Conoce YOLO26: IA de visión de nueva generación.
Ultralytics
Legal

Acuerdo de procesamiento de datos (DPA) de Ultralytics

Revisa el Acuerdo de procesamiento de datos de Ultralytics que cubre el manejo de datos personales, las medidas de seguridad y el cumplimiento de las leyes de protección de datos de la UE y el Reino Unido.

Este Acuerdo de Procesamiento de Datos ("APD") se incorpora y forma parte de (i) los Términos de Servicio de Ultralytics y/o (ii) cualquier formulario de pedido, acuerdo empresarial u otro acuerdo por escrito aplicable que haga referencia a este APD (cada uno, el "Acuerdo") entre el cliente ("Cliente", "tú") y Ultralytics, Inc. ("Ultralytics", "Compañía", "nosotros").

Este APD refleja el acuerdo de las partes con respecto a:

  • (A) Términos de Responsable a Encargado: el Procesamiento de Datos Personales del Cliente por parte de Ultralytics como Encargado (o subencargado cuando el Cliente sea un Responsable) en nombre del Cliente en relación con los Servicios; y
  • (B) Términos de Responsable a Responsable: el Procesamiento de Datos Personales del Responsable por parte de cada parte como Responsable independiente, únicamente en la medida descrita en la Sección 10.

Este APD permanece vigente durante el plazo del Acuerdo y mientras Ultralytics Procese Datos Personales del Cliente en nombre del Cliente.

Este APD se aplica únicamente al Procesamiento de Datos Personales del Cliente por parte de Ultralytics dentro de la Plataforma Ultralytics. Para evitar dudas, este APD no se aplica al uso, implementación u operación por parte del Cliente de los modelos de código abierto Ultralytics YOLO fuera de la Plataforma Ultralytics, lo cual se realiza bajo la exclusiva responsabilidad del Cliente.

Ultralytics puede actualizar este APD de vez en cuando para reflejar cambios en la ley, orientaciones reglamentarias o los Servicios, siendo efectivo a partir de la fecha de publicación, siempre que las actualizaciones no reduzcan materialmente las protecciones de privacidad para los Datos Personales del Cliente sin el consentimiento del Cliente (excepto cuando lo exija la ley aplicable).

Link to this sectionDefiniciones#

"Afiliada" significa cualquier entidad que directa o indirectamente controle, sea controlada por, o esté bajo control común con una parte, donde "control" significa la propiedad de más del 50% de los intereses con derecho a voto.

"Salvaguardas Adecuadas" significa aquellos mecanismos legalmente exigibles para las transferencias de Datos Personales que puedan estar permitidos bajo las Leyes de Protección de Datos aplicables, especialmente, pero sin limitarse a, el Artículo 46 del RGPD.

"Subencargado" significa cualquier Encargado contratado por Ultralytics o sus Afiliadas para Procesar Datos Personales del Cliente en nombre de Ultralytics en relación con los Servicios.

"Datos de la Cuenta de la Compañía" significa datos personales relacionados con la relación de la Compañía con el Cliente, incluidos los nombres o información de contacto de las personas autorizadas por el Cliente para acceder a la cuenta del Cliente y la información de facturación de las personas que el Cliente haya asociado a su cuenta. Los Datos de la Cuenta de la Compañía también incluyen cualquier dato que la Compañía pueda necesitar recopilar con el propósito de gestionar su relación con el Cliente, verificación de identidad o según lo requieran las leyes y regulaciones aplicables.

"Datos de Uso de la Compañía" significa datos de uso del Servicio recopilados y procesados por la Compañía en relación con la prestación de los Servicios, incluidos, entre otros, los datos utilizados para identificar la fuente y el destino de una comunicación, registros de actividad y datos utilizados para optimizar y mantener el rendimiento de los Servicios, y para investigar y prevenir el abuso del sistema.

"Datos del Cliente" significa cualquier dato, contenido, material, archivo o información (incluidos conjuntos de datos, imágenes, vídeo, anotaciones, etiquetas, metadatos, entradas y salidas de modelos, y otros contenidos) que el Cliente o sus usuarios autorizados carguen, envíen, transmitan o pongan a disposición para su Procesamiento en relación con los Servicios, incluidos los datos generados para el Cliente mediante el uso de los Servicios por parte del Cliente.

