ANEXO DE CONDICIONES DE TRATAMIENTO Y TRANSFERENCIA DE DATOS
Las Partes reconocen y aceptan que los Datos Personales transferidos entre FamilySearch International (o su filial) y uno o varios Custodios de Registros están sujetos a, (i) los términos firmados por ambas partes en los que estos Términos de Tratamiento y Transferencia de Datos se incorporan por referencia («Acuerdo»), y (ii) todas las leyes aplicables en materia de privacidad y protección de datos.
Las Partes entienden y aceptan que, (i) el Custodio de Registros es el Responable del Tratamiento y Exportador de los Datos Personales transferidos, y (ii) FamilySearch International (o su filial) es el Encargado del Tratamiento e Importador.
Las Partes entienden y aceptan que el Anexo sobre tratamiento y transferencia de datos aplicable a continuación se ve determinado por la ubicación física del Custodio de Registros, a menos que este designe otra ubicación por escrito en el momento de celebrar el Acuerdo.
(1) Para los Custodios de Registros en las siguientes ubicaciones, se aplican las Cláusulas Contractuales Tipo de la UE, módulo 2: transferencia de responsable a encargado («CCT UE, módulo 2») (disponibles aquí):
Afganistán, Argelia, Australia, Austria, Baréin, Barbados, Bélgica, Belice, Botsuana, Bulgaria, Burkina Faso, Chipre, Congo (República), Croacia, Cuba, Dinamarca, Ecuador, Egipto, Emiratos Árabes Unidos, Eslovaquia, Eslovenia, España, Estonia, Esuatini, Etiopía, Fiyi, Finlandia, Francia, Gabón, Alemania, Grecia, Granada, Guam, Guayana Francesa, Guyana, Haití, Hungría, India, Indonesia, Irán, Irak, Irlanda, Isla Juan de Nova, Islas Caimán, Islas Cook, Islas Gloriosas, Islas Marshall, Islas Pitcairn, Islas Salomón, Islas Vírgenes Británicas, Israel, Italia, Jamaica, Japón, Jordania, Kiribati, Kuwait, Letonia, Líbano, Libia, Liechtenstein, Lituania, Luxemburgo, Malta, Melanesia, México, Micronesia, Mongolia, Marruecos, Nauru, Nepal, Níger, Niue, Noruega, Nueva Caledonia, Omán, Palaos, Panamá, Papúa Nueva Guinea, Pakistán, Palestina, Países Bajos, Polinesia Francesa, Polonia, Portugal, Reino Unido**, República Checa, República de Moldavia, Rumanía, Samoa, San Cristóbal y Nieves, Seychelles, Sri Lanka, Sudáfrica, Sudán, Suecia, Suiza*, Tailandia, Tanzania, Territorios Australes Franceses, Togo, Tokelau, Tonga, Túnez, Turquía, Tuvalu, Uganda, Vanuatu, Wallis y Futuna, Zambia, Zimbabue
* Aunque el Anexo sobre tratamiento y transferencia de datos del EEE se aplica a Suiza, este país también exige una cláusula adicional, que se incorpora por la presente al Anexo y se incluye más adelante.
** Aunque el Anexo sobre tratamiento y transferencia de datos del EEE se aplica al Reino Unido, este país también exige una cláusula adicional, que se incorpora por la presente al Anexo y se incluye más adelante.
Lo siguiente se aplica a las CCT UE, módulo 2, según lo acordado por las partes mencionadas anteriormente:
- Se suprime la cláusula 7 (Cláusula de adhesión).
- De la cláusula 9 (Recurso a subencargados), se opta por la OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO.
- De la cláusula 11 (Vías de recurso), no se incluye la OPCIÓN del apartado (a).
- De la cláusula 13 (Supervisión) se opta por el texto aplicable a los exportadores establecidos en un Estado miembro de la UE.
- De la cláusula 17 (Derecho aplicable), se opta por la OPCIÓN 1 y se explicita el derecho del país del exportador de datos.
- De la cláusula 18 (Elección de foro y jurisdicción), se opta por los tribunales del país del exportador de datos.
- ANEXO I: Véase a continuación.
