I. COMUNIDAD DE MADRID

D) Anuncios

CONSEJERÍA DE EDUCACIÓN Y JUVENTUD

REUNIDOS

De una parte, por la Consejería de Educación y Juventud de la Comunidad de Madrid (en adelante, la “Consejería” o el “Cliente), el Excmo. Sr. D. Enrique Ossorio Crespo, Consejero de Educación y Juventud de la Comunidad de Madrid, en virtud de nombramiento efectuado por Decreto 63/2019, de 19 de agosto, de la Presidenta de la Comunidad de Madrid, y de conformidad con las competencias atribuidas por el artículo 41.a) de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, el artículo 4 de la Ley 8/1999 de 9 de abril de adecuación de la normativa de la Comunidad de Madrid a la Ley 4/1999 y el Decreto 48/2019, de 10 de junio, del Consejo de Gobierno, por el que se regula la actividad convencional de la Comunidad de Madrid.

Y de otra parte, por la sociedad Google Ireland Limited, el Sr Nicholas Leeder, en su calidad de Director de Google Ireland Limited (en adelante, también denominada “Google”), sociedad constituida de conformidad con la legislación irlandesa, con domicilio social en Gordon House, Barrow Street, Dublín 4, Irlanda, actuando en nombre y representación de Google en virtud de las atribuciones que le confiere el poder otorgado en fecha de 12 de diciembre de 2016.

Reconociéndose ambas partes, en función de sus respectivos cargos en nombre de las entidades que representan, capacidad para formalizar el presente Convenio de colaboración y obligarse en sus términos, a tal efecto

EXPONEN

Primero

Que corresponde a la Comunidad de Madrid, de acuerdo con el artículo 29 de su Estatuto de Autonomía, aprobado por Ley Orgánica 3/1983, de 25 de febrero, la competencia de desarrollo legislativo y ejecución de la enseñanza en toda su extensión, niveles y grados, modalidades y especialidades. La Consejería es asimismo responsable del desarrollo de las inversiones relacionadas con la mejora de las tecnologías de la información y de la comunicación en los centros educativos y de la adopción de directrices sobre las plataformas informáticas de los centros educativos y sistemas informáticos vinculados al aprendizaje.

Segundo

Que el Decreto 288/2019, de 12 noviembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Educación y Juventud, recoge en su artículo 14 las competencias de la Dirección General de Bilingüismo y Calidad de la Enseñanza.

Entre dichas competencias se encuentran “El diseño de los programas de innovación para la mejora de la calidad de las enseñanzas escolares dentro del ámbito competencial atribuido a la Comunidad de Madrid”, “el diseño y desarrollo de actividades de formación permanente y actualización del profesorado” y “el desarrollo de contenidos educativos en abierto, así como la elaboración de directrices de uso de las plataformas informáticas de los centros docentes y sistemas informáticos vinculados al aprendizaje y actualización docente”.

Tercero

Que Google tiene entre sus objetivos promover la mejora de la educación apoyándose en la innovación tecnológica, soluciones de software y de hardware, y programas educativos enfocados a la formación y mejor preparación del colectivo docente y la comunidad educativa.

Que, en ese contexto, Google provee la solución tecnológica Workspace for Education, en su versión básica, un paquete de herramientas diseñado para permitir que los docentes y los alumnos innoven y aprendan juntos.

Cuarto

Que la Consejería de Educación y Juventud de la Comunidad de Madrid y Google están interesados en colaborar conjuntamente en el desarrollo de la innovación tecnológica facilitando el acceso de los centros de enseñanza de la Comunidad de Madrid a herramientas que integran las tecnologías de la información y la comunicación en el proceso educativo, como complemento de las que integran la plataforma corporativa EducaMadrid.

Quinto

Que con el desarrollo de este innovador proyecto por parte de Google y la Dirección General de Bilingüismo y Calidad de la Enseñanza de la Consejería de Educación y Juventud de la Comunidad de Madrid, se pretende conseguir:

— Incentivar el uso de las nuevas tecnologías en los centros educativos.

— Promover la participación de los docentes y alumnos en entornos digitales.

— Investigar la mejor forma de aproximar la tecnología a los alumnos e integrarla consiguiendo enriquecer los aprendizajes.

— Contribuir a que docentes y alumnos tengan una identidad digital segura y responsable que permita mejorar su desarrollo personal.

— Reducir la brecha digital de los docentes y estudiantes proporcionando diferentes recursos para la alfabetización digital.

En consecuencia, todas las partes formalizan el presente Convenio con arreglo a las siguientes cláusulas:

CLÁUSULAS

Primera

Objeto

Constituye el objeto de este Convenio articular la colaboración entre la Consejería de Educación y Juventud de la Comunidad de Madrid y Google para desarrollar el Proyecto de innovación tecnológico dirigido a docentes y alumnos en relación con las siguientes áreas:

— Estimular el avance y desarrollo de programas docentes en centros educativos, en relación con las últimas innovaciones de software en el sector de las tecnologías de la información.

— Promover el desarrollo de la sociedad del conocimiento a través de un entorno educativo avanzado en los centros educativos, la alfabetización digital y la formación profesional especializada en tecnologías de la información.

Segunda

Descripción

El objetivo fundamental de este Proyecto es facilitar la inclusión de la tecnología en cualquier ámbito y nivel educativo. Este Proyecto tecnológico será un complemento a las herramientas corporativas de la Consejería.

Se trata de poner a disposición de docentes y alumnos el uso de la versión básica de la solución Workspace for Education para la enseñanza educativa por parte de la Consejería, realizando talleres y formaciones vinculados al Proyecto digital de los centros, respetando la normativa vigente en el ámbito de protección de datos. Las actividades formativas se realizarán de manera colaborativa y coordinada entre la Dirección General de Bilingüismo y Calidad de la Enseñanza de la Comunidad de Madrid y Google.

Tercera

Actuaciones de las partes

Para el desarrollo del objeto del presente Convenio las partes acuerdan llevar a cabo las siguientes actuaciones:

1. Impulsar la transformación digital en los centros educativos de la Comunidad de Madrid.

El proceso de transformación educativa que la Comunidad de Madrid y Google impulsarán ayudará a los centros educativos a planificar, reflexionar y emprender cambios en la educación para el aprendizaje del siglo XXI.

Todo ello, de conformidad con el artículo 83 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales y garantía de los derechos digitales, que establece que el sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales.

Además, el profesorado recibirá las competencias digitales y la formación necesaria para la enseñanza y transmisión de los valores y derechos referidos en el apartado anterior.

Google pondrá a disposición de la Consejería de Educación y Juventud, la solución Workspace for Education (ver relación de los servicios en Anexo I) para que pueda ser utilizada con arreglo a las condiciones acordadas entre las partes de licencia y prestación del servicio, por los docentes y alumnos integrantes de la comunidad educativa dependiente de dicha Consejería.

La Consejería manifiesta su intención de ofrecer a la comunidad educativa el uso de Workspace for Education, si bien no se contempla su utilización en aquellas actividades para las cuales los centros educativos ya disponen de otras herramientas corporativas diseñadas para labores administrativas que suponen el tratamiento de datos de carácter confidencial.

Debido a que la prestación del servicio conlleva el tratamiento de datos personales, cuyo responsable es la Consejería, el prestador de dicho servicio, Google, es el encargado del tratamiento. Esta posición entre las partes exige el cumplimiento de las condiciones establecidas en el artículo 28 del Reglamento General de Protección de Datos (RGPD).

Corresponderá a la Consejería establecer las limitaciones a las que deben ceñirse los usuarios a la hora de utilizar los servicios ofrecidos por Google, que serán aquellas que se infieran del análisis de riesgos del tratamiento de datos personales realizado por la Consejería, que las publicará en el portal EducaMadrid para conocimiento de la comunidad educativa, junto con las pautas o instrucciones aplicables al respecto y la política de privacidad correspondiente. Google no controlará el cumplimiento de las pautas o instrucciones por los usuarios, pero pondrá a disposición de la Consejería las funcionalidades pertinentes que permitan a los administradores del servicio velar por su cumplimiento.

2. Evaluación del impacto del Proyecto en el aprendizaje y en el desarrollo de los aprendizajes digitales.

La Consejería de Educación y Juventud, a través del uso en los centros educativos de Workspace for Education y la información recogida por parte del profesorado, realizará los informes necesarios y la evaluación de impacto del Proyecto, facilitando este análisis para contribuir a mejoras.

Incluido en el ámbito del presente Convenio, Google ofrecerá para probar nuevas funcionalidades y/o herramientas de Workspace for Education al profesorado de manera voluntaria poder participar como un grupo de betatesters con acceso al Early Adopter Program de Google.

3. Estimular la comprensión y el respeto de la propiedad intelectual e industrial.

Esta actuación tendrá por objetivo informar a la comunidad educativa acerca de la existencia y el respeto debido a los derechos de propiedad intelectual e industrial sobre el software, y los requisitos para obtener licencias válidas para el uso de cualquier software tanto libre como privativo.

4. Programas de alfabetización digital.

Con el fin de reducir la brecha digital en el contexto del personal docente pero también de los alumnos, la Consejería de Educación y Juventud y Google pondrán a disposición recursos para la alfabetización digital.

5. Difusión y participación en congresos.

Ambas partes se comprometen a poder participar con carácter voluntario en congresos y jornadas del profesorado de la Comunidad de Madrid mediante ponencias y comunicaciones para dar difusión al Proyecto.

6. Política de uso.

Las partes reconocen y aceptan que el uso de los servicios está regulado por los siguientes acuerdos, que forman parte de y están incorporados al, presente Convenio:

— Los términos de servicio acordados por las partes sobre el uso de Workspace for Education, que se incluyen como Anexo II a este Convenio y que se publicarán también en EducaMadrid (“Términos de Workspace for Education”).

— La Adenda de tratamientos de datos, cuya versión vigente al momento de la firma, según se adapta en este Convenio, se incorpora como referencia como Anexo III.

Todos los términos con mayúsculas empleados en el presente Convenio tienen el mismo significado que el que se le otorga en los Términos de Workspace for Education o en la Adenda de Tratamiento de Datos, salvo que se indique expresamente lo contrario.

Cuarta

Compromisos de las partes

1. La Consejería de Educación y Juventud de la Comunidad de Madrid se compromete a:

— Desarrollo de planes de formación del profesorado. Esta actuación tendrá por objeto ayudar a los docentes a utilizar la tecnología de Workspace como complemento de uso voluntario tanto por parte del centro como de los profesores, que podrán utilizar esta herramienta indistintamente junto con el resto de las plataformas similares que la Consejería ha puesto a su disposición en las aulas y así incrementar su eficacia y mejorar la calidad de la experiencia educativa.

En el contexto de esa iniciativa, la Consejería de Educación y Juventud se compromete a desarrollar un Programa de Formación para el profesorado de los centros públicos que garantice el conocimiento para la implementación de Workspace for Education, así como el conocimiento de las herramientas que incluye dichos Servicios y sus correspondientes actualizaciones.

2. Google se compromete a:

— Proveer los Servicios a la Consejería durante el Período de Vigencia, la cual a su vez podrá dar acceso al servicio en calidad de Usuarios Finales a los centros docentes públicos dependientes de la Consejería, de acuerdo con lo dispuesto en este Convenio y en los Términos de Workspace for Education, adaptados a este Convenio, así como los recursos de apoyo para su correcta ejecución.

— Colaborar con la Consejería, cuando se realice el Programa de Formación para el profesorado de los centros públicos, para implementar acciones formativas con la Workspace for Education. Dichas acciones formativas podrán contar con la certificación oficial de Google Certified Trainer (estas certificaciones serán independientes a los créditos de formación del profesorado de la Consejería de Educación y Juventud).

— Colaborar con la Consejería en el control del uso de las funcionalidades establecido en este Acuerdo y en las limitaciones y condiciones de uso establecidas por esta.

— Facilitar el acceso a los docentes voluntarios que deseen ser Betatesters al Early Adopters Programs para probar nuevas funcionalidades y/o herramientas de Workspace for Education, en función de los requerimientos de cada caso.

Quinta

Financiación

Las Partes expresamente acuerdan y manifiestan que la suscripción del presente Convenio no implica por sí mismo la obligación de realizar ningún tipo de contraprestación económica por ninguna de las Partes.

Sexta

Creación de una Comisión Mixta de Seguimiento

A partir de la firma del presente Convenio se constituirá una Comisión Mixta de Seguimiento con representantes designados por ambas partes en régimen de paridad. Dicha Comisión se responsabilizará del seguimiento, evaluación y control de las acciones derivadas del presente Convenio y de los compromisos adquiridos por las partes. Asimismo, resolverá los problemas de interpretación y cumplimiento que puedan plantearse en el desarrollo del presente Convenio.

La Comisión Mixta de Seguimiento estará formada:

— Por parte de Google:

• Responsable de Google for Education España, o persona en quien delegue.

• Responsable de Relaciones institucionales de Google, o persona en quien delegue.

— Por parte de la Comunidad de Madrid:

• Directora General de Bilingüismo y Calidad de la Enseñanza o persona en quien delegue.

• Subdirector General de Programas de Innovación y Formación, o persona en quien delegue.

La Comisión Mixta se reunirá como mínimo con carácter semestral, pudiendo celebrarse dicha reunión en remoto mediante videoconferencia, llamadas telefónicas o medios asemejables que los miembros de la Comisión Mixta acuerden con anterioridad a dicha reunión, así como en cualquier momento con el mutuo acuerdo de ambas partes con al menos una semana de antelación.

Séptima

Transparencia

Este Convenio se somete a lo dispuesto tanto en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno como en la Ley 10/2019 de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

Octava

Entrada en vigor y período de vigencia

El presente Convenio entrará en vigor en la fecha de la última firma indicada en el bloque de firmas (“Fecha de Entrada en Vigor”), y tendrá una vigencia de cuatro años qué podrá prorrogarse por un período equivalente previo acuerdo expreso de las partes.

Durante los tres meses previos a su fecha de finalización, las partes revisarán los resultados de este Convenio y de las concretas acciones de colaboración llevadas a cabo entre ambas partes, y determinarán conjuntamente si el mismo ha de ser prorrogado o modificado.

Novena

Modificación y extinción del Convenio

Modificación.—Este Convenio es susceptible de modificación por acuerdo unánime de las partes, que se formalizará mediante la correspondiente adenda conforme a la tramitación preceptiva que exige la autorización de un nuevo Convenio, además de por las causas pertinentes recogidas en los Términos de Workspace for Education y en la Adenda de Tratamiento de Datos.

En cualquier caso, las partes se comprometen a finalizar las acciones que estén en curso de ejecución en el momento en que cause efecto la resolución del Convenio.

La Comisión Mixta de Seguimiento continuará en funciones y será la encargada de resolver las cuestiones que pudieran plantearse en relación con las actuaciones en curso o derivadas del Convenio y, asimismo, para el caso de producirse la extinción, hasta que se resuelvan las cuestiones pendientes.

Extinción.—Con carácter general, la duración de los Términos de Workspace for Education o de la Adenda de Tratamiento de Datos adaptados a este Acuerdo se extinguirán con la extinción de la vigencia del presente Convenio, salvo disposición en contrario en los propios Términos de Workspace for Education o la Adenda de Tratamiento de Datos. El Convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto. Además, las partes tendrán derecho a resolver el Convenio de forma anticipada cuando se incurra en alguna de las siguientes causas de resolución, con arreglo al artículo 51.2 del a Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público:

— Mutuo acuerdo de las partes, lo que dará derecho a la resolución inmediata del Convenio.

— El transcurso del plazo de vigencia del Convenio sin haberse acordado la prórroga del mismo.

— A petición expresa y por escrito formulada por cualquiera de las partes con una antelación mínima de un mes, con el fin de poder concluir las actividades en curso de ejecución.

— Por incumplimiento grave de sus obligaciones por cualquiera de las partes cuando dicho incumplimiento no se hubiese solventado en un plazo de 30 días naturales desde que la parte no incumplidora se lo notifique a la otra parte, previa comunicación por escrito, y sin perjuicio de las responsabilidades que, en su caso, corresponda exigir a la parte incumplidora. En este caso la parte no incumplidora tendrá derecho a resolver el Convenio de forma inmediata.

— Por decisión judicial declaratoria de la nulidad del Convenio.

— Por cualquier otra causa distinta de las anteriores prevista en el presente Convenio o en otras leyes.

En caso de resolución o vencimiento del presente Convenio:

(a) Los derechos otorgados por una parte a la otra cesarán a partir de la fecha efectiva de resolución.

(b) La Consejería no tendrá acceso o capacidad para exportar los Datos del Cliente tras la fecha efectiva de resolución o vencimiento del Convenio y será responsable de usar la funcionalidad de los Servicios para borrar todos los Datos del Cliente de los Servicios antes de tal fecha.

(c) Tras dicho borrado de los Datos del Cliente por parte de la Consejería, Google borrará los Datos del Cliente según se describe en la Adenda de Tratamiento de Datos; y

(d) Bajo petición, las partes emplearán de inmediato esfuerzos razonables para devolver o destruir toda la Información Confidencial (a excepción de los Datos del Cliente) de la otra parte.

Décima

Consecuencias por incumplimiento de las obligaciones y compromisos asumidos por las partes

En caso de incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes del Convenio, la parte no incumplidora notificará a la parte incumplidora un requerimiento para que cumpla en un plazo de 30 días naturales con las obligaciones o compromisos incumplidos. Si transcurrido dicho plazo persistiera el incumplimiento, la parte que lo dirigió tendrá derecho a resolver el Convenio de forma unilateral e inmediata mediante notificación a la parte incumplidora de conformidad con lo dispuesto en la cláusula novena de este Convenio.

La Comisión Mixta de Seguimiento continuará en funciones y será la encargada de resolver las cuestiones que pudieran plantearse en relación con las actuaciones en curso o derivadas del Convenio y, asimismo, para el caso de producirse la extinción, hasta que se resuelvan las cuestiones pendientes.

Undécima

Protección de datos de carácter personal

1. Cumplimiento de la normativa en materia de protección de datos:

Google Ireland Limited y la Consejería de Educación y Juventud de la Comunidad de Madrid están obligadas a cumplir la normativa vigente en materia de protección de datos personales, y en concreto el Reglamento (UE) 2016/679 del parlamento europeo y el Consejo de 27 de abril de 2016 relativo a la protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como al resto de la normativa europea y nacional relacionada.

La Consejería de Educación y Juventud de la Comunidad de Madrid actuará como responsable de los respectivos tratamientos de datos personales que efectúe para el cumplimiento de las obligaciones aquí contraídas, mientras que Google actuará como encargado del tratamiento de conformidad con lo dispuesto en la Adenda de Tratamiento de Datos. Así, las entidades firmantes del presente Convenio responderán por las infracciones en las que cada una de ellas hubiese incurrido por incumplimiento de las obligaciones asumidas en el presente Covenio de conformidad con el régimen de responsabilidad establecido en el RGPD y en el presente Convenio.

