Apéndice de procesamiento de datos

EL PRESENTE APÉNDICE SOBRE EL TRATAMIENTO DE DATOS ("APÉNDICE") SE APLICA EN LA MEDIDA EN QUE KUSTOMER, LLC (ANTERIORMENTE, KUSTOMER, INC.) ("KUSTOMER") ES UN "PROCESADOR" (DEFINIDO A CONTINUACIÓN) DE DATOS PERSONALES (DEFINIDOS A CONTINUACIÓN) QUE ESTÁ SUJETO A LAS LEYES DE PROTECCIÓN DE DATOS APLICABLES (DEFINIDAS A CONTINUACIÓN) EN RELACIÓN CON SU PROVISIÓN DE SERVICIOS A LA ENTIDAD ("CLIENTE") QUE EJECUTA EL ACUERDO PRINCIPAL DE SUSCRIPCIÓN U OTRO ACUERDO ESCRITO O ELECTRÓNICO ENTRE KUSTOMER Y EL CLIENTE PARA LA COMPRA DE SERVICIOS EN LÍNEA (EL "ACUERDO") AL QUE SE ADJUNTA O INCORPORA POR REFERENCIA ESTA ADENDA. EN LA MEDIDA EN QUE EL ACUERDO SUSCRITO POR EL CLIENTE INCORPORE POR REFERENCIA EL APÉNDICE DE PROCESAMIENTO DE DATOS UBICADO EN HTTPS://WWW.KUSTOMER.COM/COMPLIANCE/DPA, EL PRESENTE APÉNDICE SUSTITUIRÁ A DICHO APÉNDICE DE PROCESAMIENTO DE DATOS A PARTIR DE LA ÚLTIMA FECHA DE ACTUALIZACIÓN INDICADA ANTERIORMENTE. SI USTED ACCEDE A LOS SERVICIOS EN NOMBRE DEL CLIENTE, DECLARA Y GARANTIZA QUE ESTÁ AUTORIZADO A ACEPTAR ESTAS CONDICIONES EN SU NOMBRE Y QUE TIENE DERECHO A VINCULAR AL CLIENTE CON LAS MISMAS. PARA EVITAR DUDAS, ESTE ANEXO NO ES VÁLIDO NI LEGALMENTE VINCULANTE SI NO EXISTE UN ACUERDO ENTRE EL CLIENTE Y KUSTOMER.

 

1. Definiciones

1.1 "Afiliada" significa cualquier entidad que directa o indirectamente controle, sea controlada o esté bajo control común con la entidad en cuestión. "Control", a efectos de esta definición, significa la propiedad o el control directo o indirecto de más del 50% de las participaciones con derecho a voto de la entidad en cuestión.

1.2 Por "datos anónimos" se entiende los datos que no se consideran "datos personales" o "información personal" (o variaciones análogas de esos términos) en virtud de las leyes de protección de datos aplicables, incluidos (i) a efectos de las leyes de protección de datos de la UE y el Reino Unido, los datos personales que se han procesado de tal manera que ya no pueden atribuirse a una persona física identificada o identificable; o (ii) la "información agregada de los consumidores" o la "información personal desidentificada", tal como se definen esos términos en las leyes de privacidad aplicables de los Estados Unidos.

1.3 "Leyesde Protección de Datos Aplicables" significa todas las leyes y reglamentos aplicables al Tratamiento de Datos Personales bajo el Acuerdo. Con respecto a los Datos Personales relativos a los Sujetos de Datos del EEE, Reino Unido y/o Suiza, las "Leyes de Protección de Datos Aplicables" incluirán, pero no se limitarán, a las Leyes de Protección de Datos de la UE y del Reino Unido. Con respecto a los Datos Personales relativos a los Sujetos de Datos de California, Colorado, Connecticut, Utah y/o Virginia, las "Leyes de Protección de Datos Aplicables" incluirán, pero no se limitarán, a las Leyes de Privacidad de los Estados Unidos.

1.4 "Empleado autorizado" significa un empleado de Kustomer que necesita conocer o acceder a los Datos Personales para permitir a Kustomer cumplir con sus obligaciones en virtud de este Anexo o del Acuerdo.

1.5 "Persona autorizada" significa un empleado o subprocesador autorizado.

