Acuerdo de procesamiento de datos

Fiestas

1. Publitas.com B.V., con domicilio social en Leiden y dirección J.H. Hoortweg 21, 2333 CH, Leiden Países Bajos, registrada en la Cámara de Comercio de los Países Bajos con el número 39096214, (en adelante: "Publitas.com"), y
2. Cliente que no es un consumidor dentro de cualquier disposición legal relevante a través de la plataforma de Publitas y la entidad o individuo que hará uso del Producto o Servicios de Publitas, y está fechado como tal de la fecha de la Orden de Publitas, en adelante referido como Cliente o Controlador.

en lo sucesivo denominados conjuntamente "Fiestas".

1. Reglamento general
   1. Introducción, ámbito de aplicación, definición
      1. El presente Acuerdo regula los derechos y obligaciones del Responsable y el Encargado del Tratamiento (en lo sucesivo, denominados conjuntamente "Partes") en el contexto del tratamiento de datos personales por cuenta del Responsable (en lo sucesivo, el "APD"). El presente APD está diseñado para cumplir las disposiciones del Reglamento General de Protección de Datos de la UE (en lo sucesivo, "RGPD").
      2. Si en la presente APD se utiliza el término "acuerdo de servicio", se entenderá la celebración por separado de un contrato con el responsable del tratamiento resultante de la celebración de un acuerdo de usuario gratuito y/o de pago, de conformidad con las condiciones generales de contratación ("CGC") del responsable del tratamiento, la política de privacidad del responsable del tratamiento o un acuerdo de usuario celebrado por separado entre las partes.
      3. En la medida en que en el presente Contrato se utilicen los términos "Publitas" o "Software", se entenderá por tal el servicio de suscripción en línea basado en web que consta de aplicaciones basadas en web y una plataforma proporcionada por Publitas en www.publitas.com para cargar, producir, alojar y entregar publicaciones digitales dentro del entorno de servidor de Publitas en los términos establecidos en el Contrato de Servicio (Servicio que, para evitar cualquier duda, incluye la tecnología proporcionada por Publitas como parte de los Servicios).
      4. Esta DPA se aplica a las actividades en las que el Procesador, los empleados del Procesador o los subprocesadores encargados por el Procesador procesan datos personales del Controlador de conformidad con el Acuerdo de Servicio en el sentido del Art. 28 DEL RGPD. 
      5. Los términos utilizados en el presente APD se entenderán de acuerdo con su definición en el RGPD.
   2. Ámbito del tratamiento, categorías de datos, interesados
      1. El objeto, ámbito, tipo y finalidad del tratamiento de datos se derivan de la presente DPA y del Contrato de Servicio. El encargado del tratamiento llevará a cabo las siguientes actividades de tratamiento por cuenta del responsable del tratamiento:
         A) Recogida de datos sobre el uso de los productos del Procesador por parte del Controlador.
         B) Agregación y análisis de datos y almacenamiento de datos a través de subencargados del tratamiento y, por tanto, transferencia de datos a subencargados del tratamiento. El encargado del tratamiento accederá a los datos con fines de mantenimiento, análisis global o apoyo al responsable del tratamiento. Siguiendo instrucciones del Responsable del tratamiento, el encargado del tratamiento transmite los datos del Responsable del tratamiento a terceros designados por el Responsable del tratamiento.
      2. El encargado del tratamiento no trata datos personales sensibles. El encargado del tratamiento podrá tratar las siguientes categorías de datos personales por cuenta del responsable del tratamiento y las mencionadas en la lista de subencargados del tratamiento añadida a la presente APD en el anexo 1: Lista de subencargados del tratamiento:
         A) Direcciones de correo electrónico
         B) Dirección IP
         C) Número de teléfono
         D) Otra información vinculada o extraída de los datos personales antes mencionados, como los datos de localización.
         Dado que la plataforma del encargado del tratamiento es abierta, el responsable del tratamiento puede optar de forma independiente por recoger otras categorías de datos personales. No obstante, el responsable del tratamiento no podrá utilizar la plataforma del encargado del tratamiento para recabar datos personales sensibles y, de este modo, obligar al encargado a tratarlos. Cualquier recogida de datos personales de este tipo se considerará un incumplimiento del presente Acuerdo.
