Política de perfil profesional

Los profesionales del diseño y la renovación del hogar ("Profesionales") pueden elegir crear un perfil profesional en Houzz. Sujetos a los Términos de uso de Houzz (incluida la Política de Uso Aceptable) y a la Política de perfil profesional, los profesionales pueden utilizar las funciones disponibles en nuestra plataforma para promocionar sus negocios. Obtenga más información aquí.

Se espera que los Profesionales de Houzz traten a los demás con respeto, sean receptivos a los clientes actuales y potenciales y lleven a cabo sus negocios de conformidad con las leyes y reglamentos aplicables.

Al crear un perfil profesional (incluso al reclamar un perfil profesional no reclamado), usted reconoce y acepta cada uno de los siguientes puntos con Houzz Inc.:

  1. Persona autorizada. Usted es el jefe o empleado autorizado para crear un perfil profesional para el profesional relevante. Usted es responsable de todas y cada una de las actividades en su cuenta, incluso como resultado de elegir compartir las credenciales de su cuenta, no mantener sus credenciales confidenciales o no mantener sus credenciales actualizadas.

  2. Información precisa.

    1. Proporcionará información precisa, veraz y completa sobre su negocio y mantendrá actualizada toda la información comercial.
    2. Creará solo un perfil profesional para cada ubicación de su negocio.
    3. Escogerá una categoría comercial que describa con precisión sus productos y servicios.
    4. Los perfiles profesionales creados para categorías comerciales no compatibles con Houzz se eliminarán sin previo aviso.
  3. Información de licencia. Si su profesión o negocio requiere licencia, usted acepta proporcionar toda la información de licencia necesaria para anunciar su negocio online en Houzz. Además, usted declara que toda la información de licencia que proporciona es precisa y está actualizada.

  4. Proyectos. Usted acepta que cualquier proyecto publicado en su perfil profesional representa su propio trabajo y no reclamará crédito por el trabajo de otros.

  5. Afiliaciones. Houzz puede permitirle mostrar su afiliación con ciertas asociaciones comerciales relevantes para su negocio. Usted acepta que solo elegirá aquellas organizaciones con las que esté realmente afiliado para que se muestren en su perfil profesional y eliminará inmediatamente cualquier afiliación si ya no está actualizada. Usted acepta que, en determinadas circunstancias, Houzz pueda mostrar su afiliación con ciertos socios de asociaciones comerciales en su perfil profesional en su nombre. Por ejemplo: Tras la verificación de que usted es miembro por parte de la asociación comercial.

  6. No hay puestos garantizados. El que su perfil profesional aparezca en los resultados de búsqueda de Houzz no está garantizado y depende de una serie de factores que incluyen, entre otros, la popularidad y el volumen de fotos, valoraciones e interacciones de los usuarios. Houzz no garantiza puestos específicos en Houzz excepto como parte de paquetes de marketing pagados, sobre los que puede saber más aquí. Más información sobre los principales parámetros para determinar el puesto o el ranking de los Perfiles Profesionales en la Plataforma de Houzz está disponible aquí.

  7. Valoraciones. Los clientes pueden valorar su negocio en su perfil profesional. Usted comprende y acepta que, si bien todas las valoraciones deben cumplir con nuestra Política de Valoraciones, Houzz no eliminará las valoraciones negativas que no violen nuestra Política de Valoraciones, independientemente de si un profesional es o no un cliente que pague, salvo que se exija por ley. Si intenta crear perfiles profesionales nuevos o adicionales para el mismo negocio, nos reservamos el derecho de vincular sus valoraciones anteriores a sus perfiles profesionales nuevos o adicionales.

  8. Eliminación; Terminación. De conformidad con nuestros Términos de uso, si desactiva o elimina permanentemente su perfil profesional, sujeto a la ley aplicable, cualquier publicación, valoración, foto o comentario que haya enviado antes de la desactivación o eliminación de la cuenta, podrá permanecer publicado en la plataforma después de la desactivación o eliminación. Houzz no supervisa activamente las actividades de nuestros profesionales, ya sea dentro o fuera de nuestra Plataforma. Sin embargo, Houzz se reserva el derecho de eliminar su Perfil Profesional, desactivar su cuenta, terminar cualquiera o todos los acuerdos que tenga con Houzz, o terminar cualquiera o todos los servicios que Houzz le proporciona si creemos que ha participado en un comportamiento delictivo (incluyendo si ha sido acusado de un delito); si ha participado en otro comportamiento ilegal o fraudulento relacionado con su negocio (incluyendo no tener la licencia adecuada); si ha participado en un comportamiento abusivo, acosador o amenazador en nuestra Plataforma o hacia Houzz o su personal; o si de otra manera viola nuestros Términos de Uso, Política de Uso Aceptable o esta Política de Perfil Profesional. Houzz mantendrá una copia de la información asociada a su negocio en la Plataforma de Houzz durante 90 días después de la desactivación o eliminación de su Perfil Profesional. A menos que la eliminación permanente de la información asociada con su negocio en la plataforma de Houzz sea solicitada por usted, Houzz podrá conservar esa información durante un período de tiempo más largo a su discreción.

  9. Datos personales. Los datos personales recopilados con respecto al profesional serán utilizados por Houzz de acuerdo con la Política de privacidad de Houzz, que se incorpora como referencia.