2. Deber de confidencialidad:

Las dos entidades firmantes del presente Convenio estarán sometidas al deber de guardar secreto, de acuerdo con el Artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Cuando alguna de las entidades firmantes del presente Convenio se sirva de colaboradores para la ejecución de las actividades previstas en su Cláusula segunda que acceda a los datos personales de los alumnos o de sus familias durante la vigencia del Convenio, dicha entidad les impondrá el mismo deber de confidencialidad.

Duodécima

Deber de información mutuo

Los datos personales de los representantes de las Partes firmantes de este Convenio serán tratados, respectivamente, por las entidades que se identifican en el encabezamiento, que actuarán, de forma independiente, como responsables del tratamiento de los mismos. Dichos datos serán tratados para dar cumplimiento a los derechos y obligaciones contenidas en este Convenio, sin que se tomen decisiones automatizadas que puedan afectar a los citados representantes de acuerdo con el RGPD y la LOPDGDD. En consecuencia, la base jurídica del tratamiento es dar cumplimiento a la mencionada relación pactada, siendo dicho fin estrictamente necesario para ejecutar el presente Convenio.

Los datos se mantendrán mientras esté en vigor la relación pactada que aquí se estipula, siendo tratados únicamente por las Partes y aquellos terceros a los que aquéllas estén legalmente —o de acuerdo a lo dispuesto en el presente Convenio— obligadas a comunicarlos (como es el caso de terceros prestadores de servicios a los que se haya encomendado algún servicio vinculado con la gestión o ejecución del Convenio).

Los representantes de las Partes podrán ejercer, en los términos establecidos por la legislación vigente, los derechos de acceso, rectificación y supresión de datos, así como solicitar que se limite el tratamiento de sus datos personales, oponerse al mismo, o solicitar la portabilidad de sus datos dirigiendo una comunicación por escrito a cada una de las Partes, a través de las direcciones especificadas en el encabezamiento.

Asimismo, podrán ponerse en contacto con el respectivo Delegado de Protección de Datos (Consejería de Educación y Juventud: protecciondatos.educacion@madrid.org) o, en el supuesto de que no queden satisfechos con la atención recibida de las Partes tras ejercitar alguno de los derechos citados con anterioridad, podrán presentar una reclamación ante la Agencia Española de Protección de Datos (AEPD, http://www.aepd.es) u otra autoridad competente.

Decimotercera

Naturaleza y resolución de controversias

Este Convenio de colaboración tiene naturaleza administrativa, no siéndole de aplicación la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público (“Boletín Oficial del Estado” de 9 de noviembre), en virtud de lo dispuesto en los artículos 6.1 y 6.2, quedando sometido al régimen jurídico de convenios previsto en el Capítulo VI del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

La Consejería de Educación y Juventud y Google Ireland Limited son y seguirán siendo colaboradores independientes, sin que -entre sí o con los empleados de la otra parte- se cree ninguna relación jurídica de naturaleza laboral societaria, asociativa, de joint venture o de agencia.

Las discrepancias surgidas sobre la interpretación, desarrollo, modificación, resolución y efectos que pudieran derivarse de la aplicación del presente Convenio, deberán de solventarse por la Comisión Mixta de Seguimiento regulada en el mismo. Si no se llegara a un acuerdo, las cuestiones litigiosas serán de conocimiento y competencia del orden jurisdiccional Contencioso-Administrativo de Madrid.

Y en prueba de conformidad, las Partes firman el presente Convenio en Madrid.

Madrid, a 10 de junio de 2021.—Por la Comunidad de Madrid, el Consejero de Educación y Juventud, Enrique Ossorio Crespo.—Por Google Ireland Limited, el Director, Nicholas Leeder.

ANEXO I

SERVICIOS DE LA SOLUCIÓN WORKSPACE FOR EDUCATION

Los servicios que engloba la solución Workspace for Education a fecha de firma del presente Convenio son, entre otros, los siguientes:

— “Classroom” es un servicio basado en la web que permite a los usuarios finales crear y participar en grupos de aula. Con Classroom, los alumnos pueden ver asignaciones, enviar tareas y recibir información de los profesores.

— “Chrome Sync” es una función que permite a los Usuarios finales sincronizar marcadores, historial, contraseñas y otras configuraciones en todos los dispositivos en los que han iniciado sesión en Chrome.

— “Cloud Identity Management” tal y como se describe en:

• https://cloud.google.com/terms/identity/user-features.html o cualquier otra URL que Google pueda proporcionar.

— “Google Calendar” es un servicio basado en la web para administrar calendarios personales, corporativos / organizativos y de equipo.

— “Contactos de Google” es un servicio basado en la web que permite a los Usuarios Finales importar, almacenar y ver información de contacto, y crear grupos personales de contactos que se pueden usar para enviar correos electrónicos a muchas personas a la vez.

— “Documentos de Google”, “Hojas de cálculo de Google”, “Presentaciones de Google” y “Formularios de Google” son servicios basados en la web que permiten a los Usuarios finales crear, editar, compartir, colaborar, dibujar, exportar e insertar contenido en documentos, hojas de cálculo y presentaciones y formas.

— “Google Drive” proporciona herramientas basadas en la web que permiten a los usuarios finales almacenar, transferir y compartir archivos y ver vídeos.

— “Google Hangouts”, “Google Chat”, “Google Meet”. El uso de la grabación de Google Meet está limitado a 80 horas.

— “Google Jamboard” es un servicio basado en web que permite a los Usuarios finales crear, editar, compartir, colaborar, dibujar, exportar e incrustar contenido en un documento.

— “Google Keep” es un servicio web que permite a los usuarios finales crear, editar, compartir y colaborar en notas, listas y dibujos.

— “Google Sites” permite a un Usuario final crear sitios web en el dominio de Workspace para publicarlos internamente dentro de una empresa o publicarlos externamente. Un Usuario final puede crear un sitio a través de una herramienta basada en web y luego puede compartir el sitio con un grupo de otros Usuarios finales o publicar el sitio para toda la empresa o el mundo (si lo permite el Administrador). El propietario del sitio puede elegir quién puede editar un sitio y quién puede verlo.

— “Google Tasks” es un servicio basado en la web que permite a los Usuarios finales crear, editar y administrar sus tareas.

— “Google Vault” es un servicio basado en web que proporciona capacidades de búsqueda y exportación para Google Drive y Gmail. Para Gmail, Google Vault brinda a los Clientes la capacidad de buscar en todo el dominio, archivar datos y crear reglas de retención y disposición basadas en el contenido, y capacidades de eDiscovery que permiten al Cliente crear asuntos y preservar estos datos para propósitos de retención legal.

La lista completa de Servicios incluidos en la solución Workspace for Education en cada momento puede consultarse en https://workspace.google.com/intl/en/terms/user_features.html

La Consejería de Educación y Juventud establecerá y hará pública en el portal de EducaMadrid la relación de servicios que habilitará para el uso que conlleve menor riesgo para la privacidad de los datos, con la colaboración del encargado del tratamiento y con carácter previo al inicio de la prestación de los servicios objeto de este Convenio, como consecuencia del análisis de riesgos realizado por el responsable del tratamiento.

Los interesados obtendrán, en las comunicaciones que la Consejería les curse con motivo del alta en los servicios, el enlace a dicha publicación, que además incluirá las condiciones de uso y a la política de privacidad del tratamiento de datos personales.

ANEXO II

TÉRMINOS DE WORKSPACE FOR EDUCATION

Estos Términos del Servicio de Workspace for Education (en adelante, el “Acuerdo”) regulan el uso de los Servicios por parte de la Consejería (en este Acuerdo, el Cliente) y entran en vigor en la Fecha de Entrada en Vigor.

1. Prestación de los Servicios

1.1. Uso de los Servicios. Durante el Período de Vigencia, Google prestará los Servicios de conformidad con el presente Acuerdo, incluido el Acuerdo de Nivel de Servicio. El Cliente puede utilizar los Servicios solicitados en el Formulario de Pedido o en el Pedido de Revendedor aplicable de conformidad con este Acuerdo.

1.2. Consola de Administración. El Cliente tendrá acceso a la Consola de Administración, con la que podrá gestionar su uso de los Servicios y administrar las Cuentas de Usuarios Finales y otras funcionalidades de los Servicios. La Consejería deberá: (a) administrar las Cuentas de Usuarios Finales a través de la Consola de Administración; y (b) determinar los Servicios a los que los Usuarios Finales tendrán acceso.

1.3. Cuentas y verificación para usar los Servicios.

(a) Cuentas. El Cliente debe tener una Cuenta para usar los Servicios y es responsable de la información facilitada para crearla, así como de la seguridad de las contraseñas de la Cuenta y de cualquier uso que se haga de esta. Google no tiene la obligación de proporcionar varias Cuentas al Cliente.

(b) Verificación para usar los Servicios. El Cliente debe verificar una Dirección de Correo Electrónico de Dominio o un Nombre de Dominio para usar los Servicios. Si el Cliente no tiene un permiso válido para usar esa Dirección de Correo Electrónico de Dominio o no posee ni controla ese Nombre de Dominio, Google no tendrá obligación de proporcionar los Servicios al Cliente y podrá eliminar la Cuenta sin previo aviso.

1.4. Términos incorporados. Los Términos de las URL, incluidos los Términos Específicos de los Servicios y la Adenda de Tratamiento de Datos, se incorporan mediante esta referencia al presente Acuerdo. Es posible que el Cliente también tenga que aceptar la Adenda de Tratamiento de Datos a través de la Consola de Administración, pero únicamente por razones técnicas u operativas. Dicha aceptación no afectará a los derechos u obligaciones de las partes que se estipulan en el presente Acuerdo o en la Adenda de Tratamiento de Datos.

1.5. Modificaciones.

(a) Servicios: Google puede realizar cambios razonables en los Servicios cuando lo estime oportuno. Google informará al Cliente si realiza en los Servicios algún cambio material que afecte de manera sustancial al uso de los Servicios por parte del Cliente y este está suscrito para ser informado sorbe dichos cambios materiales.

(b) Términos de las URL (con la excepción de la Adenda de Tratamiento de Datos): Google puede modificar ocasionalmente los Términos de las URL. Si realiza cualquier cambio material, se lo notificará al Cliente. Google puede notificar al Cliente los cambios materiales realizados en el Acuerdo de Nivel de Servicio a través de la página web del Acuerdo de Nivel de Servicio correspondiente. Los cambios materiales en los Términos de las URL entrarán en vigor 30 días después de la notificación, excepto: (i) los cambios del Acuerdo de Nivel de Servicio que tengan un impacto adverso considerable, que entrarán en vigor 90 días después de la notificación; y (ii) los cambios aplicables a los nuevos Servicios o funciones, que entrarán en vigor de inmediato. La presente Sección 1.5(b) (Modificaciones: Términos de las URL [excluyendo la Adenda de Tratamiento de Datos]) no es aplicable a los cambios que se hagan en la Adenda de Tratamiento de Datos.

(c) Adenda de Tratamiento de Datos: Google solo puede modificar la Adenda de Tratamiento de Datos si los cambios en cuestión son necesarios para cumplir las leyes y normativas aplicables, una orden judicial o una directriz publicada por un ente regulador o una agencia gubernamentales; si los cambios en cuestión están permitidos expresamente en la Adenda de Tratamiento de Datos; o si los cambios en cuestión:

(i) Son comercialmente razonables.

(ii) No conllevan la degradación de la seguridad general de los Servicios.

(iii) No amplían el ámbito de aplicación ni eliminan ninguna restricción del tratamiento de los “Datos Personales de los Clientes” por parte de Google, según se establece en la sección “Ámbito de aplicación del Tratamiento” de la Adenda de Tratamiento de Datos; y.

(iv) No tiene un impacto adverso material en los derechos del Cliente en virtud de la Adenda de Tratamiento de Datos.

Si Google hace algún cambio material en la Adenda de Tratamiento de Datos de acuerdo con la presente Sección 1.5(c) (Modificaciones: Adenda de Tratamiento de Datos), lo publicará en la página web donde aparece la Adenda de Tratamiento de Datos.

(d) Interrupción de los Servicios Principales: Google notificará al Cliente con al menos 12 meses de antelación si se va interrumpir la prestación de cualquier Servicio Principal (o cualquier función importante relacionada), a menos que tal Servicio Principal o función se vaya a reemplazar por un Servicio Principal o una función de características similares. Nada de lo previsto en la presente Sección 1.5(d) (Interrupción de los Servicios Principales) limita la capacidad de Google de hacer los cambios necesarios para cumplir las leyes aplicables, responder ante un riesgo de seguridad importante o evitar problemas técnicos o económicos graves. La presente Sección 1.5(d) (Interrupción de los Servicios Principales) no se aplica a los Servicios Adicionales ni a los Servicios, ofertas o funciones de disponibilidad previa al lanzamiento general.

2. Términos de pago

Los Servicios bajo este Acuerdo serán prestados por Google de forma gratuita. Si en algún momento durante el Período de Vigencia el Cliente solicita a Google servicios sujetos a pago, entonces las partes firmarán una adenda a este Acuerdo para introducir el correspondiente clausulado regulando dicha obligación de pago.

3. Obligaciones del Cliente

3.1. Usos permitidos. El uso de los Servicios en virtud del presente Acuerdo está reservado a los centros educativos públicos sin ánimo de lucro de la Comunidad de Madrid que cumplan los criterios especificados en la página https://support.google.com/a/answer/134628?hl=es o en una URL posterior que la sustituya.

3.2. Cumplimiento. El Cliente: (a) se asegurará de que el uso que él y sus Usuarios Finales hagan de los Servicios cumple con lo dispuesto en el presente Acuerdo, (b) tomará medidas comercialmente razonables para impedir y poner fin a cualquier acceso a los Servicios o uso de estos sin autorización, y (c) notificará inmediatamente a Google si descubre cualquier acceso a los Servicios, su Cuenta o su contraseña o cualquier uso de estos sin autorización. Google se reserva el derecho a investigar cualquier posible infracción de la Política de Uso Aceptable (PUA) por parte del Cliente, lo que puede incluir una revisión de los Datos del Cliente.

3.3. Privacidad. El Cliente es responsable de obtener los consentimientos y de proporcionar los avisos necesarios para permitir: a) el uso y la recepción de los Servicios por parte del Cliente; y b) el acceso, almacenamiento y tratamiento por parte de Google de los datos proporcionados por el Cliente (incluidos los Datos del Cliente) en virtud del Acuerdo.

3.4. Restricciones. El Cliente no podrá ni permitirá a los Usuarios Finales: (a) copiar, modificar ni crear obras derivadas de los Servicios; (b) aplicar técnicas de ingeniería inversa, descompilar, traducir, desmontar ni intentar de otra forma extraer parte o la totalidad del código fuente de los Servicios (salvo en la medida en que esta restricción esté expresamente prohibida por la legislación aplicable); (c) vender, revender, sublicenciar, transferir ni distribuir parte o la totalidad de los Servicios; ni (d) acceder a los Servicios ni utilizarlos (i) para Actividades de Alto Riesgo; (ii) de manera que se infrinja la PUA; (iii) con la intención de evadir el pago de cualquier Tasa aplicable (por ejemplo, creando varias Cuentas de Cliente para aprovecharlas como un único usuario o para eludir los límites de uso o cuotas específicos del Servicio); (iv) para la minería de criptomonedas sin la aprobación previa por escrito de Google; (v) para realizar o recibir llamadas de emergencia, salvo que se indique lo contrario en los Términos Específicos de los Servicios; (vi) en relación con materiales o actividades sujetos al reglamento sobre el tráfico internacional de armas (ITAR) del Departamento de Estado de Estados Unidos ni a la normativa aplicable correspondiente sobre el tráfico de armas; (vii) de forma que incumpla o dé lugar al incumplimiento de las Leyes de Control de Exportaciones; o (viii) para transmitir, almacenar o tratar información médica sujeta a la ley de transferencia y responsabilidad de los seguros médicos (HIPAA) de Estados Unidos, salvo que lo permita una enmienda en vigor al Contrato de Colaboración Empresarial de conformidad con la ley HIPAA.

3.5. Productos Adicionales. Google pone Productos Adicionales a disposición del Cliente y de sus Usuarios Finales. El uso de Productos Adicionales está sujeto a los Términos de Productos Adicionales. El Cliente puede habilitar o inhabilitar Productos Adicionales en cualquier momento a través de la Consola de Administración. El Cliente deberá obtener un consentimiento parental para recoger y utilizar información personal en los Productos Adicionales que quiera habilitar antes de permitir que ningún Usuario Final menor de 18 años acceda a ellos o los utilice.

3.6. Administración de los Servicios. En la Consola de Administración, el Cliente puede designar a uno o varios Administradores, quienes podrán acceder a Cuentas de Administrador. El Cliente es responsable de: a) mantener la confidencialidad y seguridad de las Cuentas de Usuario Final y las contraseñas asociadas; y b) cualquier uso de las Cuentas de Usuario Final. Además, el Cliente acepta que las responsabilidades de Google no incluyen la administración ni la gestión internas de los Servicios para el Cliente o cualquier Usuario Final.

3.7. Supervisión de usos inadecuados. El Cliente es el único responsable de supervisar, responder y tratar de cualquier otro modo los correos electrónicos enviados a los alias “abuse” y “postmaster” de los Nombres de Dominio del Cliente. No obstante, Google puede supervisar los correos electrónicos enviados a dichos alias para identificar posibles usos inadecuados de los Servicios.

3.8. Solicitud de Cuentas de Usuario Final adicionales durante el Plazo de Pedido. El Cliente puede solicitar Cuentas de Usuario Final adicionales durante un plazo de Pedido. Para ello, puede utilizar un Formulario de Pedido o Pedido de Revendedor adicional o enviar la solicitud a través de la Consola de Administración. Estas Cuentas de Usuario Final adicionales tendrán una duración prorrateada que finalizará el último día del Plazo de Pedido aplicable.

4. Suspensión

4.1. Infracciones de la PUA. Si Google descubre que el uso de los Servicios por parte del Cliente o de cualquier Usuario Final infringe la PUA, se lo notificará al Cliente y le solicitará que subsane la infracción. Si el Cliente no ha subsanado la infracción 24 horas después de que Google se lo solicite, Google puede Suspender parte o la totalidad del uso que hace el Cliente de los Servicios hasta que se subsane la infracción. La Suspensión de los Servicios puede conllevar la eliminación o retirada del contenido que infringe la PUA.

4.2. Otras causas de Suspensión. Sin perjuicio de lo estipulado en la Sección 4.1 (Infracciones de la PUA), Google puede Suspender inmediatamente parte o la totalidad del uso de los Servicios por parte del Cliente (incluido el uso de la Cuenta asociada) si a) Google tiene motivos razonables para creer que el uso de los Servicios por parte del Cliente o de cualquier Usuario Final puede afectar negativamente a los Servicios, al uso de los Servicios por parte de otros Clientes o de sus Usuarios Finales, o a la red o los servidores de Google utilizados para proporcionar los Servicios; b) existe la sospecha de que un tercero no autorizado tiene acceso a los Servicios; c) Google tiene motivos razonables para considerar necesario aplicar la Suspensión para cumplir cualquier ley o normativa aplicable; o d) el Cliente infringe la Sección 3.3 (Restricciones) o los Términos Específicos de los Servicios. Google anulará cualquier Suspensión cuando las circunstancias que la han originado se hayan resuelto. A solicitud del Cliente, Google notificará al Cliente el motivo de la Suspensión tan pronto como sea razonablemente posible, a menos que lo prohíba la legislación aplicable.

