De acuerdo con el artículo 28 del Reglamento General de Protección de Datos (RGPD) basado en las Cláusulas Contractuales Estándar de la UE
(a) Estas cláusulas contractuales estándar (‘las Cláusulas’) tienen como objetivo garantizar el cumplimiento de los artículos 28(3) y (4) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo relativo al tratamiento de datos personales y sobre la libre circulación de dichos datos, y la derogación de la Directiva 95/46/CE (Reglamento General de Protección de Datos).
(b) Los responsables y responsables de tratamiento listados en el Anexo I han aceptado estas cláusulas para garantizar el cumplimiento de los artículos 28(3) y (4) del Reglamento (UE) 2016/679 y/o de los artículos 29(3) y (4) del Reglamento (UE) 2018/1725.
c) Estas cláusulas se aplican al tratamiento de datos personales según lo establecido en el Anexo II.
d) Los anexos I a IV son parte integral de las cláusulas.
e) Estas cláusulas no perjudican las obligaciones a las que está sujeto el Controlador conforme al Reglamento (UE) 2016/679 y/o al Reglamento (UE) 2018/1725.
(f) Estas cláusulas no garantizan por sí solas el cumplimiento de las obligaciones relacionadas con las transferencias internacionales de datos conforme al Capítulo V del Reglamento (UE) 2016/679 y/o el Reglamento (UE) 2018/1725.
a) Las Partes se comprometen a no modificar las Cláusulas salvo para complementar o actualizar la información proporcionada en los Anexos.
(b) Esto no impide que las partes incluyan las cláusulas contractuales estándar establecidas en dichas cláusulas en un contrato más amplio ni que añadan cláusulas adicionales o salvaguardas adicionales, siempre que no contradigan directa o indirectamente las cláusulas ni restrinjan los derechos o libertades fundamentales de los sujetos de datos.
(a) Cuando dichas cláusulas utilicen los términos definidos en el Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725, dichos términos tendrán los mismos significados que en dicho Reglamento.
b) Estas cláusulas deben interpretarse a la luz de las disposiciones del Reglamento (UE) 2016/679 y del Reglamento (UE) 2018/1725, respectivamente.
(c) dichas cláusulas no deben interpretarse de manera contraria a los derechos y obligaciones previstos en el Reglamento (UE) 2016/679 o en el Reglamento (UE) 2018/1725 ni que socave los derechos o libertades fundamentales de los sujetos de datos;
En caso de conflicto entre estas cláusulas y las disposiciones de cualquier acuerdo relacionado que exista entre las partes o que se celebre o concluya posteriormente, prevalecerán estas cláusulas.
(a) Una entidad que no sea parte de estas Cláusulas puede, con el consentimiento de todas las partes, acceder a estas Cláusulas en cualquier momento como controlador o como procesador completando los Anexos y firmando el Anexo I.
(b) Tras completar y firmar los anexos mencionados en el punto (a), la entidad adherente será tratada como parte de estas cláusulas y tendrá los derechos y obligaciones de un controlador o de un procesador según lo designado en el Anexo I.
(c) La entidad adherente no tendrá derechos u obligaciones derivados de estas cláusulas durante el periodo anterior a su adhesión como parte.
Los detalles de las operaciones de tratamiento, en particular las categorías de datos personales y los fines para los cuales se tratan en nombre del responsable, se detallan en el Anexo II.
a) El responsable del tratamiento solo procesará datos personales mediante instrucciones documentadas del responsable, salvo que esté obligado a hacerlo según la legislación de la Unión o la ley de un Estado miembro al que esté sujeto. En tal caso, el responsable deberá comunicar estos requisitos legales al responsable antes del procesamiento, salvo que la ley aplicable lo prohíba por motivos de interés público importante. El Responsable puede emitir instrucciones adicionales durante el periodo de tratamiento de datos personales. Estas instrucciones siempre deben estar documentadas.
(b) El responsable deberá informar al responsable responsable del tratamiento sin demora si considera que las instrucciones dadas por el responsable son una infracción del Reglamento (UE) 2016/679, del Reglamento (UE) 2018/1725 o de la legislación aplicable de protección de datos de la Unión o de los Estados miembros.