    1. Si, y en la medida en que, Houzz y/o sus afiliados transfieren (directamente o mediante transferencia) datos personales protegidos por (A) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) («GDPR»); (B) la Directiva europea de e-Privacy (Directiva 2002/58/CE); y (C) cualquier ley nacional en materia de protección de datos elaborada en virtud de o con arreglo a (A) («juntos la Ley de protección de datos de la UE»), y/o que provenga de Suiza y/o del Reino Unido en o hacia cualquier país o destinatario no reconocido por la Comisión Europea como garantía de un nivel adecuado de protección de datos personales (tal y como describe la Ley europea de Protección de Datos), Houzz y/o sus afiliados transferirán esos datos de acuerdo con las Cláusulas Contractuales Estándar para Responsables de Tratamiento (término definido por la Ley europea de Protección de Datos) establecidas en la Prueba A. Usted acepta que Houzz y/o sus afiliados (según proceda) ejerzan de «importadores de datos» y que usted (actuando en su propio nombre y en el de todos los afiliados) sea el «exportador de datos» (independientemente de que pueda ubicarse fuera del Espacio Económico Europeo, Suiza y/o el Reino Unido).
    2. Si Houzz toma conocimiento de que cualquier autoridad gubernamental (incluidos órganos policiales) desea obtener acceso a o una copia de los datos personales recogidos con respecto a los Datos de Pro o del Usuario («Datos personales de Pro»), tanto de forma voluntaria como obligatoria, entonces, a menos que esté prohibido por ley o por orden judicial de obligado cumplimiento, Houzz (A) notificará inmediatamente a Pro, (B) informará a la autoridad gubernamental en cuestión de que Pro no ha autorizado a Houzz la divulgación de los Datos personales de Pro a la autoridad guberntamental, (C) informará a la autoridad gubernamental en cuestión de que todas y cualquiera de las solicitudes y demandas de acceso a los Datos personales de Pro deberán notificarse o entregarse a Pro por escrito y (D) Houzz no dará acceso a los Datos personales de Pro a menos que y hasta que Pro lo autorice. En el caso de que Houzz tenga prohido por ley o por orden judicial de obligado cumplimiento cumplir los puntos (A) a (D) del presente apartado (ii) en su integridad, Houzz dedicará los esfuerzos razonables y legales para impugnar dicha prohibición u orden judicial (sin embargo, Pro reconoce que dicha impugnación no siempre podrá ser razonable o posible debido a la naturaleza, objetivo, contexto y fines del acceso pretendido por la autoridad gubernamental). Si Houzz impugna con éxito la prohibición u obligación, entonces se aplicarán los puntos (A) a (D) del presente apartado (ii). En cualquier caso, si Houzz divulga a la autoridad gubernamental (ya sea con la autorización de Pro o debido a una obligación legal), Houzz solo divulgará los Datos personales de Pro en la medida en que Houzz esté legalmente obligadoa hacerlo y de acuerdo con el procedimiento legal aplicable. El presente apartado (ii) no se aplicará en el caso de que, tomando en consideración la naturaleza, objetivo, contexto y fines del acceso pretendido por la autoridad gubernamental a los Datos personales de Pro, Houzz cree, de forma razonable y de buena fe, que es necesario un acceso urgente para evitar un riesgo inminente de graves daños a una persona física. En dicho caso, Houzz notificará a Pro lo más pronto posible tras el acceso y brindará a Pro los detalles completos del mismo, a menos que y en la medida en que esté legalmente prohibido.
    3. En la medida en que reciba información personal a través de nuestra plataforma ("datos del usuario"), puede usar los datos del usuario solo para el propósito para el que se proporcionaron, es decir, para responder a la persona pertinente de manera oportuna (incluso para proporcionar información sobre sus servicios y proporcionar el servicio solicitado) o según lo autorice la persona. Deberá proteger la confidencialidad de los datos del usuario y utilizar las medidas de seguridad adecuadas para proteger los datos del usuario contra el procesamiento o uso no autorizado o ilegal de los datos del usuario y contra la pérdida accidental, destrucción, alteración, divulgación o acceso a los datos del usuario. Puede compartir dichos datos solo en la medida en que lo autorice la persona a la que se refieren dichos datos personales o sus subcontratistas y siempre que usted sea responsable de garantizar el cumplimiento por parte de los subcontratistas de esta disposición. Sin limitar lo anterior, no deberá vender datos del usuario ya sea por dinero u otra consideración valiosa. Se asegurará de que el uso de los datos del usuario (incluidas sus comunicaciones con los usuarios de Houzz por correo electrónico, teléfono, mensaje de texto u otro) cumpla en todo momento con todas las leyes aplicables (incluso con respecto al período en el retiene los datos del usuario) y que cumpla con las solicitudes de personas que ejercen sus derechos según la ley aplicable (por ejemplo, con respecto a no contactar a la persona, eliminación de sus datos o acceso a datos). Si una persona con la que no tiene una relación comercial no responde afirmativamente o no es receptiva a sus comunicaciones, acepta que dejará de comunicarse con dicha persona a través de la plataforma después de un número razonable de contactos. Si rechaza o no está interesado en una consulta de un propietario, Houzz se reserva el derecho de eliminar los Datos de usuario de ese propietario de su cuenta. Usted comprende y acepta que es el remitente y responsable de cualquiera de sus comunicaciones a través de la plataforma y ​​Houzz no es el remitente. La Plataforma no está destinada a transmitir información sobre tarjetas de pago u otros datos sensibles, salvo cuando las funciones de pago de la Plataforma lo soliciten expresamente; sin embargo, Houzz no tiene la obligación de monitorear ni restringir la transmisión de dicha información en la Plataforma. Si recibe una consulta o queja de privacidad de un individuo, regulador u otra parte relacionada con el uso de los datos del usuario, informará de inmediato a Houzz de dicha consulta o queja y cooperará de manera razonable y de buena fe para responder a dicha consulta o queja. Houzz limita el acceso a la información asociada a su negocio en la Plataforma de Houzz en función de la necesidad de conocerla (por política o controles técnicos) para los usos identificados en la Política de Privacidad de Houzz.
  10. Preferencias de las comunicaciones. Cuando crea una cuenta en Houzz, tenga en cuenta que las preferencias de comunicaciones anteriores que haya transmitido a Houzz no se transferirán a su cuenta de Houzz. Nos reservamos el derecho de comunicarnos con usted utilizando la información de contacto que proporciona o que está disponible pública o comercialmente, incluso para proporcionarle información sobre nuestros servicios y productos, y con consejos y ofertas.

  11. Programa Houzz Trade y Programa Houzz Business. Puede ser elegible para inscribirse en el Programa Houzz Trade o en el Programa Houzz Business. Al solicitar la inscripción o inscribirse en el Programa Houzz Trade o en el Programa Houzz Business, acepta los Términos y Condiciones del Programa Houzz Trade y del Programa Houzz Business que también se incorporan en esta Política de Perfil Profesional.

  12. Disputas de usuario. Usted acepta que es el único responsable de sus acuerdos o interacciones con cualquier usuario de Houzz y no tendremos ninguna responsabilidad en relación con dichos acuerdos o interacciones. Nos reservamos el derecho, pero no tenemos la obligación, de involucrarnos de alguna manera en disputas entre usted y cualquier usuario de Houzz.

  13. Su Contenido. Para permitir que Houzz muestre su Perfil Profesional y para que su trabajo sea expuesto, necesitamos que nos proporcione contenido y materiales sobre su negocio ("Contenido del Cliente"). Usted conserva toda la propiedad del Contenido del Cliente que proporciona a Houzz y concede a Houzz una licencia para utilizar dicho Contenido del Cliente según lo establecido en los Términos de Uso de Houzz para que Houzz pueda mostrar su Perfil Profesional y promocionar la Plataforma de Houzz, Houzz o su trabajo. Necesitamos que conceda a Houzz esa licencia y otros derechos especificados en los Términos de Uso de Houzz a fin de que las acciones técnicas que tomemos al gestionar la Plataforma de Houzz no se consideren infracciones legales. Por ejemplo, las leyes de derechos de autor podrían impedirnos procesar, mantener, almacenar, hacer copias de seguridad y distribuir ciertos contenidos (como sus propuestas a los clientes), a menos que nos conceda estos derechos. Asimismo, utilizamos proveedores de servicios, tales como servicios de alojamiento web, que necesitan recibir el contenido para que podamos operar la Plataforma de Houzz. Con el fin de mantener una experiencia consistente para otros en la comunidad para que vean artículos editoriales que muestran sus fotos o para aquellos que hayan guardado sus fotos en sus álbumes de ideas, sus fotos y el contenido público permanecerán en nuestra Plataforma después del cierre de la cuenta.

