Condiciones de protección de datos entre responsables del tratamiento de Google Ads

Google y la contraparte que acepta las presentes Condiciones (el “Cliente”), han celebrado un contrato para la prestación de los Servicios del responsable del tratamiento (con sus enmiendas puntuales, el “Contrato”).

Las presentes Condiciones de protección de datos entre responsables del tratamiento de Google Ads (conjuntamente con su apéndice, las “Condiciones de responsables del tratamiento”) se suscriben entre Google y el Cliente y complementan al Contrato. Las presentes Condiciones de responsables del tratamiento entrarán en vigor y reemplazarán cualquier condición previamente aplicable relacionada con el objeto de las mismas, a partir de la Fecha de entrada en vigor de las condiciones.

Si usted acepta las presentes Condiciones de responsables del tratamiento en nombre del Cliente, usted garantiza que: (a) tiene plena autoridad legal para que las presentes Condiciones de responsables del tratamiento sean vinculantes para el Cliente; (b) ha leído y comprende las presentes Condiciones de responsables del tratamiento; y que (c) acepta, en nombre del Cliente, las presentes Condiciones de responsables del tratamiento. Si no cuenta con la autoridad legal pertinente para que sean vinculantes para el Cliente, por favor no acepte las presentes Condiciones de responsables del tratamiento.

1. Introducción

Las presentes Condiciones de responsables del tratamiento reflejan el acuerdo de las partes sobre el tratamiento de determinados datos en relación con la Legislación europea de protección de datos y con determinada Legislación no europea de protección de datos.

2. Definiciones e interpretación

2.1 En las presentes Condiciones de responsables del tratamiento los términos definidos se entenderán del siguiente modo:

Términos adicionales para Legislación no europea de protección de datos”: los términos adicionales a los que se hace referencia en el Apéndice 1, que reflejan el acuerdo de las partes respecto de los términos que son de aplicación al tratamiento de determinados datos en relación con determinada Legislación no europea de protección de datos.

“Filial”: cualquier entidad que, directa o indirectamente, controle, esté controlada o esté bajo control común de una parte.

“Interesado del responsable del tratamiento”: el interesado a quien conciernen los Datos personales del responsable del tratamiento.

“Cláusulas Contractuales Tipo (“CCT”) del responsable del tratamiento”: se refiere a los términos de privacy.google.com/businesses/controllerterms/mccs, que son cláusulas estándar de protección de datos para la transferencia de datos personales a responsables del tratamiento establecidos en terceros países que no garantizan un nivel adecuado de protección de datos, tal como se describe en el artículo 46 del RGPD UE.

“Datos personales del responsable del tratamiento”: cualquier dato personal que sea tratado por una parte en virtud del Contrato en relación con la prestación o uso (según corresponda) de los Servicios del responsable del tratamiento.

“Servicios del responsable del tratamiento”: los servicios aplicables que se enumeran en privacy.google.com/businesses/adsservices.

“EEE”: Espacio Económico Europeo.

“RGPD UE”: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

“Datos personales del responsable del tratamiento europeo”: Datos personales del responsable del tratamiento pertenecientes a Interesados del responsable del tratamiento ubicados en el EEE o en Suiza.

“Responsable final del tratamiento”: para cada parte, el responsable último del tratamiento de los Datos personales del Responsable del tratamiento.

Legislación europea de protección de datos”: según corresponda: (a) el RGPD; y/o (b) la Ley Federal de Protección de Datos de 19 de junio de 1992 (Suiza).

“RGPD”: según corresponda: (a) el RGPD UE; y/o (b) el RGPD de Reino Unido.

“Google”: la Entidad de Google que sea parte del Contrato.

“Responsables finales del tratamiento de Google”: Responsables finales del tratamiento de los Datos personales de los Responsables del tratamiento que son tratados por Google.

“Entidad de Google”: Google LLC (anteriormente conocido como Google Inc.), Google Ireland Limited o cualquier otra Filial de Google LLC.

Legislación no europea de protección de datos”: legislación vigente sobre protección de datos o sobre privacidad fuera del EEE, Suiza y el Reino Unido.

“Fecha de entrada en vigor de las condiciones”: según corresponda:

(a) 25 de mayo de 2018, si el Cliente hizo clic para aceptar o las partes acordaran de otro modo las presentes Condiciones de responsables del tratamiento antes de o en esa fecha; o

(b)la fecha en la que el Cliente haya hecho clic para aceptar o las partes acordaran de otro modo las presentes Condiciones de responsables del tratamiento, si tal fecha es posterior al 25 de mayo de 2018.