El Responsable del Tratamiento solo procesará los Datos Personales para el(los) propósito(s) específico(s) establecidos en el Anexo II, salvo que reciba instrucciones adicionales del Responsable.
Los datos serán procesados por el Procesador solo durante el periodo especificado en el Anexo II.
a) El responsable del tratamiento deberá tomar al menos las medidas técnicas y organizativas listadas en el Anexo III para garantizar la seguridad de los datos personales. Esto incluye proteger los datos de una brecha de seguridad que conduzca a la destrucción, pérdida, alteración o divulgación o acceso no autorizado a los datos, ya sea accidental o ilegal (en adelante, «Violación de Datos Personales»). Al evaluar el nivel adecuado de protección, las partes deberán tener en cuenta el estado del arte, los costes de implementación, la naturaleza, el alcance, las circunstancias y los propósitos del tratamiento, así como los riesgos asociados a los sujetos de datos.
b) El Responsable del Tratamiento concederá a su personal acceso a los datos personales objeto del tratamiento únicamente en la medida estrictamente necesaria para el desempeño, gestión y supervisión del Acuerdo. El Responsable garantiza que las personas autorizadas para tratar los datos personales recibidos se han comprometido a la confidencialidad o están sujetas a un deber legal adecuado de confidencialidad.
Si el tratamiento se refiere a datos personales que revelen origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas o pertenencia sindical, o que contienen datos genéticos o biométricos con el propósito de identificar de forma única a una persona física, datos sobre la salud, vida sexual u orientación sexual de la persona, o datos relacionados con condenas y delitos penales (en adelante «Datos Sensibles»), el Procesador aplica limitaciones específicas y/o salvaguardas adicionales.
a) Las partes deben poder demostrar el cumplimiento de estas cláusulas.
b) El Responsable deberá responder de manera rápida y adecuada a las solicitudes del Responsable de Responsabilidad relativa al tratamiento de datos conforme a estas Cláusulas.
c) El Responsable deberá proporcionar al Responsable de Responsabilidad toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en estas Cláusulas y derivadas directamente del Reglamento (UE) 2016/679 y/o Reglamento (UE) 2018/1725. A petición del Responsable, el Responsable también permitirá y contribuirá a la auditoría de las actividades de procesamiento cubiertas por estas Cláusulas en intervalos apropiados o en caso de indicios de incumplimiento. Al decidir sobre una revisión o auditoría, el controlador puede tener en cuenta las certificaciones relevantes del procesador.
d) El controlador puede realizar la auditoría él mismo o encargar a un auditor independiente. Las auditorías también pueden incluir inspecciones en las instalaciones o instalaciones físicas del Procesador y, cuando corresponda, deberán realizarse con un preaviso razonable.
e) Las partes deberán proporcionar a la(s) autoridad(es) supervisora(s) competente(s) la información mencionada en esta cláusula, incluidos los resultados de las auditorías, previa solicitud.
a) El procesador tiene la autorización general del controlador para contratar subprocesadores incluidos en una lista acordada. El Procesador deberá notificar expresamente al Controlador por escrito al menos un mes antes cualquier cambio previsto en esta lista añadiendo o reemplazando Subprocesadores, permitiendo así al Controlador tiempo suficiente para objetar dichos cambios antes de contratar al(los) Subprocesador(es) correspondiente(s). El responsable deberá proporcionar al controlador la información necesaria para que pueda ejercer su derecho de objeción.