      3. El tratamiento de datos afecta a las siguientes categorías de interesados:
         Visitantes de los contenidos del Responsable, tales como, entre otros, contenidos y otras funcionalidades de Publitas que hayan registrado sus datos en los espacios seleccionados por el Responsable, como páginas web, apps y plataformas similaresLa prestación del tratamiento de datos acordado contractualmente tiene lugar exclusivamente en un Estado miembro de la Unión Europea, otro Estado parte en el Acuerdo sobre el Espacio Económico Europeo o un Estado con un nivel adecuado de protección de datos de conformidad con el art. 45 GDPR, según lo determinado por la Comisión Europea.
      4. El traslado del servicio a un tercer país -un país fuera del ámbito de aplicación del nº 1.2.4. - requiere el consentimiento previo del Responsable del Tratamiento y sólo podrá tener lugar si se cumplen los requisitos especiales del art. 44 y ss. GDPR. Si se cumplen estos requisitos, debe haber razones importantes relacionadas con la protección de datos para denegar el consentimiento.
      5. En caso de contradicciones relacionadas con la protección de datos entre el Acuerdo de servicio o cualquier otro acuerdo con el encargado del tratamiento y el presente Acuerdo, prevalecerá el presente Acuerdo como disposición más específica.
   3. Duración del tratamiento
      La duración del tratamiento (plazo) nunca será superior a la necesaria para llevar a cabo las actividades de tratamiento y corresponde al plazo del Acuerdo de Servicio, a menos que las disposiciones del presente APD den lugar a obligaciones que excedan del mismo. En este último caso, el presente APD terminará cuando expiren las obligaciones que excedan del Acuerdo de Servicio.
2. Confidencialidad
   El encargado del tratamiento garantizará el mantenimiento de la confidencialidad de conformidad con el Art. 28 párr. 3 S. 2 punto (b), 29 y 32 para. 4 GDPR. En el tratamiento de datos, el encargado del tratamiento sólo utilizará empleados que estén obligados a mantener la confidencialidad y que se hayan familiarizado de antemano con las disposiciones de protección de datos pertinentes para ellos. El encargado del tratamiento y cualquier persona subordinada al encargado del tratamiento que tenga acceso a datos personales, únicamente tratará dichos datos de conformidad con las instrucciones del responsable del tratamiento, el acuerdo de servicio y los poderes otorgados en el presente APD, a menos que estén legalmente obligados a tratar dichos datos.
3. Obligaciones del interventor
   1. En el ámbito del APD, el Responsable del tratamiento es el único responsable del cumplimiento de las disposiciones legales en materia de protección de datos, en particular de la licitud de los datos transferidos al Encargado del tratamiento y de la licitud del tratamiento ("Responsable del tratamiento" en el sentido del art. 4 n.º 7 del RGPD). Esto también se aplicará en relación con el objeto, el alcance, el tipo y la finalidad del tratamiento de datos regulado en el presente Acuerdo, la descripción de los datos pertinentes de conformidad con el apartado 1.2 y la protección de los derechos de los interesados.
   2. En particular, el Responsable del tratamiento será responsable de garantizar que todas las medidas técnicas y organizativas exigidas directa o indirectamente por las leyes y reglamentos para este tratamiento proporcionen un nivel adecuado de protección frente a los riesgos de los datos tratados. Por su parte, el Encargado del tratamiento es responsable del cumplimiento de dichas medidas.
   3. El Responsable del Tratamiento deberá informar al Encargado del Tratamiento en caso de violación de los datos personales, sin dilación indebida y, siempre que sea posible, a más tardar 72 horas después de haber tenido conocimiento de la misma, y de forma completa si detecta errores o irregularidades en el tratamiento con respecto a la normativa de protección de datos.
   4. En caso necesario, el Responsable del tratamiento facilitará al Encargado del tratamiento la persona de contacto para cualquier cuestión relativa a la protección de datos que surja en el ámbito del presente APD. Si no se asigna ninguna persona de contacto, el Responsable del tratamiento se pondrá en contacto con el firmante y/o con el Responsable del tratamiento a través de los datos presentados en su Cuenta de Publitas.
   5. Otros derechos y obligaciones del Responsable del tratamiento se derivan de las siguientes disposiciones de la presente DPA y del GDPR, así como de las disposiciones legales correspondientes.