“Datos personales del responsable del tratamiento de Reino Unido”: Datos personales del responsable del tratamiento pertenecientes a Interesados del responsable del tratamiento ubicados en el Reino Unido.

“RGPD de Reino Unido”: el RGPD UE tal y como ha sido modificado e incorporado en la legislación de Reino Unido en virtud de la “European Union (Withdrawal) Act 2018”, si la misma está vigente.

2.2Los términos “responsable del tratamiento”, “interesado”, “datos personales”, “tratamiento” y “encargados del tratamiento” tal y como se utilizan en las presentes Condiciones de responsables del tratamiento tienen los significados dados en el RGPD, y los términos “importador de datos” y “exportador de datos” tienen los significados que se dan en las CCT del responsable del tratamiento.

2.3Las expresiones “incluido” o “incluyendo” significan “incluyendo, pero no limitado a”. Cualquier ejemplo en las presentes Condiciones de responsables del tratamiento es solamente ilustrativo y no los ejemplos exclusivos de un concepto particular.

2.4Cualquier referencia a un marco legal, ley u otra disposición legislativa es una referencia a la misma con sus periódicas modificaciones o nuevas promulgaciones.

2.5 En caso de que estas Condiciones de responsables del tratamiento fuesen traducidas a cualquier otro idioma y se diese alguna discrepancia entre la versión en inglés y el texto traducido, la versión en inglés será la aplicable.

3.Aplicación de las presentes Condiciones de responsables del tratamiento

3.1 Aplicación de la Legislación europea de protección de datos. Los Apartados de 4 (Roles y restricciones al tratamiento) a 6 (Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento), inclusive, solo serán aplicables en la medida en que la Legislación europea de protección de datos sea aplicable al tratamiento de los Datos personales del responsable del tratamiento.

3.2 Aplicación a los Servicios del responsable del tratamiento. Las presentes Condiciones de responsables del tratamiento solo serán aplicables a los Servicios del responsable del tratamiento para los cuales las partes acordaron las presentes Condiciones de responsables del tratamiento (por ejemplo: (a) los Servicios del responsable del tratamiento para los cuales el Cliente hizo clic para aceptar las presentes Condiciones de responsables del tratamiento, o (b) si el Contrato incorpora las presentes Condiciones de responsables del tratamiento por referencia, los Servicios del responsable del tratamiento que son el objeto del Contrato).

Incorporación de los Términos adicionales para Legislación no europea de protección de datos. Los Términos adicionales para Legislación no europea de protección de datos son complementarios a estas Condiciones de responsables del tratamiento.

4. Roles y restricciones al tratamiento

4.1 Responsables del tratamiento independientes. Sujetos a la Sección 4.3 (Responsables finales del tratamiento), cada parte

(a) es un responsable del tratamiento independiente respecto de los Datos personales del responsable del tratamiento en virtud de la Legislación europea de protección de datos;

(b) determinará individualmente los fines y los medios del tratamiento de Datos personales del responsable del tratamiento; y

(c)cumplirá las obligaciones que le correspondan en virtud de la Legislación europea de protección de datos con respecto al tratamiento de Datos personales del responsable del tratamiento.

4.2 Restricciones al tratamiento. La Sección 4.1 (Responsables del tratamiento independientes) no afectará ninguna restricción sobre los derechos de cualquiera de las partes para usar o tratar datos personales del Responsable del tratamiento en virtud del Contrato.

4.3 Responsables finales del tratamiento. Sin reducir las obligaciones de ninguna de las partes en virtud de estas Condiciones de responsables del tratamiento, cada una de las partes reconoce que:

(a) las empresas del grupo / filiales o clientes de la otra parte pueden ser Responsables finales del tratamiento; y

(b) la otra parte puede actuar como encargado del tratamiento en nombre de sus Responsables finales del tratamiento. Los Responsables finales del tratamiento de Google son (i) para los Datos personales del responsable del tratamiento europeo tratados por Google, Google Ireland Limited; y (ii) para los Datos personales del responsable del tratamiento de Reino Unido tratados por Google, Google LLC. Cada una de las partes se asegurará de que sus Responsables finales del tratamiento cumplan con las Condiciones de responsables de tratamiento, incluidas (cuando corresponda) las Cláusulas Contractuales Tipo (“CCT”) del responsable del tratamiento.

5. Transferencias de datos

Cualquiera de las partes puede transferir Datos personales del responsable del tratamiento a terceros países, si cumple con las disposiciones sobre la transferencia de Datos personales a terceros países contemplada en la Legislación europea de protección de datos.

6. Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento

6.1Transferencias de Datos personales del responsable del tratamiento europeo al Cliente. En la medida en que:

(a)Google transfiera los Datos personales del responsable europeo del tratamiento al Cliente; y

(b)El Cliente esté establecido en un tercer país que no esté sujeto a una decisión de adecuación en virtud de la Legislación europea de protección de datos,

se considerará que el Cliente, como importador de datos, ha suscrito las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento con Google Ireland Limited (el Responsable final del tratamiento de Google aplicable) como exportador de datos y las transferencias estarán sujetas a las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento.

6.2Transferencias de Datos personales del responsable del tratamiento de Reino Unido al Cliente. En la medida en que:

(a)Google transfiera los Datos personales del responsable del tratamiento de Reino Unido al Cliente; y

(b)El Cliente está establecido en un tercer país que no está sujeto a una decisión de adecuación en virtud del RGPD de Reino Unido,

se considerará que el Cliente, como importador de datos, ha suscrito las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento con Google LLC (el Responsable final del tratamiento de Google aplicable) como exportador de datos y las transferencias estarán sujetas a las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento.

6.3Transferencias de Datos personales del responsable del tratamiento europeo a Google. Las partes reconocen que, en la medida en que el Cliente transfiera los Datos personales del responsable del tratamiento europeo a Google, las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento no son necesarias porque Google Ireland Limited (el Responsable final del tratamiento de Google aplicable) está establecida en Irlanda y, por lo tanto, dichas transferencias están permitidas por la Legislación europea de protección de datos. Esto no afecta a las obligaciones de Google en virtud de la Sección 5 (Transferencias de datos).

6.4Transferencias de Datos personales del responsable del tratamiento de Reino Unido a Google. En la medida en que el Cliente transfiera los Datos personales del responsable del tratamiento de Reino Unido a Google, se considerará que el Cliente, en calidad de exportador de datos, ha suscrito las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento con Google LLC (el Responsable final del tratamiento de Google aplicable) como importador de datos y las transferencias estarán sujetas a las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento, ya que Google LLC está establecido en los EE.UU. y, por lo tanto, dichas transferencias se realizan a un país tercero que no está sujeto a una decisión de adecuación en virtud del RGPD de Reino Unido.

6.5Cláusulas comerciales adicionales para las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento. Las Secciones 6.6 (Contacto con Google) a 6.9 (Terceros Responsables del tratamiento) son cláusulas comerciales adicionales relativas a las Cláusulas Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento, tal como lo permite la cláusula VII (Variación de estas cláusulas) de las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento. Nada de lo dispuesto en las secciones 6.6 (Contacto con Google) a 6.9 (Terceros Responsables del tratamiento) varía o modifica los derechos u obligaciones de las partes respecto de las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento.

6.6Contactar con Google. El Cliente puede ponerse en contacto con Google Ireland Limited y/o Google LLC en relación con las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento en https://support.google.com/policies/troubleshooter/9009584 o a través de cualquier otro medio que Google pueda proporcionarle ocasionalmente, incluyendo a los efectos de:

(a)La cláusula II(e) de las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento, en la medida en que Google LLC actúe como importador de datos y el Cliente como exportador de datos bajo las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento; y

(b)Solicitar una auditoría de conformidad con el apartado a) de la Sección 6.8 infra.

6.7 Responder a las consultas de los Interesados. A los efectos del apartado d) de la cláusula I de las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento, el importador de datos correspondiente se encargará de responder a las consultas de los interesados y de la autoridad relativas al tratamiento de los Datos personales del responsable del tratamiento correspondiente por parte del importador de datos.

6.8Exámenes, auditorías y certificaciones de cumplimiento.

a) Si las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento se aplican en virtud de la presente Sección 6 (Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento), el importador de datos correspondiente permitirá que el exportador de datos correspondiente o un agente de inspección o auditor tercero designado por el exportador de datos lleve a cabo un examen, una auditoría y/o una certificación como se describe en el apartado g) de la cláusula II de las Cláusulas Contractuales Tipo (CCT) del responsable del tratamiento (“Auditoría”) de conformidad con la presente Sección 6.8 (Exámenes, auditorías y certificaciones de cumplimiento).

b) Una vez que el importador de datos haya recibido una solicitud de Auditoría, el importador y el exportador de datos examinarán y acordarán de antemano la fecha de inicio, el alcance y la duración razonables de la Auditoría, así como los controles de seguridad y confidencialidad aplicables a la misma.