1.6 "Subprocesador Autorizado" significa cada una de las Afiliadas de Kustomery un tercero subcontratista, agente, revendedor o auditor que (i) necesita conocer o acceder a los Datos Personales para permitir a Kustomer cumplir con sus obligaciones en virtud de este Anexo o del Acuerdo y (ii) es un Subprocesador Actual en virtud de la Sección 4.1 del presente documento o es añadido como Subprocesador Autorizado en virtud de la Sección 4.2 del presente documento después de la Fecha de Entrada en Vigor.

1.7 "Responsable del tratamiento" es la entidad que determina los fines y los medios del tratamiento de los datos personales. Con respecto a los Datos Personales relativos a los Sujetos de Datos de California, Colorado, Connecticut, Utah y Virginia, el Controlador incluirá, pero no se limitará a, el término "Empresa" o "Controlador", según corresponda, en virtud de las Leyes de Privacidad de los Estados Unidos pertinentes.

1.8 "Sujeto de los datos" significa (i) una persona física identificada o identificable a la que se refieren los datos personales y que se encuentra en el EEE, el Reino Unido o Suiza o cuyos derechos están protegidos por las leyes de protección de datos de la UE y del Reino Unido; o (ii) un "consumidor" o, si procede, un "hogar", tal y como se define el término en la ley de privacidad estadounidense aplicable.

1.9 "EEE" significa el Espacio Económico Europeo.

1.10 "Leyes de protección de datos de la UE y del Reino Unido" significa (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) ("GDPR"); (ii) la Ley de Protección de Datos del Reino Unido de 2018 ("DPAdelReino Unido"); el Reglamento General de Protección de Datos del Reino Unido, tal como se define en la DPA del Reino Unido, modificado por el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Enmiendas, etc.) (Salida de la UE) de 2019 (junto con la DPA del Reino Unido, el "GDPR del Reino Unido"); (iii) el Reglamento de Privacidad y Comunicaciones Electrónicas de 2003; y (iv) cualquier ley, estatuto, declaración, decreto, directiva, promulgación legislativa, orden, ordenanza, reglamento, norma u otro instrumento vinculante pertinente que implemente cualquiera de los anteriores o que se relacione de otro modo con la protección de datos, la privacidad o el Tratamiento de Datos Personales, en cada caso según sea aplicable y esté en vigor en cada momento, y tal y como haya sido modificada, consolidada, reeditada o sustituida de vez en cuando (incluyendo, a efectos de clarificación y sin limitación, la Ley Federal de Protección de Datos de 19 de junio de 1992 (Suiza) (tal y como ésta pueda ser sustituida por la Ley Suiza de Protección de Datos de 2020 y tal y como sea modificada de vez en cuando) ("DPA Suiza")).

1.11 "Cláusulas de Transferencia de la UE" significa las Cláusulas Contractuales Estándar aprobadas por la Decisión 2021/914 de la Comisión Europea de 4 de junio de 2021, incluyendo específicamente el Módulo 2 (Controlador a Procesador) y el Módulo 3 (Procesador a Procesador), tal como pueden ser modificados, actualizados o sustituidos de vez en cuando por la Comisión Europea, para la transferencia de datos personales desde el Espacio Económico Europeo ("EEE") a un Tercer País y el procesamiento de Datos Personales;

1.12 "Instrucción" significa una instrucción, ya sea por escrito, en forma textual (por ejemplo, por correo electrónico) o mediante el uso de un software o herramienta en línea, emitida por el Cliente a Kustomer y que ordena a Kustomer el tratamiento de los Datos Personales.

1.13 "Datos personales" o "Información personal" se refiere a cualquier información puesta a disposición de Kustomer en relación con los Servicios que constituya "información personal", "información de identificación personal", "datos personales" o información similar regulada por las Leyes de Protección de Datos aplicables y tendrá el significado asignado a dichos términos, según corresponda, en virtud de las Leyes de Protección de Datos aplicables, incluida la información relativa a los Sujetos de Datos que Kustomer procesa en nombre del Cliente y que no son Datos Anónimos.

1.14 "Violación de Datos Personales" significa una violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos Personales en posesión, custodia o control de Kustomer.

1.15 "Marco del Escudo de Privacidad" significa el programa de autocertificación del Escudo de Privacidad UE-EEUU y/o Suiza-EEUU operado por el Departamento de Comercio de EEUU, o cualquier marco legal equivalente que pueda aplicarse entre el Reino Unido y los EEUU.

