Shortcuts

Leyes locales de protección de datos cubiertas por el APD

(Revisión 7 de marzo de 2024)


El presente  Acuerdo de Procesamiento de Datos del Cliente de IDEXX ("APD") y sus Anexos al Acuerdo de Procesamiento de Datos aplicables (cada uno de ellos un "Anexo de APD") se aplican al procesamiento de datos personales ("datos personales del Cliente") por parte de IDEXX en nombre del cliente ("Cliente") en virtud del acuerdo entre IDEXX y el Cliente ("acuerdo") con el fin de prestar los servicios de IDEXX, si y en la medida en que i) se aplique el Reglamento general de protección de datos de la Unión Europea (UE/2016/679) (RGPD); o ii) se aplique cualquier otra ley de protección de datos identificada a continuación.


Espacio Económico Europeo:
Reglamentos de la Unión Europea y normativa de los Estados miembros del EEE, distintos del RGPD, que exigen un contrato que regule el tratamiento de datos personales, idéntico o sustancialmente similar a los requisitos especificados en el artículo 28 del RGPD.


Suiza:
La Ley Federal Suiza de Protección de Datos del 19 de junio de 1992; a partir del 1 de septiembre de 2023, su versión totalmente revisada de 25 de septiembre de 2020 ("FADP"), en su versión modificada, sustituida o reemplazada.

A efectos del artículo 9 de la DPA, el CSC de la UE se aplicará a las transferencias a países no adecuados sujetos a la FADP, en su versión modificada y adaptada, de la siguiente manera:

  1. el Comisario Federal de Protección de Datos e Información de Suiza (FDPIC) es la autoridad de control competente de conformidad con la cláusula 13 y el anexo
    I.C del CCE UE; y
  2. la legislación aplicable de conformidad con la cláusula 17 del CSC UE será la legislación suiza en caso de que la transferencia de datos esté sujeta exclusivamente al FADP; y
  3. el término "Estado miembro" no debe interpretarse de manera que excluya a los interesados en Suiza de la posibilidad de reclamar sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la cláusula 18 del CSC UE; y
  4. las referencias al GDPR en el SCC de la UE también incluirán la referencia a las disposiciones equivalentes del FADP (modificado o sustituido)


Brasil:
Ley General de Protección de Datos de Brasil, Lei Geral de Proteção de Dados Pessoais ("LGPD"). En aras de la claridad, las obligaciones de IDEXX para con un Cliente en virtud del APD son únicamente aquellas obligaciones expresas impuestas por la LGPD a un "Encargado (operador) de Datos" en beneficio de un "Responsable (responsable) (incluida la nueva Sección 3.5 a continuación), tal y como se definen "Encargado (operador)" y "Responsable (responsable)" en la LGPD:

  • 3.5 Cada una de las partes es responsable de cumplir sus respectivas obligaciones en virtud de la LGPD, y el Cliente únicamente emitirá instrucciones de Procesamiento, tal como se establece en la sección 3 del APD, que permitan a IDEXX cumplir sus obligaciones en virtud de la LGPD. A efectos de la sección 9 del APD, los CCE de la UE se aplicarán a las transferencias a terceros países con arreglo al RGPD.


Sudáfrica:
Ley Sudafricana de Protección de la Información Personal 4 de 2013 ("POPIA"). En aras de la claridad, las obligaciones de IDEXX para con el Cliente en virtud de la APD son aquellas obligaciones expresas impuestas por POPIA a un "Operador" (equivalente a un "Encargado del tratamiento") en beneficio de una "Parte responsable" (equivalente a un "Responsable del tratamiento"). Cada parte es responsable de cumplir sus respectivas obligaciones en virtud de POPIA. A efectos de la sección 9 de la APD, las CSC de la UE se aplicarán a las transferencias a terceros países según el RGPD.
 

