la protección de datos]

1. Nombre:  GREAT PLACE TO WORK INSTITUTE, INC.

Dirección:  1999 Harrison Street Suite 2070 Oakland, CA 94612

Nombre:  Timothy H. Gens, VP Chief Legal

Funcionario: tim.gens@greatplacetowork.com

Recolecta de respuestas de los empleados del Exportador de Datos mediante una plataforma de encuestas llamada Emprising.

Septiembre 25, 2021

Puesto:  Sub-Encargado

1. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de Titulares cuyos datos personales se transfieren Empleados del Responsable. 

Categorías de datos personales transferidos

Nombre, direcciones de correo electrónico de los empleados del Responsable invitados a realizar la Encuesta.

Datos sensibles transferidos (sí procede) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos que entrañan, como por ejemplo, una estricta limitación de la finalidad, restricciones de acceso (incluido el acceso únicamente del personal que haya seguido una formación especializada), mantenimiento de un registro de acceso a los datos restricciones para las transferencias ulteriores o medidas de seguridad adicionales.

Ninguna.

La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua) Variable.

Naturaleza del proceso

Recopilación, almacenamiento, registro, disociación de datos y supresión de los mismos,

Finalidad o finalidades de la transferencia y el tratamiento posterior de los datos.

Llevar a cabo e informar sobre una Evaluación, como parte de los Productos y Servicios.

El periodo durante el cual se conservarán los datos personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo

El tratamiento continuará durante la Encuesta, y por un período de hasta cinco días hábiles después. GPTW eliminará todos los Datos Personales en un plazo de cinco días hábiles a partir del cierre de la Encuesta.

Para las transferencias a (sub)Encargados, especifique también el objeto, la naturaleza y la duración del tratamiento.

El tratamiento continuará durante la Encuesta, y por un período de hasta cinco días hábiles después. GPTW eliminará todos los Datos Personales en un plazo de cinco días hábiles a partir del cierre de la Encuesta.

1. AUTORIDAD SUPERVISORA COMPETENTE

Identifique a la(s) autoridad(es) de supervisión competente(s) de conformidad con la Cláusula 13

La Autoridad de tratamiento de Datos con jurisdicción sobre el Responsable.

ANEXO II

MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS

TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS

DATOS

MÓDULO DOS: Transferencia de Responsable a Encargado   NOTA ACLARATORIA:

Las medidas técnicas y organizativas deben describirse en términos específicos (y no genéricos). Véase también el comentario general de la primera página del Apéndice, en particular sobre la necesidad de indicar claramente qué medidas se aplican a cada transferencia o conjunto de transferencias.

Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del proceso, así como los riesgos para los derechos y libertades de las personas físicas.

Medidas de disociación de datos y cifrado de datos personales

Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas de tratamiento y servicios.

Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales en el momento oportuno en caso de incidente físico o técnico.

Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento.

Medidas para la identificación y autorización de los usuarios

Medidas para la protección de datos durante la transmisión

Medidas para la protección de datos durante el almacenamiento

Medidas para garantizar la seguridad física de los lugares en los que se tratan los datos personales

Medidas para garantizar el registro de eventos

Medidas para garantizar la configuración del sistema, incluida la configuración por defecto

Medidas para la gobernanza y gestión internas de la TI y la seguridad de la TI

Medidas para la certificación/garantía de procesos y productos

Medidas para garantizar la reducción al mínimo de los datos

Medidas para garantizar la calidad de los datos

Medidas para garantizar una conservación limitada de los datos

Medidas para garantizar la rendición de cuentas

Medidas para permitir la portabilidad de los datos y garantizar su eliminación

1. Confidencialidad de los sistemas de tratamiento y servicios (Art. 32 (1) b GDPR)
   1. El acceso a los datos de los clientes sólo se concede a quienes tienen una necesidad legítima. El acceso a los datos de los clientes sólo está permitido a los empleados de GPTW autorizados por su puesto de trabajo El acceso a las encuestas está controlado de forma que los encuestados no puedan ver las respuestas de otros encuestados.