1.16 Por "Tratamiento" o "Procesamiento" se entiende cualquier operación o conjunto de operaciones que se realicen sobre los Datos Personales, ya sea por medios automáticos o no, tales como la recogida, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, bloqueo, borrado o destrucción.

1.17 Por "Encargado del Tratamiento" se entiende la entidad que trata los Datos Personales por cuenta del Responsable del Tratamiento. Con respecto a los Datos Personales cubiertos por las Leyes de Privacidad de los Estados Unidos, de los Sujetos de Datos de California, Colorado, Connecticut, Utah y/o Virginia, el Procesador incluirá el término "Procesador" o "Proveedor de Servicios", según corresponda, de acuerdo con el significado dado a ese término por la Ley de Privacidad de los Estados Unidos correspondiente.

1.18 La "Documentación deSeguridad y Privacidad" se refiere a la Documentación de Seguridad y Privacidad aplicable a los Servicios específicos adquiridos por el Cliente, actualizada periódicamente, y accesible a través de https://www.kustomer.com/security/.

1.19 "Servicios" se refiere a todos los servicios prestados por Kustomer al Cliente, tal y como se establece en el Contrato (incluyendo cualquier Pedido aplicable (tal y como se define en el Contrato)).

1.20 Por "Cláusulas Contractuales Tipo" se entenderán las Cláusulas de Transferencia de la UE y el Anexo de Transferencia Internacional de Datos del Reino Unido, siempre que sus Apéndices y Anexos estén recogidos en el Anexo 1 de este Anexo.

1.21 Por "Autoridad de Control" se entiende una autoridad pública independiente establecida por un estado miembro del EEE, Suiza, Reino Unido o cualquier otra autoridad u organismo gubernamental que tenga jurisdicción sobre el cumplimiento y la aplicación de las leyes de protección de datos aplicables.

1.22 "Tercer País" significa (i) en relación con las transferencias de Datos Personales sujetas al GDPR, cualquier país fuera del ámbito de aplicación de las leyes de protección de datos del Espacio Económico Europeo, excluyendo los países aprobados como proveedores de protección adecuada de Datos Personales por la Comisión Europea de vez en cuando; y (ii) en relación con las transferencias de Datos Personales sujetas al GDPR del Reino Unido o a la ley de protección de datos de Suiza, cualquier país fuera del ámbito de aplicación de las leyes de protección de datos del Reino Unido o de Suiza (según corresponda), excluyendo los países aprobados como proveedores de protección adecuada de Datos Personales por la autoridad competente pertinente del Reino Unido o de Suiza (según corresponda) de vez en cuando.

1.23 "Servicios de terceros" se refiere a las conexiones y/o enlaces a sitios web y/o servicios de terceros que Kustomer permite al Cliente integrar y acceder a través de los Servicios, incluyendo, sin limitación, a través de interfaces de programación de aplicaciones, flujos de trabajo o webhooks, y para los cuales el Cliente ha firmado un acuerdo(s) directamente con dichos sitios web y/o servicios de terceros con respecto al Procesamiento de Datos Personales.

1.24 "Anexo de Transferencia Internacional deDatos del Reino Unido" significa el Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar de la Comisión de la UE (versión B.1.0) emitido por el Comisionado de Información del Reino Unido, tal como puede ser modificado de vez en cuando, para la transferencia de datos personales desde el Reino Unido a un Tercer País y el procesamiento de Datos Personales.

1.25 "Leyes de privacidad de Estados Unidos" significa (i) a partir del 1 de enero de 2020, la Ley de Privacidad del Consumidor de California ("CCPA"), (ii) a partir del 1 de enero de 2023, la CCPA modificada por la Ley de Derechos de Privacidad de California ("CPRA") y la Ley de Protección de Datos del Consumidor de Virginia ("VCDPA"), (iii) a partir del 1 de julio de 2023, la Ley de Privacidad de Datos de Connecticut ("CTDPA"), la Ley de Privacidad de Colorado ("CPA"), y (iv) a partir del 31 de diciembre de 2023, la Ley de Privacidad del Consumidor de Utah ("UCPA"). "Negocio", "Finalidad comercial", "Fines comerciales", "Vender", "Compartir" y "Proveedor de servicios" tienen el significado que se les da en las leyes de privacidad estadounidenses aplicables.

