Adenda sobre Tratamiento de Datos de Elsevier
Ultima actualización: 15 de octubre de 2024
Este Adendasobre tratamiento de datos de Elsevier ("ATD") forma parte del contrato ("Contrato") entre la entidad de Elsevier ("Elsevier") y el suscriptor, cliente u otro socio y cualquier filial aplicable ("Suscriptor") en virtud del cual Elsevier proporciona ciertos servicios y en el que se hace referencia a este ATD.
1. Definiciones
1.1. "Leyes de Protección de Datos" significa todas las leyes, normas, reglamentos, decretos, órdenes y otros requisitos gubernamentales de privacidad y protección de datos aplicables al tratamiento de datos personales en virtud del Contrato.
1.2. Los términos "responsable del tratamiento", "interesado", "datos personales", "violación de datos personales", "tratamiento" y "encargado del tratamiento" tendrán los significados que se les atribuyen en las Leyes de Protección de Datos, y cuando las Leyes de Protección de Datos utilicen términos equivalentes o correspondientes, como "información personal" en lugar de "datos personales", se leerán aquí como lo mismo.
2. Ámbito de aplicación
2.1. El objeto del tratamiento son los datos personales proporcionados con respecto a los servicios en virtud del Contrato. La duración del tratamiento es la duración de la prestación de los servicios en virtud del Contrato hasta la eliminación de los datos personales de acuerdo con el Contrato. La naturaleza y el propósito del tratamiento están relacionados con la prestación de los servicios en virtud del Contrato. Los tipos de datos personales tratados son aquellos enviados por o bajo la dirección del Suscriptor como parte de los servicios bajo el Contrato. Las categorías de interesados son aquellos cuyos datos personales son enviados por o bajo la dirección del Suscriptor como parte de los servicios en virtud del Contrato.
2.2 El Contrato, incluido este ATD, junto con el uso y/o la configuración de los servicios por parte del Suscriptor, son instrucciones documentadas completas y finales del Suscriptor a Elsevier para el tratamiento de datos personales. Las instrucciones adicionales o alternativas deben ser acordadas por separado por las partes.
3. Tratamiento
3.1. Elsevier implementará las medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla con los requisitos de las Leyes de Protección de Datos, garantice la protección de los derechos de los interesados y proporcione un nivel de protección que sea al menos equivalente a la protección requerida por las Leyes de Protección de Datos.
3.2. En la medida en que Elsevier trate datos personales por cuenta del Suscriptor, Elsevier: 3.2.1. tratará los datos personales únicamente siguiendo instrucciones documentadas del Suscriptor, incluso con respecto a las transferencias de datos personales a un tercer país u organización internacional, a menos que así lo exija la ley aplicable a la que Elsevier está sujeto; en tal caso, Elsevier informará al Suscriptor de ese requisito legal antes del tratamiento, a menos que dicha ley prohíba dicha información por motivos importantes de interés público; 3.2.2. garantizará que las personas autorizadas para tratar los datos personales se han comprometido a guardar confidencialidad o están sujetas a una obligación legal adecuada de confidencialidad; 3.2.3. tomará todas las medidas de seguridad requeridas de conformidad con las Leyes de Protección de Datos; 3.2.4. respetará las condiciones mencionadas en la cláusula 4 para contratar a otro encargado del tratamiento; 3.2.5. teniendo en cuenta la naturaleza del tratamiento, asistirá al Suscriptor mediante medidas técnicas y organizativas apropiadas, en la medida de lo posible, para el cumplimiento de la obligación del Suscriptor de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en las Leyes de Protección de Datos; 3.2.6. asistirá al Suscriptor a garantizar el cumplimiento de las obligaciones de conformidad con las Leyes de Protección de Datos, teniendo en cuenta la naturaleza del tratamiento y la información disponible para Elsevier; 3.2.7. a elección del Suscriptor, eliminará o devolverá todos los datos personales al Suscriptor una vez finalizada la prestación de servicios relacionados con el tratamiento y eliminar las copias existentes, a menos que la ley aplicable exija el almacenamiento de dichos datos personales; 3.2.8. pondrá a disposición del Suscriptor toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las Leyes de Protección de Datos y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Suscriptor u otro auditor contratado por el Suscriptor; e informará inmediatamente al Suscriptor si, en su opinión, una instrucción del Suscriptor a Elsevier infringe las Leyes de Protección de Datos.