1. GPTW dispone de una Política de Control de Acceso documentada que incluye un proceso formal de registro y baja de usuarios para permitir la asignación de derechos de acceso, identificaciones únicas para todos los usuarios, una revisión periódica de los derechos de acceso con los propietarios de los sistemas o servicios de información, restricciones y control de los derechos de acceso privilegiado por parte de la dirección, un proceso de autorización para asignar y controlar los derechos de acceso privilegiado, una revisión mensual del acceso privilegiado, una política formal de contraseñas, una política que obligue a los usuarios a cambiar su contraseña en el primer inicio de sesión, requisitos de contraseña (como longitud mínima, complejidad, periodicidad para cambiarla, historial de contraseñas) y contraseñas cifradas en almacenamiento y transmisión.

1. Los servidores locales se encuentran en una sala de servidores cerrada y climatizada, con acceso limitado al personal autorizado.

1. Todos los accesos remotos (incluidos VPN, acceso telefónico y otras formas de acceso que permiten iniciar sesión en sistemas internos) deben utilizar autenticación multifactorial. La autenticación multifactorial se utiliza para todos los accesos administrativos. Se bloquea el acceso interactivo administrativo directo a los sistemas (ya sea de forma remota o local). En su lugar, los administradores acceden inicialmente a los sistemas utilizando un acceso no administrativo

1. Los datos se dividen y separan de modo que los usuarios del cliente no puedan ver los datos de otro cliente

1. Para proteger la confidencialidad de los Datos del Empleado, GPTW utiliza un algoritmo de supresión. GPTW no informará sobre los resultados de las Evaluaciones en las que sean menos de cinco (5) personas de un grupo demográfico, de tal manera que los empleados sepan que su participación es completamente confidencial y voluntaria.

1. GPTW tiene una Gestión de Riesgos documentada. Las evaluaciones de riesgos se realizan trimestralmente. El Cliente ha documentado formalmente la seguridad de la información, la privacidad de los datos y las políticas de confidencialidad, normas y procedimientos que son aprobados por la alta dirección, comunicados al personal, revisados al menos una vez al año, y publicados adecuadamente para que estén disponibles para su referencia y aplicación.

1. La plataforma analítica de encuestas de GPTW denominada Emprising está alojada en el proveedor en la nube Microsoft Azure. GPTW contrata con Azure para mantener en todo momento el más alto nivel de cumplimiento global de Seguridad de Datos y Privacidad de Datos. Esta protección legal se transmite a todos los clientes de GPTW a través de las garantías incluidas en el Contrato de Productos y Servicios durante toda la vigencia de nuestro contrato, tal y como se detalla a continuación. Los informes de auditoría de Azure y otra documentación de recursos, así como la herramienta Azure Compliance Manager utilizada por GPTW para cumplir con el GDPR y otras leyes de privacidad se encuentran en las siguientes URLs: https://servicetrust.microsoft.com/ y otras ofertas en materia de cumplimiento: https://www.microsoft.com/enus/trustcenter/compliance/complianceofferings. Aquí encontrará un artículo general sobre el cumplimiento de Azure:

https://www.communicationsquare.com/news/everything-about-gdprcompliance-in- microsoft–cloud/ y un blog aquí:

https://azure.microsoft.com/en-us/blog/protecting- También existen recursos específicos para cada país. Por ejemplo, el cumplimiento en Alemania se aborda en la siguiente URL: https://servicetrust.microsoft.com/ViewPage/GermanComplianceResour cesV3.

2. Integridad de los sistemas y servicios de tratamiento (Art. 32 (1) b GDPR)
   1. GPTW utiliza esfuerzos comercialmente razonables consistentes con los estándares de la industria para recopilar, transmitir, almacenar, proteger y mantener los Datos y los Datos del Cliente obtenidos a través del GPTW. GPTW representa y garantiza que durante el tratamiento o el término del

Contrato que cumple con el Reglamento General de Protección de Datos

(GDPR) de 2016 de la Unión Europea (UE), la Ley de Privacidad del

Consumidor de California de 2018 AB 375 (CCPA), y las Leyes de Protección de Datos de todos los demás países, estados u organismos reguladores. Esta garantía se establece en la Sección 8 (Privacidad de Datos) del Acuerdo de Productos y Servicios de GPTW que se encuentra en el enlace de la parte inferior de la página principal de GPTW US: https://www.greatplacetowork.com/products–services–agreement