2. Tratamiento de datos

2.1 Las partes reconocen y acuerdan que, con respecto al Tratamiento de Datos Personales, (i) cuando el Cliente es el Controlador, Kustomer es el Procesador y (ii) cuando el Cliente actúa como Procesador en nombre de otra entidad, Kustomer es un Subprocesador. Kustomer contratará a Subprocesadores Autorizados de acuerdo con los requisitos establecidos en la Sección 4 más adelante. El Cliente entiende que, en la medida en que el Cliente acceda a los Servicios de Terceros, el Cliente actúa como Controlador (o Procesador en nombre de otra entidad, cuando corresponda) y los Servicios de Terceros son Procesadores (o Subprocesadores, cuando corresponda), y los Servicios de Terceros no son Subprocesadores Autorizados de Kustomer.

2.2 Los derechos y obligaciones del Cliente con respecto a este Tratamiento se describen en el presente documento. El Cliente, en su uso de los Servicios, tratará en todo momento los Datos Personales, y proporcionará Instrucciones para el Tratamiento de Datos Personales, en cumplimiento de las Leyes de Protección de Datos Aplicables. Sin limitar ninguna de las obligaciones de Kustomeren virtud de las Leyes de Protección de Datos Aplicables, el Cliente se asegurará de que sus Instrucciones cumplan con todas las Leyes de Protección de Datos Aplicables en relación con los Datos Personales, y de que el Tratamiento de los Datos Personales de acuerdo con las Instrucciones del Cliente, el Contrato y este Anexo no haga que Kustomer infrinja las Leyes de Protección de Datos Aplicables. El Cliente es el único responsable de la exactitud, calidad y legalidad de (i) los Datos Personales proporcionados a Kustomer por el Cliente o en su nombre, (ii) los medios por los que el Cliente adquirió dichos Datos Personales, y (iii) las Instrucciones que proporciona a Kustomer en relación con el Tratamiento de dichos Datos Personales. El Cliente no proporcionará ni pondrá a disposición de Kustomer ningún Dato Personal que infrinja el Acuerdo o que sea inadecuado para la naturaleza de los Servicios, y eximirá a Kustomer de todas las reclamaciones y pérdidas relacionadas con ello.

2.3 Kustomer tratará los datos personales únicamente (i) para los fines establecidos en el contrato (incluido cualquier pedido aplicable (tal y como se define en el contrato)), (ii) de acuerdo con los términos y condiciones establecidos en este anexo y cualquier otra instrucción proporcionada por el Cliente, y (iii) de conformidad con las leyes de protección de datos aplicables. Por la presente, el Cliente da instrucciones a Kustomer para que procese los Datos Personales de acuerdo con los propósitos anteriores y como parte de cualquier procesamiento iniciado por el Cliente en su uso de los Servicios y las instrucciones razonables documentadas proporcionadas por el Cliente (por ejemplo, a través del correo electrónico) cuando dichas instrucciones sean coherentes con los términos del Acuerdo. El Cliente también da instrucciones a Kustomer para que utilice y procese los Datos Personales con el fin de utilizar sus funciones de inteligencia artificial (IA) y aprendizaje automático (ML) para prestar los Servicios en nombre del Cliente, incluyendo la comprensión de la naturaleza de las comunicaciones recibidas por el Cliente con el fin de permitirle responder a sus clientes de forma más precisa y eficiente, y además da instrucciones a Kustomer, cuando sea necesario, para desidentificar o anonimizar los Datos Personales, para entrenar las funciones de IA y ML de los Servicios en nombre del Cliente como parte del Procesamiento.

2.4 El objeto, la naturaleza, la finalidad y la duración del Tratamiento de Datos Personales por parte de Kustomeren virtud del Acuerdo y de esta Adenda, incluidos los tipos de Datos Personales recogidos y las categorías de Sujetos de Datos, se describen en el Anexo 1 de esta Adenda.