4. Instrucciones
   1. El encargado del tratamiento -y cualquier persona subordinada a él- sólo podrá tratar los datos personales en el marco de las instrucciones del responsable del tratamiento, salvo que existan circunstancias excepcionales imperantes en el sentido del artículo 28, apartado 3, frase 2, letra a), del RGPD u otra disposición legal imperativa. 3 frase 2 letra (a) GDPR u otra disposición legal imperativa. El Acuerdo de Servicio y el APD constituyen las instrucciones finales del Responsable del Tratamiento (en relación con el tratamiento de datos) en el momento de la celebración del presente APD. Se reservan al responsable del tratamiento otras instrucciones, que se tratarán de conformidad con la sección 4.3. del presente APD. El encargado del tratamiento aceptará instrucciones del responsable del tratamiento por escrito, así como a través de los formatos electrónicos ofrecidos por el encargado del tratamiento a tal efecto. Las instrucciones verbales sólo se permitirán en casos urgentes y deberán ser confirmadas inmediatamente por el Responsable del tratamiento por escrito o en un formato electrónico ofrecido por el Encargado del tratamiento a tal efecto.
   2. El encargado del tratamiento informará al responsable del tratamiento sin demora indebida si considera que una instrucción infringe las leyes o reglamentos pertinentes. El encargado del tratamiento podrá suspender la ejecución de la instrucción hasta que el responsable del tratamiento la haya confirmado o modificado tras su verificación. El responsable del tratamiento es plenamente responsable ante el encargado del tratamiento de los daños y perjuicios de cualquier tipo derivados de las instrucciones confirmadas, e indemnizará al encargado del tratamiento frente a reclamaciones de terceros a primer requerimiento. En caso de desacuerdo persistente, las partes acuerdan consultar a la autoridad de control competente responsable del Encargado del tratamiento.
   3. Si las instrucciones del Responsable del tratamiento no están cubiertas por el alcance de los servicios acordados contractualmente, se tratarán como una solicitud de modificación de los servicios. En caso de que se propongan modificaciones, el encargado del tratamiento podrá informar al responsable del tratamiento sobre las repercusiones en los servicios acordados, en particular sobre la posibilidad de prestar los servicios, los plazos y la remuneración. Si no puede esperarse razonablemente que el Encargado del tratamiento aplique las instrucciones, el Encargado del tratamiento tendrá derecho a rechazarlas. En caso de que, a pesar de ello, el responsable del tratamiento insista en las instrucciones, el encargado del tratamiento tendrá un derecho especial de rescisión y podrá poner fin al tratamiento -y, en consecuencia, rescindir el APD y el contrato de servicios- en cualquier momento con efecto inmediato.
   4. El Responsable del Tratamiento designa a las personas exclusivamente autorizadas para dar instrucciones dentro de Publitas o, si ello no fuera posible dentro de Publitas, por correo electrónico a la siguiente dirección: privacy@publitas.com. En caso de que no se designe a ninguna persona autorizada para dar instrucciones, sólo estarán facultadas para dar instrucciones las personas físicas autorizadas para representar legalmente al Responsable. El Encargado del tratamiento podrá suspender la ejecución de las instrucciones hasta que el Responsable del tratamiento haya acreditado ante el Encargado del tratamiento la facultad de representar legalmente al Responsable del tratamiento.
5. Obligaciones del procesador
   1. Obligaciones generales del procesador
      1. Además de cumplir con las disposiciones de la presente DPA, el procesador tendrá obligaciones legales de conformidad con los artículos 28 a 33 GDPR; en este sentido, en particular, el procesador garantizará el cumplimiento de las siguientes disposiciones.
      2. Si es necesario por ley, el procesador garantiza el nombramiento por escrito de un oficial de protección de datos que desempeña sus funciones de conformidad con los artículos 38 y 39 GDPR. Los datos de contacto constantemente actualizados de este responsable de protección de datos serán fácilmente accesibles en la página de inicio o dentro de Publitas.
      3. El responsable y el encargado del tratamiento cooperarán con la autoridad de control en el desempeño de sus funciones en caso necesario.
      4. El encargado del tratamiento informará inmediatamente al responsable del tratamiento de las acciones y medidas de control adoptadas por la autoridad de control en la medida en que estén relacionadas con el presente Acuerdo. Esto también se aplicará si una autoridad competente determina que el encargado del tratamiento ha tratado datos personales procedentes de este tratamiento y que están relacionados con procedimientos administrativos o penales, a menos que el encargado del tratamiento esté obligado por ley o por las autoridades a abstenerse de realizar dicha notificación.
