Anexo 1

Intercambio de datos, transferencias de datos y datos compartidos

1 Intercambio de datos

1.1 Ambas partes reconocen que cada parte determinará únicamente el fundamento jurídico y las condiciones por las cuales trata los datos personales compartidos en virtud de este Contrato (los "Datos compartidos") según lo establecido en su respectiva Declaración de privacidad u otro aviso requerido por las Leyes de protección de datos aplicables, con sus modificaciones ocasionales.

1.2 La Declaración de privacidad de ComponentSource puede consultarse aquí.

1.3 Cada parte y su personal, trabajadores, agentes o consultores ("Personal") cumplirán sus respectivas obligaciones en virtud de las Leyes de protección de datos aplicables en relación con su tratamiento de los Datos compartidos y tratarán los Datos compartidos de acuerdo con su respectiva Declaración de privacidad.

1.4 Usted deberá asegurarse de que su fundamento jurídico para tratar Datos compartidos cumpla las Leyes de protección de datos aplicables, y de que no proporciona ningún Dato compartido a ComponentSource en relación con un interesado al que no se le haya proporcionado una copia de la Declaración de privacidad en el momento en que se recopilaron los Datos compartidos;

1.5 Cada parte deberá:

1.5.1 proporcionar con prontitud la información, asistencia y/o acceso que la otra parte pueda requerir razonablemente para responder a cualquier solicitud de un interesado y para garantizar el cumplimiento de sus obligaciones en virtud de las Leyes de protección de datos aplicables con respecto a seguridad, notificaciones de infracciones, auditorías, evaluaciones de impacto y consultas con autoridades de supervisión y/o reguladores;

1.5.2 asegurarse de que los Datos compartidos sean precisos y completos;

1.5.3 en un plazo de dos (2) días laborables, notificar a la otra parte por escrito: (i) si no ha cumplido alguna de sus obligaciones en virtud de la cláusula 1 de este Anexo; (ii) si descubre que alguno de los Datos compartidos es inexacto o incompleto; (iii) detalles de cualquier solicitud de un interesado como resultado del ejercicio de alguno de sus derechos en virtud de las Leyes de protección de datos aplicables. Usted no deberá en ningún caso responder directamente a dicha solicitud o correspondencia sin el consentimiento previo por escrito de ComponentSource, salvo que así lo exijan las Leyes de protección de datos aplicables o que no esté relacionada con las actividades de tratamiento de datos de ComponentSource; y (iv) toda violación presunta, potencial o real de la seguridad de los datos personales o amenaza de violación de la seguridad de los datos personales que implique cualquier Dato compartido que trate dicha parte o un tercero en su nombre; y

1.5.4 indemnizar a la otra parte por cualquier responsabilidad derivada o relacionada con incumplimientos de este Anexo, incluidos todos los importes pagados o pagaderos por la parte indemnizada a un tercero (incluido su Personal) que no hubieran sido pagados o pagaderos si no se hubiera producido el incumplimiento de este Anexo. Para evitar dudas, las partes acuerdan que cualquier limitación o exclusión de responsabilidad establecida en este Contrato no sea aplicable a sus obligaciones de indemnización o reembolso en virtud de este Anexo.

1.6 Usted deberá:

1.6.1 celebrar sin demora con ComponentSource, previa petición por escrito de esta, cualquier otro contrato y/o protección adecuada exigida por las Leyes de protección de datos aplicables para la transferencia internacional de los Datos compartidos, como las cláusulas contractuales tipo publicadas por la Comisión Europea u otro organismo competente en virtud de las Leyes de protección de datos aplicables;

1.6.2 asegurarse de que, para cualquier Dato compartido que reciba de interesados en jurisdicciones diferentes a la suya, se implementen las garantías de transferencia internacional adecuadas de acuerdo con las Leyes de protección de datos aplicables;

2 TRANSFERENCIAS INTERNACIONALES DE DATOS

Transferencias del EEE a un territorio externo al EEE

2.1 Si los Datos compartidos originados en el EEE se transfieren a un territorio externo al EEE (incluido el Reino Unido) que no haya sido designado como Territorio adecuado, se considerará aplicable a dicha transferencia el módulo correspondiente de las cláusulas contractuales tipo de la UE, de acuerdo con los requisitos establecidos en esta cláusula 2, además de los términos de este Contrato del siguiente modo:

2.1.1 se considerará que cada parte ha aceptado el Módulo 1 de las cláusulas contractuales tipo de la UE en su propio nombre en relación con los Datos compartidos divulgados;

2.1.2 las disposiciones del Anexo 1 (Fines permitidos) se considerarán establecidas en el Anexo I del Módulo 1 de las cláusulas contractuales tipo de la UE;

2.1.3 las disposiciones del Anexo 2 (Medidas de seguridad) se considerarán establecidas en el Anexo II del Módulo 1 de las cláusulas contractuales tipo;

2.1.4 La Cláusula 7 (Cláusula de incorporación) será deseleccionada

2.1.5 el elemento opcional de la Cláusula 11(a) (reparación) será deseleccionado.