"Brecha de Datos Personales del Cliente" significa una brecha de seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales del Cliente Procesados por Ultralytics o sus Subencargados en relación con los Servicios. La Brecha de Datos Personales del Cliente no incluye intentos o actividades fallidas que no comprometan los Datos Personales del Cliente (por ejemplo, intentos fallidos de inicio de sesión, escaneos de puertos, ataques de denegación de servicio u otros ataques a cortafuegos o sistemas en red).

"Leyes de Protección de Datos" significa todas las leyes aplicables relacionadas con la privacidad y la protección de datos que se apliquen al Procesamiento de Datos Personales por parte de una parte bajo el Acuerdo, incluido (según corresponda) el RGPD, el RGPD del Reino Unido, la LPD suiza, ePrivacy/PECR, la CCPA/CPRA y otras leyes estatales de privacidad de EE. UU. aplicables.

"RGPD" significa el Reglamento (UE) 2016/679; "RGPD del Reino Unido" significa el RGPD incorporado a la legislación del Reino Unido; "LPD suiza" significa la Ley Federal Suiza sobre Protección de Datos (revisada). "Instrucciones" significa las instrucciones documentadas del Cliente a Ultralytics con respecto al Procesamiento de Datos Personales del Cliente, tal como se describe en la Sección 2.2.

"SCC" significa las cláusulas contractuales tipo de la UE (Decisión 2021/914); "Adenda del Reino Unido" significa la Adenda de Transferencia Internacional de Datos de la ICO. Otros términos en mayúsculas tienen los significados dados en las Leyes de Protección de Datos y/o el Acuerdo.

"Servicios" significa los servicios y funcionalidades puestos a disposición por Ultralytics al Cliente bajo el Acuerdo, incluida la Plataforma Ultralytics y cualquier soporte, administración y documentación relacionados, tal como se describe más detalladamente en el Acuerdo.

"Plataforma Ultralytics" significa el entorno de software como servicio basado en la nube de Ultralytics a través del cual los Clientes pueden cargar, gestionar, anotar y versionar conjuntos de datos; entrenar, evaluar, comparar, exportar e implementar modelos de visión artificial; gestionar proyectos y usuarios; y acceder a funciones y soporte relacionados, y a través del cual Ultralytics Procesa Datos Personales del Cliente en nombre del Cliente de acuerdo con este APD.

"Modelos de Código Abierto Ultralytics YOLO" significan los modelos de visión artificial de código abierto y el código fuente relacionado puestos a disposición por Ultralytics bajo licencias de código abierto aplicables, que los Clientes pueden descargar, implementar, alojar y operar de forma independiente en sus propios entornos. Para mayor claridad, cuando los Clientes implementan o utilizan los Modelos de Código Abierto Ultralytics YOLO fuera de la Plataforma Ultralytics, Ultralytics no Procesa Datos Personales en nombre del Cliente bajo este APD.

Link to this sectionResponsabilidades del Cliente#

2.1 Cumplimiento de las Leyes. El Cliente es responsable de cumplir con las Leyes de Protección de Datos en relación con su Procesamiento de Datos Personales y su uso de los Servicios, incluyendo proporcionar los avisos requeridos y obtener los consentimientos y autorizaciones necesarios.

2.2 Instrucciones. El Acuerdo (incluido este APD), junto con la configuración y uso de los Servicios por parte del Cliente de acuerdo con el Acuerdo, constituyen las Instrucciones completas del Cliente a Ultralytics para el Procesamiento de Datos Personales del Cliente. El Cliente puede proporcionar Instrucciones adicionales durante el plazo, siempre que sean consistentes con el Acuerdo y los Servicios. Si Ultralytics cree razonablemente que las Instrucciones adicionales requieren cambios materiales o suponen una carga, las partes lo discutirán de buena fe.