- ANEXO II: Véase a continuación.
- ANEXO III: Véase a continuación.
Anexo I:
A. Lista de las Partes
Exportador de Datos
- Nombre: Custodio de Registros identificado en el Acuerdo
- Dirección: dirección del Custodio de Registros identificado en el Acuerdo
- Contacto: véanse los «Datos de contacto para notificaciones» especificados para el Custodio de Registros en el Acuerdo
- Actividades relevantes para los datos transferidos en virtud de las Cláusulas: las actividades relevantes se describen en la Sección B («Descripción de la transferencia») a continuación
- Función: Responsable del Tratamiento
Importador de Datos
- Nombre: FamilySearch International
- Dirección: 36 S State St., Ste 1900, Salt Lake City, UT 84111
- Contacto: Gerente, Oficina de Privacidad de Datos - 50 East North Temple Street, Salt Lake City, Utah 84150
- Teléfono: (801) 240-1187
- Correo electrónico: Dataprivacyofficer@churchofjesuschrist.org
- Actividades relevantes para los datos transferidos en virtud de las Cláusulas: las actividades relevantes se describen en la Sección B («Descripción de la transferencia») a continuación
- Función: Encargado del Tratamiento
B. Descripción de la transferencia
Categorías de interesados cuyos datos personales se transfieren
Interesados que aparecen en registros históricos y genealógicos cuyos datos personales se conservan con fines de investigación, históricos y estadísticos.
Categorías de datos personales transferidos
Datos genealógicos: información recopilada para preservar la historia personal y familiar de las personas:
- Nombres (nombre del interesado, nombres del padre y la madre, nombres de los hijos, nombres de los hermanos, nombres de los cónyuges, etc.)
- Relaciones familiares (nombres de personas, hermanos, padres, hijos, abuelos, tíos).
- Información biográfica (nombre, fecha de nacimiento, fecha de defunción, historias y detalles sobre la vida de la persona, ocupación, educación, ubicación de acontecimientos de su vida, acontecimientos religiosos personales como bautismo, confirmaciones, etc.)
- Fecha de nacimiento, lugar de nacimiento y detalles relacionados (sexo del bebé, nombres de los padres, dirección de los padres en el momento del nacimiento, o de los padres adoptivos, según el tipo de partida de nacimiento en cuestión, fecha de nacimiento y lugar de nacimiento).
- Edad
- Género
- Fecha de matrimonio, lugar y detalles relacionados (nombre de la persona, padres, etc.)
- Fecha de fallecimiento, lugar de fallecimiento y detalles relacionados (nombre de la persona, causa del fallecimiento)
- Nacionalidad
- Características personales, incluida la imagen fotográfica
- Otros datos contenidos en los registros genealógicos e históricos adquiridos, incluidos los censos (nombres de personas, hijos, profesión, domicilio), historias familiares (datos biográficos, nombres, relaciones familiares), registros parroquiales (nombres de miembros de la congregación, domicilio, fechas de nacimiento, relaciones familiares), registros eclesiásticos (registros de nacimiento, matrimonio, defunción, bautismo, confirmación), registros civiles (registros de nacimiento, matrimonio y defunción), esquelas de periódicos (nacimiento, registros de propiedad, colecciones de archivos estatales) y registros de naturalización (registros de nacionalidad, registros de inmigración, registros de naturalización, incluidos nombres, fechas de nacimiento, país de origen, país de residencia y dirección, nombres de miembros de la familia, profesión, ciertos elementos específicos del país según el país y la fecha de recopilación).