Para los clientes de la Unión Europea, Houzz utiliza su contenido como proveedor de servicios de intermediación en línea en virtud del Reglamento Europeo sobre la plataforma de relaciones comerciales ("P2B")* para incluir su negocio en nuestra herramienta Project Match que pone en contacto a los propietarios de viviendas con los profesionales.
*Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo al fomento de la equidad y la transparencia para las empresas usuarias de servicios de intermediación en línea

Efectivo el 30 de agosto de 2021


ANEXO A

CLÁUSULAS CONTRACTUALES TIPO – MÓDULO UNO: TRANSFERENCIAS DE RESPONSABLE A RESPONSABLE (C2C)


SECCIÓN I

Cláusula 1
Finalidad y ámbito de aplicación
  1. La finalidad de estas cláusulas contractuales tipo es garantizar que se cumplan los requisitos que el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos1 (Reglamento general de protección de datos), exige para la transferencia de datos personales a un tercer país.
  2. Las partes:
    1. la(s) persona(s) física(s) o jurídica(s), autoridad(es) pública(s), servicio(s) u organismo(s) (en lo sucesivo, «entidad» o «entidades») que va(n) a transferir los datos personales, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «exportador de datos»), y
    2. la(s) entidad(es) en un tercer país que va(n) a recibir los datos personales del exportador de datos directamente o indirectamente por medio de otra entidad que también sea parte en el presente pliego de cláusulas, enumerada(s) en el anexo I.A (cada una denominada en lo sucesivo «importador de datos»),

    han pactado las presentes cláusulas contractuales tipo (en lo sucesivo, «pliego de cláusulas»).

  3. El presente pliego de cláusulas se aplica a la transferencia de datos personales especificada en el anexo I.B.
  4. El apéndice del presente pliego de cláusulas, que contiene los anexos que se citan en estas, forman parte del pliego.
Cláusula 2
Efecto e invariabilidad de las cláusulas
  1. El presente pliego de cláusulas establece garantías adecuadas, incluidos derechos exigibles de los interesados y acciones judiciales eficaces, de conformidad con el artículo 46, apartado 1, y el artículo 46, apartado 2, letra c), del Reglamento (UE) 2016/679 y, en relación con las transferencias de datos de responsables a encargados o de encargados a otros encargados, de conformidad con las cláusulas contractuales tipo a que se refiere el artículo 28, apartado 7, del Reglamento (UE) 2016/679 siempre que no se modifiquen, salvo para seleccionar el módulo o módulos adecuados o para añadir o actualizar información del apéndice. Esto no es óbice para que las partes incluyan en un contrato más amplio las cláusulas contractuales tipo que contiene el presente pliego, ni para que añadan otras cláusulas o garantías adicionales siempre que no contradigan, directa o indirectamente, al presente pliego de cláusulas ni perjudiquen los derechos o libertades fundamentales de los interesados.
  2. El presente pliego de cláusulas se entiende sin perjuicio de las obligaciones a las que esté sujeto el exportador de datos en virtud del Reglamento (UE) 2016/679.
Cláusula 3
Terceros beneficiarios
  1. Los interesados podrán invocar, como terceros beneficiarios, el presente pliego de cláusulas contra el exportador y/o el importador de datos y exigirles su cumplimiento, con las excepciones siguientes.
    1. Cláusulas 1, 2, 3, 6 y 7.
    2. Cláusula 8: cláusula 8.5, letra e), y cláusula 8.9, letra b).
    3. Cláusula 9: [no utilizada en el Módulo uno (C2C) de las Cláusulas contractuales tipo].
    4. Cláusula 12: cláusula 12, letras a) y d).
    5. Cláusula 13.
    6. Cláusula 15.1, letras c), d) y e).
    7. Cláusula 16, letra e).
    8. KCláusula 18: cláusula 18, letras a) y b).
  2. Lo dispuesto en la letra a) se entiende sin perjuicio de los derechos que el Reglamento (UE) 2016/679 otorga a los interesados.
Cláusula 4
Interpretación
  1. Cuando en el presente pliego de cláusulas se utilizan términos definidos en el Reglamento (UE) 2016/679, se entiende que tienen el mismo significado que en dicho Reglamento.
  2. El presente pliego de cláusulas deberá leerse e interpretarse con arreglo a las disposiciones del Reglamento (UE) 2016/679.
  3. El presente pliego de cláusulas no se podrá interpretar de manera que entre en conflicto con los derechos y obligaciones establecidos en el Reglamento (UE) 2016/679.
Cláusula 5
Jerarquía

En caso de contradicción entre el presente pliego de cláusulas y las disposiciones de acuerdos conexos entre las partes que estuvieren en vigor en el momento en que se pactare o comenzare a aplicarse el presente pliego de cláusulas, prevalecerá el presente pliego de cláusulas.

Cláusula 6
Descripción de la transferencia o transferencias

Los datos de la transferencia o transferencias y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren se especifican en el anexo I.B.

Cláusula 7
Cláusula de incorporación
  1. Cualquier entidad que no sea parte en el presente pliego de cláusulas podrá, previo consentimiento de todas las partes, adherirse al presente pliego de cláusulas en cualquier momento, ya sea como exportador de datos o como importador de datos, cumplimentando el apéndice y firmando el anexo I.A.
  2. Una vez haya cumplimentado el apéndice y firmado el anexo I.A, la entidad que se adhiera se considerará parte en el presente pliego de cláusulas y tendrá los derechos y obligaciones de un exportador de datos o un importador de datos, según la categoría en la que se haya inscrito en el anexo I.A.
  3. La entidad que se adhiera no adquirirá derechos y obligaciones del presente pliego de cláusulas derivados del período anterior a la adhesión.

SECCIÓN II: OBLIGACIONES DE LAS PARTES

Cláusula 8
Garantías en materia de protección de datos

El exportador de datos garantiza que ha hecho esfuerzos razonables para determinar que el importador de datos puede, aplicando medidas técnicas y organizativas adecuadas, cumplir las obligaciones que le atribuye el presente pliego de cláusulas.

8.1. Limitación de la finalidad

El importador de datos tratará los datos personales únicamente para los fines específicos de la transferencia indicados en el anexo I.B. Solo podrá tratar los datos personales con otros fines:

  1. cuando haya recabado el consentimiento previo del interesado;
  2. cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;
  3. cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física.
8.2. Transparencia
  1. A fin de que los interesados puedan ejercer de forma eficaz los derechos que les otorga la cláusula 10, el importador de datos les informará, directamente o a través del exportador de datos:
    1. de su identidad y datos de contacto;
    2. de las categorías de datos personales tratados;
    3. del derecho a solicitar una copia del presente pliego de cláusulas;
    4. cuando tenga la intención de realizar transferencias ulteriores de los datos personales a terceros, del destinatario o de las categorías de destinatarios (según proceda con el fin de proporcionar información significativa), la finalidad de dicha transferencia ulterior y el motivo de la misma con arreglo a la cláusula 8.7.
  2. Lo dispuesto en la letra a) no será de aplicación cuando el interesado ya disponga de la información (por ejemplo, si el exportador de datos ya ha proporcionado dicha información) o cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado para el importador de datos. En este último caso, el importador de datos hará pública la información en la medida de lo posible.
  3. Previa solicitud, las partes pondrán gratuitamente a disposición del interesado una copia del presente pliego de cláusulas, incluido el apéndice cumplimentado por las partes. En la medida en que sea necesario para proteger secretos comerciales u otro tipo de información confidencial, como datos personales, las partes podrán expurgar el texto del apéndice antes de compartir una copia, pero deberán aportar un resumen significativo si, de no hacerlo, el interesado no pudiere comprender el tenor del apéndice o ejercer sus derechos. Previa solicitud, las partes comunicarán al interesado los motivos del expurgo, en la medida de lo posible sin revelar la información expurgada.
  4. Lo dispuesto en las letras a) a c) se entiende sin perjuicio de las obligaciones que los artículos 13 y 14 del Reglamento (UE) 2016/679 atribuyen al exportador de datos.
8.3. Exactitud y minimización de datos
  1. Cada parte se asegurará de que los datos personales sean exactos y, cuando proceda, estén actualizados. El importador de datos adoptará todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
  2. Si una de las partes tiene conocimiento de que los datos personales que ha transferido o recibido son inexactos o han quedado obsoletos, informará de ello a la otra parte sin dilación indebida.
  3. El importador de datos se asegurará de que los datos personales sean adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.
8.4. Limitación del plazo de conservación

El importador de datos no conservará los datos personales más tiempo del necesario para los fines para los que se traten. Establecerá las medidas técnicas u organizativas adecuadas para garantizar el cumplimiento de esta obligación, como la supresión o anonimización2 de los datos y de todas las copias de seguridad al finalizar el período de conservación.

8.5. Seguridad del tratamiento
  1. El importador de datos y, durante la transferencia, también el exportador de datos aplicarán medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales; en particular, la protección contra violaciones de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o acceso no autorizados a dichos datos (en lo sucesivo, «violación de la seguridad de los datos personales»). A la hora de determinar un nivel adecuado de seguridad, tendrán debidamente en cuenta el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento, y los riesgos que entraña el tratamiento para el interesado. Las partes deberán considerar, en particular, el cifrado o la seudonimización, especialmente durante la transmisión, si de este modo se puede cumplir la finalidad del tratamiento.
  2. Las partes han pactado las medidas técnicas y organizativas que figuran en el anexo II. El importador de datos llevará a cabo controles periódicos para garantizar que estas medidas sigan proporcionando un nivel de seguridad adecuado.
  3. El importador de datos garantizará que las personas autorizadas para tratar los datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria.
  4. En caso de violación de la seguridad de datos personales tratados por el importador de datos en virtud del presente pliego de cláusulas, el importador de datos adoptará medidas adecuadas para ponerle remedio y, en particular, medidas para mitigar los posibles efectos negativos.
  5. En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo para los derechos y libertades de las personas físicas, el importador de datos lo notificará sin dilación indebida tanto al exportador de datos como a la autoridad de control competente con arreglo a la cláusula 13. Dicha notificación contendrá i) una descripción de la naturaleza de la violación (en la que figuren, cuando sea posible, las categorías y el número aproximado de interesados y registros de datos personales afectados), ii) las consecuencias probables, iii) las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad y iv) los datos de un punto de contacto en el que pueda obtenerse más información. En la medida en que el importador de datos no pueda proporcionar toda la información al mismo tiempo, podrá hacerlo por fases sin más dilaciones indebidas.
  6. En caso de violación de la seguridad de los datos personales que sea probable que entrañe un riesgo elevado para los derechos y libertades de las personas físicas, el importador de datos también notificará sin dilación indebida a los interesados la violación de la seguridad de los datos personales y su naturaleza —en caso necesario con la colaboración del exportador de datos— junto con la información a que se refiere la letra e), incisos ii) a iv), a menos que dicha notificación suponga un esfuerzo desproporcionado o que el importador de datos haya aplicado medidas para reducir significativamente el riesgo para los derechos o libertades de las personas físicas. En este último caso, el importador de datos realizará una comunicación pública o adoptará una medida semejante para informar al público de la violación de la seguridad de los datos personales.
  7. El importador de datos documentará todos los hechos pertinentes relacionados con la violación de la seguridad de los datos personales, como sus efectos y las medidas correctivas adoptadas, y llevará un registro de las mismas.
8.6. Datos sensibles

En la medida en que la transferencia incluya datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, o datos relativos a condenas o infracciones penales (en lo sucesivo, «datos sensibles»), el importador de datos aplicará restricciones específicas y/o garantías adicionales adaptadas a la naturaleza específica de los datos y el riesgo de que se trate. Una de estas puede ser, por ejemplo, la reducción del personal autorizado a acceder a los datos personales, medidas de seguridad adicionales (como la seudonimización) y/o restricciones adicionales con respecto a la comunicación ulterior.

8.7. Transferencias ulteriores

El importador de datos no comunicará los datos personales a terceros situados fuera de la Unión Europea3 (en el mismo país que el importador de datos o en otro tercer país; en lo sucesivo, «transferencia ulterior») a menos que el tercero esté vinculado por el presente pliego de cláusulas o consienta a someterse a este, con elección del módulo correspondiente. De no ser así, el importador de datos solo podrá efectuar una transferencia ulterior si:

  1. esta va dirigida a un país sobre el que haya recaído una decisión de adecuación, con arreglo al artículo 45 del Reglamento (UE) 2016/679, que abarque la transferencia ulterior;
  2. el tercero aporta de otro modo garantías adecuadas, con arreglo a los artículos 46 o 47 del Reglamento (UE) 2016/679, respecto del tratamiento en cuestión;
  3. el tercero suscribe un instrumento vinculante con el importador de datos que garantice el mismo nivel de protección de datos que el del presente pliego de cláusulas, y el importador de datos entrega una copia de estas garantías al exportador de datos;
  4. si es necesario para la formulación, el ejercicio o la defensa de reclamaciones en el marco de procedimientos administrativos, reglamentarios o judiciales específicos;
  5. si es necesario para proteger intereses vitales del interesado o de otra persona física; o
  6. de no concurrir las demás condiciones, el importador de datos ha recabado el consentimiento expreso del interesado para una transferencia ulterior en una situación específica, tras haberle informado de su finalidad, de la identidad del destinatario y de los posibles riesgos de dicha transferencia para el interesado debido a la falta de garantías adecuadas en materia de protección de datos. En este caso, el importador de datos informará al exportador de datos y, a petición de este, le remitirá una copia de la información proporcionada al interesado.

La validez de las transferencias ulteriores depende de que el importador de datos aporte las demás garantías previstas en el presente pliego de cláusulas y, en particular, la limitación de la finalidad.

8.8. Tratamiento bajo la autoridad del importador de datos

El importador de datos se asegurará de que las personas que actúen bajo su autoridad, especialmente el encargado, solo trate los datos siguiendo instrucciones del importador de datos.