      5. Cuando el propio responsable del tratamiento esté sujeto a inspección por parte de la autoridad de control, a procedimientos administrativos o penales, a la responsabilidad de una persona afectada o de un tercero o a cualquier otra reclamación en relación con el tratamiento de datos por parte del encargado del tratamiento, éste, previa solicitud, asistirá al responsable del tratamiento en la medida de sus posibilidades.
      6. El encargado del tratamiento supervisará periódicamente los procesos internos y las medidas técnicas y organizativas para garantizar que el tratamiento dentro de su ámbito de responsabilidad se lleva a cabo de conformidad con los requisitos de la legislación aplicable en materia de protección de datos y que se protegen los derechos del interesado.
      7. El Encargado del Tratamiento facilitará al Responsable del Tratamiento los documentos que acrediten las medidas técnicas y organizativas adoptadas de conformidad con el apartado 6.2, demostrando las certificaciones ISO pertinentes de TOM en materia de seguridad de la privacidad, entre otras.
   2. Obligación de cooperar en las inspecciones
      1. El responsable del tratamiento tiene derecho a inspeccionar el cumplimiento de las obligaciones derivadas de la APD en relación con sus propios datos teniendo debidamente en cuenta los intereses legítimos del encargado del tratamiento, las medidas técnicas y organizativas, así como las normas de protección de datos, previo acuerdo con el encargado del tratamiento durante su horario laboral habitual -teniendo en cuenta un preaviso mínimo de 14 días- o a hacer que las verifiquen auditores que se designarán en casos concretos. Para las inspecciones que resulten necesarias debido a un incidente de seguridad o a una infracción más que insignificante de las disposiciones de protección de datos personales o de las disposiciones de la presente APD (en lo sucesivo, "inspección in situ relacionada con un suceso"), el plazo de notificación de la frase 1 se reducirá a un plazo adecuado, pero no superior a 72 horas. Además, las inspecciones in situ relacionadas con sucesos no están sujetas a las restricciones de las cláusulas 5.2.3.-5.2.4. de la presente APD.
      2. El Responsable del Tratamiento podrá supeditar el consentimiento para la inspección a que el inspector se someta a un acuerdo de confidencialidad adecuado. Si el inspector encargado por el Responsable del Tratamiento mantiene una relación de competencia con el Responsable del Tratamiento o si existe otro caso justificado, el Responsable del Tratamiento tiene derecho a oponerse a la elección del Responsable del Tratamiento.
      3. Dentro del ámbito de aplicación de esta cláusula, el transformador sólo estará obligado a tolerar y cooperar en una inspección in situ no relacionada con el evento (sin causa justificada) por año natural realizada por un tercero independiente. El esfuerzo de una inspección in situ no relacionada con el evento (sin causa) se limita generalmente a un día por año natural para el Procesador. Todos los costes relacionados con la inspección tanto para el Responsable como para el Transformador correrán a cargo del Responsable. Los transformadores no cobrarán los costes internos, como el coste de la mano de obra.
      4. El encargado del tratamiento tendrá derecho a rechazar la inspección in situ no relacionada con un acontecimiento (sin causa justificada) de la presente sección siempre y cuando acredite el cumplimiento de sus obligaciones mediante pruebas adecuadas. Las pruebas apropiadas podrán incluir, en particular, normas de conducta aprobadas en el sentido del Art. 40 GDPR o un procedimiento de certificación aprobado en el sentido del art. 42 DEL RGPD. Ambas Partes acuerdan que también se reconocen como pruebas adecuadas la presentación de certificados o informes por parte de organismos independientes (por ejemplo, responsable de seguridad informática, responsable de protección de datos, etc.), un concepto concluyente de seguridad de datos de la empresa o una certificación adecuada por parte de una auditoría de seguridad informática y protección de datos.
6. Medidas técnicas y organizativas
   1. El encargado del tratamiento documentará la aplicación de las medidas técnicas y organizativas establecidas y exigidas con anterioridad a la celebración del contrato antes del inicio del tratamiento, en particular con respecto al tratamiento específico de los datos, y la mantendrá disponible para su inspección por parte del responsable del tratamiento.