5. Derechos de Propiedad Intelectual, protección de los Datos del Cliente, comentarios y uso de los Recursos de Marca en los Servicios

5.1. Derechos de Propiedad Intelectual. Salvo que se indique expresamente lo contrario en el presente Acuerdo, este no concede a ninguna de las partes ningún derecho, implícito o no, sobre el contenido o sobre cualquier aspecto de la propiedad intelectual de la otra parte. Conforme a lo acordado entre las partes, el Cliente es el titular de todos los Derechos de Propiedad Intelectual correspondientes a los Datos del Cliente y Google es el titular de todos los Derechos de Propiedad Intelectual correspondientes a los Servicios.

5.2. Protección de los Datos del Cliente. Google solo accederá a los Datos del Cliente y los utilizará para prestarle los Servicios, proporcionarle Servicios de Asistencia Técnica o tomar cualquier otra medida indicada por el Cliente. Sin limitar el carácter general de la oración anterior, Google no tratará los Datos del Cliente con fines Publicitarios ni incluirá Publicidad en los Servicios. Google ha implementado y mantendrá medidas administrativas, físicas y técnicas para proteger los Datos del Cliente, tal y como se describe con más detalle en la Adenda de Tratamiento de Datos.

5.3. Comentarios del Cliente. Siempre que quiera, el Cliente podrá proporcionar a Google Comentarios o sugerencias sobre los Servicios (“Comentarios”). Si el Cliente proporciona Comentarios, Google y sus Entidades Asociadas podrán utilizarlos sin restricciones y sin obligación alguna ante el Cliente.

5.4. Uso de los Recursos de Marca en los Servicios. Google mostrará en los Servicios solamente los Recursos de Marca del Cliente que este último autorice al haberlos subido a los Servicios. Google mostrará esos Recursos de Marca del Cliente dentro de las áreas designadas de las páginas web que muestran los Servicios al Cliente o a sus Usuarios Finales. El Cliente podrá indicar los detalles de este uso en la Consola de Administración. Google también puede mostrar Recursos de Marca de Google en esas páginas web para indicar que los Servicios los proporciona Google.

6. Servicios de Asistencia Técnica

Durante el Período de Vigencia, Google proporcionará Servicios de Asistencia Técnica (TSS) al Cliente de conformidad con las Directrices de TSS, y el Cliente deberá abonar las Tasas que correspondan. Algunos niveles de TSS están sujetos a una Tasa mínima periódica, tal y como se describe en la página https://workspace.google.com/terms/tssg.html. Si el Cliente reduce su nivel de TSS en un momento dado de un mes, Google puede seguir proporcionándole el mismo nivel de TSS y aplicarle la misma Tasa que tenía antes del cambio durante lo que reste de mes.

7. Información Confidencial

7.1. Obligaciones. El destinatario utilizará la Información Confidencial de la parte divulgadora solo para ejercer los derechos del destinatario y cumplir sus obligaciones en virtud del Acuerdo, y tomará todas las precauciones razonables para impedir la divulgación de la Información Confidencial de la parte divulgadora. El destinatario solo podrá divulgar Información Confidencial a Entidades Asociadas, empleados, representantes o asesores profesionales (“Delegados”) que necesiten conocerla y que hayan acordado por escrito mantener su confidencialidad (o en el caso de los asesores profesionales, que estén obligados a ello por otros motivos). El destinatario se asegurará de que sus Delegados usen la Información Confidencial recibida solo para ejercer los derechos oportunos y cumplir las obligaciones establecidas en este Acuerdo.

7.2. Divulgación necesaria. Sin perjuicio de cualquier disposición de este Acuerdo que establezca lo contrario, el destinatario o sus Entidades Asociadas también pueden divulgar Información Confidencial si así se lo exige un Proceso Legal aplicable, y siempre y cuando el destinatario o sus Entidades Asociadas tomen medidas comercialmente razonables para (a) notificar inmediatamente a la otra parte antes de divulgar la Información Confidencial y (b) satisfacer cualquier petición razonable que les haga la otra parte para evitar la divulgación. Sin perjuicio de lo expuesto anteriormente, las subsecciones (a) y (b) mencionadas arriba no se aplicarán si el destinatario determina que su cumplimiento puede (i) dar lugar a una infracción de un Proceso Legal; (ii) obstruir una investigación gubernamental; o (iii) provocar la muerte o daños físicos graves a una persona.

8. Período de vigencia y resolución

8.1. Período de vigencia del Acuerdo. Este Acuerdo comenzará a producir sus efectos en la Fecha de Entrada en Vigor y permanecerá vigente durante un período de cuatro (4) años desde la Fecha de Entrada en Vigor (el “Período de Vigencia”).

8.2. Renovación. En cualquier momento antes de la finalización del Período de Vigencia, las partes podrán acordar una renovación o ampliación del mismo por un período de hasta un máximo de cuatro (4) años adicionales.

8.3. Resolución impuesta por la legislación aplicable e incumplimiento de leyes. Google puede resolver el presente Acuerdo y/o cualquier Formulario de Pedido de forma inmediata mediante un aviso por escrito si tiene motivos razonables para creer que (a) la prestación continuada de cualquier Servicio utilizado por el Cliente puede suponer el incumplimiento de las leyes o normativas aplicables o (b) el Cliente ha incumplido o ha ocasionado que Google incumpla cualquier Ley contra el Soborno o de Control de Exportaciones.

8.4. Efecto de la resolución o la no renovación. Si el Acuerdo se resuelve o no se renueva, todos los derechos y el acceso a los Servicios (incluido el acceso a los Datos del Cliente) se suspenderán, a menos que se indique lo contrario en el presente Acuerdo.

8.5. Derecho de no reembolso. A menos que se indique expresamente lo contrario en el presente Acuerdo, la resolución o no renovación en virtud de cualquier sección de este Acuerdo (incluida la Adenda de Tratamiento de Datos) no obligará a Google a reembolsar ninguna Tasa.

9. Publicidad

El Cliente puede declarar públicamente que es usuario de los Servicios, siempre que lo haga en cumplimiento con las Directrices de Marcas Registradas. SI el Cliente quiere usar los Recursos de Marca de Google en relación con los Servicios, deberá obtener un permiso por escrito de Google siguiendo el proceso especificado en las Directrices de Marcas Registradas. Google puede incluir el nombre o los Recursos de Marca del Cliente en una lista de clientes de Google, ya sea en sitios de Internet o en materiales promocionales. Google también puede mencionar verbalmente al Cliente como usuario de los Servicios. En virtud de la presente Sección 9 (Publicidad), ninguna de las partes necesitará el permiso de la otra para realizar una declaración pública de características sustancialmente similares a las de cualquier otra que se haya aprobado previamente. Todos los usos de Recursos de Marca de cualquier parte beneficiarán a la parte que posea los Derechos de Propiedad Intelectual sobre dichos Recursos de Marca. En virtud de la presente Sección 9 (Publicidad), cualquiera de las partes podrá revocar el derecho de la otra a utilizar los Recursos de Marca de la primera mediante un aviso por escrito y con un plazo razonable para detener el uso.

10. Manifestaciones y garantías

Cada una de las partes manifiesta y garantiza que (a) tiene plenos poderes y autoridad para celebrar el Acuerdo y (b) cumplirá todas las leyes y normativas aplicables a la prestación, la recepción o el uso de los Servicios, según corresponda.

11. Renuncia de responsabilidad

Salvo que se especifique explícitamente en el Acuerdo y en la medida en que lo permita la legislación aplicable, Google no ofrece y renuncia de forma explícita a: (a) cualquier tipo de garantía, ya sea expresa, implícita, obligatoria o de otra clase, incluidas las garantías de comerciabilidad, adecuación para un fin particular, título, no infracción o uso sin errores ni interrupciones de los Servicios; y (b) cualquier declaración sobre el contenido o la información a los que se pueda acceder a través de los Servicios.

12. Limitación de responsabilidades

12.1. Limitación de responsabilidades indirectas. En la medida permitida por la legislación aplicable y de conformidad con la Sección 12.3 (Responsabilidades ilimitadas), ninguna de las partes tendrá ninguna Responsabilidad derivada del Acuerdo ni relacionada con él por cualquier (a) daño indirecto, derivado, especial, fortuito o punitivo, ni (b) pérdida de ingresos, beneficios, ahorros o fondos de comercio, ni cualquier otra forma de lucro cesante.

12.2. Limitación del importe por responsabilidades. La Responsabilidad agregada total de cada parte por los daños derivados del Acuerdo o relacionados con él se limita a: (a) 1.000 euros o (b) las Tasas pagadas por el Cliente durante el período de los 12 meses anteriores al suceso que da lugar a la Responsabilidad, el importe que sea mayor.

12.3. Responsabilidades ilimitadas. Nada de lo establecido en el presente Acuerdo excluye o limita la Responsabilidad de cualquiera de las partes en relación con:

(a) Su incursión en actividades fraudulentas o aportación de información falsa.

(b) Sus obligaciones en virtud de la Sección 13 (Indemnización).

(c) Su infracción de los Derechos de Propiedad Intelectual de la otra parte.

(d) Sus obligaciones de pago (si las hubiera) en virtud del Acuerdo.

(e) Su dolo o negligencia grave; o.

(f) Cuestiones de responsabilidad que no se pueden excluir o limitar de conformidad con la ley aplicable.

13. Indemnización

13.1. Obligaciones de indemnización de Google. Google defenderá al Cliente y a las Entidades Asociadas de este que usen los Servicios con la Cuenta del Cliente y los mantendrá indemnes por Responsabilidades Indemnizadas en cualquier Proceso Legal Iniciado por Terceros en la medida en que se alegue que cualquier Servicio o Recurso de Marca de Google infringe los Derechos de Propiedad Intelectual del tercero en cuestión.

13.2. Obligaciones de indemnización del Cliente. El Cliente defenderá a Google y a las Entidades Asociadas de este que presten los Servicios y los mantendrá indemnes por Responsabilidades Indemnizadas en cualquier Proceso Legal Iniciado por Terceros en la medida en que dicho Proceso surja de (a) cualquier Dato del Cliente o Recurso de Marca del Cliente, o (b) un uso de los Servicios por parte del Cliente o un Usuario Final que suponga unincumplimiento de la PUA o de la Sección 3.3 (Restricciones).

13.3. Exclusiones. Las Secciones 13.1 (Obligaciones de indemnización de Google) y 13.2 (Obligaciones de indemnización del Cliente) no se aplicarán en la medida en que la alegación surja de (a) el incumplimiento del Acuerdo por parte de la parte indemnizada, o (b) una combinación de tecnologías o Recursos de Marca de la parte indemnizadora con materiales no proporcionados por la parte indemnizadora en virtud del Acuerdo, a menos que el Acuerdo exija tal combinación.

13.4. Condiciones. Las Secciones 13.1 (Obligaciones de Indemnización de Google) y 13.2 (Obligaciones de Indemnización del Cliente) dependen de lo siguiente:

(a) Cualquier parte indemnizada debe notificar de inmediato y por escrito a la parte indemnizadora las alegaciones que hayan precedido al Proceso Legal Iniciado por Terceros y colaborar razonablemente con ella para resolver las alegaciones y el proceso en sí. Si la defensa de ese Proceso Legal se ve perjudicada por el incumplimiento de esta Sección 13.4(a), las obligaciones de la parte indemnizadora expuestas en la Sección 13.1 (Obligaciones de Indemnización de Google) o en la Sección 13.2 (Obligaciones de Indemnización del Cliente), según proceda, se reducirán de forma proporcional al perjuicio.

(b) Cualquier parte indemnizada deberá dar el control absoluto de la parte indemnizada del Proceso Legal Iniciado por Terceros a la parte indemnizadora con las siguientes condiciones: (i) la parte indemnizada puede nombrar a un abogado independiente por su propia cuenta; y (ii) cualquier acuerdo que exija que la parte indemnizada admita responsabilidades, pague dinero o realice cualquier acción (o se abstenga de ello) requerirá el consentimiento previo por escrito de la parte indemnizada, y dicho consentimiento no se condicionará, retendrá ni retrasará sin motivo.

13.5. Soluciones:

(a) Si Google considera de forma razonable que los Servicios pueden infringir Derechos de Propiedad Intelectual de terceros, Google podrá, a su entera discreción: (i) obtener los derechos necesarios para permitir que el Cliente siga utilizando los Servicios; (ii) modificar los Servicios para que no infrinjan tales derechos sin que se reduzcan de forma material su funcionalidad; o (iii) sustituir los Servicios por una alternativa funcionalmente equivalente que no infrinja tales derechos.

(b) Si Google considera que las soluciones especificadas en la Sección 13.5(a) no son comercialmente razonables, puede Suspender o dar por finalizado el uso por parte del Cliente de los Servicios afectados.

13.6. Obligaciones y derechos exclusivos. Sin que se vea afectado cualquier otro derecho de resolución de ninguna de las dos partes, la Sección 13 (Indemnización) supone la única solución con la que cuentan dichas partes en virtud del Acuerdo en lo que respecta a las alegaciones de terceros relacionadas con cualquier infracción de los Derechos de Propiedad Intelectual que se exponen en dicha Sección.

14. Clientes de Reventa

Esta Sección 14 (Clientes de Reventa) solo es aplicable si el Cliente solicita los Servicios a un Revendedor en virtud de un Acuerdo de Revendedor (en este caso, los Servicios serían “Servicios de Reventa”).

14.1. Términos aplicables. A efectos de los Servicios de Reventa:

(a) La Sección 2 (Términos de pago) del presente Acuerdo no se aplicará.

(b) Las Tasas del Revendedor (si las hubiera) se pagarán directamente al Revendedor, y los precios de los Servicios de Reventa se determinarán exclusivamente entre el Revendedor y el Cliente.

(c) El Cliente recibirá los créditos del Acuerdo de Nivel de Servicio correspondientes del Revendedor.

(d) La Sección 12.2 (Limitación del importe por responsabilidades) se sustituye por la siguiente: “La Responsabilidad conjunta total de cada parte por los daños derivados del Acuerdo o relacionados con él se limita a: (a) 1.000 Euros o (b) las Tasas del Revendedor pagadas por el Cliente por los Servicios de Reventa durante el período de los 12 meses anteriores al suceso que da lugar a la Responsabilidad, el importe que sea mayor”.

(e) Las renovaciones de los Servicios y/o los Pedidos de Revendedor se acordarán entre el Cliente y el Revendedor.

(f) El término “Plazo de Pedido”, tal y como se usa en el Acuerdo, hace referencia al período que comienza en la Fecha de Inicio de los Servicios o la fecha de renovación (según corresponda) de los Servicios de Reventa y finaliza en el momento indicado en el Pedido de Revendedor en curso, a menos que se cancele con arreglo al Acuerdo; y.

(g) El término “Fecha de Inicio de los Servicios”, según se usa en el Acuerdo, hace referencia a la fecha de inicio indicada en el Pedido de Revendedor o, si no se indica, a la fecha en la que Google pone los Servicios de Reventa a disposición del Cliente.

14.2. Compartir Información Confidencial. Google podrá compartir Información Confidencial del Cliente con el Revendedor como Delegado de conformidad con la Sección 7.1 (Obligaciones).

14.3. Revendedor como Administrador. A discreción del Cliente, el Revendedor podrá acceder a la Cuenta del Cliente o a las Cuentas de Usuario Final. En lo que respecta a Google y al Cliente, el Cliente es el único responsable de: (a) cualquier acceso del Revendedor a la Cuenta del Cliente o a las Cuentas de Usuario Final; y (b) definir en el Acuerdo de Revendedor los derechos u obligaciones entre el Revendedor y el Cliente en lo referente a los Servicios de Reventa.

14.4. Asistencia técnica del Revendedor. El Cliente reconoce y acepta que el Revendedor podrá revelar a Google los datos personales de los Usuarios Finales que sean razonablemente necesarios para que el Revendedor pueda procesar cualquier incidencia de asistencia que el Cliente derive al Revendedor o a través del Revendedor.

15. Varios

15.1. Notificaciones. Google enviará las notificaciones oportunas relativas al Acuerdo al Cliente por correo electrónico a la Dirección de Correo Electrónico de Notificaciones. Con arreglo al Acuerdo, el Cliente enviará las notificaciones oportunos a Google por correo electrónico a la dirección legal-notices@google.com. El aviso se considerará recibido cuando se haya enviado el correo electrónico. El Cliente es responsable de mantener actualizada su Dirección de Correo Electrónico de Notificaciones durante todo el Período de Vigencia.

15.2. Correos electrónicos. En virtud del Acuerdo, las partes pueden usar correos electrónicos para cumplir los requisitos de aprobación y consentimiento por escrito.

15.3. Cesión. Ninguna de las partes podrá ceder parte ni la totalidad del Convenio sin el consentimiento por escrito de la otra, excepto si el cesionario es una Entidad Asociada a la parte en cuestión, y siempre y cuando: (a) el cesionario haya aceptado por escrito obligarse a los términos del Convenio; y (b) la parte cedente haya notificado la cesión a la otra parte. Cualquier otro intento de cesión se considerará nulo de pleno derecho. Si el Cliente cede el Convenio a una Entidad Asociada de otra jurisdicción y, como consecuencia, se produce un cambio en la entidad contratante de Google, tal y como se define en https://cloud.google.com/terms/google-entity, el Convenio se entenderá cedido automáticamente a dicha nueva entidad contratante de Google.

15.4. Cambio de Control. Si una parte experimenta un cambio de Control que no sea una reestructuración o reorganización interna (por ejemplo, como consecuencia de una compra o venta de acciones, una fusión u otro tipo de operación mercantil), esa parte avisará por escrito a la otra en el plazo de 30 días tras el cambio de Control. Si la organización del Cliente deja de ser un centro educativo sin ánimo de lucro o una entidad sin ánimo de lucro de otro tipo, según se establece en la Sección 3.1 (Usos permitidos), el Cliente se lo notificará inmediatamente a Google.

15.5. Fuerza mayor. Ninguna de las partes será responsable del incumplimiento ni de la demora en el cumplimiento de sus obligaciones causado por circunstancias que estén razonablemente fuera de su control, como por ejemplo debido a hechos fortuitos, desastres naturales, terrorismo, disturbios o guerras.

15.6. Subcontratación. Google podrá subcontratar obligaciones en virtud del Acuerdo, si bien seguirá siendo responsable ante el Cliente de las obligaciones subcontratadas.

15.7. Inexistencia de representación. Este Acuerdo no constituye ninguna relación de agencia, representación, asociación comercial ni asociación temporal (joint venture) entre las partes.

15.8. Inexistencia de renuncia. El hecho de que cualquiera de las partes no ejerza alguno de los derechos que figuran en este Acuerdo, o se retrase en hacerlo, no podrá entenderse como una renuncia a tal derecho.

15.9. Independencia de las cláusulas. Si alguna de las partes de este Acuerdo deja de ser válida, legal o aplicable, se mantendrá vigente el resto del Acuerdo.