8.9. Documentación y cumplimiento
  1. Las partes deberán poder demostrar el cumplimiento de las obligaciones derivadas del presente pliego de cláusulas. En particular, el importador de datos conservará suficiente documentación de las actividades de tratamiento que se realicen bajo su responsabilidad.
  2. El importador de datos pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.
Cláusula 9
Recurso a subencargados
[No utilizada en el Módulo uno (C2C) de las Cláusulas contractuales tipo]
Cláusula 10
Derechos del interesado
  1. El importador de datos, en su caso con la asistencia del exportador de datos, tramitará, sin dilación indebida y como tarde en un plazo de un mes desde la recepción de la consulta o solicitud, las consultas y solicitudes que reciba de interesados en relación con el tratamiento de sus datos personales y el ejercicio de los derechos que les otorga el presente pliego de cláusulas4. El importador de datos adoptará medidas adecuadas para facilitar dichas consultas y solicitudes y el ejercicio de los derechos de los interesados. Toda la información que se proporcione a los interesados deberá ser inteligible y de fácil acceso, con un lenguaje claro y sencillo.
  2. En particular, el importador de datos deberá, a petición del interesado y de forma gratuita:
    1. confirmar al interesado si se están tratando datos personales que le conciernan y, en su caso, proporcionar una copia de los datos que le conciernan, así como la información que figura en el anexo I; si los datos personales han sido o serán ulteriormente transferidos, información sobre los destinatarios o las categorías de destinatarios (según proceda, con vistas a proporcionar información significativa) a los que se haya realizado o vaya realizarse la transferencia ulterior de los datos personales, la finalidad de dichas transferencias ulteriores y su motivo de conformidad con la cláusula 8.7; e información sobre el derecho a presentar una reclamación ante una autoridad de control en virtud de la cláusula 12, letra c), inciso i);
    2. rectificar los datos inexactos o incompletos relativos al interesado;
    3. suprimir los datos personales relativos al interesado si dichos datos se están tratando o han sido tratados en contravención de cualquiera de las cláusulas que garantizan los derechos de terceros beneficiarios o si el interesado retira el consentimiento en que se basa el tratamiento.
  3. Cuando el importador de datos trate los datos personales con fines de mercadotecnia directa, dejará de tratarlos para tales fines si el interesado se opone a ello.
  4. El importador de datos no tomará una decisión, basándose únicamente en el tratamiento automatizado de los datos personales transferidos («decisión automatizada»), que produzca efectos jurídicos para el interesado o le afecte de forma igualmente significativa, salvo con el consentimiento expreso del interesado o si así lo autoriza el Derecho del país de destino, siempre que dicho Derecho disponga medidas adecuadas para garantizar los intereses legítimos y los derechos del interesado. En este caso, el importador de datos, con la colaboración del exportador de datos cuando sea necesario:
    1. informará al interesado de la decisión automatizada prevista y de las consecuencias previstas, así como de la lógica aplicada; y
    2. aplicará garantías adecuadas, como mínimo permitiendo al interesado impugnar la decisión, expresar su punto de vista y solicitar una revisión por parte de un ser humano.
  5. Cuando las solicitudes de un interesado sean excesivas, especialmente debido a su carácter repetitivo, el importador de datos podrá establecer una tasa razonable en función del coste administrativo que implique la concesión de la solicitud o negarse a actuar respecto de la solicitud.
  6. El importador de datos podrá denegar la solicitud de un interesado cuando ello esté permitido con arreglo al Derecho del país de destino y sea necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
  7. Si el importador de datos pretende denegar la solicitud de un interesado, le informará de los motivos de la denegación y de la posibilidad de presentar una reclamación ante la autoridad de control competente o de ejercitar una acción judicial.
Cláusula 11
Reparación
  1. El importador de datos informará a los interesados, de forma transparente y en un formato de fácil acceso, mediante notificación individual o en su página web, del punto de contacto autorizado para tramitar reclamaciones. Este tramitará con presteza las reclamaciones que reciba de los interesados.
  2. En caso de litigio entre un interesado y una de las partes en relación con el cumplimiento del presente pliego de cláusulas, dicha parte hará todo lo posible para resolver amistosamente el problema de forma oportuna. Las partes se mantendrán mutuamente informadas de tales litigios y, cuando proceda, colaborarán para resolverlos.
  3. El importador de datos se compromete a aceptar, cuando el interesado invoque un derecho de tercero beneficiario con arreglo a la cláusula 3, la decisión del interesado de:
    1. presentar una reclamación ante la autoridad de control del Estado miembro de su residencia habitual o su lugar de trabajo o ante la autoridad de control competente con arreglo a la cláusula 13;
    2. ejercitar una acción judicial en el sentido de la cláusula 18.
  4. Las partes aceptan que el interesado pueda estar representado por una entidad, organización o asociación sin ánimo de lucro en las condiciones establecidas en el artículo 80, apartado 1, del Reglamento (UE) 2016/679.
  5. El importador de datos acepta acatar las resoluciones que sean vinculantes con arreglo al Derecho aplicable de la UE o del Estado miembro de que se trate.
  6. El importador de datos acepta que la elección del interesado no menoscabe sus derechos sustantivos y procesales a obtener reparación de conformidad con el Derecho aplicable.
Cláusula 12
Responsabilidad
  1. Cada parte será responsable ante la(s) otra(s) de cualquier daño y perjuicio que le(s) cause por cualquier vulneración del presente pliego de cláusulas.
  2. Cada parte será responsable ante el interesado; el interesado tendrá derecho a que se le indemnice por los daños y perjuicios materiales o inmateriales que la parte ocasione al interesado por vulnerar los derechos de terceros beneficiarios que deriven del presente pliego de cláusulas. Ello se entiende sin perjuicio de la responsabilidad que le atribuye el Reglamento (UE) 2016/679 al exportador de datos.
  3. Cuando más de una parte sea responsable de un daño o perjuicio ocasionado al interesado como consecuencia de una vulneración del presente pliego de cláusulas, todas las partes responsables serán responsables solidariamente.
  4. Las partes acuerdan que, si una parte es considerada responsable con arreglo a la letra c), estará legitimada para exigir a la otra parte la parte de la indemnización correspondiente a su responsabilidad por el daño o perjuicio.
  5. El importador de datos no puede alegar la conducta de un encargado o subencargado del tratamiento para eludir su propia responsabilidad.
Cláusula 13
Supervisión
  1. La autoridad de control responsable de garantizar que el exportador de datos cumpla el Reglamento (UE) 2016/679 en cuanto a la transferencia de los datos, indicada en el anexo I.C, actuará como autoridad de control competente.
  2. El importador de datos da su consentimiento a someterse a la jurisdicción de la autoridad de control competente y a cooperar con ella en cualquier procedimiento destinado a garantizar el cumplimiento del presente pliego de cláusulas. En particular, el importador de datos se compromete a responder a consultas, someterse a auditorías y cumplir las medidas adoptadas por la autoridad de control y, en particular, las medidas correctivas e indemnizatorias. Remitirá a la autoridad de control confirmación por escrito de que se han tomado las medidas necesarias.