Datos confidenciales: información que se incluye incidentalmente en registros históricos y genealógicos que pueden definirse como confidenciales en virtud de las Leyes de Privacidad:
- Identidad y datos demográficos(origen racial o étnico,origen nacional,origen tribal,estatus social,identificadores oficiales [identificadores únicos, por ejemplo, pasaportes, número de la seguridad social, permiso de conducir, documento nacional de identidad],estado civil, edad, color, nacionalidad o estatus migratorio, condición de víctima de un delito o de haber sufrido daños por un delito)
- Creencias y asociaciones(creencias o afiliaciones religiosas, creencias filosóficas, creencias morales, convicciones ideológicas, opiniones políticas, persuasión política, ideologías políticas o afiliación política, afiliación sindical, afiliación a gremios, afiliación a sindicatos, afiliación a asociaciones profesionales o sociales u organizaciones de derechos humanos)
- Datos sanitarios y genéticos/biométricos (estado de salud física o mental actual o futuro, diagnóstico, historial médico, registros médicos, tratamiento médico, prestación de asistencia sanitaria, estado psicológico o fisiológico, datos genéticos [características heredadas o adquiridas, perfil biológico humano], datos biométricos [utilizados para la identificación única, la verificación automatizada o la revelación de características sensibles adicionales], datos neuronales [datos relacionados con el cerebro/las neuronas, datos cognitivos/emocionales])
- Datos penales y legales (antecedentes o historial penales, comportamiento o actos delictivos, comisión o presunta comisión de un delito, procedimientos, resultados, sentencias o sanciones relacionadas con asuntos penales)
- Datos de ubicación y comunicación (datos de geolocalización [ubicación precisa o específica, incluidas las coordenadas GPS], datos de comunicaciones, incluido el contenido y los metadatos de llamadas, mensajes de texto, correos electrónicos o correo postal, contenido de correo postal, correo electrónico o mensajes de texto [a menos que se dirijan al destinatario])
- Datos de menores (cualquier dato personal relacionado con un menor)
- Otras categorías especiales
- Hábitos personales, estilo de vida y circunstancias de la vida íntima/privada
- Características morales o éticas
- Asuntos familiares o datos de la vida emocional/familiar
- Expedientes académicos
- Datos relacionados con el empleo vinculados a características protegidas
- Datos de salud del consumidor (más amplios que los registros médicos, incluidos sobre el bienestar/estado físico, embarazo, etc.)
- Datos relacionados con la ideología o las creencias no recogidos de otro modo
- Cualquier dato que pueda suponer una amenaza significativa para la privacidad, la dignidad, la seguridad o la propiedad si se usa indebidamente
- Datos con un riesgo elevado de discriminación o daño dependiendo del contexto (por ejemplo, datos de visualización de televisión clasificados como sensibles por la FTC)
- Estado civil (nombres, fechas, etc.)
- Número de identificación fiscal o datos similares (números de la seguridad social, etc.)
- Número de pasaporte
- Afiliación religiosa (información contenida en los registros eclesiásticos, incluidos números de afiliación, nombres, fechas de nacimiento, fechas de bautismo, fechas de matrimonio, fechas de defunción y datos relacionados con una religión específica)
- Datos relativos a menores (nombres, fechas de nacimiento, padres, hermanos, registros de tutela, información sobre adopción, registros judiciales, expedientes académicos)
- Datos relacionados con la salud (enfermedades, estancias hospitalarias, causas de fallecimiento)
- Antecedentes penales (nombres, fechas de encarcelamiento, sentencias relativas a la persona)
- Afiliación sindical (nombres de los miembros, fecha de afiliación, información sobre las cuotas de afiliación, etc.)
- Origen racial o étnico (región o país de origen)
- Religión (nombre y afiliación religiosa)
- Afiliación política (nombre y partido político, información sobre donaciones)
Frecuencia de la transferencia (por ejemplo, si es puntual o periódica)
Ad hoc
Naturaleza del tratamiento
Los datos personales transferidos pueden ser objeto de diversas actividades de tratamiento, cuando la ley lo permita, como la digitalización, la indexación, el alojamiento, el almacenamiento, la transmisión, el tachado de datos y la visualización. Estas actividades se apoyan en centros de datos basados en la nube, incluidos centros en Estados Unidos, en la medida en que lo permitan las Leyes de Privacidad. Por ejemplo, los datos pueden tratarse en aras de apoyar las siguientes actividades:
- Conservación de registros históricos: digitalización, conservación, indexación, almacenamiento o archivo de documentos históricos, fotografías y artefactos para las generaciones futuras, según las instrucciones del exportador de datos.