2.1.6 la siguiente Cláusula 13(a) opcional (supervisión) estará seleccionada:

2.1.6.1 Irlanda, como autoridad supervisora responsable de garantizar el cumplimiento por parte del exportador de datos del Reglamento (UE) 2016/679 en lo que respecta a la transferencia de datos, como se indica en el Anexo I.C, actuará como autoridad supervisora competente.

2.1.7 se seleccionará la opción [1] de la Cláusula 17 (Derecho aplicable) y regirá el siguiente derecho aplicable:

2.1.7.1 Estas cláusulas se regirán por la legislación de uno de los Estados miembros de la UE, siempre que dicha legislación permita los derechos de terceros beneficiarios. Las Partes acuerdan que esta sea la legislación de Irlanda.

2.1.8 Se seleccionarán el foro y la jurisdicción siguientes en la Cláusula 18(b) (Elección del foro y jurisdicción):

2.1.8.1 Las Partes acuerdan que estos sean los tribunales de Irlanda.

2.1.9 El Importador de datos no divulgará datos personales a un tercero ubicado fuera del EEE, ya sea en el mismo país que el Importador de datos o en un tercer país (una "Transferencia ulterior"), salvo que el tercero esté o acepte estar sujeto al módulo correspondiente de las cláusulas contractuales tipo. De lo contrario, una Transferencia ulterior por parte del Importador de datos solo puede tener lugar si el tercero proporciona garantías adecuadas de conformidad con los Artículos 46 o 47 del RGPD de la UE con respecto al Tratamiento de datos;

2.1.10 En caso de omisión o conflicto entre el presente Contrato y el módulo aplicable de las cláusulas contractuales tipo de la UE, prevalecerán las disposiciones del módulo aplicable.

Transferencias del Reino Unido a territorio externo al EEE

2.2 En el caso de que Datos compartidos originados en el Reino Unido se transfieran a un territorio externo al Reino Unido no designado como Territorio adecuado, se considerarán aplicables a la transferencia las cláusulas contractuales tipo de la UE, como se aclara en la cláusula 2 anterior y en el anexo de transferencia internacional de datos del Reino Unido a las cláusulas contractuales tipo de la UE (UK SCC Addendum), además de los términos de este Contrato y del siguiente modo:

2.2.1 se considerará que cada parte ha aceptado las cláusulas contractuales tipo de la UE y el UK SCC Addendum en su propio nombre en relación con los Datos compartidos divulgados;

2.2.2 La descripción de la transferencia y las medidas técnicas y organizativas figuran en los anexos 1 y 2 del presente anexo;

2.2.3 las disposiciones del Anexo 2 (Medidas de seguridad) se considerarán establecidas en el Apéndice 2 de las Cláusulas modelo antiguas; y

2.2.4 en caso de conflicto entre el presente Contracto, las cláusulas contractuales tipo de la UE y el UK SCC Addendum, prevalecerá este último.

Transferencias de un territorio externo al EEE a otro territorio externo al EEE

2.3 En el caso de que un Importador de Datos trate Datos Compartidos originados en un territorio no perteneciente al EEE (el "Territorio de exportación") y el Tratamiento de datos tenga lugar en un territorio que sea diferente del Territorio de exportación (el "Territorio importador"), el Importador de Datos tratará los Datos compartidos conforme a un estándar acorde con la(s) Ley(es) de privacidad aplicable(s) del Territorio de exportación. En particular, el Exportador de datos informará al Importador de datos sobre cualquier norma exigida por las Leyes de privacidad aplicables y cooperará plenamente con el Importador de datos para garantizar que su Tratamiento de los Datos compartidos sea acorde con esos estándares.

2.4 En todo caso, si alguna de las Leyes de privacidad aplicables entra en conflicto con las disposiciones de este Contrato:

2.4.1 cuando el estándar de protección de datos requerido por la(s) Ley(es) de privacidad aplicable(s) exceda el estándar requerido por este Contrato, el Importador de Datos tratará los Datos compartidos con un estándar acorde con la(s) Ley(es) de privacidad aplicable(s); y

2.4.2 cuando el estándar de protección de datos requerido por este Contrato exceda el estándar requerido por las Leyes de privacidad aplicables, el Importador de Datos tratará los Datos compartidos con un estándar acorde con este Contrato.

Anexo 1

El propósito permitido es el definido anteriormente.