2.3 Datos Prohibidos. A menos que las partes acuerden expresamente lo contrario por escrito (incluido el acuerdo sobre salvaguardas adicionales requeridas por las Leyes de Protección de Datos aplicables), el Cliente no proporcionará, enviará ni pondrá a disposición de Ultralytics ninguna Categoría Especial de Datos Personales bajo el Artículo 9 del RGPD (o equivalente), ni datos relacionados con condenas o delitos penales bajo el Artículo 10 del RGPD.

A modo de ilustración y sin limitación, los Datos Prohibidos incluyen:

  • números de identificación emitidos por el gobierno (como números de pasaporte, números de identificación nacional o números de seguridad social);
  • información médica o de salud, incluidos los identificadores biométricos utilizados con el propósito de identificar de forma única a una persona física;
  • información relativa al origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, o afiliación sindical de un individuo;
  • datos genéticos o datos biométricos procesados con el propósito de identificar de forma única a una persona física;
  • datos personales relativos a niños, donde esté restringido por las Leyes de Protección de Datos aplicables;
  • y datos relacionados con condenas penales, presunta conducta delictiva o actividades de aplicación de la ley.

Además, los Servicios tampoco están destinados a procesar otros datos que requieran una mayor protección bajo las Leyes de Protección de Datos aplicables, como datos de tarjetas de pago, números de cuenta bancaria o geolocalización precisa. El Cliente es el único responsable de garantizar que los conjuntos de datos, imágenes, vídeo, anotaciones, etiquetas, metadatos u otros contenidos cargados o procesados a través de los Servicios no incluyan Datos Prohibidos. Cualquier Procesamiento de Datos Prohibidos en violación de esta Sección constituye un incumplimiento material de este APD.

2.4 Datos Inapropiados; Indemnización. El Cliente es el único responsable de la legalidad de los Datos Personales del Cliente proporcionados a Ultralytics y de garantizar que sean apropiados para los Servicios. El Cliente defenderá e indemnizará a Ultralytics frente a cualquier reclamación de terceros derivada de la provisión por parte del Cliente de Datos Personales a los Servicios en violación del Acuerdo, este APD o las Leyes de Protección de Datos aplicables.

Link to this sectionObligaciones de Ultralytics como Encargado#

3.1 Limitación de la Finalidad. Ultralytics Procesará los Datos Personales del Cliente únicamente (a) para proporcionar los Servicios de acuerdo con el Acuerdo y el Anexo A, (b) de acuerdo con las Instrucciones del Cliente, y (c) según lo exija la ley aplicable. Ultralytics no utilizará los Datos Personales del Cliente ni los Datos del Cliente para entrenar, mejorar o desarrollar los modelos generales o comercialmente disponibles de Ultralytics, excepto cuando el Cliente lo indique expresamente por escrito o a través de los Servicios.

3.2 Conflicto de Leyes. Si Ultralytics se da cuenta de que no puede Procesar los Datos Personales del Cliente de acuerdo con las Instrucciones debido a un requisito legal, Ultralytics (en la medida permitida por la ley) notificará al Cliente y, cuando sea necesario, suspenderá el Procesamiento afectado (salvo el almacenamiento seguro) hasta que el Cliente emita Instrucciones conformes.

3.3 Confidencialidad del Personal. Ultralytics garantizará que las personas autorizadas para procesar Datos Personales del Cliente estén sujetas a obligaciones de confidencialidad. El Cliente acepta que Ultralytics pueda divulgar Datos Personales del Cliente a sus asesores profesionales y auditores según sea razonablemente necesario en relación con el cumplimiento del Acuerdo/APD, sujeto a obligaciones de confidencialidad.

3.4 Subprocesamiento. Ultralytics puede contratar Subencargados de acuerdo con la Sección 5 y sigue siendo responsable de que cumplan con obligaciones equivalentes.

3.5 Eliminación / Devolución. Tras la terminación de los Servicios, Ultralytics eliminará o devolverá los Datos Personales del Cliente de acuerdo con el Acuerdo y el Anexo A, a menos que la ley exija su retención. La certificación de eliminación bajo las SCC se proporcionará previa solicitud del Cliente.