- Genealogía: una vez que lo permitan las Leyes de Privacidad y el exportador de datos (por ejemplo, cuando los datos ya no estén restringidos), los datos podrán incluirse en aplicaciones utilizadas por investigadores y usuarios de sitios web para facilitar el rastreo de registros de linaje o historia familiar u otras investigaciones, programas y actividades de genealogía.
- Investigación de historia familiar: recopilar y conservar información sobre los antepasados y el árbol genealógico de una persona.
- Instrucción sobre genealogía: proporcionar formación y recursos para ayudar a millones de personas de todo el mundo a descubrir su linaje y a conectar con sus familiares.
Finalidad(es) de la transferencia de datos y su posterior tratamiento
La transferencia de datos al importador de datos (en la sede central mundial del importador de datos) y el tratamiento posterior por parte del importador de datos contribuyen a la conservación y el almacenamiento de registros familiares históricos en beneficio de archivos públicos, organismos gubernamentales, pueblos indígenas, archivos privados, otros organismos privados y personas físicas. Si lo permiten las Leyes de Privacidad y el exportador de datos (por ejemplo, cuando los datos ya no estén restringidos), estos registros también podrán ponerse a disposición del público en el sitio web del importador de datos de forma gratuita para fines de investigación.
Plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar dicho plazo
Los datos personales recogidos con fines de conservación histórica se conservarán de acuerdo con las instrucciones del exportador de datos durante el tiempo que se solicite. En muchos casos, mientras los registros conserven su valor histórico, podrán conservarse indefinidamente con fines de archivo y de documentación genealógica, a menos que el interesado solicite su supresión.
Para las transferencias a (sub)encargados, especifique también el objeto, la naturaleza y la duración del tratamiento
El importador de datos trata los datos personales para preservar los registros históricos y con fines de investigación genealógica, siguiendo las instrucciones del exportador de datos. El importador de datos podrá contratar a un encargado o subencargado del tratamiento en virtud de un acuerdo de tratamiento o subtratamiento para que le ayude a tratar los datos con esos mismos fines y para que realice funciones en nombre del exportador de datos o del importador de datos (por ejemplo, la digitalización e indexación de registros históricos). El acuerdo de tratamiento o subtratamiento ofrecerá detalles adicionales sobre el objeto, la naturaleza y la duración del tratamiento.
C. Autoridad competente
Identificar la(s) autoridad(es) competente(s) de conformidad con la Cláusula 13
La autoridad de control del país del Exportador de Datos identificada en el Anexo I.A.
ANEXO II:
MEDIDAS TÉCNICAS Y ORGANIZATIVASPARA FAMILY SEARCH INTERNATIONAL (IMPORTADOR)
Este documento describe las medidas técnicas y organizativas de seguridad de la información empleadas por Family Search International («FSI») (Importador).
Medidas de seguridad técnicas y organizativas. FSI cuenta con un Programa de Seguridad de la Información integral e implementa medidas de seguridad técnicas y organizativas razonables, basadas en los estándares del sector, las necesidades organizativas y el riesgo, con el fin de minimizar y proteger frente al tratamiento no autorizado o ilegal, la pérdida accidental o intencional, el acceso no autorizado, la destrucción o el daño. Estas medidas ayudan a garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia de los sistemas y los datos de FSI. En los sistemas que no están controlados directamente por FSI, FSI se asocia con FSI para implementar controles de seguridad adecuados. El Programa de Seguridad de FSI incluye los siguientes elementos:
1. Normas y procesos. FSI dispone de políticas y procesos formales por escrito para garantizar la confidencialidad, la integridad y la disponibilidad de los datos y protegerlos contra la divulgación, el uso, la alteración o la destrucción accidentales, no autorizados o indebidos. Estas políticas se revisan y actualizan anualmente o con mayor frecuencia cuando sea apropiado. Las políticas y los procedimientos tienen como objetivo garantizar que las medidas de seguridad físicas, técnicas y administrativas estén en vigor y funcionen de manera eficaz.
2.Controles de acceso.