4. Subencargados
4.1. En la medida en que Elsevier trate datos personales por cuenta del Suscriptor, Elsevier tiene la autorización general del Suscriptor para contratar a otros encargados del tratamiento de datos personales de acuerdo con este ATD de la lista de Elsevier de dichos encargados disponible en https://www.elsevier.com/legal/subprocessors que Elsevier puede actualizar de vez en cuando. Elsevier informará al Suscriptor de cualquier cambio previsto actualizando la lista en su sitio web con al menos catorce (14) días de antelación. El Suscriptor puede oponerse al cambio sin penalización notificándolo a Elsevier en un plazo de catorce (14) días a partir de la actualización de la lista y describiendo sus motivos para oponerse. Elsevier hará todos lo razonablemente posible para evitar el tratamiento de datos personales por parte del nuevo encargado del tratamiento al que el Suscriptor se oponga razonablemente.
4.2. Cuando Elsevier contrate a otro encargado del tratamiento para llevar a cabo actividades de tratamiento específicas por cuenta del Suscriptor, Elsevier impondrá a ese otro encargado del tratamiento las mismas obligaciones de protección de datos establecidas en este ATD, mediante un contrato u otro acto jurídico con arreglo a la legislación aplicable, en particular proporcionando garantías suficientes para aplicar medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla los requisitos de las Leyes de Protección de Datos. Cuando ese otro encargado del tratamiento no cumpla con esas obligaciones de protección de datos, Elsevier seguirá siendo (sujeto a los términos del Contrato) plenamente responsable ante el Suscriptor por el cumplimiento de las obligaciones de ese otro encargado del tratamiento.
5. Derechos de los interesados
5.1. En la medida en que Elsevier trate datos personales por cuenta del Suscriptor, Elsevier, en la medida en que lo permita la ley, notificará sin demora al Suscriptor cualquier solicitud del interesado que reciba Elsevier, y el Suscriptor autoriza a Elsevier a redirigir dichas solicitudes al Suscriptor para que responda directamente.
5.2. En la medida en que lo permita la ley, el Suscriptor será responsable de cualquier coste razonable que surja de la prestación de asistencia de Elsevier al Suscriptor para responder a dichas solicitudes.
6. Transferencia
Elsevier se asegurará de que, en la medida en que Elsevier transfiera datos personales procedentes del país del Suscriptor a otro país, dicha transferencia esté sujetará a las garantías adecuadas de acuerdo con las Leyes de Protección de Datos.
7. Seguridad
7.1. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, las partes aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: 7.1.1. la seudonimización y el cifrado de datos personales; 7.1.2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; 7.1.3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico; y 7.1.4. un proceso para probar, evaluar y evaluar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
7.2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o aceso no autorizados a dichos datos.
7.3. En la medida en que Elsevier trate datos personales por cuenta del Suscriptor, Elsevier tomará medidas para garantizar que cualquier persona física que actúe bajo la autoridad de Elsevier que tenga acceso a dichos datos personales no los procese excepto siguiendo instrucciones del Suscriptor, a menos que la ley aplicable lo exija.
8. Violación de datos personales
En la medida en que Elsevier procese datos personales por cuenta del Suscriptor, Elsevier notificará al Suscriptor sin dilación indebida al Suscriptor de una violación de la seguridad de los datos personales de las que tenga conocimiento y responderá razonablemente a las solicitudes del Suscriptor de obtener más información para ayudar al Suscriptor a cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos.
9. Registros de actividades de tratamiento
Elsevier mantendrá todos los registros requeridos por las Leyes de Protección de Datos y, en la medida aplicable al tratamiento de datos personales por cuenta del Suscriptor, los pondrá a disposición del Suscriptor según sea necesario.
10. Auditoría
Las auditorías contempladas en el punto 3.2.8 estarán i) estarán sujetas a la ejecución de compromisos de confidencialidad apropiados; ii) no se realizarán más de una vez al año, a menos que se haya demostrado una creencia razonable de incumplimiento del Contrato, con treinta (30) días de antelación por escrito y previa presentación de un plan para dicha revisión; y iii) se llevarán a cabo en un plazo mutuamente acordado y de manera acordada.
11. Conflicto
En caso de contradicción o inconsistencia entre los términos de este APD y el resto del Contrato, los términos de este APD se impondrán en la medida requerida por las Leyes de Protección de Datos. En caso contrario, las demás cláusulas del Contrato se impondrán en caso de contradicción o inconsistencia.
12. Términos específicos de la jurisdicción
En la medida en que Elsevier procese datos personales originados o sujetos a las Leyes de Protección de Datos de cualquiera de las jurisdicciones enumeradas en el anexo del presente documento, se aplicarán los términos especificados en el mismo con respecto a las jurisdicciones aplicables además de los términos anteriores.