15.10. Inexistencia de beneficiarios terceros. Este Acuerdo no confiere ningún beneficio a ningún tercero a menos que se indique expresamente lo contrario. A modo de aclaración, las Entidades Asociadas de Google son beneficiarios terceros de las Secciones 5.3 (Comentarios del Cliente), 7 (Información Confidencial) y, si prestan los Servicios, 13.2 (Obligaciones de indemnización del Cliente).

15.11. Compensación equitativa. En ningún caso, lo establecido en este Acuerdo limitará la capacidad de ninguna de las partes de procurarse compensación equitativa.

15.12. Modificaciones. Excepto en los casos previstos en la Sección 1.5(b) (Modificaciones: Términos de las URL [con la excepción de la Adenda de Tratamiento de Datos]) o 1.5 (c) (Modificaciones: Adenda de Tratamiento de Datos), cualquier modificación a este Acuerdo que se realice después de la Fecha de Entrada en Vigor deberá hacerse por escrito, estar firmada por las dos partes e indicar expresamente que se trata de una adenda al presente Acuerdo. A modo de aclaración, la actualización por parte de Google de cualquier URL incluida en este Acuerdo no se considerará una adenda al Acuerdo ni una modificación de sus términos.

15.13. Vigencia. Las Secciones siguientes se mantendrán vigentes tras el vencimiento o la resolución de este Acuerdo: Sección 2 (Términos de pago), Sección 5 (Derechos de Propiedad Intelectual, protección de los Datos del Cliente, comentarios y uso de los Recursos de Marca en los Servicios), Sección 7 (Información Confidencial), Sección 8.6 (Efecto de la resolución o la no renovación), Sección 11 (Renuncia de responsabilidad), Sección 12 (Limitación de responsabilidades), Sección 13 (Indemnización), Sección 14.1 (Términos aplicables), Sección 14.2 (Compartir Información Confidencial) y Sección 15 (Varios).

15.14. Totalidad del Acuerdo. Este Acuerdo establece todos los términos acordados entre las partes, y anula y sustituye a todos los contratos anteriores celebrados entre ellas en relación con el mismo objeto, incluidas las versiones anteriores del presente Acuerdo. Al celebrar este Acuerdo, ninguna de las partes se ha amparado en declaraciones, representaciones ni garantías (ya sea por negligencia o inocencia) que no estén establecidas expresamente en este Acuerdo, ni tendrá ningún derecho ni solución en virtud de estas.

15.15. Términos en conflicto. Si hay algún conflicto entre los documentos que conforman este Acuerdo, el orden de prevalencia de los documentos, en orden descendente, será la siguiente: el Formulario de Pedido, la Adenda de Tratamiento de Datos, el resto del Acuerdo (con la excepción de los Términos de las URL) y los Términos de las URL (con la excepción de la Adenda de Tratamiento de Datos).

15.16. Encabezados. Los títulos y subtítulos que se utilizan en el Acuerdo sirven solo de referencia y no tendrán ningún efecto en la interpretación del Acuerdo.

15.17. Idiomas en conflicto. Si este Acuerdo se traduce del inglés a cualquier otro idioma y se da alguna discrepancia entre la versión en inglés y el texto traducido, prevalecerá la versión en inglés salvo que se indique expresamente lo contrario en la versión traducida.

15.18. Renuncia del CECE:

(a) A efectos de la presente Sección 15.18 (Renuncia del CECE), los términos “microempresa”, “pequeña empresa” y “organización sin ánimo de lucro” tendrán los significados establecidos en el CECE. “CECE” hace referencia al Código Europeo de las Comunicaciones Electrónicas establecido por la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo del 11 de diciembre del 2018.

(b) Las partes reconocen que en virtud del CECE: (i) algunos derechos se amplían a las microempresas, las pequeñas empresas y las organizaciones sin ánimo de lucro y (ii) los Clientes pertenecientes a las categorías mencionadas en (i) pueden aceptar explícitamente renunciar a algunos de ellos.

(c) Si un Cliente es una microempresa, una pequeña empresa o una organización sin ánimo de lucro, acepta renunciar a los derechos que pudiera tener en virtud de los siguientes artículos:

(i) Artículo 102(1) del CECE, que permite al Cliente recibir información precontractual.

(ii) Artículo 102(3) del CECE, que permite al Cliente recibir un resumen del contrato.

(iii) Artículo 105(1) del CECE, que limita la duración máxima del contrato de determinados servicios a 24 meses.

(iv) Artículo 107(1) del CECE, que amplía otros de sus derechos (incluidos los Artículos 102(3) y 105(1) descritos anteriormente) a todos los servicios prestados en virtud del mismo contrato de Google Workspace.

15.19. Definiciones:

— “Cuenta” hace referencia a las credenciales de la cuenta de Google del Cliente y al acceso correspondiente a los Servicios especificados en este Acuerdo.

— “Productos Adicionales” hace referencia a productos, servicios y aplicaciones que no forman parte de los Servicios, pero que se pueden utilizar con ellos.

— “Términos de Productos Adicionales” hace referencia a los términos vigentes en cada momento especificados en https://workspace.google.com/intl/es/terms/additional_services.html

— “Cuenta de Administrador” hace referencia a la Cuenta de Usuario Final que el Cliente (o Revendedor, si procede) puede usar para administrar los Servicios.

— “Consola de Administración” hace referencia a las herramientas y consolas online que Google pone a disposición del Cliente para administrar los Servicios.

— “Administradores” hace referencia al personal designado por el Cliente para administrar los Servicios ofrecidos a los Usuarios Finales en su nombre, y que tiene acceso a los Datos del Cliente y a las Cuentas de Usuario Final. Los Administradores pueden acceder, controlar, utilizar, modificar, retener o divulgar los datos disponibles para los Usuarios Finales asociados con sus Cuentas de Usuario Final.

— “Publicidad” hace referencia a los anuncios online que Google muestra a los Usuarios Finales, excepto aquellos que el Cliente expresamente elija que Google o sus Entidades Asociadas muestren en relación con los Servicios y que especifique en un contrato aparte (por ejemplo, los anuncios de Google AdSense que el Cliente publique en un sitio web que haya creado con la función “Google Sites” incluida en los Servicios).

— “Entidad Asociada” hace referencia a cualquier entidad con Control directo o indirecto, que es Controlada o que está bajo Control común de una parte.

— “Cargo Anual” hace referencia al importe que hay que pagar anualmente por los Servicios y que se detalla en el Formulario de Pedido.

— “Leyes contra el Soborno” hace referencia a todas las leyes contra el soborno públicas y comerciales vigentes, incluidas la Ley Estadounidense sobre Prácticas Corruptas en el Extranjero de 1977 y la Ley Antisobornos del Reino Unido del 2010, que prohíben ofrecer a modo de soborno, ya sea directa o indirectamente, artículos de valor a cualquier persona, incluidos los funcionarios públicos, para obtener o mantener negocios o conseguir cualquier otra ventaja comercial indebida. Los funcionarios públicos incluyen a los empleados de la Administración pública, candidatos a puestos públicos, miembros de familias reales y empleados de instituciones públicas o controladas por el Gobierno, organizaciones internacionales públicas y partidos políticos.

— “PUA” hace referencia a la Política de Uso Aceptable de los Servicios disponible en https://workspace.google.com/intl/es/terms/use_policy.html.

— “Contrato de Colaboración Empresarial” hace referencia a una adenda al Contrato que regula el tratamiento de información médica protegida (según se define en la ley HIPAA).

— “Fecha de Inicio de Facturación” hace referencia a la fecha en la que Google empieza a aplicar Tasas por los Servicios (si corresponde).

— “Recursos de Marca” hace referencia a los nombres comerciales, marcas comerciales, marcas de servicio, logotipos, nombres de dominio y otros recursos de marca distintivos de cada una de las partes, protegidos por sus respectivos titulares cuando corresponde.

— “Información Confidencial” hace referencia a la información que una parte (o una Entidad Asociada a una parte) revela a la otra parte en virtud del presente Acuerdo, y que se define como confidencial o se consideraría confidencial en circunstancias normales. No se incluye en esta definición la información desarrollada de forma independiente por el destinatario, concedida legalmente a una parte por un tercero sin obligaciones de confidencialidad o que se haga pública sin que sea responsabilidad del destinatario. De conformidad con la frase anterior, los Datos del Cliente se consideran Información Confidencial del Cliente.

— “Control” hace referencia al control de más del 50 por ciento de los derechos de voto o de las participaciones de una parte.

— “Servicios Principales” hace referencia a los Servicios Principales disponibles en ese momento y que se describen en el Resumen de Servicios. Estos Servicios no incluyen las Ofertas de Terceros.

— “Datos del Cliente” hace referencia a los datos presentados, almacenados, enviados o recibidos por el Cliente o sus Usuarios Finales a través de los Servicios.

— “Adenda de Tratamiento de Datos” hace referencia a los términos más actuales vigentes en cada momento en https://workspace.google.com/terms/dpa_terms.html, que describen las obligaciones de protección y tratamiento con respecto a los Datos del Cliente.

— “Dirección de Correo Electrónico de Dominio” hace referencia a la dirección de correo electrónico del Nombre de Dominio que se usará en relación con los Servicios.

— “Nombre de Dominio” hace referencia al dominio especificado en el Formulario de Pedido o en el Pedido de Revendedor y que se usará en relación con los Servicios.

— “Usuarios Finales” hace referencia a las personas a las que el Cliente permite utilizar los Servicios y que se rigen por lo que establece un Administrador. A modo de aclaración, los Usuarios Finales pueden incluir a los empleados de las Entidades Asociadas del Cliente y a otros terceros.

— “Cuenta de Usuario Final” hace referencia a una cuenta alojada por Google y configurada por el Cliente a través de los Servicios para que un Usuario Final utilice los Servicios.

— “Leyes de Control de Exportaciones” hace referencia a todas las leyes y normativas de control de exportaciones y de reexportaciones aplicables, incluidas las siguientes: (a) los reglamentos de administración de exportaciones (“EAR”) del Departamento de Comercio de Estados Unidos; (b) las sanciones económicas y comerciales de la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos; y (c) el reglamento sobre el tráfico internacional de armas (“ITAR”) del Departamento de Estado de Estados Unidos.

— “Tasas” hace referencia a: (a) el producto resultante de multiplicar la cantidad de Servicios que ha utilizado o pedido el Cliente por los Precios (si corresponde) o (b) las tasas de TSS correspondientes más los Impuestos aplicables.

— “Centro de Ayuda” hace referencia al Centro de Ayuda de Google, al que se accede a través de https://www.google.com/support.

— “Actividades de Alto Riesgo” hace referencia a las actividades de las que el uso o fallo de los Servicios se podría suponer razonablemente que pudieran comportar la muerte, lesiones personales o daños materiales o medioambientales; por ejemplo, actividades relacionadas con la construcción o el control de instalaciones nucleares, el control del tráfico aéreo, los sistemas de soporte vital o las armas.

— “HIPAA” hace referencia a la ley de transferencia y responsabilidad de los seguros médicos de Estados Unidos (Health Insurance Portability and Accountability Act) de 1996, teniendo en cuenta sus posibles adendas ocasionales y las disposiciones publicadas en virtud de la misma.

— “Incluidos/as” hace referencia a una lista no exhaustiva de elementos a título informativo.

— “Responsabilidades Indemnizadas” hace referencia a: (i) los importes de liquidación aprobados por la parte indemnizadora; y (ii) los daños y costes que se deben abonar a la parte indemnizada según la sentencia de un tribunal de la jurisdicción competente.

— “Derechos de Propiedad Intelectual” hace referencia a todos los derechos de patente, de autor, de marca comercial, de secretos comerciales (si los hay), de diseño, de bases de datos, de nombres de dominio, morales y cualesquiera otros derechos de propiedad intelectual (con registro o sin él) en todo el mundo.

— “Proceso Legal” hace referencia a una solicitud de divulgación de información requerida por ley, reglamento gubernamental, orden judicial, citación, garantía o cualquier otra autoridad legal, procedimiento legal o proceso similar válidos.

— “Responsabilidad” hace referencia a cualquier responsabilidad, ya sea por incumplimiento de contrato, por agravio (incluida la negligencia) o de otra naturaleza, independientemente de si estaba prevista o no por las partes.

— “Cargo Mensual” hace referencia al importe que hay que pagar mensualmente por los Servicios y que se detalla en el Formulario de Pedido.

— “Dirección de Correo Electrónico de Notificación” hace referencia a las direcciones de correo designadas por el Cliente en la Consola de Administración.

— “Formulario de Pedido” hace referencia a la página o páginas de pedido online, o a cualquier otro documento de pedido que Google considere aceptable según este Acuerdo, emitidos por Google y aceptados o formalizados por el Cliente, donde se especifican los Servicios que el Cliente solicita a Google en virtud del Acuerdo.

— “Plazo de Pedido” hace referencia al período que comienza en la Fecha de Inicio de los Servicios y finaliza en el momento indicado en el Formulario de Pedido, a menos que se cancele con arreglo a este Acuerdo. De no proporcionarse un Formulario de Pedido de los Servicios, el Plazo de Pedido inicial comenzará en la Fecha de Entrada en Vigor y finalizará al cabo de 12 meses.

— “Servicios Adicionales” hace referencia a los Servicios Adicionales disponibles en ese momento y que se describen en el Resumen de Servicios. Estos Servicios no incluyen las Ofertas de Terceros.

— “Precios” hace referencia a los precios aplicables a los Servicios vigentes en cada momento según se indica en https://workspace.google.com/intl/es/pricing.html, salvo que se acuerden otros en una adenda o un Formulario de Pedido. Los Precios no incluyen Impuestos.

— “Revendedor” hace referencia, si corresponde, a un revendedor externo no asociado a ninguna de las partes que tiene autorización para vender o suministrar los Servicios al Cliente.

— “Acuerdo de Revendedor” hace referencia, si corresponde, al contrato que suscriben aparte el Cliente y el Revendedor en relación con los Servicios. El Acuerdo de Revendedor es independiente y no entra dentro del marco de este Acuerdo.

— “Tasas del Revendedor” hace referencia a las tasas (si las hubiera) aplicables a los Servicios utilizados o solicitados por el Cliente según lo acordado en un Acuerdo de Revendedor, más los Impuestos correspondientes.

— “Pedido de Revendedor” hace referencia, si corresponde, a un formulario de pedido (incluidos los de renovación) emitido por un Revendedor y formalizado por el Cliente, donde el Revendedor especifica los Servicios que el Cliente le solicita.

— “Términos Específicos de los Servicios” hace referencia a los términos específicos de uno o varios Servicios vigentes en cada momento en https://workspace.google.com/intl/es/terms/service-terms

— “Servicios” hace referencia a los Servicios Principales y Servicios Adicionales incluidos en la edición de Google Workspace for Education vigente en ese momento.

— “Fecha de Inicio de los Servicios” hace referencia a la fecha de inicio indicada en el Formulario de Pedido o, si no se indica, a la fecha en que Google pone los Servicios a disposición del Cliente.

— “Resumen de Servicios” hace referencia a la descripción vigente en cada momento disponible en https://workspace.google.com/intl/es/terms/user_features.html.

— “Acuerdo de Nivel de Servicio” hace referencia a los Acuerdos de Nivel de Servicio vigentes en cada momento en https://workspace.google.com/intl/es/terms/sla.html

— “Suspender” o “Suspensión” hacen referencia a la inhabilitación del acceso a los Servicios o sus componentes, o de su uso.

— “Impuestos” hace referencia a todos los impuestos gubernamentales, excepto los aplicables a los ingresos netos, el patrimonio neto, el valor de los activos, el valor de las propiedades o el empleo de Google.

— “Período de Vigencia” tiene el significado indicado en la Sección 8 (Período de Vigencia y resolución) de este Acuerdo.

— “Proceso Legal Iniciado por Terceros” hace referencia a cualquier procedimiento legal formal interpuesto por una entidad no asociada a ninguna de las partes ante un tribunal gubernamental o de otro tipo (incluidos los procedimientos de apelación).

— “Ofertas de Terceros” hace referencia a los servicios, el software, los productos y otras ofertas de terceros que no están incluidos en los Servicios.

— “Directrices de Marcas Registradas” hace referencia a las Directrices vigentes de Google que rigen el Uso de Recursos de Marca de Google por parte de Terceros, y que se detallan en http://www.google.com/permissions/guidelines.html.

— “TSS” hace referencia al servicio de asistencia técnica de Google disponible en ese momento.

— “Directrices de TSS” hace referencia a las directrices de Google que rigen los servicios de asistencia técnica vigentes en cada momento y que se detallan en https://workspace.google.com/intl/es/terms/tssg.html.

— “Términos de las URL” hace referencia, conjuntamente, a la PUA, la Adenda de Tratamiento de Datos, los Términos Específicos de los Servicios, el Acuerdo de Nivel de Servicio y las Directrices de TSS.

ANEXO III

ADENDA DE TRATAMIENTO DE DATOS

Esta Adenda de Tratamiento de Datos se incluye a efectos de referencia de la versión vigente de la misma en la Fecha de Entrada en Vigor del Convenio, pero las partes acuerdan que prevalecerá la versión más reciente de la Adenda de Tratamiento de Datos disponible en cada momento en https://workspace.google.com/terms/dpa_terms.html

1. Definiciones

Los términos en mayúsculas definidos en los Términos de Workspace for Education se aplican a la presente Adenda del Tratamiento de Datos. Además, en esta Adenda del Tratamiento de Datos, los siguientes términos definidos significan:

— “Productos Adicionales”: productos, servicios y aplicaciones que no forman parte de los Servicios pero a los cuales se puede acceder a través de la Consola de Administración, o de otra forma, para utilizar junto con los Servicios.

— “Controles de Seguridad Adicionales”: recursos de seguridad, características, funciones y/o controles que el Cliente puede utilizar a su elección y/o según lo determine, incluyendo la Consola de Administración, cifrado, registro y supervisión, gestión de identidad y acceso, escaneado de seguridad y cortafuegos.

— “Publicidad”: anuncios en línea (online) que Google muestra a los Usuarios Finales, excepto cualquier anuncio que el Cliente elija de manera expresa para que Google o una Filial de Google muestre en relación con los Servicios previstos en un contrato por separado (por ejemplo, anuncios de Google AdSense implementados por el Cliente en un sitio web creado por el Cliente que use la funcionalidad de “Google Sites” proporcionada por los Servicios).

— “Filial”: toda entidad que controle, esté controlada por una parte o se halle bajo control común con otra, entendiéndose por “control”: (a) la propiedad de al menos el cincuenta por ciento (50%) del capital social o de las participaciones efectivas de la entidad; (b) el derecho a votar o a nombrar a la mayoría de los miembros del consejo de administración u otro órgano rector de la entidad; o (c) la facultad de ejercer una influencia de control sobre la gestión o las políticas de la cualquier entidad de control, que es controlada o que está bajo el control común de una parte, donde “control” se define como (a) la propiedad de al menos el cincuenta por ciento (50 %) del capital o de los intereses financieros de la entidad; (b) el derecho a voto o a nombrar a la mayoría del consejo de administración o cualquier otro órgano de gobierno de la entidad; o (c) la facultad para ejercer una influencia de control sobre la gestión o las políticas de la entidad.