2.5 Tras la finalización de los Servicios, a elección del Cliente, Kustomer devolverá o borrará los Datos Personales tan pronto como sea razonablemente posible, excepto en la medida en que sea necesario conservarlos para cumplir con los requisitos legales aplicables, incluidas las Leyes de Protección de Datos aplicables (quedando entendido y acordado que, sin perjuicio de cualquier disposición en contrario del presente documento, KustomerLas obligaciones del Cliente en virtud de este Apéndice seguirán vigentes mientras esté procesando (incluyendo el almacenamiento) Datos Personales, incluyendo, pero sin limitarse a ello, el almacenamiento de Datos Personales para permitir que el Cliente acceda y descargue Datos Personales tras la finalización de los Servicios, tal y como se establece en el Acuerdo y en la política de retención de Kustomerdentro de su Declaración de Privacidad en https://www.kustomer.com/privacy/statement/).

3. Empleados autorizados

3.1 Kustomer tomará medidas comercialmente razonables para garantizar la fiabilidad y la formación adecuada de cualquier Empleado Autorizado.

3.2 Kustomer se asegurará de que todos los Empleados Autorizados sean conscientes de la naturaleza confidencial de los Datos Personales y de que hayan firmado acuerdos de confidencialidad que les impidan revelar o procesar de otro modo, tanto durante como después de su compromiso con Kustomer, cualquier Dato Personal excepto de acuerdo con sus obligaciones en relación con los Servicios.

3.3 Kustomer tomará medidas comercialmente razonables para limitar el acceso a los Datos Personales únicamente a las Personas Autorizadas.

4. Subprocesadores autorizados

4.1 El Cliente reconoce y acepta que Kustomer puede (1) contratar a los Subprocesadores Autorizados que figuran en el sitio web de Kustomeren https://www.kustomer.com/compliance/subprocessors/ en la Fecha de Entrada en Vigor (cada uno de ellos un "Subprocesador Actual") para acceder y Procesar Datos Personales en relación con los Servicios y (2) de vez en cuando, después de la Fecha de Entrada en Vigor, contratar a terceros adicionales con el fin de prestar los Servicios, incluyendo sin limitación el Procesamiento de Datos Personales.

4.2 Kustomer notificará al Cliente antes de contratar a cualquier tercero que no sea sus Afiliados y Subprocesadores Actuales para acceder o participar en el Tratamiento de Datos Personales, actualizando la lista vigente de Subprocesadores Autorizados disponible en el sitio web de Kustomeren https://www.kustomer.com/compliance/subprocessors/ así como proporcionando un mecanismo para suscribirse por correo electrónico para recibir notificaciones de nuevos Subprocesadores Autorizados, y si el Cliente se suscribe, Kustomer proporcionará una notificación por correo electrónico al Cliente de un nuevo Subprocesador Autorizado antes de autorizar a cualquier nuevo Subprocesador Autorizado a Procesar Datos Personales en relación con la prestación de los Servicios.

4.3 Kustomer se asegurará, por medio de un contrato u otro acto legal en virtud de la legislación aplicable (incluidos, sin limitación, los códigos de conducta aprobados y las cláusulas contractuales estándar), de que cada Subprocesador Autorizado esté sujeto a obligaciones de protección de datos en relación con el Tratamiento de Datos Personales que no sean menos protectoras que las de este Anexo en la medida en que sean aplicables a la naturaleza de los servicios prestados por dicho Subprocesador Autorizado. Kustomer lleva a cabo la debida diligencia en la selección y retención de sus Subprocesadores Autorizados.

4.4 El Cliente podrá objetar el uso de un nuevo subprocesador por parte de Kustomerenviando un correo electrónico a compliance@kustomer.com dentro de los quince (15) días siguientes a la recepción de la notificación de Kustomerde acuerdo con el mecanismo establecido en la Sección 4.2, siempre y cuando dicha objeción se base en motivos razonables que indiquen que el nuevo subprocesador no cumple o no puede cumplir con los requisitos establecidos en este Anexo (cada uno, una "Objeción"). En tal caso, las partes acuerdan discutir de buena fe soluciones comerciales alternativas razonables para abordar la Objeción, que pueden incluir la búsqueda de una solución razonable o que las partes acuerden mutuamente rescindir el Acuerdo y los Pedidos afectados sin más responsabilidad para cualquiera de las partes.

4.5 Kustomer será responsable ante el Cliente por los actos y omisiones de procesamiento de datos personales de los subprocesadores autorizados en la misma medida en que Kustomer sería responsable en virtud de este Anexo si hubiera realizado dichos actos u omisiones.