ANEXO
Espacio Económico Europeo, Reino Unido y Suiza
1. En la medida en que el Suscriptor transfiera datos personales desde el Espacio Económico Europeo ("EEE"), el Reino Unido ("UK") o Suiza a Elsevier ubicado fuera del EEE, el Reino Unido o Suiza, a menos que las partes puedan confiar en un mecanismo o base de transferencia alternativo en virtud de las Leyes de Protección de Datos, se considerará que las partes han celebrado las cláusulas contractuales tipo aprobadas por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021 disponible en https://data.europa.eu/eli/dec_impl/2021/914/oj 새 탭/창에서 열기 ("Cláusulas") con respecto a dicha transferencia, por lo cual: 1.1. el Suscriptor es el "exportador de datos" y Elsevier es el "importador de datos"; 1.2. se omiten las notas a pie de página, la opción de la cláusula 11(a) y la opción 1 de la cláusula 17, y los anexos aplicables se completan con el contenido respectivo del Contrato, incluido el ATD; 1.3. en la medida en que cada parte actúe como responsable del tratamiento, se aplicará el Módulo Uno y se omitirán los Módulos Dos, Tres y Cuatro; 1.4. en la medida en que el Suscriptor actúe como responsable del tratamiento y Elsevier actúe como encargado del tratamiento, se aplicará el Módulo Dos y se omiten los Módulos Uno, Tres y Cuatro, se omite la Opción 1 de la Cláusula 9.a) y el plazo de la Opción 2 es de 14 días; 1.5. en la medida en que cada parte actúe como encargado del tratamiento, se aplica el Módulo Tres y se omiten los Módulos Uno, Dos y Cuatro, se omite la Cláusula 9(a) Opción 1 y el período de tiempo en la Opción 2 es de 14 días; 1.6. la "autoridad de control competente" es la autoridad de control de los Países Bajos; 1.7. las Cláusulas se rigen por la ley de los Países Bajos; 1.8. cualquier disputa que surja de las Cláusulas será resuelta por los tribunales de los Países Bajos; y 1.9. si existe algún conflicto entre los términos del Contrato y las Cláusulas, prevalecerán las Cláusulas.
2. En relación con las transferencias de datos personales desde el Reino Unido, las Cláusulas implementadas en la sección 1 anterior se aplicarán sujetas a las siguientes modificaciones: 2.1. las Cláusulas se modifican según lo especificado en la Parte 2 del Addendum Internacional para la Transferencia de Datos del Reino Unido a las cláusulas contractuales tipo de la Comisión Europea emitidas en virtud de la Sección 119A(1) de la Ley de Protección de Datos del Reino Unido de 2018 disponible en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf 새 탭/창에서 열기, que puede modificarse o reemplazarse ocasionalmente ("Anexo del UK"); 2.2. los cuadros 1 a 3 de la parte 1 del Anexo del UK se completan con el contenido respectivo del Contrato, incluido el ATD; y 2.3. el cuadro 4 de la parte 1 de la Anexo del UK se completa seleccionando "ninguna de las partes".
3. En relación con las transferencias de datos personales desde Suiza, las Cláusulas implementadas en la sección 1 anterior se aplicarán sujetas a las siguientes modificaciones: 3.1. las referencias al «Reglamento (UE) 2016/679» se interpretarán como referencias a la Ley Federal Suiza de Protección de Datos ("LFPD"); 3.2. las referencias a artículos específicos del «Reglamento (UE) 2016/679» se sustituyen por el artículo o sección equivalente del LFPD; 3.3. las referencias a "UE", "Unión", "un Estado miembro" y "Derecho de un Estado miembro" se sustituyen por referencias a "Suiza" o "Derecho suizo", según proceda; 3.4. el término "Estado miembro" no se interpretará de manera que excluya a los interesados en Suiza de la posibilidad de acceder a sus derechos; 3.5. La cláusula 13(a) y la parte C del anexo I no se utilizan y la "autoridad supervisora competente" es el Comisionado Federal Suizo de Información sobre Protección de Datos; 3.6. las Cláusulas se rigen por la ley de Suiza; y 3.7. cualquier disputa que surja de las Cláusulas será resuelta por los tribunales de Suiza.
América Latina
Sudáfrica
En la medida en que Elsevier trate como operador cualquier información personal en el ámbito de aplicación de la Ley de Protección de Información Personal de Sudáfrica, n.º 4 de 2013 (POPIA) para el Suscriptor como parte responsable, Elsevier establecerá y mantendrá las medidas de seguridad mencionadas en la sección 19 de POPIA y notificará al Suscriptor inmediatamente cuando haya motivos razonables para creer que cualquier personal no autorizada hay accedido o adquirido información personal.