— “Límite de Responsabilidad Acordado”: cantidad máxima, monetaria o basada en pagos, a la que se limita la responsabilidad de una parte en virtud del Acuerdo aplicable.

— “Solución de Transferencia Alternativa”: solución, distinta de las Cláusulas Contractuales Tipo, que permite la transferencia lícita de datos personales a un tercer país de conformidad con la Ley Europea de Protección de Datos.

— “Fecha de Entrada en Vigor de la Adenda”: fecha en que el Cliente aceptó, o las partes acordaron de otro modo, esta Adenda del Tratamiento de Datos.

— “Servicios Auditados”: a. Aquellos Servicios Principales de Workspace indicados como incluidos en el alcance de la certificación o del informe correspondiente en https://cloud.google.com/security/compliance/services-in-scope/, siempre y cuando Google solo pueda eliminar un Servicio Principal de Workspace de dicha URL discontinuando dicho Servicio de acuerdo con el Acuerdo aplicable; y b. todos los demás Servicios, a menos que el Resumen de Servicios de Workspace o el Resumen de Servicios de Productos Complementarios indique lo contrario o las partes acuerden expresamente lo contrario por escrito.

— “Acuerdo de Producto Complementario”: Acuerdo de Identidad de Cloud u otro acuerdo bajo el cual Google se compromete a proporcionar servicios de identidad como tales al Cliente; Acuerdo de Contratación u otro acuerdo que incorpore esta Adenda del Tratamiento de Datos por referencia o que establezca que se aplicará si es aceptado por el Cliente.

— “Resumen de Servicios de Productos Complementarios”: descripción vigente en ese momento de los servicios proporcionados en virtud de un Acuerdo de Productos Complementarios, según lo establecido en el Acuerdo aplicable.

— “Datos del Cliente”: datos remitidos, almacenados, enviados o recibidos a través de los Servicios por el Cliente o los Usuarios Finales.

— “Datos Personales del Cliente”: datos personales contenidos en los Datos del Cliente.

— “Incidente de Datos”: cualquier violación de la seguridad de Google que resulte en la destrucción, pérdida, alteración, divulgación no autorizada de Datos Personales del Cliente, o acceso a los mismos, de forma accidental o ilegal en sistemas administrados, o controlados de otro modo, por Google.

— “EEE”: el Espacio Económico Europeo.

— “Fecha de Activación Completa” se refiere a: a) si esta Adenda del Tratamiento de Datos se incorpora automáticamente al Acuerdo aplicable, la Fecha de Entrada en Vigor de la Adenda; o b) si el Cliente aceptó o las partes acordaron de otro modo esta Adenda del Tratamiento de Datos, el octavo día después de la Fecha de Entrada en Vigor de la Adenda.

— “Ley Europea de Protección de Datos” significa el RGPD.

— “Legislación Europea o Nacional” significa, según corresponda: a) la ley de la UE o de un estado miembro de la UE (si el RGPD UE aplica al tratamiento de los Datos Personales del Cliente); y/o b) la ley del Reino Unido o de una parte del Reino Unido (si el RGPD UE aplica al tratamiento de los Datos Personales del Cliente).

— “RGPD” se refiere Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

— “Auditor Externo de Google” se refiere a un auditor independiente y cualificado, designado por Google, cuya identidad vigente en ese momento Google revelará al Cliente.

— “Acuerdo de Workspace” hace referencia a un Acuerdo de Workspace, un Acuerdo de Workspace para Centros Educativos, un Acuerdo marco de Google Cloud con un Anexo de Servicios de Workspace o a cualquier otro acuerdo por el que Google se comprometa a proporcionar al Cliente los servicios descritos en el Resumen de Servicios de Workspace.

— “Resumen de Servicios de Workspace” hace referencia a la descripción vigente en cada momento de los servicios de Workspace (incluidas las ediciones relacionadas), tal y como se establece en https://gsuite.google.com/terms/user_features.html (que puede ser actualizada por Google oportunamente de conformidad con el Acuerdo de Workspace).

— “Cláusulas Contractuales Tipo” o “CCT” se refiere a las cláusulas estándar de protección de datos para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de los datos, de conformidad con lo dispuesto en el artículo 46 del RGPD UE disponibles en https://gsuite.google.com/terms/mcc_terms.html, una copia de las cuales se incluye a efectos de referencia como Apéndice 3 a esta Adenda de Tratamiento de Datos.

— “Dirección de Correo Electrónico a efectos de Notificaciones” es aquella dirección de correo electrónico que el Cliente haya designado en la Consola de Administración, o en la Orden o Formulario de Pedido (según corresponda) para recibir ciertas notificaciones por parte de Google. El Cliente es el responsable de utilizar la Consola de Administración para garantizar que su Dirección de Correo Electrónico a efectos de Notificaciones se mantenga actualizada y sea válida.

— “Documentación de Seguridad” se refiere a todos los documentos e información puestos a disposición por Google en virtud de la Sección 7.5.1 (Revisiones de la Documentación de Seguridad).

— “Medidas de Seguridad” tiene el significado que se le da en la Sección 7.1.1 (Medidas de Seguridad de Google).

— “Términos Específicos del Servicio” tiene el significado indicado en el Acuerdo de Workspace o en el Acuerdo de Producto Complementario, según corresponda, o, si el Acuerdo de Workspace del Cliente no define los.

— “Términos Específicos del Servicio”, se refiere a los términos vigentes específicos de uno o más Servicios Principales de Workspace establecidos en https://gsuite.google.com/terms/service-terms/.

— “Servicios” se refiere a los siguientes servicios, según corresponda: § a. los Servicios Principales Workspace, según se describe en el Resumen de Servicios de Workspace; § b. los Otros Servicios de Workspace, según se describe en el Resumen de Servicios de Workspace; y/o § c. los servicios descritos en el Resumen de Servicios de Productos Complementarios.

— “Subencargado”: tercero autorizado como otro encargado del tratamiento de datos con arreglo a la presente Adenda del Tratamiento de Datos para tener acceso lógico y tratar Datos Personales del Cliente para proporcionar partes de los Servicios y del Servicio de Soporte Técnico.

— “Autoridad de Control” se refiere, según corresponda, a: a) una “autoridad de control”, según se define en el RGPD UE; y/o b) el “Comisionado”, según se define en el Reglamento del Reino Unido.

— “Período de Vigencia” hace referencia al período que va desde la Fecha de Entrada en Vigor de la Adenda hasta el final de la prestación de los Servicios por parte de Google en virtud del Acuerdo aplicable, incluido, si procede, cualquier período durante el que se pueda suspender la prestación de los Servicios y cualquier período posterior a la finalización durante el que Google pueda seguir prestando los Servicios con fines transitorios.

Los términos “datos personales”, “interesado”, “tratamiento”, “responsable del tratamiento” y “encargado del tratamiento”, tal como se utilizan en la presente Adenda del Tratamiento de Datos, tienen los significados que se dan en el RGPD, independientemente de que se aplique la Ley Europea de Protección de Datos o la Ley de Protección de Datos No Europea.

2. Duración

Independientemente del Período de Vigencia, la presente Adenda del Tratamiento de Datos permanecerá en vigor hasta el borrado por parte de Google de todos los Datos Personales de la Consejería tal y como se describe en la presente Adenda del Tratamiento de Datos, y quedará resuelta automáticamente cuando se produzca.

3. Ámbito de aplicación de la Ley de Protección de Datos

Aplicación de la Legislación Europea: Las partes reconocen que la Ley Europea de Protección de Datos se aplicará al tratamiento de los Datos Personales de la Consejería dado que el tratamiento se realiza en el contexto de las actividades de un establecimiento de la Consejería en el EEE o Reino Unido.

4. Tratamiento de Datos

4.1. Roles y cumplimiento normativo.

La Consejería es un responsable del tratamiento de los Datos Personales del Cliente con arreglo a la Ley Europea de Protección de Datos y Google el encargado del tratamiento. Cada parte cumplirá las obligaciones que le correspondan en virtud del artículo 28 de Reglamento Europeo de Protección de Datos con respecto al tratamiento de los Datos Personales del Cliente.

4.2. Alcance del tratamiento.

4.2.1. Instrucciones de la Consejería. La Consejería da instrucciones a Google para que trate los Datos Personales del Cliente únicamente de conformidad con la legislación aplicable: (a) para prestar los Servicios y los Servicios de Soporte Técnico; (b) tal y como se especifique adicionalmente a través del uso de los Servicios (incluida la Consola de Administración y otras funcionalidades de los Servicios) y de los Servicios de Soporte Técnico por parte del Cliente y de los Usuarios Finales; (c) según se documente por medio del Acuerdo, incluida la presente Adenda del Tratamiento de Datos; y (d) tal y como se documente en otras instrucciones proporcionadas por escrito por la Consejería, y con las condiciones y restricciones que se incorporan en este Acuerdo y con todas aquellas que sean necesarias a medida que el propio tratamiento o la normativa aplicable así lo exijan, reconocidas por Google como instrucciones constitutivas para los propósitos de la presente Adenda del Tratamiento de Datos.

4.2.2. Cumplimiento de las instrucciones por parte de Google. A partir de, como tarde, la Fecha de Activación Completa, Google cumplirá con las instrucciones descritas en la Sección 4.2.1 (Instrucciones de la Consejería) (incluidas las relativas a transferencias de datos), a menos que la Legislación Europea o Nacional a la que está sujeta Google requiera otro tratamiento de Datos Personales de la Consejería por parte de Google, en cuyo caso Google notificará a la Consejería antes de dicho tratamiento, salvo que dicha notificación estuviese prohibida por razones de interés público. Para mayor claridad, Google no tratará Datos Personales de la Consejería con fines publicitarios ni colocará Publicidad en los Servicios.

Productos Adicionales. Si Google, a su discreción, pone a disposición de la Consejería cualquier Producto Adicional de acuerdo con las Condiciones del mismo, y si la Consejería opta por instalar o utilizar dichos Productos Adicionales, los Servicios podrán permitir que estos accedan a los Datos Personales del Cliente según sea necesario para la interoperación de los Productos Adicionales con los Servicios. Para mayor claridad, la presente Adenda del Tratamiento de Datos no aplica al tratamiento de datos personales en relación con la provisión de ningún Producto Adicional instalado o utilizado por la Consejería, incluidos los datos personales transmitidos desde ese Producto Adicional o hacia el mismo. La Consejería puede usar la funcionalidad de los Servicios para activar o desactivar los Productos Adicionales, y no se requiere la utilización de los Productos Adicionales para hacer uso de los Servicios.

5. Borrado de datos

5.1. Borrado durante el Período de Vigencia. Google permitirá a la Consejería y a los Usuarios Finales eliminar los Datos de la Consejería durante el Período de Vigencia aplicable de una manera consistente con las funcionalidades de los Servicios. Si la Consejería o un Usuario Final utiliza los Servicios para eliminar cualquier Dato de la Consejería durante el Período de Vigencia y estos no pueden ser recuperados por la Consejería o por el Usuario Final (por ejemplo, de la “papelera”), este uso constituirá una instrucción a Google para que elimine los Datos de la Consejería relevantes de los sistemas de Google de conformidad con la legislación aplicable. Google cumplirá con dichas instrucciones tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, salvo que la Legislación Europea o Nacional exija su almacenamiento.

5.2. Borrado al vencimiento del Período de Vigencia. Con sujeción a lo establecido en la Sección 4.3 (Instrucción de borrado diferida), al vencimiento del Período de Vigencia, la Consejería le da instrucciones a Google de que elimine todos los Datos Personales de la Consejería (incluidas las copias existentes) de los sistemas de Google de acuerdo con la legislación aplicable. Google cumplirá con dichas instrucciones tan pronto como sea razonablemente posible y dentro de un período máximo de 180 días, salvo que la Legislación Europea o Nacional exija su almacenamiento. Sin perjuicio de lo dispuesto en la Sección 7.1 (Acceso; Rectificación; Tratamiento restringido; Portabilidad), la Consejería es responsable de exportar, antes de que expire el Período de Vigencia, los Datos de la Consejería que desee conservar.

5.3. Instrucción de borrado diferida. En la medida en que los Datos de la Consejería contemplados en las instrucciones de borrado descritas en la Sección 4.2 (Borrado al vencimiento del Período de Vigencia) se traten también, cuando el Período de Vigencia aplicable de conformidad con la Sección 4.2 expire, en relación con un Acuerdo con un Período de Vigencia continuado, dichas instrucciones de borrado solo tendrán efecto con respecto a dichos Datos de la Consejería cuando expire el Período de Vigencia continuado. Para mayor claridad, esta Adenda del Tratamiento de Datos seguirá siendo aplicable a dichos Datos de la Consejería hasta su borrado por parte de Google.

6. Seguridad de los datos

6.1. Medidas de Seguridad, controles y asistencia de Google.

6.1.1. Medidas de Seguridad de Google. Google implementará medidas técnicas y organizativas para proteger los Datos de la Consejería frente a la destrucción accidental o ilícita, pérdida, alteración o divulgación o acceso no autorizado tal y como se describe en el Apéndice 2 (las “Medidas de Seguridad”). Las Medidas de Seguridad incluyen medidas para cifrar datos personales; para ayudar a garantizar la confidencialidad, integridad, disponibilidad y capacidad de recuperación actuales de los sistemas y servicios de Google; para ayudar a restablecer el acceso oportuno a los datos personales después de un incidente; y para pruebas regulares de efectividad. Google puede actualizar las Medidas de Seguridad periódicamente siempre que dichas actualizaciones no den lugar a una degradación de la seguridad general de los Servicios.

6.1.2. Cumplimiento de la Seguridad por parte del personal de Google. Google garantizará que todas las personas autorizadas para tratar los Datos Personales de la Consejería se encuentren bajo una obligación de confidencialidad.

6.1.3. Controles de Seguridad Adicionales. Google pondrá a disposición de los usuarios Controles de Seguridad Adicionales para proporcionar a la Consejería información sobre la seguridad, el acceso y el uso de los Datos de la Consejería.

6.1.4. Asistencia de seguridad por parte de Google. Google (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales de la Consejería y la información de que dispone) asistirá a la Consejería para garantizar el cumplimiento de sus obligaciones de conformidad con los Artículos 32 a 34 del RGPD, mediante lo siguiente:

a. Implementar y mantener las Medidas de Seguridad de acuerdo con la Sección 5.1.1 (Medidas de Seguridad de Google).

b. Poner a disposición de la Consejería Controles de Seguridad Adicionales de acuerdo con la Sección 5.1.3 (Controles de Seguridad Adicionales).

c. Cumplir con las condiciones de la Sección 7.2 (Incidentes de datos).

d. Proporcionar a la Consejería la Documentación de Seguridad de acuerdo con la Sección 5.5.1 (Revisiones de la Documentación de Seguridad) y la información contenida en el Acuerdo aplicable y en la presente Adenda del Tratamiento de Datos; y

e. Si los apartados a) a d) anteriores son insuficientes para que la Consejería cumpla con dichas obligaciones, a petición de la Consejería, proporcionar una asistencia adicional razonable.

6.2. Incidentes de Datos.

6.2.1. Notificación de incidentes. Google notificará a la Consejería a la mayor brevedad y sin dilación indebida en cuanto tenga conocimiento de un Incidente de Datos, y tomará rápidamente medidas razonables para minimizar el daño y proteger los Datos de la Consejería.

6.2.2. Detalles del Incidente de Datos. La notificación de Google de un Incidente de Datos describirá, en la medida de lo posible, la naturaleza del Incidente de Datos, las medidas adoptadas para mitigar los posibles riesgos y las medidas que Google recomienda a la Consejería que adopte para solucionar el Incidente de Datos.

6.2.3. Entrega de notificaciones. La notificación por parte de Google de cualquier Incidente de Datos se hará a la Dirección de Correo Electrónico a efectos de Notificación o, a discreción de Google, mediante comunicación directa (por ejemplo, llamando por teléfono o en una reunión en persona).

6.2.4. Ausencia de evaluación de los Datos de la Consejería por parte de Google. Como encargado del tratamiento, Google no tiene la obligación de evaluar los Datos de la Consejería para identificar información sujeta a algún requisito legal específico.

6.2.5. Ausencia de reconocimiento de culpa por parte de Google. La notificación o respuesta de Google a un Incidente de Datos en virtud de la presente Sección 6.2 (Incidentes de Datos) no se interpretará como un reconocimiento por parte de Google de ninguna culpa o responsabilidad con respecto al Incidente de Datos, sin perjuicio de que posteriormente se determinase la responsabilidad de Google.

6.3. Responsabilidades y evaluación de seguridad de la Consejería.

6.3.1. Responsabilidades de seguridad la Consejería. Sin perjuicio de las obligaciones de Google en virtud de las Secciones 6.1 (Medidas de Seguridad, controles y asistencia de Google) y 6.2 (Incidentes de Datos) y en cualquier otra parte del Acuerdo aplicable, la Consejería es responsable de su uso de los Servicios y de su almacenamiento de cualquier copia de los Datos la Consejería fuera de los sistemas de Google o de los de sus Subencargados, incluyendo:

a. hacer uso de los Servicios y de los Controles de Seguridad Adicionales para garantizar un nivel de seguridad apropiado al riesgo con respecto a los Datos Personales la Consejería.

b. proteger las credenciales de autenticación de cuentas, sistemas y dispositivos que utilice la Consejería para acceder a los Servicios; y

c. conservar copias de los Datos la Consejería, según proceda.

6.3.2. Evaluación de seguridad de la Consejería. La Consejería acepta, en función del uso actual y previsto de los Servicios, que los Servicios, Medidas de Seguridad, Controles de Seguridad Adicionales y los compromisos de Google en virtud de esta Sección 6 (Seguridad de los datos): a) satisfacen las necesidades de la Consejería, incluidas las relativas a las obligaciones de seguridad de la Consejería en virtud de la Ley Europea de Protección de Datos, y b) proporcionan un nivel de seguridad adecuado al riesgo con respecto a los Datos de la Consejería.

6.4. Certificaciones de cumplimiento e Informes SOC. Google mantendrá al menos lo siguiente para los Servicios Auditados con el fin de evaluar la eficacia continuada de las Medidas de Seguridad:

a. certificados para ISO 27001, ISO 27017 e ISO 27018, e

b. Informes SOC 2 y SOC 3 producidos por el Auditor Externo de Google y actualizados anualmente en base a una auditoría realizada al menos una vez cada 12 meses (los “Informes SOC”). Google puede añadir estándares en cualquier momento. Google puede sustituir un Informe SOC por una alternativa equivalente o mejorada.

6.5. Revisiones y auditorías de cumplimiento.

6.5.1. Revisiones de la Documentación de Seguridad. Google pondrá los Informes SOC a disposición la Consejería para su revisión con el fin de demostrar el cumplimiento por parte de Google de sus obligaciones en virtud de la presente Adenda de Tratamiento de Datos.