5. Seguridad de los datos personales

5.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Kustomer mantendrá las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del Tratamiento de Datos Personales (incluida la protección contra el Tratamiento no autorizado o ilícito y contra la destrucción, pérdida o alteración accidental o ilícita, la difusión o el acceso no autorizados a los Datos Personales), tal como se establece en la Documentación sobre Seguridad y Privacidad. Kustomer supervisa periódicamente el cumplimiento de estas medidas.

6. Transferencias de datos personales

6.1 Toda transferencia de Datos Personales efectuada con arreglo a la presente Adenda desde Estados miembros del EEE, Suiza o el Reino Unido a los Estados Unidos o a cualquier otro Tercer País (colectivamente, "Datos Personales Transferidos") deberá, en la medida en que dichos Datos Personales Transferidos estén sujetos a dichas Leyes de Protección de Datos Aplicables será llevada a cabo por Kustomer de acuerdo con (a) las Cláusulas Contractuales Estándar, o (b) una norma de cumplimiento alternativa reconocida, incluyendo cualquier nueva versión de, o sucesora de, las Cláusulas Contractuales Estándar o el Marco del Escudo de Privacidad adoptado de acuerdo con las Leyes de Protección de Datos Aplicables (cuando Kustomer haya adoptado dicha norma de cumplimiento alternativa reconocida) ("Solución de Transferencia Alternativa").

6.2 El presente Apéndice incorpora por referencia las Cláusulas de Transferencia de la UE y el Apéndice de Transferencia Internacional de Datos del Reino Unido. Para evitar dudas, la firma de cada parte o cualquier otra forma de aceptación del presente Addendum o del Acuerdo se considerará que constituye su respectiva firma y aceptación de ambos conjuntos de Cláusulas Contractuales Estándar incorporados al mismo, incluidos sus apéndices y anexos que figuran en el Anexo 1 del presente documento. Las partes acuerdan que (i) exclusivamente a efectos de las descripciones de las Cláusulas Contractuales Tipo, Kustomer cumplirá con las obligaciones de "importador de datos" y el Cliente cumplirá con las obligaciones de "exportador de datos" de las Cláusulas Contractuales Tipo (sin perjuicio de que el Cliente pueda estar ubicado fuera de Europa y/o el Cliente pueda estar actuando como procesador en nombre de terceros controladores); (ii) con respecto al subprocesamiento, Kustomer puede encargar a Subprocesadores Autorizados, de acuerdo con la Sección 4 de este Anexo, el Procesamiento de los Datos Personales del Cliente en un Tercer País, en cuyo caso Kustomer ejecutará las Cláusulas de Encargo de Tratamiento con cualquier subcontratista pertinente (incluidas las Afiliadas) que designe en nombre del Cliente (con los detalles de tratamiento establecidos en el Anexo 1 del presente Addendum (Detalles del Tratamiento) y las medidas de seguridad técnicas y organizativas establecidas en la documentación de seguridad de la información pertinente del subcontratista que se aplique en cada momento a los efectos del Anexo II o de la Parte 1 de las Cláusulas Contractuales Tipo (según corresponda)) con cualquier subcontratista pertinente (incluidas las Afiliadas) que designe en nombre del Responsable del Tratamiento; y (iii) ninguna de las partes tiene la intención de contradecir o restringir ninguna de las disposiciones establecidas en las Cláusulas Contractuales Tipo y, en consecuencia, si y en la medida en que las Cláusulas Contractuales Tipo entren en conflicto con cualquier disposición del Acuerdo (incluido el presente Addendum), las Cláusulas Contractuales Tipo prevalecerán en la medida de dicho conflicto. Las partes también pueden acordar ejecutar por separado una copia de las Cláusulas Contractuales Estándar, en cuyo caso, dichas Cláusulas Contractuales Estándar firmadas regirán.