   2. El encargado del tratamiento garantizará la seguridad del tratamiento de conformidad con el Art. 28 para. 3 letra (c) y 32 GDPR, en particular en relación con el Art. 5 para. 1, párrafo 2 GDPR. En general, las medidas que deben adoptarse son medidas de seguridad de los datos y medidas para garantizar un nivel de protección adecuado al riesgo con respecto a la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. El estado de la técnica, los costes de aplicación y la naturaleza, el alcance y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables de los derechos y libertades de las personas físicas en el sentido del art. 32 párr. 1 del RGPD. 
   3. Las medidas técnicas y organizativas están sujetas al progreso técnico y al desarrollo ulterior. El encargado del tratamiento se reserva el derecho a modificar las medidas de seguridad adoptadas, si bien deberá garantizarse que no se rebaje el nivel de protección acordado contractualmente. Los cambios significativos deberán documentarse.
7. Relaciones de subprocesamiento
   1. Las relaciones de subtratamiento en el sentido del presente Acuerdo son únicamente los servicios que están directamente relacionados con la prestación del servicio principal. No se incluyen los servicios auxiliares, como el transporte, el mantenimiento y la limpieza, el uso de servicios de telecomunicaciones, la atención al usuario o la gestión de la relación con el cliente, así como otras medidas para garantizar la confidencialidad, disponibilidad, integridad y resistencia del hardware y el software de los sistemas de tratamiento de datos. La obligación del encargado del tratamiento de garantizar el cumplimiento de la protección y la seguridad de los datos de conformidad con las disposiciones legales pertinentes tampoco se verá afectada en estos casos.
   2. Los subencargados del tratamiento figuran en el anexo 1: Lista de subencargados del tratamiento. La autorización del responsable del tratamiento se concede una vez concluido el APD.
   3. Además, el Responsable del tratamiento concede al Encargado del tratamiento el permiso general para utilizar otros subencargados del tratamiento, teniendo en cuenta el apartado 1.2.4. de la DPA. El Encargado del tratamiento informará al Responsable del tratamiento en texto mediante notificación activa -por ejemplo, por correo electrónico, Cuenta Publitas del Responsable del tratamiento- si tiene la intención de contratar a otros subencargados del tratamiento o de sustituir subencargados. El Responsable del tratamiento podrá oponerse a tales cambios, pero no podrá hacerlo sin razones importantes de protección de datos. La objeción a la modificación prevista deberá presentarse por escrito al Responsable del tratamiento en un plazo de 14 días a partir de la notificación de la modificación puesta a disposición de: privacy@publitas.com. En caso de objeción, el encargado del tratamiento podrá, a su discreción, prestar el servicio sin la modificación prevista o -si la prestación del servicio no es razonable para el encargado del tratamiento sin la modificación prevista- interrumpir el servicio frente al responsable del tratamiento en el plazo de 4 semanas tras la recepción de la objeción justificada y rescindir el contrato de servicio sin previo aviso y con efecto inmediato.
   4. Si el Encargado del tratamiento realiza pedidos a subencargados del tratamiento, corresponderá al Encargado del tratamiento transferir sus obligaciones de protección de datos en virtud del presente Acuerdo a los subencargados del tratamiento y celebrar un acuerdo contractual con ellos de conformidad con el art. 28 párr. 2-4 GDPR. En particular, el encargado del tratamiento garantizará que la seguridad del tratamiento de los subencargados se ajuste al nivel de protección previsto en el presente APD. 
   5. Una inspección in situ en los locales de los subencargados del tratamiento será realizada exclusivamente por el encargado del tratamiento y, como máximo, a intervalos anuales. En las mismas condiciones que en el apartado 5.2.4. de la presente APD, la inspección in situ podrá sustituirse por una prueba de tratamiento de datos conforme con la protección de datos. El encargado del tratamiento concederá al responsable del tratamiento el derecho a obtener información sobre el contenido esencial del contrato y la ejecución de las obligaciones del mismo, pudiendo el encargado del tratamiento supeditarlo a que los subencargados del tratamiento lo permitan, por ejemplo, mediante la celebración de un acuerdo de confidencialidad.