6.5.2. Derechos de auditoría la Consejería.

a. La Ley Europea de Protección de Datos aplica al tratamiento de los Datos Personales de los que la Consejería es responsable, por lo tanto, Google pondrá a disposición de esta toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable, de acuerdo con el artículo 28.1.h) del RGPD. De modo que Google permitirá que la Consejería o un auditor externo designado por la Consejería realice auditorías (incluidas inspecciones) para verificar que Google cumple las obligaciones contraídas en virtud de la presente Adenda del Tratamiento de Datos de acuerdo con la Sección 6.5.3 (Condiciones comerciales adicionales para revisiones y auditorías). Google contribuirá a tales auditorías tal y como se describe en la Sección 6.4 (Certificaciones de cumplimiento e Informes SOC) y en la presente Sección 6.5 (Revisiones y auditorías de cumplimiento).

b. Respecto de las Cláusulas Contractuales Tipo según se describe en la Sección 9.2 (Transferencias de datos), Google permitirá a la Consejería o a un auditor independiente designado por la Consejería realizar auditorías según se describe en las Cláusulas Contractuales Tipo de conformidad con la Sección 6.5.3 (Condiciones comerciales adicionales para revisiones y auditorías).

c. La Consejería podrá realizar una auditoría para verificar el cumplimiento por parte de Google de sus obligaciones en virtud de esta Adenda de Tratamiento de Datos mediante la revisión de la Documentación de Seguridad (que refleja el resultado de las auditorías realizadas por el Auditor Externo de Google).

6.5.3. Condiciones comerciales adicionales para revisiones y auditorías.

a. La Consejería debe enviar cualquier solicitud de revisión del informe SOC 2 en virtud de la Sección 6.5.1 o de auditorías en virtud de la Sección 6.5.2(a) o 6.5.2(b) al Equipo de Protección de Datos de Google Cloud, tal y como se describe en la Sección 10 (Equipo de Protección de Datos de Cloud; Registros de Tratamiento).

b. Tras la recepción por parte de Google de una solicitud en virtud de la Sección 6.5.3(a), Google y la Consejería analizarán y acordarán de antemano: i) la(s) fecha(s) razonable(s) y los controles de seguridad y confidencialidad aplicables a cualquier revisión del informe SOC 2 en virtud de la Sección 6.5.1; y ii) la fecha de inicio razonable, el alcance, la duración y los controles de seguridad y confidencialidad aplicables a cualquier auditoría en virtud de la Sección 6.5.2(a) o 6.5.2(b).

c. Google puede cobrar un importe (basado en los costes razonables de Google) por cualquier auditoría en virtud de la Sección 6.5.2(a) o 6.5.2 (b). Google proporcionará a la Consejería más detalles de cualquier importe aplicable y la base de su cálculo, antes de cualquier auditoría. La Consejería será responsable de los honorarios cobrados por cualquier auditor tercero designado por la Consejería para ejecutar dicha auditoría.

d. Google puede oponerse a cualquier auditor tercero designado por la Consejería para realizar cualquier auditoría conforme a la Sección 6.5.2(a) o 6.5.2 (b) si el auditor, según la opinión razonable de Google, no está debidamente cualificado o no es independiente, es un competidor de Google o es manifiestamente inadecuado. Cualquier objeción de este tipo por parte de Google requerirá que la Consejería designe a otro auditor o realice la auditoría él mismo.

6.5.4. Ausencia de modificación de las CCT. Nada de lo dispuesto en esta Sección 6.5 (Revisiones y auditorías de cumplimiento) varía o modifica ningún derecho u obligación la Consejería o de Google LLC en virtud de ninguna de las Cláusulas Contractuales Tipo suscritas como se describe en la Sección 9.2 (Transferencias de datos).

7. Evaluaciones de impacto y consultas

Google (teniendo en cuenta la naturaleza del tratamiento y la información de que dispone) asistirá a la Consejería para garantizar el cumplimiento de sus obligaciones de conformidad con los artículos 35 y 36 del RGPD:

a. Proporcionando Controles de Seguridad Adicionales de conformidad con la Sección 6.1.3 (Controles de Seguridad Adicionales) y con la Documentación de Seguridad con arreglo a la Sección 6.5.1 (Revisiones de la Documentación de Seguridad).

b. Proporcionando la información contenida en el Acuerdo aplicable, incluida la presente Adenda del Tratamiento de Datos; y.

c. Si los apartados a) y b) anteriores son insuficientes para que la Consejería cumpla con dichas obligaciones, proporcionando asistencia adicional razonable, previa solicitud la Consejería.

8. Acceso, Derechos del interesado

8.1. Durante el Período de Vigencia, Google permitirá a la Consejería, de forma consistente con la funcionalidad de los Servicios, acceder, rectificar y limitar el tratamiento de los Datos la Consejería, incluso a través de la función de borrado proporcionada por Google, conforme a lo descrito en la Sección 6.1 (Borrado durante el Período de Vigencia), y exportar los Datos la Consejería.

8.2. Solicitudes de los Interesados.

8.2.1. Responsabilidad la Consejería frente a las solicitudes. Durante el Período de Vigencia, si el Equipo de Protección de Datos de Google Cloud recibe una solicitud de un interesado en relación con los Datos Personales la Consejería, y la solicitud identifica a la Consejería, Google indicará al interesado que envíe su solicitud a la Consejería. La Consejería será responsable de responder a dicha solicitud, incluyendo, cuando sea necesario, el uso de la funcionalidad de los Servicios.

8.2.2. Asistencia de Google con las solicitudes de los interesados. Google (teniendo en cuenta la naturaleza del tratamiento de los Datos Personales la Consejería) ayudará a la Consejería a cumplir sus obligaciones en virtud del Capítulo III del RGPD de responder a las solicitudes de ejercicio de los derechos de los interesados:

a. Proporcionando Controles de Seguridad Adicionales de acuerdo con la Sección 6.1.3 (Controles de Seguridad Adicionales).

b. Cumpliendo con las Secciones 8.1 (Acceso; Rectificación; Limitación del Tratamiento; Portabilidad) y 8.2.1 (Responsabilidad la Consejería frente a las solicitudes); y

c. Si los apartados a) y b) anteriores son insuficientes para que la Consejería cumpla con dichas obligaciones, proporcionando asistencia adicional razonable, previa solicitud la Consejería.

9. Transferencias de datos

9.1. Almacenamiento de datos e instalaciones de tratamiento. Google podrá almacenar y tratar los Datos de la Consejería en cualquier lugar en el que Google o sus Subencargados tengan instalalciones.

9.2. Transferencias de Datos.

9.2.1. Obligaciones de Google con respecto a las transferencias. Si el almacenamiento o el tratamiento de los Datos Personales de la Consejería implica transferencias de Datos Personales de la Consejería fuera del EEE, Suiza o Reino Unido, y aplica la Ley Europea de Protección de Datos a las transferencias de dichos datos (“Datos Personales Transferidos”), Google, en relación con los Datos Personales Transferidos, garantizará que Google LLC (como importador de datos) suscriba las Cláusulas Contractuales Tipo con la Consejería (como exportador de dichos datos) a través de la Consola de Administración si así lo solicita este último, y garantizará que las transferencias se realicen de conformidad con dichas Cláusulas Contractuales Tipo.

Si Google ofrece una Solución de Transferencia Alternativa con respecto a dichos datos y la Consejería solicita expresamente por escrito a Google que las transferencias se basen en dicha Solución de Transferencia Alternativa, entonces Google asegurará que las transferencias se realicen de acuerdo con la misma, pondrá a disposición la Consejería información sobre dicha Solución de Transferencia Alternativa y las Cláusulas Contractuales Tipo entre Google LLC y la Consejería quedarán sin efecto.

9.2.2. Obligaciones de la Consejería con respecto a las transferencias. Con respecto a los Datos Personales Transferidos la Consejería:

a. Suscribirá las Cláusulas Contractuales Tipo en calidad de exportador de dichos datos, si en virtud de la Ley Europea de Protección de Datos, Google exige de forma razonable a la Consejería que lo haga, porque es capaz de garantizar que el país al que se destinan los datos presta un nivel de protección equivalente al de la UE; o

b. Utilizará una Solución de Transferencia Alternativa ofrecida por Google con respecto a dichos datos y tomará las medidas (que pueden incluir la formalización de documentos) estrictamente necesarias para dar pleno efecto a dicha solución si, de conformidad con la Ley Europea de Protección de Datos, Google exige de forma razonable a la Consejería que lo haga, conforme a lo señalado en la cláusula 9.2.1.

9.3. Información de centros de datos. La información sobre las ubicaciones de los centros de datos de Google se encuentra disponible en: https://www.google.com/about/datacenters/inside/locations/index.html (que puede ser actualizado por Google en cualquier momento).

10. Subencargados

10.1. Consentimiento para la contratación de Subencargados. El Cliente autoriza específicamente la contratación como Subencargados:

a) las entidades enumeradas a la Fecha de Entrada en Vigor de la Adenda en la URL especificada en la Sección 10.2 (Información sobre los Subencargados); y

b) todas las demás Filiales de Google ocasionalmente.

Además, sin perjuicio de lo establecido en la Sección 10.3 (Oportunidad de objetar a los cambios de los Subencargados), el Cliente autoriza de manera general la contratación como Subencargados de cualquier otro tercero (“Nuevos Subencargados Terceros”). Si el Cliente ha suscrito las Cláusulas Contractuales Tipo tal y como se describe en la Sección 9.2 (Transferencias de datos), las autorizaciones anteriores constituyen el consentimiento previo por escrito del Cliente para la subcontratación por parte de Google LLC del tratamiento de los Datos del Cliente.

10.2. Información sobre los Subencargados. La información sobre los Subencargados, incluidas sus funciones y ubicaciones, se encuentra disponible en https://workspace.google.com/intl/en/terms/subprocessors.html (según pueda ser actualizada en cualquier momento de acuerdo con la presente Adenda del Tratamiento de Datos).

Requisitos de contratación de Subencargados. Al contratar a cualquier Subencargado, Google:

a) Garantizará por medio de un contrato por escrito que:

i. El Subencargado solo accederá a, y utilizará, los Datos del Cliente en la medida en que sea necesario para cumplir las obligaciones que le hayan sido subcontratadas, y lo hará de conformidad con el Acuerdo (incluida la presente Adenda del Tratamiento de Datos) y con las Cláusulas Contractuales Tipo suscritas o con la Solución de Transferencia Alternativa adoptada por Google, tal y como se describe en la Sección 9.2 (Transferencias de datos); y

ii. Si el RGPD es aplicable al tratamiento de Datos Personales del Cliente, las obligaciones de protección de datos descritas en el artículo 28, apartado 3, del RGPD se imponen al Subencargado; y

b) Seguirá siendo totalmente responsable de todas las obligaciones subcontratadas, y todos los actos y omisiones del Subencargado.

10.3. Oportunidad de oponerse a los cambios de Subencargados:

a) Cuando se contrate a un Nuevo Subencargado Tercero durante el Período de Vigencia, Google notificará al Cliente la contratación (incluido el nombre y la ubicación del Subencargado correspondiente y las actividades que realizará), al menos 30 días antes de que el Nuevo Subencargado Tercero comience el tratamiento de cualesquiera Datos Personales del Cliente.

b) El Cliente puede, en un plazo de 90 días tras la notificación de la contratación de un Nuevo Subencargado Tercero, oponerse resolvienddo el Convenio inmediatamente después de notificarlo por escrito a Google. Este derecho de resolución es el único y exclusivo recurso del Cliente si se opone a cualquier Nuevo Subencargado Tercero.

11. Equipo de Protección de Datos de Cloud y Tratamiento de registros

11.1. Equipo de Protección de Datos de Google Cloud. El Equipo de Protección de Datos de Google Cloud puede ser contactado por los Administradores de la Consejería en https://support.google.com/a/contact/googlecloud_dpr (para lo que los Administradores deben haber iniciado sesión en su Cuenta de Administrador) y/o por la Consejería, cursando notificación a Google como se describe en el Acuerdo aplicable.

11.2. Registros del tratamiento de Google. En la medida en que el RGPD requiera que Google recopile y mantenga registros de cierta información relacionada con la Consejería, este último utilizará, cuando se le solicite, la Consola de Administración para proporcionar dicha información y mantenerla precisa y actualizada. Google podrá poner dicha información a disposición de las Autoridades de Control si así lo requiere el RGPD.

12. Responsabilidad

12.1. Límite de Responsabilidad. Si se han suscrito Cláusulas Contractuales Tipo como se describe en la Sección 9.2 (Transferencias de datos) entonces, con sujeción a lo establecido en la Sección 12.2 (Exclusiones del Límite de Responsabilidad), la responsabilidad total combinada de cualquiera de las partes y sus Filiales hacia la otra parte y sus Filiales en virtud o en relación con el Acuerdo aplicable y dichas Cláusulas Contractuales Tipo, conjuntamente, se limitarán al Límite de Responsabilidad Acordado para la parte pertinente.

12.2. Exclusiones del Límite de Responsabilidad. Nada de lo dispuesto en la Sección 12.1 (Límite de Responsabilidad) afectará al resto de los términos del Acuerdo aplicable en relación con la responsabilidad (incluida cualquier exclusión específica de cualquier limitación de responsabilidad).

12.3. Tercero beneficiario. Sin perjuicio de cualquier disposición en contrario en el Acuerdo aplicable, cuando Google LLC no sea parte en dicho Acuerdo, Google LLC será un tercero beneficiario de las Secciones 7.5 (Revisiones y Auditorías de Cumplimiento), 11.1 (Consentimiento para la Contratación de Subencargados), 9.2 (Transferencias de Datos) y 12.2 (Responsabilidad).

13. Efecto de la Adenda

Sin perjuicio de cualquier disposición en contrario en el Acuerdo aplicable, si hubiese algún conflicto o contradicción entre las condiciones de esta Adenda del Tratamiento de Datos y el resto del Acuerdo, prevalecerá esta Adenda del Tratamiento de Datos. Para mayor claridad, si la Consejería ha suscrito más de un Acuerdo, esta Adenda del Tratamiento de Datos modificará cada uno de los Acuerdos por separado.

Apéndice a este Anexo II (Adenda de Tratamiento de Datos).

1) Objeto y detalles del tratamiento de datos personales.

2) Medidas de seguridad.

Apéndice 1: Objeto y detalles del tratamiento de datos

Objeto.—La prestación por parte de Google de los Servicios y de los Servicios de Soporte Técnico a la Consejería.

Duración del tratamiento.—El Período de Vigencia más el período desde el vencimiento del Período de Vigencia hasta el borrado de todos los Datos Personales de la Consejería por parte de Google de acuerdo con la presente Adenda del Tratamiento de Datos.

Naturaleza y propósito del tratamiento.—Google tratará los Datos Personales de la Consejería con el fin de proporcionar los Servicios y los Servicios de Soporte Técnico a la Consejería de conformidad con la Adenda del Tratamiento de Datos y con el RGPD.

Categorías de datos.—Datos relativos a personas proporcionados a Google a través de los Servicios, por la Consejería o los Usuarios Finales, que, de acuerdo con el RGPD, serán los mínimos posibles y de carácter identificativo, incluyendo entre otros, los datos personales correspodientes a las Actividades de Tratamiento con identificadores 2.A.13 y 2.C.24, denominadas “Utilización por parte del profesorado y del alumnado, en el ejercicio de la función educativa, de las herramientas y recursos de la plataforma educativa de servicios online de la Consejería de Educación e Investigación (EducaMadrid)”, de las cuales esa Dirección General es responsable del tratamiento junto con las Direcciones Generales de Educación Infantil y Primaria y Educación Secundaria, Formación Profesional y Régimen Especial, respectivamente. Ambas actividades están incluidas en el Registro de Actividades de Tratamiento de la Consejería.

La información que el responsable del tratamiento pone a disposición del encargado para la prestación de los servicios contratados corresponde, entre otras, a las siguientes categorías de interesados y datos:

— Interesados: Profesores, Alumnos, personal supervisor de la Consejería (asesores).

— Datos de carácter identificativo (Nombre y apellidos, dirección electrónica, centro educativo, clase); Datos académicos y profesionales (datos personales correspondientes a la actividad docente: trabajos colaborativos y personales).

El tratamiento de datos a realizar contemplará, entre otras, las siguientes actividades:

— Recogida, conservación, registro, estructuración, consulta, comunicación y supresión de datos personales.

— Ejercicio de derechos de acceso, modificación, supresión y limitación del tratamiento.

Apéndice 2: Medidas de Seguridad

A Fecha de Entrada en Vigor de la Adenda, Google implementará y mantendrá las Medidas de Seguridad descritas en el presente Apéndice 2.

1. Centros de datos y seguridad de red.

(a) Centros de datos.

— Infraestructura. Google mantiene centros de datos distribuidos geográficamente. Google almacena todos los datos de producción en los centros de datos físicamente seguros.

— Redundancia. Los sistemas de infraestructura han sido diseñados para eliminar los puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Circuitos duales, conmutadores, redes u otras instalaciones necesarias ayudan a proporcionar esta redundancia. Los servicios están diseñados para permitir a Google realizar ciertos tipos de mantenimiento preventivo y correctivo sin interrupciones. Todo el equipo y las instalaciones de protección del medio ambiente han documentado los procedimientos de mantenimiento preventivo que detallan el proceso y la frecuencia de ejecución de acuerdo con las especificaciones del fabricante o especificaciones internas. El mantenimiento preventivo y correctivo de los equipos del centro de datos se programa a través de un proceso de cambio estándar de acuerdo con procedimientos documentados.

— Potencia. Los sistemas de suministro eléctrico del centro de datos están diseñados para ser redundantes y poder mantenerse sin tener un gran impacto en el mantenimiento continuo de las operaciones, las 24 horas al día, los 7 días de la semana. En la mayoría de los casos, se proporciona una fuente de suministro eléctrico primaria, así como una fuente alternativa, cada una de ellas de igual capacidad, para los componentes críticos de la infraestructura del centro de datos. El suministro eléctrico de reserva se proporciona mediante diversos mecanismos, como por ejemplo baterías de sistemas de alimentación ininterrumpida (SAI), que proporcionan constantemente una garantía fiable de suministro eléctrico en caso de apagones parciales de las compañías eléctricas, apagones, sobretensión, baja tensión, y condiciones de frecuencia fuera de límites. Si se interrumpe el suministro eléctrico de la compañía eléctrica, el suministro eléctrico de reserva está diseñado para proporcionar energía transitoria al centro de datos, a plena capacidad, durante un máximo de 10 minutos hasta que el sistema de generadores diésel [sic] tome el relevo. Los generadores diésel son capaces de iniciarse automáticamente en cuestión de segundos para proporcionar suficiente suministro eléctrico de emergencia para que el centro de datos funcione a plena capacidad habitualmente durante un período de días.

— Sistemas operativos para servidores. Los servidores de Google utilizan una aplicación basada en Linux personalizada para el entorno de aplicación. Los datos se almacenan utilizando algoritmos patentados para aumentar la seguridad de los datos y la redundancia. Google emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para prestar los servicios y mejorar los productos de seguridad en entornos de producción.

— Continuidad de la actividad. Google ha diseñado y regularmente programa y pone a prueba sus programas de continuidad de la actividad/recuperación de desastres.

(b) Redes y transmisión.