(b) Cuando el Procesador contrata a un Subprocesador para realizar ciertas actividades de procesamiento (en nombre del Responsable), dicho compromiso se realizará mediante un contrato que imponga al Subprocesador sustancialmente las mismas obligaciones de protección de datos que las aplicables al Responsable bajo dichas Cláusulas. El Procesador Procesador deberá garantizar que el Subprocesador cumpla con las obligaciones a las que está sujeto conforme a estas Cláusulas y al Reglamento (UE) 2016/679 y/o Reglamento (UE) 2018/1725.
c) El Responsable deberá proporcionar al Responsable una copia de dicho acuerdo de subcontratación y de cualquier enmienda posterior a petición del Responsable. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos datos personales, el Procesador puede redactar el texto del Acuerdo antes de divulgar una copia.
d) El Responsable será plenamente responsable ante el Responsable de Responsabilidad por el cumplimiento por parte del subprocesador de sus obligaciones bajo el contrato celebrado con el Procesador. El Responsable deberá notificar al Responsable si el Subprocesador no cumple con sus obligaciones contractuales.
(e) El Responsable del Tratamiento deberá celebrar una cláusula de beneficiario de terceros con el Subprocesador, según la cual, en caso de que el Responsable deje de existir de hecho o legalmente o sea insolvente, el Responsable tendrá derecho a rescindir el Acuerdo de Subcontratación y a instruir al Subprocesador para que elimine o devuelva los Datos Personales.
(a) Cualquier transferencia de datos por parte del responsable del tratamiento a un tercer país o a una organización internacional deberá realizarse únicamente sobre la base de instrucciones documentadas del responsable o para cumplir con una disposición específica de la legislación de la Unión o de la ley de un Estado miembro al que esté sujeto el responsable, y deberá cumplir con el Capítulo V del Reglamento (UE) 2016/679 o el Reglamento (UE) 2018/1725.
b) El Responsable de la Ley acepta que, en los casos en que el Responsable utilice un Subprocesador conforme a la Cláusula 7.7 para la realización de determinadas Actividades de Tratamiento (en nombre del Responsable) y dichas Actividades de Tratamiento impliquen una transferencia de Datos Personales conforme al Capítulo V del Reglamento (UE) 2016/679, el Responsable y el Subprocesador deberán garantizar el cumplimiento del Capítulo V de la El Reglamento (UE) 2016/679, mediante el uso de cláusulas contractuales estándar adoptadas por la Comisión de acuerdo con el artículo 46(2) del Reglamento (UE) 2016/679, estableció que se cumplieran las condiciones para la aplicación de dichas cláusulas contractuales estándar.
a) El responsable deberá informar inmediatamente al responsable responsable de cualquier solicitud recibida del sujeto de datos. Él mismo no responde a la solicitud, a menos que el controlador le haya autorizado a hacerlo.
b) Teniendo en cuenta la naturaleza del tratamiento, el responsable asiste al responsable de la emisión de su obligación de responder a las solicitudes de los sujetos de datos para ejercer sus derechos. En el cumplimiento de sus obligaciones bajo los puntos (a) y (b), el responsable deberá cumplir con las instrucciones del responsable.
c) Además de la obligación del Responsable de asistir al Responsable de Responsabilidad conforme a la Cláusula 8(b), el Responsable también asistirá al Responsable en el cumplimiento de las siguientes obligaciones, teniendo en cuenta la naturaleza del tratamiento de datos y la información disponible para él:
la obligación de realizar una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales (en adelante denominada «Evaluación de Impacto en la Protección de Datos») si una forma de tratamiento probablemente suponga un alto riesgo para los derechos y libertades de las personas físicas;
Obligación de consultar la(s) autoridad(es) supervisora(s) competente(s) antes del procesamiento si una evaluación de impacto en la protección de datos indica que el procesamiento supondría un alto riesgo, a menos que el responsable tome medidas para mitigarlo;
la obligación de garantizar que los datos personales sean precisos y actualizados, informando al responsable responsable sin demora excesiva si descubre que los datos personales que procesa son inexactos o están desactualizados;
obligaciones conforme al artículo 32 del Reglamento (UE) 2016/679.
(d) Las partes deberán establecer en el Anexo III las medidas técnicas y organizativas apropiadas para asistir al controlador por parte del procesador en la aplicación de esta cláusula, así como el alcance y alcance de la asistencia requerida.
En caso de una brecha de datos personales, el Responsable colaborará y prestará la asistencia adecuada al Responsable del Tratamiento para que este pueda cumplir con sus obligaciones conforme a los artículos 33 y 34 del Reglamento (UE) 2016/679 o, cuando corresponda, los artículos 34 y 35 del Reglamento (UE) 2018/1725, teniendo en cuenta la naturaleza del tratamiento y la información disponible para él.