Acceso físico: FSI implementa medidas razonables para evitar que personas no autorizadas accedan a los equipos de tratamiento de datos (servidores de bases de datos, servidores de aplicaciones, conmutadores de red, cortafuegos, controladores y hardware relacionado) en los que se tratan o usan datos personales.
Acceso lógico: FSI implementa medidas de seguridad razonables para evitar el acceso no autorizado a sus sistemas de tratamiento de datos. FSI lleva un registro de los usuarios de FSI con acceso a los sistemas de procesamiento de datos y lo revisa. FSI otorga acceso a un número limitado de personas en función de las necesidades aprobadas por la empresa.
3. Formación y concienciación sobre seguridad. FSI cuenta con un programa formal de formación y concienciación sobre seguridad para los miembros de la plantilla de FSI y los usuarios de la plantilla de FSI. El programa incluye módulos de aprendizaje obligatorios que garantizan que los usuarios conozcan los conceptos y las políticas clave de seguridad de la información, anualmente o con la frecuencia que sea práctica. Los temas de la formación anual incluyen la clasificación y la gestión apropiadas de la información confidencial. Además de la formación formal, los ejercicios recurrentes y sin previo aviso de simulación de «phishing» refuerzan la capacitación sobre cómo identificar, denunciar y evitar mensajes de correo electrónico maliciosos.
4. Protección de datos. FSI implementa medidas razonables para evitar que los datos personales sean usados, leídos, copiados, alterados o suprimidos de forma indebida por partes no autorizadas, tanto en tránsito como en reposo. Los controles de protección de datos se aplican utilizando un enfoque de defensa en profundidad.
5. Supervisión. FSI implementa medidas razonables para supervisar el acceso a sistemas y recursos de red sensibles y para garantizar que los usuarios actúen de conformidad con la política. Los registros se conservan en función de las necesidades empresariales y los requisitos normativos y se almacenan en un repositorio central o en un repositorio nativo de la plataforma con la capacidad de migrar al repositorio central según sea necesario. Los registros se almacenan y protegen de manera que se garantice su exactitud e inmutabilidad. FSI cuenta con un conjunto de alertas automatizadas para identificar actividades potencialmente maliciosas. FSI registra datos que se revisan periódicamente para identificar posibles ataques y respaldar los esfuerzos de Respuesta ante Incidentes de FSI.
6. Detección y respuesta en puntos de conexión. FSI implementa controles razonables en los puntos de conexión de usuarios y servidores, incluidos los puntos de conexión para FSI, que brindan protección contra la propagación de «malware», alertas centralizadas, procesos de alojamiento y consulta de archivos, así como capacidades de aislamiento del sistema.
7. Procedimientos de Respuesta ante Incidentes (RI) de seguridad. FSI cuenta con políticas y procedimientos de RI por escrito para detectar, responder y abordar los incidentes de seguridad. FSI opera un Centro de Operaciones de Seguridad (SOC) las 24 horas del día, los 7 días de la semana, para clasificar los eventos de interés, supervisar los sistemas en busca de ataques o intrusiones reales o intentos de ataques o intrusiones, mitigar los efectos dañinos de los incidentes de seguridad y documentar los incidentes de seguridad y sus resultados. Se mantienen acuerdos con proveedores externos de respuesta ante incidentes para facilitar la intervención rápida de terceros en caso de que se produzca un incidente grave o cuando un incidente requiera un análisis forense especializado. FSI también cuenta con un equipo de seguridad a tiempo completo centrado en FSI para el apoyo especial y la clasificación. El SOC colabora estrechamente con la Oficina de Privacidad de Datos (DPO) y la Oficina de Asesoría Jurídica (OGC) de FSI, así como con expertos en seguridad externos, para garantizar que los incidentes se gestionen de conformidad con las leyes y normativas aplicables.
8. Evaluaciones de seguridad y riesgos. FSI dispone de políticas y procedimientos razonables para ayudar a evaluar la eficacia de los controles de seguridad, identificar fallos en los controles de seguridad e identificar, evaluar y valorar las deficiencias en los controles de seguridad utilizando un enfoque basado en el riesgo.