— Transmisión de datos. Los centros de datos suelen estar conectados a través de enlaces privados de alta velocidad para proporcionar una transferencia de datos segura y rápida entre los centros de datos. Lo anterior está diseñado para evitar que los datos puedan ser leídos, copiados, alterados o eliminados sin autorización durante la transferencia electrónica o el transporte o mientras se están grabando en medios de almacenamiento de datos. Google transfiere datos a través de protocolos estándar de Internet.

— Superficie de ataque externa. Google emplea múltiples capas de dispositivos de red y detección de intrusiones para proteger su superficie de ataque externa. Google considera posibles vectores de ataque e incorpora tecnologías apropiadas diseñadas especialmente en los sistemas orientados al exterior.

— Detección de intrusiones. La detección de intrusiones tiene la finalidad de proporcionar información sobre las actividades de ataque en curso y proporcionar información adecuada para responder a los incidentes. La detección de intrusiones de Google implica:

1. El control firme del tamaño y la composición de la superficie de ataque de Google a través de medidas preventivas.

2. El empleo de controles de detección inteligentes en los puntos de entrada de datos; y.

3. El empleo de tecnologías que remedian de forma automática ciertas situaciones peligrosas.

— Respuesta a incidentes. Google hace un seguimiento de una variedad de canales de comunicación para detectar incidentes de seguridad y el personal de seguridad de Google reaccionará rápidamente a los incidentes conocidos.

— Tecnologías de cifrado. Google utiliza el cifrado HTTPS (también conocido como conexión SSL o TLS) disponible. Los servidores de Google admiten el intercambio de claves criptográficas de Diffie Hellman de curva elíptica efímera firmado con RSA y ECDSA. Estos métodos de confidencialidad directa perfecta (PFS, perfect forward secrecy) ayudan a proteger el tráfico y minimizan el impacto de una clave puesta en peligro o una penetración criptográfica.

2. Acceso y controles in situ.

(a) Controles in situ.

— Operativo de seguridad in situ del centro de datos. Los centros de datos de Google mantienen un operativo de seguridad in situ responsable de todas las funciones de seguridad física del centro de datos las 24 horas del día, 7 días a la semana. El personal del operativo de seguridad in situ controla las cámaras de circuito cerrado de televisión (CCTV) y todos los sistemas de alarma. El personal del operativo de seguridad in situ realiza patrullas internas y externas del centro de datos con regularidad.

— Procedimientos de acceso al centro de datos. Google mantiene procedimientos formales de acceso para permitir el acceso físico a los centros de datos. Los centros de datos están ubicados en instalaciones que requieren acceso con llave de tarjeta electrónica, con alarmas que están vinculadas al operativo de seguridad en situ. Todas las personas que accedan al centro de datos deben identificarse, así como mostrar un documento acreditativo al operativo de seguridad in situ. Solo se permite la entrada a los centros de datos a los empleados, contratistas y visitantes autorizados. Solo se les permite a los empleados y contratistas autorizados solicitar la tarjeta electrónica de llave de acceso a estas instalaciones. Las solicitudes de tarjeta electrónica de llave de acceso deben hacerse a través de correo electrónico y requieren la aprobación del administrador del solicitante y del director del centro de datos. Todas las demás personas que accedan y que requieran acceso temporal al centro de datos deben: (i) obtener la aprobación previa de los administradores del centro de datos para el centro de datos específico y áreas internas que deseen visitar; (ii) firmar a requerimiento del operativo de seguridad in situ (iii) y hacer referencia a un registro de accesos del centro de datos que identifique que el individuo cuenta con la debida aprobación.

— Dispositivos de seguridad in situ del centro de datos. Los centros de datos de Google utilizan una llave de tarjeta electrónica y un sistema de control de acceso biométrico que está vinculado a un sistema de alarma. El sistema de control de acceso controla y registra la llave de tarjeta electrónica de cada individuo y cuando acceden a las puertas del perímetro, zona de envío y recepción, y otras áreas críticas. La actividad y los intentos de acceso no autorizados y fallidos se registran en el sistema de control de acceso y se investigan, según corresponda. El acceso autorizado a la zona de actividad comercial y centros de datos se restringe por zonas y en función de las responsabilidades laborales del individuo. Las puertas contra incendios en los centros de datos están dotadas de alarmas. Hay cámaras de CCTV en funcionamiento tanto dentro como fuera de los centros de datos. La ubicación de las cámaras ha sido diseñada para cubrir las áreas estratégicas que incluyen, entre otras, el perímetro, las puertas del edificio del centro de datos, y la zona de envío/recepción. El personal del operativo de seguridad in situ se encarga del seguimiento, registro y control de los equipos de CCTV. Los equipos de CCTV están conectados con cables de seguridad por todos los centros de datos. Las cámaras graban in situ con grabadoras de vídeo digital las 24 horas del día, 7 días a la semana. Las grabaciones de vigilancia se conservan durante al menos 30 días en función de la actividad.

(b) Control de acceso.

— Personal de seguridad de la infraestructura. Google tiene y mantiene una política de seguridad para su personal, que requiere su capacitación en materia de seguridad como parte del paquete de capacitación de su personal. El personal de seguridad de la infraestructura de Google es responsable del control continuo de la infraestructura de seguridad de Google, la revisión de los Servicios del encargado del tratamiento, y de responder a los incidentes de seguridad.

— Control de acceso y gestión de privilegios. Los administradores de la Consejería y los usuarios deben autenticar su identidad a través de un sistema de autenticación central o por medio de un inicio de sesión único en el sistema con el fin de usar los Servicios del encargado del tratamiento.

— Procesos y políticas de acceso a datos internos: Política de acceso. Los procesos y las políticas de acceso a datos internos de Google están diseñados para evitar que personas y/o sistemas no autorizados tengan acceso a los sistemas utilizados para procesar datos personales. Google diseña sus sistemas para: (i) que solo permitan a las personas autorizadas acceder a los datos que estén autorizados a acceder; y (ii) asegurarse de que los datos personales no pueden ser leídos, copiados, modificados o retirados sin autorización durante su tratamiento, uso y después de su grabación. Los sistemas están diseñados para detectar cualquier acceso indebido. Google emplea un sistema de gestión de acceso centralizado para controlar el acceso del personal a los servidores de producción, y solo permite el acceso a un número limitado de personal autorizado. Los sistemas de autenticación y autorización de Google utilizan certificados SSH y claves de seguridad, y están diseñados para proporcionar a Google mecanismos de acceso seguros y flexibles. Estos mecanismos están diseñados para otorgar solo derechos de acceso aprobados a los hosts del sitio, registros, datos e información de configuración. Google requiere el uso de identificaciones de usuario únicas, contraseñas seguras, autenticación de dos factores y listas de acceso cuidadosamente controladas para minimizar el posible uso no autorizado de cuentas. La concesión o modificación de derechos de acceso se basa en: las responsabilidades laborales del personal autorizado; los requisitos de las funciones laborales necesarios para realizar las tareas autorizadas; y se otorgará atendiendo al principio de necesidad de conocimiento de la información; La concesión o modificación de derechos de acceso debe estar en conformidad con las políticas y capacitación de acceso a datos internos de Google. Se gestionan las aprobaciones con herramientas de flujo de trabajo que guardan registros de auditoría de todos los cambios. Se registra el acceso a los sistemas para crear un registro de auditoría para dirimir responsabilidades. Cuando se emplean contraseñas para la autenticación (por ejemplo, para acceder a las estaciones de trabajo), se implementan, al menos, políticas de contraseñas que siguen las prácticas estándar de la industria. Estos estándares incluyen restricciones a la reutilización de contraseñas y requisitos mínimos de seguridad de la contraseña. Para el acceso a información extremadamente sensible (por ejemplo, datos de tarjetas de crédito), Google utiliza tokens de hardware.

3. Datos.

(a) Almacenamiento de datos, aislamiento y registro.

Google almacena los datos en un entorno multiempresa en servidores propiedad de Google. Con sujeción a cualquier instrucción de la Consejería que indique lo contrario (por ejemplo, en forma de selección de ubicación de los datos), Google replica los Datos de la Consejería entre múltiples centros de datos dispersos geográficamente. Google también aísla lógicamente los Datos de la Consejería y separa de forma lógica los datos de cada Usuario Final de los datos de otros Usuarios Finales, y los datos de un Usuario Final autenticado no se mostrarán a otro Usuario Final (a menos que el anterior Usuario Final o un administrador permita que se compartan los datos).

Se le dará a la Consejería control sobre las políticas específicas de intercambio de datos. Esas políticas, de conformidad con la funcionalidad de los Servicios, permitirán a la Consejería determinar la configuración del uso compartido del producto aplicable a los Usuarios Finales para fines específicos. La Consejería puede optar por utilizar la función de registro que Google pone a su disposición a través de los Servicios.

(b) Discos fuera de servicio y Política de borrado de discos.

Algunos discos que contienen datos pueden experimentar problemas de rendimiento, errores o fallos del hardware que puede conducir a que sean retirados de servicio (“Discos fuera de servicio”). Cada Disco fuera de servicio se somete a una serie de procesos de destrucción de datos (la “Política de borrado de discos”) antes de salir de las instalaciones de Google, ya sea para su reutilización o destrucción. Los Discos fuera de servicio se borran en un proceso de múltiples pasos y al menos dos validadores independientes verifican que se ha realizado al completo. Los resultados del borrado se registran por el número de serie del Disco fuera de servicio para su seguimiento. Finalmente, el Disco fuera de servicio se entrega al inventario para su reutilización y redistribución. Si, debido a un fallo de hardware, el Disco fuera de servicio no puede borrarse, se almacena de forma segura hasta que pueda ser destruido. Cada instalación es auditada periódicamente para vigilar el cumplimiento de la Política de borrado de discos.

4. Seguridad del Personal.

Se exige del personal de Google que se comporte de una manera consistente con las directrices de la empresa respecto a la confidencialidad, la ética empresarial, el uso apropiado y las normas profesionales. Google lleva a cabo comprobaciones razonables de los antecedentes en la medida en que esté legalmente permitido y de conformidad con la legislación laboral y las disposiciones legales locales aplicables.

Se exige del personal que otorgue un contrato de confidencialidad y deben acusar recibo de las políticas de confidencialidad y privacidad de Google, así como cumplir con ellas. Se proporciona formación en seguridad al personal. Se exige del personal que procesa los Datos de la Consejería que satisfaga requisitos adicionales en función de su puesto (por ejemplo, certificaciones). El personal de Google no tratará los Datos de la Consejería sin autorización.

5. Seguridad de los Subencargados.

Antes de la contratación de Subencargados del tratamiento de datos, Google lleva a cabo una auditoría de las prácticas de seguridad y privacidad de los Subencargados del tratamiento de datos para asegurar que los Subencargados del tratamiento de datos proporcionen un nivel de seguridad y privacidad adecuado a su acceso a los datos y el alcance de los servicios para los que se les contrata. Una vez que Google ha evaluado los riesgos que el Subencargado representa, con sujeción a los requisitos descritos en la Sección 11.3 (Requisitos de contratación del Subencargado), se exige al Subencargado que celebre un contrato con las cláusulas contractuales de coonfidencialidad y privacidad apropiadas.

Apéndice 3: Cláusulas Contractuales Tipo

Cláusulas Contractuales Tipo (“Encargados del Tratamiento”).

A efectos del artículo 26, apartado 2, de la Directiva 95/46 para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos.

La entidad jurídica distinta de Google que acepta las Cláusulas (El “Exportador de Datos”).

Y Google LLC (anteriormente Google Inc.), 1600 Amphitheatre Parkway, Mountain View, California 94043 USA (El “Importador de Datos”)

Cada una de ellas “la parte”; conjuntamente “las partes”:

Acuerdan las siguientes cláusulas contractuales (en lo sucesivo, las “cláusulas”) con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el Exportador de Datos al Importador de Datos de los datos personales especificados en el apéndice 1.

Las Cláusulas (incluidos los Apéndices 1 y 2) serán efectivas a partir del día en que el Exportador de Datos haya: (i) ejecutado un “Contrato de G Suite” válido y/o un Contrato de Producto Complementario con una “Adenda de Tratamiento de Datos” (conjuntamente, el “Contrato de Servicios”); y (ii) aceptado estas Cláusulas haciendo clic en el botón incluido más abajo. En este documento, “Contrato de G Suite” y “Contrato de Producto Complementario” tienen los significados dados en la Adenda de Tratamiento de Datos. En este documento, “Adenda de Tratamiento de Datos” significa la adenda al Contrato de G Suite y/o al Contrato de Producto Complementario que establece ciertos términos en relación con la protección y el tratamiento de datos de carácter personal.

Si las está aceptando en nombre del Exportador de Datos, usted representa y garantiza que: (i) tiene plena autoridad legal para vincular a su empleador, o a la entidad que corresponda, con estos términos y condiciones; (ii) ha leído y comprendido las Cláusulas; y (iii) acepta, en nombre de la parte que representa, las presente Cláusulas. Si no tiene la autoridad legal para vincular al Exportador de Datos, por favor no haga click en el botón de “Aceptar” incluido más abajo.

Las Cláusulas terminarán automáticamente al terminar o resolverse la Adenda de Tratamiento de Datos. Las partes acuerdan que cuando al Exportador de Datos se le han presentado estas Cláusulas y ha hecho clic para aceptar estos términos de forma electrónica, dicha aceptación constituirá una ejecución de la totalidad de las Cláusulas por ambas partes, sujeto a la fecha efectiva arriba descrita.

Cláusula 1

Definiciones:

Al efecto de las Cláusulas:

A. “Datos personales”, “categorías especiales de datos”, “tratamiento”, “responsable del tratamiento”, “encargado del trata miento”, “Interesado” y “autoridad de control” tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1).

B. Por “Exportador de Datos” se entenderá el responsable del tratamiento que transfiera los datos personales.

C. Por “Importador de Datos” se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE.

D. Por “subencargado del tratamiento” se entenderá cualquier encargado del tratamiento contratado por el Importador de Datos o por cualquier otro subencargado de este que convenga en recibir del Importador de Datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del Exportador de Datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito.

E. Por “legislación de protección de datos aplicable” se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el Exportador de Datos.

F. Por “medidas de seguridad técnicas y organizativas” se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.

Cláusula 2

Detalles de la transferencia.

Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.

Cláusula 3

Cláusula de tercero beneficiario.

1. Los Interesados podrán exigir al Exportador de Datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.

2. Los Interesados podrán exigir al Importador de Datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el Exportador de Datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del Exportador de Datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del Exportador de Datos, en cuyo caso los Interesados podrán exigirlos a dicha entidad.

3. Los Interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el Exportador de Datos y el Importador de Datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del Exportador de Datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del Exportador de Datos, en cuyo caso los Interesados podrán exigirlos a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.

4. Las partes no se oponen a que los Interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.

Cláusula 4

Obligaciones del Exportador de Datos.

El Exportador de Datos acuerda y garantiza lo siguiente:

A. El tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del Exportador de Datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro.

B. Ha dado al Importador de Datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del Exportador de Datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas.

C. El Importador de Datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el apéndice 2 del presente contrato.

D. Ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación.

E. Asegurará que dichas medidas se lleven a la práctica.

F. Si la transferencia incluye categorías especiales de datos, se habrá informado a los Interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE.

G. Enviará la notificación recibida del Importador de Datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión.

H. Pondrá a disposición de los Interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial.

I. Que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los Interesados que el Importador de Datos en virtud de las presentes cláusulas; y

J. Que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.

Cláusula 5

Obligaciones del Importador de Datos.

El Importador de Datos acuerda y garantiza lo siguiente:

A. Tratará los datos personales transferidos solo en nombre del Exportador de Datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al Exportador de Datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato.

B. No tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del Exportador de Datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al Exportador de Datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato.

C. Ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos.

D. Notificará sin demora al Exportador de Datos sobre:

i. Toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación levada a cabo por una de dichas autoridad.

ii. Todo acceso accidental o no autorizado.

iii. Toda solicitud sin respuesta recibida directamente de los Interesados, a menos que se le autorice.

E. Tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del Exportador de Datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos.

F. Ofrecerá a petición del Exportador de Datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el Exportador de Datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el Exportador de Datos y, cuando corresponda, de conformidad con la autoridad de control.

G. Pondrá a disposición de los Interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el Interesado no pueda obtenerlas directamente del Exportador de Datos.

H. Que, en caso de subtratamiento de los datos, habrá informado previamente al Exportador de Datos y obtenido previamente su consentimiento por escrito.

I. Que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11.

J. Enviará sin demora al Exportador de Datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con arreglo a las cláusulas.

Cláusula 6

Responsabilidad.

1. Las partes acuerdan que los Interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del Exportador de Datos para el daño sufrido.

2. En caso de que el Interesado no pueda interponer contra el Exportador de Datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del Importador de Datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el Importador de Datos acepta que el Interesado pueda demandarle a él en el lugar del Exportador de Datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del Exportador de Datos en virtud de contrato o por ministerio de la ley, en cuyo caso los Interesados podrán exigir sus derechos a dicha entidad. El Importador de Datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.

3. En caso de que el Interesado no pueda interponer contra el Exportador de Datos o el Importador de Datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el Exportador de Datos como el Importador de Datos, el subencargado del tratamiento de datos acepta que el Interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del Exportador de Datos o del Importador de Datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del Exportador de Datos o del Importador de Datos en virtud de contrato o por ministerio de la ley, en cuyo caso los Interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.

Cláusula 7

Mediación y jurisdicción.

1. El Importador de Datos acuerda que, si el Interesado invoca en su contra derechos de tercero beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del Interesado de:

a. someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control.

b. someter el conflicto a los tribunales del Estado miembro de establecimiento del Exportador de Datos.

2. Las partes acuerdan que las opciones del Interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control.

1. El Exportador de Datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.

2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del Exportador de Datos conforme a la legislación de protección de datos aplicable.

3. El Importador de Datos informará sin demora al Exportador de Datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con arreglo al apartado 2. En tal caso, el Importador de Datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.

Cláusula 9

Legislación aplicable.

Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del Exportador de Datos.

Cláusula 10

Variación del contrato.

Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.

Cláusula 11

Subtratamiento de datos.

1. El Importador de Datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del Exportador de Datos con arreglo a las cláusulas sin previo consentimiento por escrito del Exportador de Datos. Si el Importador de Datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del Exportador de Datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al Importador de Datos con arreglo a las cláusulas (1). En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el Importador de Datos seguirá siendo plenamente responsable frente al Exportador de Datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho acuerdo.

2. El contrato escrito previo entre el Importador de Datos y el subencargado del tratamiento contendrá asimismo una cláusula de tercero beneficiario, tal como se establece en la cláusula 3, para los casos en que el Interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el Exportador de Datos o el Importador de Datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del Exportador de Datos o del Importador de Datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.

3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del Exportador de Datos.

4. El Exportador de Datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el Importador de Datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del Exportador de Datos.

Cláusula 12

Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales.

1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el Importador de Datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.

2. El Importador de Datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1.

Apéndice 1

A las Cláusulas Contractuales Tipo.

Este Apéndice forma parte de las Cláusulas.

— Exportador de Datos. El Exportador de Datos es la entidad jurídica distinta de Google que es parte de estas Cláusulas.