8. Derechos de los interesados
   1. Si un interesado se dirige al encargado del tratamiento con una reclamación con arreglo al capítulo III del RGPD en relación con los derechos de los interesados, el encargado del tratamiento remitirá al interesado al responsable del tratamiento, siempre que la asignación al responsable del tratamiento sea posible previa indicación del interesado. Además, el encargado del tratamiento remitirá la solicitud del interesado al responsable del tratamiento sin demora y a más tardar en 74 horas.
   2. Sin perjuicio de lo dispuesto en la sección 8.1., el responsable del tratamiento permite la autoadministración integral de los datos, así como el acceso autónomo, el tratamiento y la verificación de los datos procesados por parte de cada empleado o administrador del responsable del tratamiento, dentro del alcance de los derechos de acceso asignados. Así pues, en la medida en que se trata de salvaguardar los derechos de los interesados con arreglo al capítulo III del RGPD, el propio Responsable del tratamiento está principalmente en condiciones y obligado a cumplir la solicitud del interesado.
   3. Si, a pesar de la posibilidad de dicha autoadministración, se requiere un apoyo adicional por parte del encargado del tratamiento, este asistirá al responsable del tratamiento en la medida de lo posible en su obligación de responder a las solicitudes de ejercicio de los derechos del interesado, tal como se establece en el capítulo III del RGPD.
   4. El encargado del tratamiento no será responsable si el responsable del tratamiento no responde a la solicitud de un interesado, no responde correctamente o no responde a su debido tiempo y ello es culpa exclusiva del responsable del tratamiento.
9. Obligaciones de información y notificación
   1. El encargado del tratamiento asistirá al responsable del tratamiento en el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD en relación con la seguridad de los datos personales, las obligaciones de notificación en caso de filtración de datos y las consultas previas, si fuera necesario. Esto incluye, entre otras cosas
      1. La obligación de informar de cualquier violación de la protección de datos personales relacionados con los usuarios finales del Controlador, por parte del Procesador, los empleados del Procesador o los subprocesadores encargados por el Procesador sin demora indebida al Controlador en el sentido del Art. 33, apartado 2, del RGPD.
      2. El apoyo del Responsable del Tratamiento para su evaluación de impacto sobre la protección de datos, en caso necesario. El encargado del tratamiento podrá cumplir lo anterior facilitando al responsable del tratamiento la información y documentación necesarias previa solicitud.
      3. La asistencia del Responsable del Tratamiento en las consultas con la autoridad de control previas al tratamiento.
   2. El tramitador podrá exigir una remuneración adecuada por los servicios de asistencia conforme a los apartados 9.1.2. y 9.1.3.
10. Divulgación y supresión de datos
    1. Una vez finalizado el tratamiento de datos, el encargado del tratamiento revelará los datos personales facilitados de conformidad con los apartados siguientes. Por regla general, el tratamiento de datos finaliza al término de la vigencia del Contrato de Servicios.
    2. El encargado del tratamiento puede estar facultado u obligado, legal o contractualmente, a conservar los datos personales facilitados durante un determinado período de tiempo tras la finalización del contrato. El Responsable del tratamiento tiene derecho a exigir en cualquier momento, hasta la expiración de dicho plazo, la divulgación en forma de texto de los datos personales en un formato legible por máquina o la supresión de los datos personales almacenados o, si es posible, a descargar los datos directamente del programa informático.
    3. Si el responsable del tratamiento da al encargado del tratamiento instrucciones vinculantes para la supresión en forma de texto, el encargado del tratamiento tendrá derecho a llevar a cabo la supresión de los datos incluso antes de que expire el plazo de conservación de conformidad con el apartado 10.2. La única excepción son los datos que el encargado del tratamiento está legalmente obligado a conservar, es decir, los registros de seguridad.
    4. Si el responsable del tratamiento no ha solicitado la divulgación de los datos ni ha solicitado la supresión de los mismos antes de que finalice el plazo previsto en el apartado 10.2., el encargado del tratamiento estará obligado a suprimir dichos datos.
11. Anonimización
    1. El procesador tiene derecho a anonimizar y agregar los datos personales cubiertos por este Acuerdo y a llevar a cabo los pasos de procesamiento necesarios para la anonimización y la agregación. Manteniendo el anonimato, el Procesador podrá procesar y utilizar todos los datos así generados para sus propios fines, como evaluaciones estadísticas, comparaciones sectoriales, evaluaciones comparativas, mejoras de productos, desarrollo de nuevos productos y otros fines comparables.