9. Configuración y mantenimiento del sistema. FSI dispone de políticas y procedimientos razonables para ayudar a garantizar que los equipos de tratamiento de datos (servidores, bases de datos, ordenadores portátiles, cortafuegos, conmutadores, enrutadores, controladores, etc.) estén configurados adecuadamente para ayudar a garantizar que los datos personales estén protegidos adecuadamente. FSI cuenta con un programa de gestión de vulnerabilidades para ayudar a identificarlas dentro del entorno de FSI y comunicarlas a los servicios adecuados para facilitar su corrección oportuna.
10. Resiliencia del sistema y de la información. FSI implementa medidas razonables para garantizar que los datos personales estén adecuadamente protegidos contra el uso accidental o malicioso, la alteración o la destrucción, y que los datos que hayan sido utilizados, alterados o destruidos de forma accidental o maliciosa sean identificables y recuperables. FSI aplica procedimientos de copia de seguridad de datos y sistemas que incluyen copias en línea, «nearline» y fuera de línea, en función de la importancia de los datos y las necesidades empresariales. FSI utilizan sistemas de información altamente redundantes para garantizar una alta disponibilidad y rendimiento de las aplicaciones y los sistemas.
11. Cumplimiento normativo. FSI cuenta con una Oficina de Privacidad de Datos para FSI que se encarga del cumplimiento de las leyes y normativas de protección de datos.nullFSI también dispone de un programa interno de cumplimiento normativo de TI para FSI centrado en las pruebas y la validación de los controles, procesos y procedimientos de seguridad mediante evaluaciones internas.
12. Responsabilidad. FSI cuenta con un responsable de seguridad designado que se encarga del desarrollo, la implementación y el mantenimiento de los Programas de Seguridad de la Información en FSI. Además, la Política del Programa de Seguridad de la Información de FSI describe las funciones y las responsabilidades de todas las partes interesadas del Programa de Seguridad de la Información y se publica en un repositorio al que pueden acceder todos los usuarios de la plantilla.
13. Uso apropiado y conservación de registros. FSI implementa políticas y procesos que rigen el uso y la conservación de datos confidenciales, incluidos los datos personales. Existen procesos para garantizar que los datos cumplan con los requisitos de intercambio de datos de los propietarios de los datos e incluyen la supervisión del uso aceptable de las tecnologías de inteligencia artificial.
14. Actualizaciones. FSI supervisa, evalúa y ajusta el Programa de Seguridad de la Información anualmente o según sea necesario, teniendo en cuenta los cambios relevantes en la tecnología, los estándares de seguridad del sector, la confidencialidad de los datos personales y las posibles amenazas internas o externas a los datos personales.
ANEXO III:
LISTA DE SUBENCARGADOS
El responsable del tratamiento ha autorizado el uso de los siguientes subencargados:*
- ANCESTRY
- BART DEVELTER V.O.F.
- BRIGHAM YOUNG UNIVERSITY
- CENTURY VITAL RECORDS (CVR)
- CONTENT ARCHAEOLOGY
- DATADISC.IT S.R.L.
- DIE MOBILE SEKRETÄRIN E.U.
- DIGITAL 4 KIT
- DOUBLE DIGITAL
- EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
- FORMAX
- GENEALAB
- GENESIS
- GREYSCALE LTD.
- INFOSCRIBE SAS
- INTELLIGENT IMAGE MANAGEMENT (IIMI)
- IRON MOUNTAIN AUSTRALIA
- IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
- LIFEWOOD
- MATERN
- MYHERITAGE
- NORMADAT S.A.
- OSG RECORDS MANAGEMENT
- PEDRO CRUZ MARTINEZ
- RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
- SBL
- STASIS S.A.S.
- SVI
- TRACEABLE SOLUTIONS
- TRUEBPO INC (ANTERIORMENTE EQOD INC)
(1.1) Para los Custodios de Registros en Suiza, se aplica lo siguiente además de las Cláusulas Contractuales Tipo de la UE, módulo 2: transferencia de responsable a encargado («CCT UE, módulo 2»):
Anexo para Suiza a las Cláusulas Contractuales Tipo de la UE
Cuando una transferencia de datos personales de un Exportador de Datos a un Importador de Datos esté sujeta al RGPD de la UE y a la FADP (tal y como se define a continuación), también se aplicarán las siguientes disposiciones adicionales para que las Cláusulas Contractuales Tipo sean adecuadas para garantizar un nivel adecuado de protección para dicha transferencia de conformidad con el artículo 6, apartado 2, letra de la FADP:
(a) «FADP» hace referencia a la Ley Federal de Protecci��n de Datos, de 19 de junio de 1992 (SR 235.1).