— Importador de Datos. El Importador de Datos es Google LLC, un proveedor global de diferentes servicios de tecnologías para particulares y empresas.

— Interesados. Los datos personales transferidos conciernen a las siguientes categorías de Interesados: los usuarios finales del Exportador de Datos, incluyendo sus trabajadores y contratistas; el personal de los clientes, proveedores y subcontratistas del Exportador de Datos, y cualquier otra persona que transmita datos a través de los “Servicios” (tal y como se definen en la Adenda de Procesamiento de Datos”, incluidas las personas que colaboren y se comuniquen con los usuarios finales del Exportador de Datos.

— Categorías de datos. Los datos personales transferidos se refieren a las siguientes categorías de datos: datos personales proporcionados, almacenados, enviados o recibidos por el Exportador de Datos y sus usuarios finales a través de los Servicios, incluyendo: IDs de los usuarios, e-mails, documentos, presentaciones, imágenes, entradas de calendario, tareas y otros datos proporcionados, almacenados, enviados o recibidos por los usuarios finales mediante los Servicios.

— Categorías especiales de datos (si fuera aplicable). Los datos personales transferidos se refieren a las siguientes categorías especiales de datos: datos personales proporcionados, almacenados, enviados o recibidos por los usuarios finales a través de los Servicios.

— Operaciones de tratamiento. Los datos personales transferidos estarán sujetos a las siguientes operaciones básicas de tratamiento:

• Ámbito del Tratamiento.

Las Cláusulas reflejan el acuerdo de las partes con respecto al tratamiento y transferencia de datos personales especificados en este Apéndice de acuerdo con la provisión de los “Servicios”.

Los datos personales podrán ser tratados con los siguientes propósitos: prestar los Servicios y servicios de soporte técnico relacionados.

El Exportador de Datos instruye al Importador de Datos a tratar los datos personales en países en los que el Importador de Datos o cualquiera de sus Subencargados mantengan instalaciones.

• Plazo del Tratamiento de Datos.

El tratamiento de datos se dará durante el plazo especificado en la Adenda de Procesamiento de Datos. Dicho plazo terminará automáticamente tras el borrado de todos los datos por parte del Importador de Datos tal y como se describe en la Adenda de Procesamiento de Datos.

• Borrado de Datos.

Durante la duración del Contrato de Servicios, el Importador de Datos proporcionará al Exportador de Datos la capacidad de borrar los datos personales del Exportador de Datos en los Servicios de conformidad con el Contrato de Servicios. Tras la terminación o expiración del Contrato de Servicios, el Importador de Datos borrará los datos personales del Exportador de Datos de acuerdo con la Adenda de Tratamiento de Datos.

• Acceso a los Datos.

Durante la duración del Contrato de Servicios, el Importador de Datos proporcionará al Exportador de Datos el acceso y la capacidad de rectificar, restringir el tratamiento de y exportar datos personales del Exportador de Datos en los Servicios de conformidad con el Contrato de Servicios.

• Subencargados.

El Importador de Datos podrá contratar a Subencargados para que presten determinadas partes de los Servicios y servicios de soporte técnico relacionados. El Importador de Datos garantizará que los Subencargados solo acceden y usan los datos personales del Exportador de Datos para prestar los Servicios y servicios de soporte técnico relacionados para ningún otro propósito.

Apéndice 2

A las Cláusulas Contractuales Tipo.

Este Apéndice forma parte de las Cláusulas.

Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el Importador de Datos de conformidad con la letra d) de la cláusula 4 y la letra c) de la cláusula 5 (o documento o legislación adjuntos):

El Importador de Datos adopta y aplica las medidas de seguridad de este Apéndice 2. El Importador de Datos podrá actualizar o modificar estas medidas de seguridad en cualquier momento siempre y cuando dichas actualizaciones o modificaciones no conlleven una degradación en la seguridad global de los Servicios durante el plazo de duración del Contrato de Servicios.

1. Centro de Datos y Red de Seguridad.

(a) Centros de Datos.

— Infraestructura. El Importador de Datos mantiene centros de datos geográficamente distribuidos. El Importador de Datos almacena toda la producción de datos en centros de datos físicamente seguros.

— Redundancia. Los sistemas de infraestructura han sido diseñados para eliminar puntos únicos de fallo y minimizar el impacto de los riesgos ambientales previstos. Circuitos dobles, interruptores, redes u otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios se han diseñado para permitir a el Importador de Datos realizar algunos tipos de mantenimiento preventivo y correctivo sin interrupción. Todos los equipos e instalaciones ambientales cuentan con procedimientos de mantenimiento preventivo documentados, que detallan el proceso y la frecuencia con que realizarlos de acuerdo con especificaciones internas o del fabricante. El mantenimiento preventivo y correctivo de los equipos de los centros de datos está programado a través de un proceso estándar de cambio de conformidad con los procedimientos documentados.

— Energía. Los sistemas de energía eléctrica del centro de datos están diseñados para ser redundantes y para que las labores de mantenimiento no afecten a las operaciones continuas, 24 horas al día, y los 7 días de la semana. En la mayor parte de los casos, se dispone de una fuente de energía primaria y de una fuente de energía alternativa, cada una con la misma capacidad, para los elementos de infraestructura críticos del centro de datos. Se cuenta con varios mecanismos de energía de apoyo, como un sistema de alimentación ininterrumpida (SAI) que suministra protección energética fiable durante apagones parciales, apagones, subidas de tensión, bajadas de tensión, y condiciones de frecuencia que salgan de los márgenes de tolerancia. Si el uso de la energía se interrumpe, la energía de apoyo está diseñada para proporcionar energía provisional al centro de datos, a la máxima capacidad, hasta un máximo de 10 minutos, hasta que los sistemas del generador diésel lo releven. Los generadores diésel son capaces de arrancar en segundos para proporcionar suficiente energía eléctrica de emergencia para mantener en funcionamiento el centro de datos a la máxima capacidad normalmente durante días.

— Sistemas Operativos de los Servidores. Los servidores del Importador de Datos utilizan una implementación basada en Linux personalizada para el entorno de aplicaciones. Los datos se almacenan utilizando algoritmos registrados para incrementar la seguridad de los datos y su redundancia. El Importador de Datos emplea un proceso de revisión de código para aumentar la seguridad del código utilizado para prestar los Servicios y mejorar la seguridad de los productos en entornos de producción.

— Continuidad del Negocio. El Importador de Datos replica los datos a través de múltiples sistemas para ayudar a protegerlos contra destrucciones o pérdidas accidentales. El Importador de Datos ha diseñado y planea y prueba con regularidad planes de continuidad del negocio y programas de recuperación de desastres.

(b) Redes y Transmisión.

— Transmisión de Datos. Los centros de datos están normalmente conectados a través de conexiones privadas de alta velocidad para proporcionar las transferencias de datos entre centros de datos de forma segura y rápida. Este diseño persigue evitar que los datos sean leídos, copiados, alterados o eliminados sin autorización durante una transferencia o transporte electrónico o mientras se graban en medios de almacenamiento de datos. El Importador de Datos transfiere datos a través de protocolos estándares de Internet.

— Superficie de Ataque Externa. El Importador de Datos utiliza múltiples capas de dispositivos de red y detección de intrusión para proteger su superficie de un ataque externo. El Importador de Datos tiene en cuenta posibles vectores de ataque e incorpora tecnología construida especialmente en los sistemas expuestos al exterior.

— Detección de Intrusión. La detección de intrusión pretende proporcionar conocimiento sobre las actividades de ataque en curso y proporcionar una adecuada información para responder a los incidentes. La detección de intrusión de el Importador de Datos supone:

1. Controlar de forma estrecha el tamaño y la cobertura de la superficie de ataque de el Importador de Datos a través de medidas preventivas.

2. Emplear controles de detección inteligentes en los puntos de entrada de datos; y

3. Emplear tecnología que automáticamente solucione determinadas situaciones de peligro.

— Respuesta a Incidentes. El Importador de Datos monitoriza diversos canales de comunicación para incidentes de seguridad, y el personal de seguridad del Importador de Datos reaccionará con rapidez ante los incidentes conocidos.

— Tecnologías de Cifrado. El Importador de Datos pone a disposición cifrado HTTPS (también llamado conexión SSL o TLS). Los servidores de Google admiten el intercambio de claves criptográficas de Diffie Hellman de curva elíptica efímera firmado con RSA y ECDSA. Estos métodos de confidencialidad directa perfecta (PFS, perfect forward secrecy) ayudan a proteger el tráfico y minimizan el impacto de una clave puesta en peligro o una penetración criptográfica.

2. Controles de Acceso y del Lugar.

(a) Controles del Lugar.

— Operaciones de Seguridad en el Centro de Datos. Los centros de datos del Importador de Datos mantienen un operativo de seguridad en esos centros de datos responsable de todas las actividades de seguridad física de los centros de datos las 24 horas del día, los 7 días de la semana. El personal del operativo de seguridad en los centros de datos vigila un Circuito Cerrado de TV (CCTV) de cámaras y todos los sistemas de alarmas. El personal del operativo de seguridad en los centros de datos realiza con regularidad patrullas dentro y fuera del centro de datos.

— Procedimientos de Acceso al Centro de Datos. El Importador de Datos mantiene procedimientos formales de acceso para permitir el acceso físico a los centros de datos. Los centros de datos se ubican en instalaciones que necesitan tarjetas llave electrónicas, con alarmas que están conectadas al operativo de seguridad del centro de datos. Todos los que acceden al centro de datos están obligados a identificarse y acreditar su identidad ante el operativo de seguridad del centro de datos. Sólo los empleados, contratistas, y visitantes autorizados tienen permitida la entrada a los centros de datos. Sólo los empleados y contratistas autorizados pueden solicitar las tarjetas llave electrónicas a esas instalaciones. Las solicitudes de tarjetas llave electrónicas de los centros de datos deben hacerse a través de e-mail, y necesitan la aprobación del responsable (manager) del solicitante y del director del centro de datos. Cualquier otra persona que necesite acceso temporal al centro de datos debe: (i) obtener la aprobación previa de los responsables del centro de datos concreto y de las áreas internas que se desean visitar; (ii) registrarse en el operativo de seguridad del centro de datos; e (iii) indicar un registro aprobado de acceso a centros de datos que identifique al individuo como autorizado.

— Dispositivos de Seguridad en el Centro de Datos. Los centros de datos del Importador de Datos emplean una tarjeta llave electrónica y un sistema de control de acceso biométrico conectados a un sistema de alarma. El sistema de control de acceso monitoriza y registra la tarjeta llave electrónica de cada individuo y cuándo acceden a las puertas del perímetro, a envíos y recepciones, y a otras áreas críticas. Toda actividad no autorizada y los intentos fallidos de acceso se registran por el sistema de control de acceso y se investigan, conforme sea necesario. El acceso autorizado a zonas de operaciones de negocio y centros de datos está restringido por zonas y por responsabilidades atribuidas al puesto de cada individuo. Las puertas cortafuegos de los centros de datos tienen alarmas. Hay cámaras CCTV funcionando tanto dentro como fuera de los centros de datos. La colocación de las cámaras ha sido planificada para cubrir áreas estratégicas, incluyendo, entre otros, el perímetro, las puertas del edificio del centro de datos, y los envíos y recepciones. El personal del operativo de seguridad del centro de datos controla la monitorización del CCTV, el sistema de grabación y los equipos de control. Los equipos CCTV están conectados a lo largo de los centros de datos mediante cables seguros. Las cámaras graban en el lugar a través de grabaciones digitales de vídeo 24 horas al día, los 7 días a la semana. Las grabaciones de vigilancia se mantienen hasta un máximo de 30 días en función de la actividad.

(b) Control de Acceso.

— Personal de Seguridad de la Infraestructura. El Importador de Datos tiene, y mantiene, una política de seguridad para su personal, y exige formación en seguridad como parte del plan de formación de su personal. El personal de seguridad de la infraestructura del Importador de Datos es responsable de la supervisión en curso de la infraestructura de seguridad del Importador de Datos, la revisión de los Servicios y de la respuesta a los incidentes de seguridad.

— Control de Acceso y Gestión de Permisos. Los administradores del Exportador de Datos y los usuarios deben autenticarse a sí mismos para utilizar los Servicios a través del sistema central de autenticación o a través de una firma única (single sign on) en el sistema. Cada aplicación comprueba las credenciales para permitir que se muestren los datos a un Usuario autorizado o a un Administrador autorizado.

— Procedimientos y Políticas de Acceso a Datos Internos - Política de Acceso. Los procesos y políticas de acceso a datos internos de el Importador de Datos están diseñadas para evitar que personas y sistemas no autorizados tengan acceso a los sistemas empleados para tratar datos personales. El Importador de Datos tiene como objetivo diseñar sus sistemas para: (i) permitir sólo el acceso a los datos a las personas autorizadas para acceder, y (ii) asegurarse de que los datos personales no pueden ser leídos, copiados, alterados o eliminados sin autorización durante el tratamiento, el uso y con posterioridad a la grabación. Los sistemas están diseñados para detectar cualquier acceso indebido. El Importador de Datos emplea un sistema de gestión de acceso centralizado para controlar el acceso de personal a los servidores en producción, y sólo permite el acceso a un número limitado de personas autorizadas. LDAP, Kerberos y un sistema registrado que utiliza certificados SSH están diseñados para proporcionar al Importador de Datos mecanismos de acceso seguros y flexibles. Estos mecanismos están diseñados para otorgar sólo los permisos de acceso aprobados a la información de los hosts, logs, datos e información de configuración. El Importador de Datos exige que se utilicen identificadores de usuario únicos, contraseñas fuertes; autenticación de dos factores y listas de acceso cuidadosamente supervisadas para minimizar la probabilidad de uso no autorizado de cuentas. La concesión o modificación de los derechos de acceso se basa en: las responsabilidades asociadas a las funciones del personal autorizado, requisitos exigidos a cada puesto que son necesarios para realizar las tareas autorizadas; y un principio de conocimiento limitado a lo necesario (“need to know basis”). La concesión o modificación de los derechos de acceso también debe estar sujeta a las políticas y a la formación del personal en materia de acceso a datos internos del Importador de Datos. Las aprobaciones son gestionados por herramientas de flujo de trabajo que mantienen un registro auditado de todos los cambios. El acceso a los sistemas queda registrado para crear un rastro auditable para poder exigir la rendición de cuentas. Cuando se emplean contraseñas para la autenticación (por ejemplo, para acceder a un puesto de trabajo), se establecen políticas de contraseñas conformes al menos con las prácticas estándares adoptadas por la industria. Estos estándares incluyen las restricciones a la reutilización de contraseñas y la suficiente fuerza de la contraseña. Para acceder a información extremadamente sensible (por ejemplo, datos de la tarjeta de crédito), l Importador de Datos utiliza tokens de hardware.

3. Datos.

(a) Almacenamiento, Aislamiento y Autenticación de Datos.

— El Importador de Datos almacena datos en un entorno compartido en los servidores que el Importador de Datos posee. Los Datos, las bases de datos de los Servicios y la arquitectura del archivo del sistema se replican entre múltiples centros de datos dispersados geográficamente. El Importador de Datos aísla los datos de forma lógica por cada usuario en la capa de aplicaciones. El Importador de Datos aísla lógicamente los Datos del Exportador y separa de forma lógica los datos de cada usuario final de los datos de otros usuarios finales, y los datos de un usuario final autenticado no se mostrarán a otro usuario final (a menos que el anterior Usuario Final o un administrador permita que se compartan los datos).. Un sistema central de autenticación se utiliza de forma común a todos los Servicios para incrementar la seguridad uniforme de los datos.

— El Exportador de Datos tendrá el control sobre las políticas específicas de compartición de datos. Esas políticas, de acuerdo con las funcionalidades de los Servicios, permitirán al Exportador de Datos decidir la configuración de compartición del producto aplicable a los usuarios para fines específicos. El Exportador de Datos podrá optar por hacer uso de algún sistema de inicio de sesión que el Importador de Datos pueda poner a disposición a través de los Servicios, productos y APIs. El Exportador de Datos acepta que el uso de las APIs está sujeto a los Términos y Condiciones de Uso de las API. El Importador de Datos acuerda que los cambios a las APIs no resultarán en la degradación de la seguridad global de los Servicios.

(b) Política de Discos Fuera de Servicio y Borrado de Disco.

— Los discos que contengan datos pueden experimentar problemas de rendimiento, errores o fallos de hardware que conduzcan a su puesta fuera de servicio (“Disco Fuera de Servicio”). Cada Disco Fuera de Servicio está sujeto a una serie de procesos de destrucción de datos (la “Política de Borrado de Disco”) antes de dejar las instalaciones del Importador de Datos, ya sea para reutilizarlo o destruirlo. Los Discos Fuera de Servicio se borran en un proceso multi-pasos y son verificados completamente por al menos dos validadores independientes. Los resultados del borrado se registran por un número de serie para el seguimiento del Disco Fuera de Servicio. Finalmente, el Disco Fuera de Servicio borrado se incluye en el inventario para su reutilización y puesta en servicio. Si, debido a un fallo de hardware, el Disco Fuera del Servicio no puede ser borrado, se almacena de forma segura hasta que pueda ser destruido. Periódicamente cada instalación es auditada para supervisar el cumplimiento de la Política de Borrado de Disco.

4. Seguridad del Personal.

El personal del Importador de Datos está obligado a conducirse de conformidad con las normas de la compañía en materia de confidencialidad, ética empresarial, uso adecuado, y estándares profesionales. El Importador de Datos realiza exámenes de antecedentes razonablemente adecuados en la medida en que la ley lo permite y de conformidad con la legislación laboral local aplicable y las disposiciones legales.

El personal está obligado a cumplir un acuerdo de confidencialidad y debe acusar recibo y comprometerse al cumplimiento de las políticas de confidencialidad y privacidad del Importador de Datos. El personal recibe formación en materia de seguridad. El personal que maneja datos de clientes debe cumplir unos requisitos adicionales adecuados a su puesto (por ej. certificaciones). El personal del Importador de Datos no procesará datos de clientes sin autorización.

5. Seguridad del Subencargado.

Antes de incluir a cada Subencargado, el Importador de Datos realizará una auditoría de las prácticas de seguridad y privacidad del Subencargado para garantizar que el Subencargado proporciona un nivel de seguridad y privacidad adecuados para su acceso a los datos y para el alcance de los servicios que se compromete a prestar. Una vez que el Importador de Datos ha evaluado los riesgos que supone el Subencargado, se exigirá al Subencargado la adopción de condiciones contractuales adecuadas en materia de seguridad, confidencialidad y privacidad según se describe en la cláusula 11.3 de la Adenda de Tratamiento de Datos.

6. Responsable de Protección de Datos.

Los Administradores del Exportador de Datos pueden contactar con el Equipo de Protección de Datos del Importador de Datos a través de:

— https://support.google.com/a/contact/googlecloud_dpr (o a través de otros canales que pueda proporcionar el Importador de Datos). Los Administradores deben estar logueados en su Cuenta de Administrador para poder ponerse en contacto.

Cláusulas Contractuales Tipo de G Suite y/o Contrato de Producto Complementario, Versión 1.4.

(03/21.007/21)