Link to this sectionDerechos del Titular de los Datos (o Consumidor)#

4.1 Solicitud del Titular de los Datos (o Consumidor). Ultralytics, en la medida legalmente permitida, notificará al Cliente a través del contacto principal en la cuenta sin demora indebida si Ultralytics recibe una solicitud de un Titular de los Datos (o Consumidor) para ejercer el derecho de acceso (o divulgación), derecho de rectificación, restricción de Procesamiento, supresión (o eliminación o el "derecho al olvido"), portabilidad de datos, oposición al Procesamiento, o su derecho a no ser objeto de una decisión individual automatizada ("Solicitud del Titular de los Datos (o Consumidor)").

4.2 Asistencia. Teniendo en cuenta la naturaleza del Procesamiento, Ultralytics proporcionará asistencia razonable al Cliente para responder a las solicitudes de ejercicio de los derechos de los Titulares de los Datos bajo las Leyes de Protección de Datos, en la medida en que el Cliente no pueda cumplir la solicitud utilizando la funcionalidad del Servicio disponible.

4.3 EIPD; Consulta Previa. Teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Ultralytics, Ultralytics proporcionará asistencia razonable al Cliente con (i) evaluaciones de impacto de protección de datos y (ii) la consulta y/o cooperación del Cliente con las autoridades supervisoras, en cada caso donde lo exijan las Leyes de Protección de Datos y cuando el Cliente no tenga acceso a la información pertinente por otros medios. Excepto cuando lo exijan las Leyes de Protección de Datos o en relación con una Brecha de Datos Personales del Cliente, el Cliente no solicitará dicha asistencia más de una vez en cualquier período de doce (12) meses. El Cliente reembolsará los costes y gastos razonables de Ultralytics incurridos en la prestación de dicha asistencia, cuando la ley lo permita.

Link to this sectionSubencargados#

5.1 Autorización General. El Cliente otorga a Ultralytics una autorización general por escrito para contratar Subencargados para Procesar Datos Personales del Cliente para los Servicios.

5.2 Lista y aviso. Una lista de los subencargados del tratamiento actuales está disponible en Ultralytics Sub-Processor List (la "Lista"). Ultralytics proporcionará un mecanismo para suscribirse a las notificaciones de actualizaciones de la Lista y notificará la incorporación de nuevos subencargados del tratamiento con al menos diez (10) días de antelación a autorizarles el tratamiento de datos personales del Cliente. El Cliente es responsable de suscribirse a dichas notificaciones cuando estén disponibles; si el Cliente no se suscribe, reconoce que podría no recibir el aviso previo a través de ese mecanismo. En cualquier caso, las actualizaciones de la Lista constituirán un aviso de cambios en los subencargados del tratamiento. El Cliente reconoce que ciertos subencargados del tratamiento son esenciales para la prestación de los Servicios y que oponerse al uso de un subencargado del tratamiento puede impedir que la Empresa ofrezca los Servicios al Cliente.

Para mayor claridad, las Afiliadas de Ultralytics involucradas en la prestación de los Servicios, incluidas Ultralytics Ltd (UK) y Ultralytics AI Spain, S.L., pueden actuar como Subencargados intragrupo cuando Procesen Datos Personales del Cliente en nombre de Ultralytics Inc. en relación con los Servicios.

5.3 Objeción a Nuevos Subencargados. El Cliente puede objetar por escrito la contratación de un nuevo Subencargado por motivos razonables de protección de datos de acuerdo con la Sección 5.2. Si Ultralytics no puede abordar razonablemente la objeción del Cliente, el Cliente puede interrumpir el Servicio afectado mediante notificación por escrito, sin eximir al Cliente de las tarifas devengadas antes de dicha interrupción.

5.4 Obligaciones en cascada. Ultralytics contratará Subencargados solo después de realizar una diligencia debida razonable y basada en el riesgo para evaluar si el Subencargado es capaz de proporcionar un nivel adecuado de protección para los Datos Personales del Cliente de acuerdo con las Leyes de Protección de Datos aplicables, y supervisará periódicamente a los Subencargados como parte de su programa de gestión de proveedores. Ultralytics se asegurará de que sus Subencargados estén sujetos a obligaciones de protección de datos que sean materialmente equivalentes a, o más protectoras que, las establecidas en este APD. Previa solicitud del Cliente, Ultralytics proporcionará copias (que pueden estar redactadas por motivos de confidencialidad) de los términos de protección de datos pertinentes del Subencargado, según lo requerido por las SCC.