1. La plataforma de software de encuestas y análisis GPTW Emprising™ funciona cargando en Emprising un Archivo de Datos de Empleados (ADE) que contiene una lista de direcciones de correo electrónico de los Empleados del Cliente que realizan la encuesta y, opcionalmente, otra información como datos demográficos precodificados, etc. de los Empleados del Cliente. El ADE puede ser cargado en Emprising por GPTW o directamente por el cliente. El ADE se almacena encriptado en un área separada de los Datos de los Empleados del Cliente, que contiene las Respuestas a la Encuesta de los Empleados del Cliente. Cuando se cierra la Encuesta, el EDF es

1. Cualquier comunicación entre Emprising alojado en Azure y la Red

GPTW está estrictamente limitada a una conexión VPN segura de

extremo a extremo utilizando IPSec

3. Disponibilidad y resiliencia de los sistemas y servicios de tratamiento (Art. 32 (1) b GDPR)
   1. La configuración del registro de auditoría se valida para cada dispositivo que mantiene información de registro. La validación garantiza que los registros incluyan información relevante para el dispositivo, como una marca de tiempo, direcciones de origen y destino y otros elementos útiles del paquete o la transacción. Los dispositivos registran los datos en un formato estandarizado (como las entradas “syslog” o las descritas por la iniciativa “Common Event Expression”).

1. Se ha documentado y aplicado un plan integral de recuperación en caso de catástrofe. Los planes de recuperación en caso de catástrofe abordan la recuperación de todos los aspectos relevantes de la función/servicio empresarial, incluidas las aplicaciones, las bases de datos, las utilidades y la infraestructura de red

1. Se utilizan al menos dos proveedores de telecomunicaciones diferentes para suministrar comunicaciones de red al centro de datos. Las ubicaciones de los centros de datos redundantes están separadas por al menos 30 millas. Los riesgos naturales que puedan afectar negativamente al centro de datos (por ejemplo, la proximidad a masas de agua, la proximidad a fallas geológicas) se han evaluado.

1. Todos los datos se copian diariamente entre los servidores Azure y los proveedores de la nube en estos “hot-sites” (sitios web secundarios) totalmente redundantes. Se incluye lenguaje contractual para garantizar que Azure controle adecuadamente el acceso de forma coherente con los propios datos internos de GPTW. Los datos se cifran en tránsito y en almacenamiento utilizando un software de cifrado de doble clave AES de 256 bits disponible en el mercado.

4. Procedimientos para la revisión, valoración y evaluación rutinarias (Art. 32 (1) lit. d GDPR; Art. 25(1) GDPR)
   1. Se implementa un sistema automatizado de supervisión de la configuración para la gestión de la protección de datos con el fin de medir y supervisar los elementos de configuración seguros mediante pruebas a distancia. El sistema utiliza funciones conformes con el Protocolo de Automatización de Contenidos de Seguridad (SCAP) para recopilar información sobre la vulnerabilidad de la configuración. Se despliegan herramientas de gestión de la configuración específicas del sistema (como “Active Directory Group Policy” para entornos Microsoft Windows) que aplican y redistribuyen automáticamente los ajustes de configuración en los sistemas en intervalos regulares se despliegan herramientas automatizadas para supervisar continuamente las estaciones de trabajo, los servidores y los dispositivos móviles a fin de garantizar una protección contra programas malintencionados activa y actualizada.

1. GPTW ha establecido un plan escrito de respuesta a incidentes que incluye la definición de funciones y responsabilidades para la gestión de incidentes. El plan también define los procedimientos para la gestión de incidentes. La alta dirección está debidamente representada (con aportaciones y autoridad para tomar decisiones) en el proceso de gestión de incidentes. El plan de respuesta a incidentes incluye procedimientos para el análisis de sucesos y los criterios para determinar si el suceso debe elevarse a la categoría de incidente. Los procedimientos incluyen las funciones y responsabilidades del personal y los requisitos internos (por ejemplo, Cumplimiento, Comunicaciones, Legal, Equipo Ejecutivo) y

externos (por ejemplo, cumplimiento legal y Clientes, etc.)