c) El importador de datos podrá cobrar una tarifa (basada en los costes razonables del importador de datos) por cualquier Auditoría. El importador de datos proporcionará al exportador de datos más detalles sobre cualquier honorario aplicable, y la base de su cálculo, antes de la Auditoría. El exportador de datos será responsable de los honorarios que cobre cualquier agente de inspección o auditor tercero designado por el exportador de datos para ejecutar la Auditoría.

d) El importador de datos podrá objetar a cualquier agente de inspección o auditor tercero designado por el exportador de datos para llevar a cabo cualquier Auditoría si el agente de inspección o auditor no está, en opinión razonable del importador de datos, debidamente cualificado o no es independiente, o es un competidor del importador de datos o es, de otro modo, manifiestamente inadecuado. Cualquier objeción de este tipo por parte del importador de datos requerirá que el exportador de datos nombre a otro agente de inspección o auditor o que realice la Auditoría por sí mismo.

e) No se exigirá al importador de datos que revele al exportador de datos o a su agente de inspección o auditor externo, ni que permita el acceso del exportador de datos o de su agente de inspección o auditor externo a:

i) los datos de cualquier cliente del importador de datos o de cualquiera de sus filiales /empresas del grupo;

ii) cualquier información contable o financiera interna del importador de datos o de cualquiera de sus filiales /empresas del grupo;

iii) cualquier secreto comercial del importador de datos o de cualquiera de sus filiales /empresas del grupo;

iv) cualquier información que, en opinión razonable del importador de datos, pudiera: (A) comprometer la seguridad de cualquier sistema o local del importador de datos o de otra filial / empresa del grupo; o (B) hacer que el importador de datos u otra filial / empresa del grupo del importador incumpla sus obligaciones en virtud de la Legislación europea de protección de datos o sus obligaciones de seguridad y/o privacidad para con el exportador de datos o cualquier tercero; o

v) cualquier información a la que el exportador de datos o su agente de inspección o auditor externo trate de acceder por cualquier motivo que no sea el cumplimiento de buena fe de las obligaciones del exportador de datos con arreglo a la Legislación europea de protección de datos.

6.9Terceros Responsables del tratamiento. En la medida en que Google LLC actúe como importador de datos y el Cliente actúe como exportador de datos bajo las Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento, según la Sección 6.4 (Transferencias de Datos Personales del Responsable del tratamiento de Reino Unido a Google), Google notifica al Cliente, a efectos de la Cláusula II(i), que los Datos personales del responsable del tratamiento de Reino Unido pueden ser transferidos a los Terceros Responsables del tratamiento de datos cuando así lo solicite el Cliente, incluyendo su uso o integración con los Servicios del Responsable del tratamiento.

7. Responsabilidad

7.1 Límite de responsabilidad. Si el Contrato se rige por las leyes de:

(a)un estado de los Estados Unidos de América, entonces, no obstante cualquier disposición contraria en el Contrato, la responsabilidad total de cualquiera de las partes hacia la otra parte en virtud de o en conexión con las presentes Condiciones de responsables del tratamiento, se limitará al máximo importe monetario o importe en función de los pagos establecidos como tope de la responsabilidad de esa parte en virtud del Contrato (para mayor claridad, cualquier exclusión de demandas de indemnización de la limitación de responsabilidad del Contrato no será aplicable a demandas de indemnización en virtud del Contrato relacionado con la Legislación europea de protección de datos o con la Legislación no europea de protección de datos); o

(b)una jurisdicción que no sea un estado de los Estados Unidos de América, entonces la responsabilidad de las partes en virtud de, o en conexión con, las presentes Condiciones de responsables del tratamiento estará sujeta a las exclusiones y limitaciones de responsabilidad en el Contrato.

7.2 Responsabilidad en caso de que apliquen las Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento. Si se aplican las Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento en virtud de la Sección 6 (Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento), entonces la responsabilidad total combinada de:

(a) Google, Google LLC y Google Ireland Limited hacia el Cliente; y

(b) El Cliente hacia Google, Google LLC y Google Ireland Limited, en virtud del Contrato o en relación con él, y las Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento combinados estarán sujetos a la Sección 7.1 (Límite de responsabilidad). El apartado a) de la cláusula III de las Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento no afectará a la frase anterior.