Link to this sectionSeguridad#

6.1 Medidas. Teniendo en cuenta el estado de la técnica, la naturaleza, el alcance, el contexto y los fines del Procesamiento, y el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Ultralytics implementará y mantendrá medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a dicho riesgo, de acuerdo con las Leyes de Protección de Datos aplicables, incluido el Artículo 32 del RGPD. Estas medidas se describen en el Anexo C, que Ultralytics puede actualizar de vez en cuando, siempre que dicha actualización no reduzca materialmente el nivel general de protección de los Datos Personales del Cliente.

6.2 Responsabilidades del Cliente. No obstante lo anterior, el Cliente reconoce que, salvo que se disponga expresamente lo contrario en este APD, el Cliente es responsable de su uso seguro de los Servicios, incluida la protección de sus credenciales de autenticación de cuenta, la configuración adecuada de los controles de acceso y la garantía de que sus usuarios accedan y utilicen los Servicios de una manera coherente con las Leyes de Protección de Datos aplicables y las funciones de seguridad puestas a disposición por Ultralytics.

Link to this sectionAuditorías del Cliente y Demostración de Cumplimiento#

7.1 Documentación. Previa solicitud razonable, Ultralytics pondrá a disposición la información razonablemente necesaria para demostrar el cumplimiento de este APD (incluidos informes de auditoría o certificaciones de terceros actuales, cuando estén disponibles). Ultralytics mantendrá registros suficientes para demostrar el cumplimiento de este APD y conservará dichos registros durante un período razonable tras la terminación (por ejemplo, tres (3) años), a menos que la ley exija un período más largo.

7.2 Auditoría. Cuando las Leyes de Protección de Datos lo exijan y la documentación sea insuficiente, el Cliente podrá, previa notificación por escrito con antelación razonable y a cargo del Cliente, solicitar una auditoría o inspección de los sistemas y procesos pertinentes de Ultralytics. Cualquier auditoría o inspección de este tipo se llevará a cabo solo después de un acuerdo mutuo por escrito entre las partes sobre el alcance, el momento y la duración de la auditoría, así como cualquier tasa de reembolso razonable por el tiempo y los recursos de Ultralytics empleados en relación con la auditoría. Cualquier auditoría realizada de conformidad con esta Sección deberá:

  • (a) ocurrir no más de una vez en cualquier período de doce (12) meses;
  • (b) realizarse durante el horario laboral normal de Ultralytics;
  • (c) estar sujeta a controles razonables de confidencialidad, seguridad y protección; y
  • (d) limitarse a los sistemas y registros razonablemente relevantes para el Procesamiento de Datos Personales del Cliente.

El Cliente notificará rápidamente a Ultralytics cualquier incumplimiento material identificado durante una auditoría para permitir a Ultralytics una oportunidad razonable de abordar dichos hallazgos.

Link to this sectionBrechas de Datos Personales#

8.1 Notificación. Ultralytics notificará al Cliente sin demora indebida, pero a más tardar 72 horas después de tener conocimiento de una Brecha de Datos Personales del Cliente.

8.2 Asistencia. Ultralytics proporcionará asistencia razonable para las notificaciones requeridas por el Cliente a los reguladores y a los Titulares de los Datos afectados, teniendo en cuenta la información disponible para Ultralytics.

8.3 Sin Admisión. La notificación de una brecha no constituye una admisión de culpa o responsabilidad. La obligación de notificación de brechas no se aplica en la medida en que una Brecha de Datos Personales del Cliente sea causada por acciones u omisiones del Cliente o sus usuarios.

Link to this sectionTransferencias (UE/Reino Unido/Suiza)#

9.1 Transferencias Internacionales. El Cliente reconoce que las operaciones de procesamiento primario de Ultralytics pueden ocurrir en los Estados Unidos y otras ubicaciones según sea necesario para proporcionar los Servicios.