Tratamiento de datos - Datos compartidos

Interesados

Los Datos personales transferidos se refieren a las siguientes categorías de Interesados pasados, presentes y potenciales:

  • Empleados
  • Usuarios finales
  • Editores
  • Revendedores

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos:

  • Datos personales: Nombre y datos de contacto
  • Detalles de pago: Método y detalles de pago; e historial de pagos y correspondencia.
  • Información del perfil: Información de la cuenta recopilada de o sobre el interesado en relación con los servicios
  • Datos del dispositivo: Direcciones IP, datos de cookies, identificadores de dispositivos e información similar relacionada con el dispositivo.
  • Información de uso y análisis: Datos estadísticos y analíticos recopilados del uso del servicio por parte del cliente.
  • Datos de encuestas: Información demográfica y comentarios enviados voluntariamente por el interesado en encuestas (incluidos datos de raza/origen étnico).
  • Datos de correspondencia: Correspondencia y otras comunicaciones (incluidos los datos de comunicaciones telefónicas legalmente registrados) con el Interesado con el fin de proporcionar atención al cliente.
  • Preferencias de marketing: suscripciones a boletines y otras preferencias relacionadas con marketing o publicidad.
  • Otras categorías de Datos personales que el/los Exportador(es) de datos están autorizados a transferir al/a los Importador(es) de datos.

Destinatarios: los Datos Personales transferidos solo pueden divulgarse a los siguientes destinatarios o categorías de destinatarios:

  • Empresas del mismo grupo que el Importador de datos: según sea necesario para los fines descritos en estas cláusulas y con arreglo a las protecciones en ellas estipuladas.
  • Personal del Importador de datos: Los empleados de ventas, marketing, atención al cliente, TI y otros empleados, gerentes y directores del Importador de datos debidamente autorizados tendrán acceso a los Datos personales según sea necesario para el cumplimiento de sus funciones y estrictamente para los fines descritos anteriormente.
  • Proveedores de servicios externos: contables, auditores, abogados y otros asesores profesionales externos; proveedores de servicios de centros de llamadas; sistemas de TI, proveedores de servicios de soporte y alojamiento; procesadores de transacciones de tarjetas de crédito; proveedores de servicios de publicidad, marketing e investigación y análisis de mercado; bancos e instituciones financieras; proveedores de gestión de documentos y registros; y proveedores externos similares y proveedores de servicios subcontratados que ayudan al Importador de datos a llevar a cabo actividades comerciales.
  • Organismos públicos y autoridades policiales: personal debidamente autorizado de organismos públicos y autoridades policiales que realicen consultas o exijan la presentación de información por parte del Importador de datos de conformidad con la legislación aplicable.

Anexo 2

Medidas de seguridad

Medidas de seguridad técnicas y organizativas

ComponentSource emplea diversas medidas y procedimientos de seguridad para proteger los datos personales, incluidos, entre otros:

  1. Empleados designados responsables de la implementación de los procedimientos de seguridad de ComponentSource.
  2. Mantenimiento de políticas de protección, retención y seguridad de datos que se revisan con una frecuencia mínima de un año.
  3. Controles de seguridad de datos y redes que incluyen acceso restringido y despliegue de tecnologías de cifrado comerciales estándar.
  4. Controles de contraseñas para garantizar que se usen y actualicen regularmente contraseñas seguras y únicas.
  5. Controles de acceso que restringen el acceso electrónico a los datos personales y la funcionalidad del sistema en función de las responsabilidades laborales y el nivel de gestión, y que incluyen la revocación del acceso a los empleados que abandonan la empresa.
  6. Autenticación multifactor y uso de una red privada virtual para cualquier acceso remoto a sistemas o Datos personales.
  7. Uso de firewalls y software de seguridad para detectar, filtrar y eliminar ataques, y despliegue de software de cifrado en relación con la transmisión de datos personales.
  8. Registro de eventos y procedimientos de supervisión relacionados para registrar de forma proactiva la actividad del sistema y el acceso de los usuarios con fines de investigación y revisión rutinaria.
  9. Seguridad física y ambiental de la sala de servidores y otras áreas que contienen datos personales para evitar el acceso no autorizado y proteger los datos personales de daños por incendio o agua.
  10. Prácticas operativas y controles para la configuración, supervisión y mantenimiento de tecnología y sistemas de información según los estándares de la industria, incluida la eliminación segura de sistemas y medios que hacen que todos los datos personales sean indescifrables o irrecuperables antes de que ComponentSource se deshaga definitivamente de ellos.
  11. Controles de seguridad de red, incluidos firewalls empresariales y sistemas de detección de intrusiones, para proteger los sistemas de intrusiones y limitar el alcance de cualquier ataque exitoso.
  12. Evaluación regular de vulnerabilidades, administración de parches y otros procedimientos de monitorización para facilitar la detección y eliminación o mitigación de amenazas de seguridad identificadas, virus y otros códigos maliciosos.
  13. Procedimientos de continuidad del negocio diseñados para mantener la prestación de servicios y la seguridad de los datos personales en caso de situaciones de emergencia o desastre.

Información útil adicional (límites de almacenamiento y otra información relevante)

Los datos personales no se conservarán durante más tiempo del necesario para los fines descritos anteriormente o en la medida en que así lo exijan los requisitos legales aplicables. En todo caso, los Datos personales nunca se conservarán durante más tiempo del permitido por la legislación aplicable.

Puntos de contacto para todas las consultas o solicitudes relacionadas con datos:
dpm@componentsource.com O, si es urgente,
ComponentSource en el: (770) 250 6105 o +44 1189 822108

CSWWEULA 10/2025