SECCIÓN III: DERECHO DEL PAÍS Y OBLIGACIONES EN CASO DE ACCESO POR PARTE DE LAS AUTORIDADES PÚBLICAS

Cláusula 14
Derecho y prácticas del país que afectan al cumplimiento de las cláusulas
  1. Las partes aseguran que no tienen motivos para creer que el Derecho y las prácticas del tercer país de destino aplicables al tratamiento de los datos personales por el importador de datos, especialmente los requisitos para la comunicación de los datos personales o las medidas de autorización de acceso por parte de las autoridades públicas, impidan al importador de datos cumplir las obligaciones que le atribuye el presente pliego de cláusulas. Dicha aseveración se fundamenta en la premisa de que no se oponen al presente pliego de cláusulas el Derecho y las prácticas que respeten en lo esencial los derechos y libertades fundamentales y no excedan de lo que es necesario y proporcionado en una sociedad democrática para salvaguardar uno de los objetivos enumerados en el artículo 23, apartado 1, del Reglamento (UE) 2016/679.
  2. Las partes declaran que, al aportar la garantía a que se refiere la letra a), han tenido debidamente en cuenta, en particular, los aspectos siguientes:
    1. las circunstancias específicas de la transferencia, como la longitud de la cadena de tratamiento, el número de agentes implicados y los canales de transmisión utilizados; las transferencias ulteriores previstas; el tipo de destinatario; la finalidad del tratamiento; las categorías y el formato de los datos personales transferidos; el sector económico en el que tiene lugar la transferencia; el lugar de almacenamiento de los datos transferidos;
    2. del Derecho y las prácticas del tercer país de destino —especialmente las que exijan comunicar datos a las autoridades públicas o autorizar el acceso de dichas autoridades— que sean pertinentes dadas las circunstancias específicas de la transferencia, así como las limitaciones y garantías aplicables5,
    3. las garantías contractuales, técnicas u organizativas pertinentes aportadas para complementar las garantías previstas en el presente pliego de cláusulas, especialmente incluidas las medidas aplicadas durante la transferencia y el tratamiento de los datos personales en el país de destino.
  3. El importador de datos asegura que, al llevar a cabo la valoración a que se refiere la letra b), ha hecho todo lo posible por proporcionar al exportador de datos la información pertinente y se compromete a seguir colaborando con el exportador de datos para garantizar el cumplimiento del presente pliego de cláusulas.
  4. Las partes acuerdan documentar la evaluación a que se refiere la letra b) y ponerla a disposición de la autoridad de control competente previa solicitud.
  5. El importador de datos se compromete a notificar con presteza al exportador de datos si, tras haberse vinculado por el presente pliego de cláusulas y durante el período de vigencia del contrato, tiene motivos para creer que está o ha estado sujeto a normativa o prácticas que no se ajustan a los requisitos de la letra a), incluso a raíz de un cambio de la normativa en el tercer país o de una medida (como una solicitud de comunicación) que indique una aplicación de dicha normativa en la práctica que no se ajuste a los requisitos de la letra a).
  6. De realizarse la notificación a que se refiere la letra e) o si el exportador de datos tiene motivos para creer que el importador de datos ya no puede cumplir las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos determinará con presteza las medidas adecuadas (por ejemplo, medidas técnicas u organizativas para garantizar la seguridad y la confidencialidad) que deberán adoptar el exportador de datos y/o el importador de datos para poner remedio a la situación. El exportador de datos suspenderá la transferencia de los datos si considera que no hay garantías adecuadas o si así lo dispone la autoridad de control competente. En este supuesto, el exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa. En caso de resolución del contrato en virtud de la presente cláusula, será de aplicación la cláusula 16, letras d) y e).
Cláusula 15
Obligaciones del importador de datos en caso de acceso por parte de las autoridades públicas
15.1. Notificación
  1. El importador de datos se compromete a notificar con presteza al exportador de datos y, cuando sea posible, al interesado (de ser necesario, con la ayuda del exportador de datos) si:
    1. recibe una solicitud jurídicamente vinculante de comunicación de datos personales transferidos con arreglo al presente pliego de cláusulas presentada por una autoridad pública (sobre todo, judicial) en virtud del Derecho del país de destino; dicha notificación contendrá información sobre los datos personales solicitados, la autoridad solicitante, la base jurídica de la solicitud y la respuesta dada; o
    2. tiene conocimiento de que las autoridades públicas han tenido acceso directo a los datos personales transferidos con arreglo al presente pliego de cláusulas en virtud del Derecho del país de destino; dicha notificación incluirá toda la información de que disponga el importador de datos.
  2. Si se prohíbe al importador de datos enviar la notificación al exportador de datos y/o al interesado en virtud del Derecho del país de destino, el importador de datos se compromete a hacer todo lo posible para obtener una dispensa de la prohibición, con el fin de comunicar toda la información disponible y lo antes posible. El importador de datos se compromete a documentar las actuaciones que realice a tal fin para poder justificar su diligencia si se lo pide el exportador de datos.
  3. En la medida en que lo permita el Derecho del país de destino, el importador de datos se compromete a proporcionar al exportador de datos, a intervalos regulares durante el período de vigencia del contrato, la mayor cantidad posible de información pertinente sobre las solicitudes recibidas (en particular, el número de solicitudes, el tipo de datos solicitados, la autoridad o autoridades solicitantes, la impugnación de las solicitudes, el resultado de tales impugnaciones, etc.).
  4. El importador de datos se compromete a conservar la información a que se refieren las letras a) a c) durante el período de vigencia del contrato y a ponerla a disposición de la autoridad de control competente previa solicitud.
  5. Las letras a) a c) se entenderán sin perjuicio de la obligación del importador de datos, contemplada en la cláusula 14, letra e), y en la cláusula 16, de informar con presteza al exportador de datos cuando no pueda dar cumplimiento al presente pliego de cláusulas.
15.2. Control de la legalidad y minimización de datos
  1. El importador de datos se compromete a controlar la legalidad de la solicitud de comunicación y, en particular, si la autoridad pública solicitante está debidamente facultada para ello, así como a impugnar la solicitud si, tras una valoración minuciosa, llega a la conclusión de que existen motivos razonables para considerar que la solicitud es ilícita con arreglo al Derecho del país de destino, incluidas las obligaciones aplicables en virtud del Derecho internacional y los principios de cortesía internacional. El importador de datos agotará, en las mismas condiciones, las vías de recurso. Al impugnar una solicitud, el importador de datos instará la aplicación de medidas cautelares para suspender los efectos de la solicitud hasta que la autoridad judicial competente se haya pronunciado sobre el fondo. No comunicará los datos personales solicitados hasta que se lo exija la normativa procesal aplicable. Estos requisitos se entienden sin perjuicio de las obligaciones que la cláusula 14, letra e), atribuye al importador de datos.
  2. El importador de datos se compromete a documentar sus valoraciones jurídicas y las impugnaciones de solicitudes de comunicación y a poner dicha documentación a disposición del exportador de datos en la medida en que lo permita el Derecho del país de destino. También pondrá dicha documentación a disposición de la autoridad de control competente previa solicitud.
  3. El importador de datos se compromete a proporcionar la mínima información posible al responder a las solicitudes de comunicación, basándose en una interpretación razonable de la solicitud.