1. Todos los datos están protegidos por contraseña

1. Las configuraciones de seguridad son documentadas aprobadas y regularmente cualquier desviación de la configuración estándar o actualización son documentadas y aprobadas por personal autorizado. En los puntos de interconexión de la red (por ejemplo, salidas de Internet, conexiones de red de terceros, segmentos de red internos con diferentes controles de seguridad, etc.), el filtrado de entrada y salida se implementa para permitir sólo aquellos puertos y protocolos con una necesidad empresarial explícita y documentada. Todos los demás puertos y protocolos están bloqueados. Todas las excepciones se documentan, se aprueban, se limitan en el tiempo y se revisan periódicamente.

5. Disociación de datos y cifrado de datos personales (Art. 32 (1) lit. a GDPR)

La plataforma de software de encuestas y análisis GPTW Emprising™ funciona cargando en Emprising un Archivo de Datos de Empleados (ADE) que contiene una lista de direcciones de correo electrónico de los Empleados del Cliente que realizan la encuesta y, opcionalmente, otra información como datos demográficos precodificados, etc. de los Empleados del Cliente. El ADE está cifrado con doble clave AES265 bits, tanto en tránsito como en almacenamiento, en un área separada de los Datos de los Empleados del Cliente, que contiene las respuestas a la

Encuesta de los Empleados del Cliente. Cuando se inicia la Encuesta del Cliente, la lista de correos electrónicos del ADE se utiliza para generar una invitación personalizada para cada Empleado del Cliente, que es un identificador de inicio de sesión único para cada uno.

Las respuestas de los Empleados son cifradas tanto en tránsito como en almacenamiento. Cuando se cierra la Encuesta del Cliente, se rompe el vínculo entre el ADE y los Datos de los Empleados del Cliente que contienen las respuestas a la encuesta de los Empleados del Cliente, lo que disocia y separa físicamente el ADE de los datos de los empleados del cliente. Tras el cierre de la encuesta, los Datos del Empleado Cliente no contienen el nombre del Cliente, ni el nombre o la dirección de correo electrónico del Empleado Cliente, ni ningún Dato Personal que pueda utilizarse para identificar al Empleado Cliente. En consecuencia, los Datos del empleado del cliente se disocian inmediatamente y se convierten en anónimos cuando se cierra la encuesta. En un plazo de cinco días laborables tras el cierre de la encuesta del cliente, GPTW confirmará la funcionalidad de la encuesta y eliminará el ADE.

Encontrará más información en el enlace que aparece en la parte inferior de la página principal de GPTW US, en la Política de seguridad externa de GPTW: https://www.greatplacetowork.com/external–security–policy

Para las transferencias a (sub)Encargados, describa también las medidas técnicas y organizativas específicas que adoptará el (sub)Encargado para poder prestar asistencia al Responsable y, para las transferencias de un Encargado a un sub-Encargado, al exportador de datos

Igual que arriba.

ANNEX III

LISTA DE SUB-ENCARGADOS

MÓDULO DOS: Transferencia de Responsable a Encargado

NOTA ACLARATORIA:

Este Anexo debe cumplimentarse para los Módulos Dos y Tres, en caso de autorización específica de sub-Encargados (Cláusula 9(a), Opción 1).

El Responsable ha autorizado el uso de los siguientes sub-Encargados:

1. Nombre: Microsoft Azure

Dirección:  101 Herbert Drive, Danville, VA

Contacto:  https://azure.microsoft.com

Descripción del Proceso:  Proveedor de la nube para albergar la aplicación Emprising.

2. Nombre: HTEC Group

Dirección:  Bulevar Milutina Milankovica 11B, 11000  Belgrade, Serbia

Contacto:  Aleksandar Cabrilo, President,  aleksandar.cabrilo@htec.rs

Descripción del Proceso:  Mantenimiento del Software para la aplicación Emprising.

3. Nombre :GREAT PLACE TO WORK INSTITUTE, INC.

Dirección : 1999 Harrison Street Suite 2070 Oakland, CA 94612  (el “SubEncargado”).

Descripción del Proceso: operador de la plataforma de software de encuestas y análisis GPTW Emprising™

4. Cualquier licenciatario y/o afiliado relevante del Sub-Encargado según lo incluido en el Contrato de Servicio.