Reino Unido:
El Reglamento General de Protección de Datos del Reino Unido (incorporado a la legislación del Reino Unido en virtud de la Normativa de la Unión Europea (Retirada) de 2018), la Ley de protección de datos del Reino Unido de 2018, ambas modificadas por el Reglamento de protección de datos, privacidad y comunicaciones electrónicas (enmiendas, etc.) (salida de la UE) de 2019, en su versión modificada, sustituida o reemplazada. A los efectos de la sección 9 del APD, se implementará lo siguiente para las transferencias a países no adecuados sujetos al Reglamento general de protección de datos del Reino Unido. Las partes se basan en las CCE de la UE para las transferencias de datos personales desde el Reino Unido sujetas a la cumplimentación de una "adenda del Reino Unido a las cláusulas contractuales tipo de la UE" emitida por la Oficina del Comisionado de Información en virtud de la s.119A(1) de la Ley de Protección de Datos de 2018 (la "adenda del Reino Unido"). Las CEC de la UE, completadas según lo establecido en la sección 9 de la APD también se aplicarán a las transferencias de dichos datos personales. La adenda del Reino Unido se considerará ejecutada entre IDEXX y el Cliente, y los CCE de la UE se considerarán modificados según lo especificado por la adenda del Reino Unido con respecto a la transferencia de dichos datos personales.

Japón:
La Ley japonesa de Protección de Datos Personales nº 57 de 2003 ("APPI"), en su versión modificada. En aras de la claridad, las obligaciones de IDEXX para con el Cliente en virtud de la APD son aquellas que la APPI exige que el Cliente tenga establecidas como "Operador Comercial de Tratamiento de Datos Personales", para confiar el tratamiento de los datos personales del Cliente a IDEXX como "persona encargada", tal y como se utilizan dichos términos en la APPI.

California:
La Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California, y cualquier normativa relacionada ("CCPA"). Las obligaciones de IDEXX  con el Cliente en virtud de la DPA son las que la CCPA exige que una "Empresa" (que es el Cliente y equivale al "Responsable del tratamiento" en virtud de la DPA) tenga establecidas con un "Proveedor de servicios" (que es IDEXX y equivale al "Proveedor de servicios en virtud de la DPA), tal y como se definen dichos términos en la CCPA. Además:

Los términos "vender" y "compartir" tendrán el significado que se les atribuye en la CCPA.  El término "Datos Personales", tal y como se utiliza en la DPA, se sustituirá por "Información Personal". El término "interesado", tal como se utiliza en la DPA, se sustituirá por "consumidor". El término "Categorías Especiales de Datos Personales", tal como se utiliza en la DPA, se sustituirá por "Información Personal Sensible." Por "información sin identificar" se entenderán los datos que no puedan utilizarse razonablemente para deducir información sobre un consumidor identificado o identificable, o un dispositivo vinculado a dicha persona, o que puedan vincularse de otro modo a los mismos.

Se añade el nuevo apartado 3.5 siguiente

  • 3.5.  IDEXX deberá:
  1. no vender ni compartir Información Personal;
  2. no combinará más la Información Personal, ni conservará, utilizará o revelará la Información Personal: (A) fuera de la relación comercial directa entre IDEXX y el Cliente; o (B) para cualquier fin distinto de los fines comerciales especificados en el Contrato, salvo que la CCPA permita lo contrario;
  3. siguiendo instrucciones del Cliente, dejar de utilizar Información Personal Sensible para cualquier fin distinto de la prestación de los Servicios en la medida en que el Proveedor tenga conocimiento real de que la Información Personal es Información Personal Sensible;
  4. abstenerse de intentar reidentificar cualquier información sin identificar revelada por el Cliente a IDEXX en virtud del Contrato;
  5. abstenerse de cumplir las solicitudes de supresión de consumidores presentadas directamente a IDEXX en la medida en que IDEXX haya recopilado, utilizado, procesado o conservado la Información Personal en su función de Proveedor de Servicios al Cliente;
  6. notificar sin demora al Cliente si IDEXX determina que ya no puede cumplir sus obligaciones en virtud de la Ley de Protección de Datos de California o en virtud de la presente Sección; y
  7. seguir siendo responsable de las infracciones de la CCPA por parte de IDEXX.