SECCIÓN IV: DISPOSICIONES FINALES

Cláusula 16
Incumplimiento de las cláusulas y resolución del contrato
  1. El importador de datos informará con presteza al exportador de datos en caso de que no pueda dar cumplimiento al presente pliego de cláusulas por cualquier motivo.
  2. En caso de que el importador de datos incumpla las obligaciones que le atribuye el presente pliego de cláusulas, el exportador de datos suspenderá la transferencia de datos personales al importador de datos hasta que se vuelva a garantizar el cumplimiento o se resuelva el contrato. Lo anterior se entiende sin perjuicio de la cláusula 14, letra f).
  3. El exportador de datos estará facultado para resolver el contrato en lo que se refiera al tratamiento de datos personales en virtud del presente pliego de cláusulas cuando:
    1. el exportador de datos haya suspendido la transferencia de datos personales al importador de datos con arreglo a la letra b) y no se vuelva a dar cumplimiento al presente pliego de cláusulas en un plazo razonable y, en cualquier caso, en un plazo de un mes a contar desde la suspensión;
    2. el importador de datos vulnere de manera sustancial o persistente el presente pliego de cláusulas; o
    3. el importador de datos incumpla una resolución vinculante de un órgano jurisdiccional o autoridad de control competente en relación con las obligaciones que le atribuye el presente pliego de cláusulas.

    En este supuesto, informará a la autoridad de supervisión competente [módulo tres: y al responsable] de su incumplimiento. Si el contrato tiene más de dos partes contratantes, el exportador de datos solo podrá ejercer este derecho de resolución con respecto a la parte pertinente, a menos que las partes hayan acordado otra cosa.

  4. Los datos personales que se hayan transferido antes de la resolución del contrato con arreglo a la letra c) deberán, a elección del exportador de datos, devolverse inmediatamente al exportador de datos o destruirse en su totalidad. Lo mismo será de aplicación a las copias de los datos. El importador de datos acreditará la destrucción de los datos al exportador de datos. Hasta que se destruyan o devuelvan los datos, el importador de datos seguirá garantizando el cumplimiento con el presente pliego de cláusulas. Si el Derecho del país aplicable al importador de datos prohíbe la devolución o la destrucción de los datos personales transferidos, el importador de datos se compromete a seguir garantizando el cumplimiento del presente pliego de cláusulas y solo tratará los datos en la medida y durante el tiempo que exija el Derecho del país.
  5. Ninguna de las partes podrá revocar su consentimiento a quedar vinculada por el presente pliego de cláusulas si: i) la Comisión Europea adopta una decisión de conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679 que regule la transferencia de datos personales a los que se aplique el presente pliego de cláusulas; o ii) el Reglamento (UE) 2016/679 pasa a formar parte del ordenamiento jurídico del país al que se transfieren los datos personales. Ello se entiende sin perjuicio de otras responsabilidades que sean de aplicación al tratamiento en cuestión en virtud del Reglamento (UE) 2016/679.
Cláusula 17
Derecho aplicable

El presente pliego de cláusulas se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, siempre que dicho Derecho admita la existencia de derechos de los terceros beneficiarios. Las partes acuerdan que sea el Derecho de Alemania.

Cláusula 18
Elección del foro y jurisdicción
  1. Cualquier controversia derivada del presente pliego de cláusulas será resuelta judicialmente en un Estado miembro de la Unión Europea.
  2. Las partes acuerdan que sean los órganos jurisdiccionales de Alemania.
  3. Los interesados también podrán ejercer acciones judiciales contra el exportador de datos y/o el importador de datos en el Estado miembro en el que el interesado tenga su residencia habitual.
  4. Las partes acuerdan someterse a la jurisdicción de dicho Estado miembro.


1 Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe por cuenta de una institución u organismo de la Unión como responsable del tratamiento, se considera que la utilización del presente pliego de cláusulas al recurrir a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estén armonizados el presente pliego de cláusulas y las obligaciones en materia de protección de datos que imponga el contrato u otro acto jurídico celebrado entre el responsable y el encargado con arreglo al artículo 29, apartado 3, del Reglamento (UE) 2018/1725. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915.

2 Para ello es necesario anonimizar los datos de tal manera que nadie pueda identificar a la persona, de conformidad con el considerando 26 del Reglamento (UE) 2016/679, y que este proceso sea irreversible.

3 El Acuerdo sobre el Espacio Económico Europeo (en lo sucesivo, el «Acuerdo EEE») dispone la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE (Islandia, Liechtenstein y Noruega). La legislación de la Unión sobre protección de datos y, en particular, el Reglamento (UE) 2016/679 están cubiertos por el Acuerdo EEE y han sido incorporados al anexo XI del mismo. Por lo tanto, toda comunicación del importador de datos a un tercero situado en el EEE no puede considerarse una transferencia ulterior a efectos del presente pliego de cláusulas.

4 Dicho plazo podrá prorrogarse por un máximo de dos meses adicionales en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El importador de datos informará debidamente y con prontitud al interesado de cualquier prórroga de este tipo.

5 Por lo que se refiere al efecto de dicho Derecho y prácticas en el cumplimiento del presente pliego de cláusulas, a la hora de realizar una valoración integral de esta cuestión pueden tenerse en cuenta distintos aspectos. Uno de estos aspectos puede ser que haya experiencia práctica pertinente y documentada en casos anteriores de solicitudes de comunicación por parte de las autoridades públicas, o la ausencia de tales solicitudes, en un período suficientemente representativo. Con esto se quiere decir, en particular, los registros internos u otra documentación elaborados de forma continua con la diligencia debida y certificados en los niveles más altos de la dirección siempre que esta información pueda compartirse legalmente con terceros. Cuando se use esta experiencia práctica para llegar a la conclusión de que el importador de datos no tendrá impedimento para cumplir el presente pliego de cláusulas, deberá estar respaldada por otros elementos pertinentes y objetivos; corresponde a las partes valorar minuciosamente si la suma de estos factores es suficientemente determinante, en términos de fiabilidad y representatividad, para respaldar esta conclusión. En particular, las partes deben tener en cuenta si su experiencia práctica está corroborada y no se ve desmentida, por información que sea fiable y de dominio público o accesible de cualquier otro modo acerca de la existencia o ausencia de solicitudes en el mismo sector o acerca de la aplicación de la normativa de que se trate en la práctica, como jurisprudencia e informes de organismos de supervisión independientes.