(b) «FDPIC» hace referencia al Comisionado Federal Suizo de Protección de Datos e Información.
(c) «FADP Revisada» hace referencia a la versión revisada de la FADP, de 25 de septiembre de 2020, cuya entrada en vigor está prevista para el 1 de enero de 2023.
(d) El término «Estado miembro de la UE» no debe interpretarse de tal manera que excluya a los Interesados en Suiza de la posibilidad de interponer una demanda por sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la Cláusula 18(c) de las Cláusulas Contractuales Tipo.
(e) Las Cláusulas Contractuales Tipo también protegen los datos de las personas jurídicas hasta la entrada en vigor de la LFPD revisada.
(f) El FDPIC actuará como la «autoridad de control competente» en la medida en que la transferencia de datos pertinente se rija por la FADP.
(1.2) Para los Custodios de Registros en el Reino Unido («UK»), se aplica lo siguiente además de las Cláusulas Contractuales Tipo de la UE, módulo 2: transferencia de responsable a encargado («CCT UE, módulo 2»):
Anexo sobre la Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE
(«ATID UK»)
El Anexo sobre la Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE (disponible aquí) se incorpora por referencia mediante el presente documento y se aplica lo siguiente:
Parte 1: Tablas
La tabla 1 se rellena exactamente como en las CCT UE, módulo 2, anexo I.
Tabla 2: lo siguiente se aplica a las CCT UE, módulo 2, según lo acordado por las partes mencionadas anteriormente:
- Se suprime la cláusula 7 (Cláusula de adhesión).
- De la cláusula 9 (Recurso a subencargados), se opta por la OPCIÓN 2: AUTORIZACIÓN GENERAL POR ESCRITO.
- De la cláusula 11 (Vías de recurso), no se incluye la OPCIÓN del apartado (a).
- De la cláusula 13 (Supervisión) se opta por el texto aplicable a los exportadores establecidos en un Estado miembro de la UE.
- De la cláusula 17 (Derecho aplicable), se opta por la OPCIÓN 1 y se explicita el derecho del país del exportador de datos.
- De la cláusula 18 (Elección de foro y jurisdicción), se opta por los tribunales del país del exportador de datos.
Tabla 3: se rellena con las CCT UE, módulo 2, anexos I, II y III.
Tabla 4: el ATID UK puede ser rescindido por cualquiera de las Partes (Importador y Exportador).
Parte 2: cláusulas obligatorias
Se aplican todas las cláusulas obligatorias; a la inversa, no se aplican las Cláusulas Obligatorias de la Parte 2 Alternativa.
(2) Para los Custodios de Registros en las siguientes ubicaciones, se aplican las Cláusulas Contractuales Tipo de la UE, módulo 2: transferencia de responsable a encargado («CCT UE, módulo 2») (disponibles aquí):
Albania, Andorra, Armenia, Azerbaiyán, Bielorrusia, Bosnia y Herzegovina, Georgia, Guernsey, Isla de Man, Jersey, Kenia, Mónaco, Kazajstán, Kosovo, Montenegro, Macedonia del Norte, San Marino, Serbia, Siria, Turquía, Ucrania, Vietnam y Yemen.
(3) Para los Custodios de Registros en Angola («Angola»), se aplica lo siguiente además de las Cláusulas Contractuales de Angola en la Ley de Protección de Datos de Angola (Ley n.º 22/11, de 17 de junio de 2011) («CC de Angola») (disponible aquí):
Lo siguiente se aplica a las CC de Angola según lo acordado por las partes mencionadas anteriormente:
Las ubicaciones para el procesamiento, la transferencia y el almacenamiento de datos personales incluyen Ghana y los Estados Unidos.