    2. La anonimización no afecta a los datos necesarios para prestar los servicios descritos en el Acuerdo y que el Responsable del tratamiento haya facilitado voluntariamente.
    3. Los datos anonimizados o agregados, tal como se definen en la Sección 11.1. Dejarán de considerarse datos personales y no estarán sujetos a la obligación de divulgación o supresión de datos definida en la sección 10. El encargado del tratamiento tendrá derecho a utilizar y almacenar dichos datos para sus propios fines una vez finalizado el contrato.
12. Responsabilidad
    1. Si el daño se ha producido porque el Procesador no ha cumplido con sus obligaciones específicamente impuestas en virtud del GDPR o porque el Procesador no ha cumplido con las instrucciones legalmente emitidas del Controlador o porque el Procesador ha actuado en contra de esas instrucciones, será responsable de los daños incurridos de conformidad con el Art. 82, apartado 2, del RGPD.
    2. En todos los demás casos, el Responsable del tratamiento será plenamente responsable de los daños en la relación interna y liberará al Encargado del tratamiento de cualquier reclamación del interesado o de terceros a primer requerimiento que se presente contra el Encargado del tratamiento en relación con el tratamiento de datos. Esto se aplicará en particular también si una reclamación como deudor solidario supera la proporción de la deuda atribuible al encargado del tratamiento en términos de sumas. 
    3. Corresponde al Controlador la carga de la prueba de que los daños no son consecuencia de circunstancias de las que sea responsable.
    4. Las exclusiones de responsabilidad del presente Contrato no se aplicarán en caso de dolo o negligencia grave ni en caso de daños resultantes de lesiones a la vida, la integridad física o la salud.
    5. En todos los demás aspectos, la responsabilidad se regirá por el Contrato de Servicios.
13. Disposiciones finales
    1. Las Partes podrán aceptar/confirmar la celebración del contrato en formato electrónico en el sentido del Art. 28 para. 9 GDPR.
    2. Ambas partes están obligadas a tratar confidencialmente todos los conocimientos sobre secretos comerciales y medidas de seguridad de datos de la otra parte que hayan sido adquiridos en el ámbito de la relación contractual, incluso después de la finalización del Acuerdo. Esto también se aplica en particular al contenido del presente APD, así como a todos los documentos, pruebas, etc. puestos a disposición en el marco de la auditoría de protección de datos. En caso de duda sobre si la información está sujeta a confidencialidad, se considerará confidencial hasta que la otra parte la divulgue por escrito.
    3. Las modificaciones y suplementos del presente APD y de todos sus componentes -incluidas las garantías ofrecidas por el encargado del tratamiento- se harán por escrito de conformidad con el RGPD, que también podrá ser en formato electrónico, y requerirán una indicación expresa de que se han modificado o complementado las presentes condiciones. Esto también se aplica a la renuncia a este requisito formal. Las partes acuerdan que las modificaciones del APD o los nuevos contratos se celebrarán en formato electrónico de conformidad con el art. 28 para. 9 GDPR.  
    4. En caso de que los datos del responsable del tratamiento se vean amenazados por embargo o confiscación, por procedimientos de insolvencia o de concurso de acreedores o por otros acontecimientos o medidas de terceros, el encargado del tratamiento informará inmediatamente al responsable del tratamiento, a menos que el encargado del tratamiento tenga legalmente prohibido hacerlo por instrucciones de una autoridad oficial o por la propia ley. El encargado del tratamiento informará inmediatamente a todas las partes implicadas en esta relación de que la soberanía y la propiedad de los datos corresponden exclusivamente al responsable del tratamiento como "parte responsable" en el sentido del RGPD.
    5. Se aplicará la legislación neerlandesa.
    6. Para todos los litigios relacionados con el presente APD, se acordará como fuero exclusivo el domicilio social del Procesador, siempre que esté permitido.
    7. El presente APD sustituye a todas las garantías, acuerdos, convenios, contratos o notificaciones anteriores o concomitantes entre el Responsable del Tratamiento y el Encargado del Tratamiento, ya sean escritos u orales, con respecto al objeto del presente APD. Los acuerdos de servicio celebrados respectivamente no se verán afectados por el presente Acuerdo.
    8. La invalidez de algunas partes del presente Acuerdo no afectará a la validez de las demás partes.

ANEXO 1: LISTA DE SUBPROCESADORES