APÉNDICE

ANEXO I

A. LISTA DE PARTES

Exportador/es de datos:

1. Nombre: Como se detalla en el Perfil profesional del cliente
Dirección: Como se detalla en el Perfil profesional del cliente
Nombre, cargo y datos de contacto de la persona de contacto: Como se detalla en el Perfil profesional del cliente
Actividades relevantes para los datos transferidos bajo estas Cláusulas: Proporcionar los datos personales necesarios para ejecutar el Acuerdo de Servicios Profesionales de Houzz.
Firma y fecha: Al mismo tiempo que el exportador de datos suscribe el Contrato de Servicios de Houzz Pro, también se celebran las SCC, que forman parte integral del Acuerdo de Servicios Profesionales de Houzz.
Función (controlador/procesador): Controlador

Importador/es de datos: [Identidad y datos de contacto del/de los importador/es de datos, incluida cualquier persona de contacto encargada de la protección de datos]

1. Nombre: Houzz Inc.
Dirección: 285 Hamilton Avenue, Palo Alto, CA, EE. UU. 94301
Nombre, cargo y datos de contacto de la persona de contacto: EUprivacy@houzz.com
Actividades relevantes para los datos transferidos bajo estas Cláusulas: Procesar los datos personales necesarios para ejecutar el Acuerdo de Servicios Profesionales de Houzz.
Firma y fecha: Al mismo tiempo que el exportador de datos suscribe el Acuerdo de Servicios Profesionales de Houzz, también se celebran las SCC, que forman parte integral del Acuerdo de Servicios Profesionales de Houzz.
Función (controlador/procesador): Controlador
В. DESCRIPCIÓN DE LA TRANSFERENCIA
Categorías de interesados cuyos datos personales se transfieren Los empleados, representantes, proveedores, prestadores de servicios, subcontratistas, clientes y posibles clientes de Data Exporter.
Categorías de datos personales transferidos Datos de identificación que incluyen, entre otros, nombre y apellido, dirección de correo electrónico, número de teléfono, dirección (comercial o personal); datos de uso en línea; datos de comunicaciones; datos de identificación electrónica, incluidos datos de ubicación; datos financieros (si se proporcionan); afiliaciones, educación y formación (si se proporciona); y datos profesionales y laborales.
Datos sensibles transferidos (si corresponde) y restricciones o salvaguardas aplicadas, que toman plenamente en consideración la naturaleza de los datos y los riesgos involucrados, como, por ejemplo, la limitación estricta del propósito, restricciones de acceso (incluido el acceso solo para el personal que haya seguido una capacitación especializada), mantenimiento de un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales. N/A
La frecuencia de la transferencia (p. ej. si los datos se transfieren una única vez o de forma continua). De forma continua
Naturaleza del tratamiento Recolección, registro, organización, almacenamiento, uso, divulgación por transmisión, difusión o puesta a disposición de cualquier otra forma.
Finalidad/es de la transferencia de datos y procesamiento posterior Que el Importador de datos realice los Servicios, mejore y personalice los Servicios y la Plataforma Houzz, y para cualquier otro propósito descrito en el párrafo (b) del artículo 2 y en el párrafo (b) del artículo 10 del Acuerdo.
El periodo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar ese periodo. Durante la duración de la cuenta de Houzz
Para transferencias a procesadores y subprocesadores, especificar también el tema, la naturaleza y la duración del procesamiento N/A
C. AUTORIDAD DE CONTROL COMPETENTE
Identificar la autoridad o autoridades supervisoras competentes de acuerdo con la Cláusula 13. La autoridad de supervisión competente depende de la ubicación del exportador de datos, como se detalla en el Perfil profesional del Cliente.

ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento Se lleva a cabo una revisión periódica de la continuidad del negocio entre las partes interesadas del negocio, del producto, jurídicas y de ingeniería. La seguridad y la privacidad de los datos para todo el procesamiento de datos de terceros se revisa como parte del proceso de evaluación de riesgos del proveedor. Se implementan varios controles técnicos para garantizar la seguridad de los sistemas y servicios de procesamiento, incluidos (entre otros): agentes de detección y respuesta de puntos finales (EDR) en hosts de producción, agentes antivirus en puntos finales corporativos, gestión de dispositivos móviles (MDM) en puntos finales corporativos, acceso de producción a través del perímetro definido por software (SDP), entornos de producción y desarrollo separados, y registro y agregación de eventos por sistema centralizado.
Medidas para asegurar la habilidad para restaurar la disponibilidad y el acceso a datos personales de manera oportuna en caso de accidente técnico o físico La ingeniería ha implementado exportaciones regulares de datos de plataforma y de usuario desde bases de datos en tiempo de ejecución. Estas exportaciones se respaldan de forma segura en el almacenamiento de datos de archivo para permitir el acceso y la restauración cuando sea necesario.
Procedimientos de pruebas, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento Los sistemas, aplicaciones y procedimientos están sujetos a auditorías internas y externas periódicas. Los ejemplos incluyen el análisis de vulnerabilidades de la aplicación web de la plataforma.
Medidas de identificación y autorización de usuarios La autenticación de los sistemas se gestiona mediante un inicio de sesión único centralizado con políticas definidas para la solidez de las credenciales y la autenticación con múltiples factores. La autorización de funcionalidad sensible de la plataforma está limitada a través de roles definidos al personal con autoridad y acceso según procedimientos documentados.
Medidas para la protección de datos durante la transmisión Acceso a la plataforma (p. ej. sitios web y aplicaciones nativas) solo se permite a través de conexiones de cliente cifradas (protocolo HTTPS). Solo se admiten esquemas de cifrado seguro (por ejemplo, TLS v1.1 e inferior y SSL no son compatibles debido a vulnerabilidades conocidas).
Medidas para la protección de datos durante el almacenamiento Los datos confidenciales están protegidos en sistemas que utilizan un cifrado criptográficamente fuerte. El acceso a los sistemas de producción se realiza a través de un perímetro definido por software (SDP) y una gestión centralizada de cuentas de inicio de sesión único. El acceso a la cuenta IaaS aplica las mejores prácticas para la autenticación, incluida la autenticación con múltiples factores y la rotación de claves.
Medidas para garantizar la seguridad física de los lugares en los que se procesan datos personales Se requiere acceso individual con llavero para la entrada física.
Medidas para asegurar el registro de eventos Los analistas de datos y el jefe de Gestión de Datos llevan a cabo un seguimiento, revisión y corrección continuos del procesamiento de eventos y calidad de los datos.
Medidas para la gestión y el gobierno de seguridad de TI e TI interno Las políticas y los procedimientos se aplican y se revisan periódicamente por los jefes de Ingeniería, el jefe de TI y el jefe de Seguridad
Medidas para garantizar la minimización de datos Los equipos jurídico, de productos y de ingeniería llevan a cabo revisiones de productos y sesiones de consulta periódicas.
Medidas para garantizar una retención de datos limitada El departamento jurídico, el jefe de TI, el jefe de seguridad y los jefes de ingeniería revisan periódicamente la política de retención de datos definida.
Medidas para permitir la portabilidad de datos y asegurar el borrado El gerente del Programa de privacidad y los jefes de Ingeniería revisan periódicamente las políticas y los procedimientos del Programa de privacidad de datos.

Para transferencias a procesadores y subprocesadores, describir también las medidas técnicas y organizativas específicas que debe tomar el procesador o subprocesador para poder brindar asistencia al controlador y, para transferencias de un procesador a un subprocesador, para el exportador de datos

N/A N/A