Para mayor claridad, los Datos Personales del Cliente también pueden transferirse entre Ultralytics Inc. y sus Afiliadas (incluidas Ultralytics Ltd (UK) y Ultralytics AI Spain, S.L.) cuando dichas Afiliadas actúen como Subencargados en relación con los Servicios. Cuando dichas transferencias califiquen como transferencias internacionales bajo las Leyes de Protección de Datos aplicables, estarán sujetas a Salvaguardas Adecuadas, incluidas las SCC (Módulo 3, cuando corresponda) u otros mecanismos de transferencia válidos.

Cuando se requiera la transferencia de Datos Personales del Cliente a un país que no ha sido reconocido como proveedor de un nivel adecuado de protección de datos, dichas transferencias se realizarán sujetas a Salvaguardas Adecuadas de acuerdo con las Leyes de Protección de Datos aplicables, incluyendo, cuando corresponda, las SCC y la Adenda del Reino Unido según se incorporen en este APD.

9.2 SCC de la UE. Para las transferencias de Datos Personales del Cliente sujetas al RGPD a un tercer país sin adecuación, las partes incorporan las SCC de la UE. El Módulo Dos (Responsable→Encargado) se aplica cuando el Cliente es un Responsable; el Módulo Tres (Encargado→Subencargado) se aplica cuando el Cliente es un Encargado. Los anexos de las SCC se completan utilizando el Anexo B (Anexo I/III) y el Anexo C (Anexo II).

9.3 Adenda del Reino Unido. Para las transferencias sujetas al RGPD del Reino Unido, las partes incorporan la Adenda del Reino Unido, completada por referencia al Anexo B/C y la selección del mecanismo de transferencia aplicable.

9.4 Suiza. Para las transferencias suizas, se aplican las SCC de la UE con las modificaciones suizas estándar (las referencias al RGPD incluyen la LPD suiza; el FDPIC como autoridad competente, etc.), completadas por referencia a los Anexos.

9.5 Solicitudes de Acceso Gubernamental. Ultralytics manejará las solicitudes legalmente vinculantes de Datos Personales del Cliente de manera coherente con la ley aplicable y las SCC, incluyendo (cuando sea legalmente permitido) la notificación al Cliente y la cooperación razonable.

Link to this sectionTérminos de Responsable a Responsable (Cuenta / Uso / Operaciones de Seguridad de Ultralytics)#

10.1 Alcance. Esta Sección se aplica al Procesamiento de Datos Personales del Responsable por parte de cada parte como Responsable independiente (no responsables conjuntos), incluido el Procesamiento de Datos de la Cuenta de la Compañía y Datos de Uso de la Compañía por parte de Ultralytics.

10.2 Obligaciones del Responsable Independiente. Cada parte deberá:

  • (a) Procesar los Datos Personales del Responsable en cumplimiento con las Leyes de Protección de Datos;
  • (b) implementar una seguridad adecuada; y
  • (c) responder a las comunicaciones regulatorias relacionadas con su propio Procesamiento.

10.3 Procesamiento de Ultralytics como Responsable. Ultralytics Procesa los Datos de la Cuenta de la Compañía y los Datos de Uso de la Compañía como Responsable para: administración de cuentas, facturación, monitoreo de seguridad y prevención de abusos, verificación de identidad, cumplimiento legal, auditorías/contabilidad y operaciones de servicio (incluido el rendimiento y la fiabilidad). Dicho Procesamiento se describe en la Política de Privacidad de Ultralytics. Nada en este APD se interpretará como la creación de una relación de responsabilidad conjunta entre las partes.

Para evitar dudas, Ultralytics y sus Afiliadas pueden procesar datos de contacto comercial limitados (como nombres, direcciones de correo electrónico corporativas y detalles de contacto profesional) en el contexto de actividades de divulgación comercial, demostraciones, asociaciones y gestión de relaciones con los clientes como Responsables independientes.

Link to this sectionTérminos de California (CCPA/CPRA)#

11.1 Proveedor de Servicios / Encargado. En la medida en que la CCPA/CPRA sea aplicable y Ultralytics Procese Datos Personales del Cliente en nombre del Cliente, Ultralytics actúa como "proveedor de servicios" y/o "encargado", y no "venderá" ni "compartirá" dicha información personal.