En caso de una brecha de datos personales relacionada con los datos tratados por el Responsable, el Responsable asistirá al Responsable de la siguiente manera:
a) al notificar la brecha de datos personales a la(s) autoridad(es) supervisora(s) competente(s) sin demora indebida después de que el responsable del tratamiento tome conocimiento de la infracción, si es relevante (salvo que la brecha de datos personales no sea probable que suponga un riesgo para los derechos y libertades personales de las personas físicas);
(b) al obtener la siguiente información que se proporcionará en la notificación al controlador conforme al artículo 33(3) del Reglamento (UE) 2016/679, información que incluirá al menos:
el tipo de datos personales, cuando sea posible, con una indicación de las categorías y el número aproximado de sujetos de datos, así como las categorías y el número aproximado de conjuntos de datos personales;
las consecuencias probables de la brecha de datos personales;
las medidas tomadas o propuestas por el Responsable para remediar la brecha de datos personales y, cuando corresponda, medidas para mitigar sus posibles efectos adversos.
Si y en la medida en que no toda la información pueda proporcionarse al mismo tiempo, la notificación original contendrá la información disponible en ese momento y se proporcionará más información tan pronto como esté disponible sin demora indebida;
(c) al cumplir con la obligación prevista en el artículo 34 del Reglamento (UE) 2016/679 de notificar al sujeto de los datos sin demora indebida la brecha de datos personales, cuando dicha brecha sea susceptible de suponer un alto riesgo para los derechos y libertades de las personas naturales.
En caso de una brecha de datos personales relacionada con los datos procesados por el Procesador, este deberá informarla al Responsable del Tratamiento sin demora indebida tras tomar conocimiento de la brecha. Esta notificación debe contener al menos la siguiente información:
(a) una descripción de la naturaleza de la brecha (indicando, si es posible, las categorías y el número aproximado de personas implicadas y el número aproximado de conjuntos de datos implicados);
b) los datos de contacto de un punto de contacto desde el que se pueda obtener más información sobre la brecha de datos personales;
c) Las consecuencias probables y las medidas tomadas o propuestas para remediar la brecha de datos personales, incluyendo medidas para mitigar sus posibles efectos adversos.
Si y en la medida en que no se pueda proporcionar toda dicha información al mismo tiempo, la notificación original contendrá la información disponible en ese momento y se proporcionará más información a partir de entonces, sin demora excesiva, a medida que esté disponible.
Las Partes deberán especificar en el Anexo III cualquier otra información que el responsable procesador esté obligado a proporcionar para ayudar al responsable de la ley en el cumplimiento de sus obligaciones conforme a los artículos 33 y 34 del Reglamento (UE) 2016/679.
a) En caso de que el Responsable Responsable no cumpla con sus obligaciones bajo estas Cláusulas, el Responsable podrá, sin perjuicio de las disposiciones del Reglamento (UE) 2016/679 y/o del Reglamento (UE) 2018/1725, instruir al Responsable Procesador para que suspenda el tratamiento de Datos Personales hasta que cumpla con estas Cláusulas o se rescinda el Acuerdo. El Procesador deberá informar al Responsable del Responsable si, por cualquier motivo, no puede cumplir con estas Cláusulas.
b) El Responsable tendrá derecho a rescindir el Acuerdo en la medida en que se concierta al tratamiento de datos personales conforme a estas Cláusulas si:
c) El Responsable tendrá derecho a rescindir el Acuerdo en la medida en que se refiera al tratamiento de datos personales conforme a estas Cláusulas, si el Responsable insiste en cumplir con sus instrucciones tras ser informado por el Responsable de que sus instrucciones violan los requisitos legales aplicables conforme a la Cláusula 7.1(b).