8. Terceras Partes Beneficiarias

En los casos en que Google LLC y/o Google Ireland Limited no sean parte del Contrato, pero sí lo sean de las Cláusulas Contractuales Tipo que se aplican en virtud de la Sección 6 (Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento), Google LLC y/o Google Ireland Limited (según corresponda) serán terceras partes beneficiarias de las Secciones 4.3 (Responsables finales del tratamiento), 6 (Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento) y 7.2 (Responsabilidad en caso de que apliquen las Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento). En la medida en que esta Sección 8 (Terceras partes beneficiarias) entre en conflicto o sea incompatible con cualquier otra cláusula del Contrato, se aplicará esta Sección 8 (Terceras partes beneficiarias).

9. Prioridad

9.1Efecto de las presentes Condiciones de responsables del tratamiento. Si hay algún conflicto o inconsistencia entre las Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento, las condiciones de los Términos adicionales para Legislación no europea de protección de datos, y el resto de las presentes Condiciones de responsables del tratamiento y/o el resto del Contrato, entonces, con sujeción a lo dispuesto en las Secciones 4.2 (Restricciones al tratamiento) y 9.2 (Condiciones del encargado del tratamiento), estas serán de aplicación según el siguiente orden de preferencia: (a) las Cláusulas del Contractuales Tipo (CCT) del responsable del tratamiento; (b) los Términos adicionales para Legislación no europea de protección de datos; (c) el resto de las presentes Condiciones de responsables del tratamiento; and (d) el resto del Contrato . Con sujeción a lo dispuesto en las enmiendas en las presentes Condiciones de responsables del tratamiento, el Contrato continuará siendo plenamente válido y efectivo.

9.2 Condiciones del encargado del tratamiento. Las presentes Condiciones de responsables del tratamiento no afectarán a las condiciones independientes entre Google y el Cliente que reflejen una relación responsable del tratamiento-encargado del tratamiento para un servicio distinto de los Servicios del responsable del tratamiento.

10. Cambios a las presentes Condiciones de responsables del tratamiento

10.1 Cambios en el alcance de los Servicios del responsable del tratamiento. Google solo puede cambiar la lista de posibles Servicios del responsable del tratamiento en privacy.google.com/businesses/adsservices:

(a) para reflejar un cambio en el nombre de un servicio;

(b) para añadir un nuevo servicio; o

(c) para eliminar un servicio cuando o bien: (i) todos los contratos para la prestación de ese servicio se encuentren rescindidos; o (ii) Google tenga el consentimiento del Cliente.

10.2 Cambios a las Condiciones de responsables del tratamiento. Google puede cambiar las presentes Condiciones de responsables del tratamiento si el cambio:

(a) se ajusta a lo descrito en la Sección 10.1 (Cambios en el alcance de los Servicios del responsable del tratamiento);

(b) es necesario para cumplir la legislación y la normativas aplicables, una orden judicial o una directriz publicada por un ente regulador o agencia gubernamentales;

(c) no: (i) trata de alterar la categorización de las partes como responsables del tratamiento independientes de Datos personales del responsable del tratamiento en virtud de la Legislación europea de protección de datos; (ii) amplia el alcance de los derechos de cualquiera de las partes a usar o tratar, o elimina cualquier restricción sobre (x) en el caso de los Términos adicionales para Legislación no europea de protección de datos, los datos que sean objeto de los mismos o (y) en el caso del resto de las presentes Condiciones de responsables del tratamiento, los Datos personales del responsable del tratamiento; o (iii) tiene un efecto significativamente negativo en el Cliente, según lo determine razonablemente Google.

10.3 Notificación de cambios. Si Google tiene la intención de cambiar las presentes Condiciones de responsables del tratamiento con arreglo a la Sección 10.2(b) y tal cambio tendrá un impacto adverso significativo en el Cliente, según lo determine razonablemente Google, Google realizará esfuerzos comercialmente razonables para informar al Cliente al menos 30 días (o el período más corto que se requiera para cumplir la legislación aplicable, la regulación aplicable, una orden judicial u orientación emitida por un regulador o agencia gubernamental) antes de que el cambio entre en vigor. Si el Cliente se opone a tal cambio, el Cliente puede rescindir el Contrato mediante la notificación por escrito a Google en un plazo de 90 días a partir de la fecha en la que Google le haya informado del cambio.

Apéndice 1: Términos adicionales para Legislación no europea de protección de datos

Los siguientes Términos adicionales para Legislación no europea de protección de datos son complementarios a estas Condiciones de responsables del tratamiento:

Condiciones de responsables del tratamiento de anuncios de Google-protección de datos del responsable del tratamiento, Versión 2.1

16 de agosto del 2020

Versiones anteriores