11.2 Uso Limitado. Ultralytics no retendrá, utilizará ni divulgará Datos Personales del Cliente fuera del propósito comercial directo de proporcionar los Servicios, excepto según lo permitido por la CCPA/CPRA.

11.3 No Discriminación. Las Partes no deben discriminar a un Consumidor por ejercer sus derechos.

Link to this sectionDisposiciones Generales#

12.1 Limitación de Responsabilidad. Las limitaciones y exclusiones del Acuerdo se aplican a este APD, excepto según lo prohibido por la ley o las SCC/Adenda del Reino Unido.

12.2 Divisibilidad. Si alguna disposición de este APD fuera inválida o inaplicable, el resto de este APD seguirá siendo válido y vigente. La disposición inválida o inaplicable será (i) enmendada según sea necesario para garantizar su validez y aplicabilidad, preservando las intenciones de las Partes tanto como sea posible o, si esto no fuera posible, (ii) interpretada de manera que sea como si la parte inválida o inaplicable nunca hubiera estado contenida en ella.

12.3 Ejecución de este APD. Este APD se incorpora y forma parte del Acuerdo. El Cliente suscribe este APD (incluidas, cuando corresponda, las SCC de la UE y la Adenda del Reino Unido) mediante:

  • (a) la aceptación o el acuerdo de quedar vinculado por el Acuerdo (incluso haciendo clic en "Estoy de acuerdo" o mecanismo similar en los Términos de Servicio),
  • (b) la ejecución de un formulario de pedido, declaración de trabajo u otro acuerdo por escrito que incorpore o haga referencia al Acuerdo, o
  • (c) el uso o el uso continuado de los Servicios después de que este APD sea puesto a disposición por la Compañía.

El Cliente declara y garantiza que la persona que acepta el Acuerdo y/o utiliza los Servicios en nombre del Cliente tiene autoridad para vincular al Cliente y, cuando corresponda, a sus Afiliadas.

12.4 Contacto. Solicitudes de privacidad: privacy@ultralytics.com; DPO: dpo@ultralytics.com; avisos legales: legal@ultralytics.com.

Link to this sectionPartes; Afiliadas#

El Cliente suscribe este APD en nombre de sí mismo y de sus Afiliadas que sean usuarios autorizados de los Servicios bajo el Acuerdo y sean Responsables/Encargados de los Datos Personales del Cliente ("Afiliadas Permitidas"). El Cliente declara que tiene autoridad para vincular a las Afiliadas Permitidas.

Link to this sectionAnexo A: Detalles del Procesamiento de Datos Personales#

Naturaleza: Ultralytics proporciona un software basado en la nube y servicios relacionados que permiten a los Clientes acceder y utilizar los productos y funciones de Ultralytics, incluyendo el entrenamiento de modelos, inferencia, gestión de conjuntos de datos, flujos de trabajo de implementación, y soporte y administración relacionados ("Servicios"), tal como se describe en el Acuerdo.

Para mayor claridad, los Servicios incluyen la Plataforma Ultralytics, a través de la cual Ultralytics Procesa Datos Personales del Cliente en nombre del Cliente de acuerdo con este APD. Por separado, Ultralytics también pone a disposición modelos de código abierto Ultralytics YOLO, que los Clientes pueden implementar y operar de forma independiente en sus propios entornos. Cuando los Clientes implementan o utilizan modelos Ultralytics YOLO fuera de la Plataforma Ultralytics, Ultralytics no Procesa Datos Personales en nombre del Cliente, y los Clientes son los únicos responsables de implementar medidas técnicas y organizativas apropiadas, determinar los fines y medios del Procesamiento, y garantizar el cumplimiento de las Leyes de Protección de Datos aplicables en relación con dicha implementación y uso.