6.3 En el caso de que los Servicios estén cubiertos por más de una norma de cumplimiento reconocida como mecanismo de transferencia adecuado y legal con respecto a los Datos Personales Transferidos, entonces dichos Datos Personales Transferidos estarán sujetos a un único mecanismo de transferencia de acuerdo con el siguiente orden de precedencia: (a) una Solución de Transferencia Alternativa (cuando Kustomer haya adoptado dicha norma de cumplimiento reconocida alternativa y sólo en la medida en que dicha Solución de Transferencia Alternativa cumpla con las Leyes de Protección de Datos Aplicables con respecto a dichos Datos Personales Transferidos); y (b) las Cláusulas Contractuales Estándar. Si Kustomer se lo solicita, el Cliente acepta que tomará sin demora cualquier medida (incluyendo, sin limitación, el reconocimiento electrónico o la ejecución de documentos) que sea razonablemente necesaria para que Kustomer continúe tratando los Datos Personales tal y como se contempla en el presente Addendum en cumplimiento de las Leyes de Protección de Datos Aplicables, incluso para dar pleno efecto a una Solución de Transferencia Alternativa o a las Cláusulas Contractuales Estándar.

6.4 Si las Cláusulas Contractuales Tipo dejan de ser reconocidas por la Comisión Europea, Suiza, el Reino Unido u otras autoridades locales de privacidad aplicables como un mecanismo de transferencia adecuado y legal con respecto a los Datos Personales Transferidos, entonces Kustomer adoptará rápidamente una Solución de Transferencia Alternativa y la acatará; no obstante, si, tras realizar esfuerzos comercialmente razonables, Kustomer no puede cumplir con una Solución de Transferencia Alternativa, las partes discutirán de buena fe y de mutuo acuerdo medidas adicionales, técnicas, contractuales y/o políticas para que Kustomer se comprometa a garantizar que los Datos Personales Transferidos estén protegidos a un nivel equivalente al ofrecido por las Leyes de Protección de Datos Aplicables o, si las partes no consiguen llegar a un acuerdo mutuo sobre dichas medidas adicionales, el Cliente o Kustomer podrán, previa notificación por escrito con treinta (30) días de antelación (incluido el correo electrónico) a la otra parte, rescindir el Contrato y los Pedidos afectados, y el Cliente tendrá derecho a que Kustomer o el revendedor, según corresponda, le reembolse el importe prorrateado de las cuotas de suscripción efectivamente pagadas por adelantado a Kustomer que cubran el resto del Periodo de Suscripción después de la fecha efectiva de rescisión.

7. Derechos de los interesados

7.1 Kustomer deberá, en la medida en que lo permita la ley, notificar al Cliente con prontitud, y en ningún caso más tarde de diez (10) días hábiles a partir de la recepción de Kustomer, la recepción de una solicitud de un Titular de los datos para ejercer los derechos individuales del Titular de los datos en virtud de las leyes de protección de datos aplicables con respecto a los datos personales, incluidos, en su caso, los derechos de: acceso, rectificación, limitación del Tratamiento, supresión, portabilidad de los datos, limitación o cese del Tratamiento, retirada del consentimiento para el Tratamiento, oposición a ser sometido a un Tratamiento que constituya una toma de decisiones automatizada y/o cualquier otro derecho individual en virtud de las Leyes de Protección de Datos Aplicables (dichas solicitudes individualmente y colectivamente "Solicitud(es) delSujeto de Datos").

7.2 Kustomer aplicará, a petición del Cliente, y teniendo en cuenta la naturaleza del Tratamiento aplicable a cualquier Solicitud del Sujeto de Datos, las medidas técnicas y organizativas apropiadas para ayudar al Cliente a cumplir con la obligación del Cliente de responder a dicha Solicitud del Sujeto de Datos y/o a demostrar dicho cumplimiento, cuando sea posible, siempre que (i) el Cliente no pueda responder por sí mismo sin la asistencia de Kustomery (ii) Kustomer pueda hacerlo de acuerdo con todas las Leyes de Protección de Datos aplicables y otros requisitos legales aplicables. El Cliente será responsable, en la medida en que lo permita la ley, de los costes y gastos razonables y documentados que se deriven de dicha asistencia por parte de Kustomer.

8. Acciones y solicitudes de acceso; gestión de incidentes de seguridad

8.1 Kustomer , teniendo en cuenta la naturaleza del Tratamiento y la información de que dispone Kustomer, proporcionará al Cliente una cooperación y asistencia razonables cuando sea necesario para que el Cliente cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables para llevar a cabo una evaluación del impacto de la protección de datos y/o para demostrar dicho cumplimiento, si existen dichas obligaciones, siempre que el Cliente no tenga acceso a la información pertinente de otro modo. El Cliente será responsable, en la medida en que lo permita la ley, de los costes y gastos razonables y documentados que se deriven de dicha asistencia por parte de Kustomer.