(d) Al finalizar el Acuerdo, el Responsable de la Administración deberá, a su elección, borrar todos los datos personales tratados en nombre del Responsable y certificar al Responsable que esto se ha hecho, o devolver todos los datos personales al Responsable y eliminar las copias existentes, salvo que exista la obligación de conservar los datos personales según la legislación de la Unión o de los Estados miembros. Hasta que los datos sean eliminados o devueltos, el procesador seguirá asegurando el cumplimiento de estas cláusulas.
Mando(s):
El controlador es el cliente en el sentido de los Términos y Condiciones Generales (GTC) de Perseus Technologies GmbH, que ha encargado a Perseus Technologies GmbH el(los) servicio(s) (es decir, «reservados» según el significado de la GTC) que (si procede) también incluye el procesamiento de pedidos. El nombre, dirección y datos de contacto del cliente y, por tanto, de la(s) persona(s) responsable(s) forman parte de su reserva y, por tanto, del contrato que se celebra entre el cliente y Perseus Technologies GmbH para los servicios en cuestión como resultado de la reserva.
Si, además del propio cliente, otros usuarios, en el sentido de los términos y condiciones generales de Perseus Technologies GmbH, también pueden acceder a servicios que incluyan procesamiento de pedidos, estas cláusulas también se aplicarán a estos usuarios si se les nombra específicamente como destinatarios con derecho en la reserva del cliente en cuestión, por lo que el cliente (en el sentido de la cláusula 5 – cláusula de acoplamiento) declara su consentimiento para que accedan a dichas cláusulas como controladores. . Así, estos usuarios también son responsables de la ley en el sentido de estas cláusulas según la GTC de Perseus Technologies GmbH.
Procesadores:
Nombre: Perseus Technologies GmbH
Dirección: Hagelberger Straße 53-54, 10965 Berlín
Descripción del procesamiento
La descripción del tratamiento de datos solo es aplicable a la relación contractual en la medida en que dicho servicio también haya sido comisionado y se utilice.
I. Perseus Cyber Security Services (PCSS) incluyendo el envío de correos simulados de phishing
A) SUJETOS DE DATOS
–> Los sujetos de datos son empleados del cliente.
B) CATEGORÍAS DE DATOS PERSONALES
–> Se procesan los siguientes datos del sistema y de la aplicación (en parte personales):
C) PROPÓSITO DEL PROCESAMIENTO DE DATOS
–> Los datos serán procesados para los siguientes fines:
II. Gestión de la Respuesta a Incidentes (IRM)
A) SUJETOS DE DATOS
–> Los sujetos de datos pueden ser regularmente empleados de los clientes y destinatarios autorizados, empleados de sus clientes y proveedores y otras personas físicas cuyos datos personales son tratados por los clientes y destinatarios autorizados y que son tratados en el contexto de la prestación de servicios por parte de PERSEUS o a quienes PERSEUS tiene acceso en ocasión de la prestación del servicio (por ejemplo, clientes del cliente o sus empleados, proveedores del cliente o de sus empleados, otras personas físicas).
B) CATEGORÍAS DE DATOS PERSONALES
–> En el caso de la gestión de incidentes, existe un posible acceso a todos los datos (personales) contenidos en los registros de datos del Cliente que deben ser accedidos por el Contratista y sus subcontratistas como parte de la gestión de incidentes. Estos pueden ser:
C) PROPÓSITO DEL PROCESAMIENTO DE DATOS
–> No existe un acceso dirigido a estos datos, pero ocasionalmente puede darse acceso en el contexto de la prestación de servicios.
Los datos serán tratados para los siguientes fines:
III. Campañas individuales de phishing de Perseus:
A) SUJETOS DE DATOS
–> Los sujetos de datos son empleados del cliente.
B) CATEGORÍAS DE DATOS PERSONALES
–> Se procesan los siguientes datos del sistema y de la aplicación (en parte personales):
C) PROPÓSITO DEL PROCESAMIENTO DE DATOS
–> Los datos serán procesados para los siguientes fines:
El anexo «Medidas técnicas y organizativas, incluyendo garantizar la seguridad de los datos» está disponible aquí .
El anexo «Lista de subprocesadores» está disponible aquí .
A fecha de: junio de 2026