El resto de la información proporcionada anteriormente para el módulo 2 de las CCT UE se aplica a las CC de Angola.
(4) Para los Custodios de Registros en Nigeria («Nigeria»), se aplica lo siguiente además de las Cláusulas Contractuales de Nigeria en la Ley de Protección de Datos de Nigeria (NDPA) 2023 («CC de Nigeria») (disponibles aquí):
Lo siguiente se aplica a las CC de Nigeria según lo acordado por las partes mencionadas anteriormente:
Las ubicaciones para el procesamiento, la transferencia y el almacenamiento de datos personales incluyen Ghana y los Estados Unidos.
El resto de la información proporcionada anteriormente para el módulo 2 de las CCT UE se aplica a las CC de Nigeria.
(5) Para los Custodios de Registros en las siguientes ubicaciones, se aplican las Cláusulas Contractuales Modelo de la ASEAN, módulo 1: transferencia de responsable a encargado («CCM, módulo 1») (disponibles aquí):
Brunéi Darusalam, Camboya, Indonesia, Laos, Malasia, Myanmar, Filipinas, Singapur, Tailandia y Vietnam.
Lo siguiente se aplica a las CCT UE, módulo 1, según lo acordado por las partes mencionadas anteriormente:
- Se suprime la cláusula 2 (Obligaciones del Exportador de Datos).
- Se suprimen las subcláusulas opcionales 3.4, 3.6, 3.7 de la cláusula 3 (Obligaciones del Importador de Datos) y el texto opcional de la 3.7. La subcláusula 3.10 es «[…] dentro de un período de tiempo razonable especificado por los Socios».
- La cláusula 4 (Conflictos sobre la elección de la ley aplicable) incorpora el Estado miembro de la ASEAN del exportador en 4.1. Se suprime la subcláusula operativa 4.3.
- La cláusula 6 (Rescisión del contrato) incorpora «30 días» en la subsección 6.1.1.
- Condiciones adicionales para recursos individuales (Recursos individuales) Se suprimen todos los recursos individuales.
- APÉNDICE A: véase el ANEXO I de las CCT UE, módulo 2.
(6) Para los Custodios de Registros en las siguientes ubicaciones, se aplica el Acuerdo Modelo de Transferencia de la Red Iberoamericana de Protección de Datos («CCM RIPD, transferencia de responsables a encargados») (disponible aquí):
Perú, Uruguay, Argentina y Andorra.
Lo siguiente se aplica a las CCM RIPD, transferencia de responsable a encargados, según lo acordado por las partes mencionadas anteriormente:
- El ANEXO I de las CCT UE, módulo 2, se incorpora por referencia y rellena toda la información requerida en las CCM de la RIPD, transferencia de responsable a encargados.
- De la cláusula 9 (Vías de recurso), se suprime el texto opcional de la subcláusula 9(a).
- El ANEXO A se rellena con información relevante del ANEXO I de las CCT UE, módulo 2.
- El ANEXO B se rellena con información relevante del ANEXO I de las CCT UE, módulo 2.
- El ANEXO C se rellena con información relevante del ANEXO II de las CCT UE, módulo 2.
- El ANEXO D se rellena con información relevante del ANEXO III de las CCT UE, módulo 2.
- El ANEXO E se rellena con el aviso de privacidad disponible aquí: https://www.familysearch.org/legal/privacy.
(7) Para los Custodios de Registros en China, se aplica lo siguiente (disponible aquí):
a. Para quienes se encuentren en Hong Kong, se aplica lo siguiente (disponible aquí):
(8) Para los Custodios de Registros en Brasil, se aplica lo siguiente (disponible aquí): (también se encuentra el PDF aquí)
(9) Para los Custodios de Registros en Nueva Zelanda, se aplica lo siguiente (disponible aquí):
(10) Para los Custodios de Registros en Ruanda, se aplica lo siguiente (disponible aquí):
(11) Para los Custodios de Registros en Catar, se aplica lo siguiente (disponible aquí):
(12) Para los Custodios de Registros en Arabia Saudita, se aplica lo siguiente (disponible aquí):