8.2 Kustomer , teniendo en cuenta la naturaleza del Tratamiento y la información de que dispone Kustomer, proporcionará al Cliente una cooperación y asistencia razonables con respecto a la cooperación del Cliente y/o la consulta previa con cualquier Autoridad de Supervisión, cuando sea necesario y cuando lo exija la Legislación de Protección de Datos Aplicable. El Cliente será responsable, en la medida en que lo permita la ley, de los costes y gastos razonables y documentados que se deriven de dicha asistencia por parte de Kustomer.

8.3 Kustomer mantendrá registros suficientes para demostrar el cumplimiento de sus obligaciones en virtud del presente Anexo y de las normas de seguridad de datos vigentes aplicables al Tratamiento de los Datos Personales del Cliente en forma de certificaciones, informes y auditorías de terceros, tal y como se establece en la Documentación de Seguridad y Privacidad, en la medida en que Kustomer los ponga a disposición general de sus clientes comerciales. Kustomer conservará dichos registros durante un período de tres (3) años tras la finalización del Contrato. Sin perjuicio de la legislación aplicable en materia de protección de datos, el Cliente (o el auditor independiente del Cliente) tendrá derecho, previo aviso razonable a Kustomer y no más de una vez al año, a revisar, auditar y copiar dichos registros en las oficinas de Kustomerdurante el horario laboral habitual, con sujeción a las obligaciones de confidencialidad establecidas en el Contrato.

8.4 En caso de que se produzca una violación de datos personales, Kustomer informará al Cliente, sin demora indebida y a más tardar en las setenta y dos (72) horas siguientes a la fecha en que Kustomertenga conocimiento efectivo de dicha violación de datos personales, de la misma y de las categorías de datos personales implicadas.

8.5 Inmediatamente después de una violación de datos personales, Kustomer tomará las medidas que Kustomer , a su entera discreción, considere necesarias y razonables para identificar la causa de dicha violación de datos personales y remediarla (en la medida en que el remedio esté dentro del control razonable de Kustomer) y, en la medida de lo posible, incluirá dicha información en la notificación de la violación de datos personales al Cliente.

8.6 En caso de que se produzca una violación de los datos personales, Kustomer , teniendo en cuenta la naturaleza del tratamiento y la información de que dispone Kustomer, proporcionará al Cliente la cooperación y la asistencia razonables necesarias para que el Cliente cumpla con sus obligaciones en virtud de la legislación aplicable en materia de protección de datos con respecto a la notificación de (i) la autoridad de control pertinente y (ii) los sujetos de datos afectados por dicha violación de los datos personales sin demora indebida.

8.7 Las obligaciones descritas en los apartados 8.5 y 8.6 no se aplicarán en caso de que la violación de los datos personales sea consecuencia de las acciones u omisiones del Cliente.

9. Limitación de la responsabilidad

9.1 La responsabilidad total de cada uno de los Clientes y de Kustomer (y de sus respectivos empleados, directores, funcionarios, afiliados, sucesores y cesionarios), que surja de este Anexo o esté relacionada con el mismo, ya sea por contrato, agravio u otra teoría de responsabilidad, no excederá, en conjunto, la limitación de responsabilidad aplicable establecida en el Acuerdo.

10. Términos específicos de la jurisdicción

10.1 En la medida en que Kustomer procese datos personales de sujetos de datos que residan y estén protegidos por las leyes de protección de datos aplicables en una de las jurisdicciones enumeradas en el Anexo 2 del presente documento, se aplicarán los términos especificados en el Anexo 2 con respecto a la(s) jurisdicción(es) aplicable(s) ("Condiciones específicas dela jurisdicción"), además de los términos de este Anexo. En caso de conflicto o ambigüedad entre las Condiciones Específicas de la Jurisdicción y cualquier otro término de este Addendum, tendrán prioridad las Condiciones Específicas de la Jurisdicción aplicables. En caso de conflicto o ambigüedad entre las Condiciones Específicas de la Jurisdicción y las Cláusulas Contractuales Estándar, prevalecerán las Cláusulas Contractuales Estándar.