Finalidad: Ultralytics trata los datos personales del cliente en nombre del cliente para los siguientes fines:

  • proporcionar, operar, proteger y mantener los Servicios de acuerdo con el Acuerdo y las instrucciones documentadas del cliente;
  • cumplir con otras instrucciones razonables documentadas proporcionadas por el cliente, cuando dichas instrucciones sean consistentes con el Acuerdo y este DPA;
  • responder a las solicitudes iniciadas por el cliente o sus usuarios autorizados en su uso de los Servicios (incluidas las solicitudes de atención al cliente);
  • monitorear, prevenir y detectar incidentes de seguridad, fraude, abuso y mal uso del servicio; y
  • cumplir con las obligaciones legales aplicables.

Ultralytics no utilizará los datos personales del cliente para entrenar o mejorar los modelos generales de Ultralytics, excepto según lo instruido expresamente por el cliente por escrito o a través de los Servicios. Para mayor claridad, Ultralytics puede utilizar los datos de uso de la empresa y los datos agregados o anonimizados (cuando esté permitido) para operar, proteger y mejorar los Servicios.

Cuando el cliente decida compartir conjuntos de datos, modelos u otro contenido a través de funciones comunitarias o públicas de los Servicios, dicho intercambio constituye la instrucción documentada del cliente. El cliente sigue siendo el único responsable de garantizar que tiene todos los derechos y bases legales necesarios para poner dichos datos a disposición de otros usuarios.

Duración del tratamiento: Ultralytics tratará los datos personales del cliente durante la vigencia del Acuerdo y durante el tiempo que sea necesario para prestar los Servicios de acuerdo con las instrucciones del cliente. Tras la terminación o expiración del Acuerdo, Ultralytics eliminará o devolverá los datos personales del cliente de acuerdo con el Acuerdo y este DPA, a menos que la ley aplicable exija su conservación adicional. Para mayor claridad, cuando Ultralytics trata datos personales del responsable (incluidos los datos de la cuenta de la empresa y los datos de uso de la empresa) como responsable independiente según la Sección 10, dicho tratamiento se llevará a cabo durante los períodos establecidos en la Política de privacidad de Ultralytics.

Categorías de interesados: Los datos personales del cliente pueden referirse a las siguientes categorías de interesados, según lo determine y controle el cliente:

  • empleados, contratistas, agentes y representantes del cliente;
  • usuarios y administradores autorizados del cliente;
  • y usuarios finales, clientes u otras personas cuyos datos personales el cliente decida enviar a los Servicios.

Categorías de datos personales: Los datos personales del cliente pueden incluir las siguientes categorías de datos personales, en la medida en que sean enviados o puestos a disposición a través de los Servicios por el cliente o en su nombre:

  • Datos de cuenta e identidad de usuario, como nombre, dirección de correo electrónico, nombre de usuario/ID de usuario, nombre de la organización y rol/permisos de usuario (p. ej., administrador/usuario).
  • Datos de uso y de dispositivo/técnicos, como dirección IP, identificadores de dispositivo y atributos del sistema (p. ej., tipo de dispositivo, sistema operativo, tipo de navegador), archivos de registro, marcas de tiempo, eventos de autenticación, historial de acceso y (cuando corresponda) aplicaciones instaladas o detalles de configuración recopilados como parte de los flujos de trabajo de seguridad o dispositivos empresariales.
  • Contenido e información proporcionados por el cliente, como prompts generados por el usuario, comentarios, anotaciones, metadatos o etiquetas de conjuntos de datos y cualquier otro contenido que el cliente cargue o envíe a través de los Servicios (incluidas imágenes/vídeo/audio u otros archivos), pero solo en la medida en que dicho contenido contenga datos personales.
  • Datos de soporte y comunicaciones, como comunicaciones de atención al cliente, informes de problemas, información de resolución de problemas y detalles de contacto administrativo.

Las categorías de datos personales tratados pueden incluir además las descritas en la Política de privacidad de Ultralytics.

Datos sensibles o categorías especiales de datos: Los Servicios no están diseñados ni destinados para tratar categorías especiales de datos personales (según lo definido en el Artículo 9 del RGPD o equivalente bajo las Leyes de protección de datos aplicables) ni datos personales relacionados con condenas y delitos penales (Artículo 10 del RGPD), y se prohíbe al cliente proporcionar dichos datos a menos que se acuerde expresamente por escrito con Ultralytics y sujeto a salvaguardias adicionales.

Link to this sectionAnexo B: Información del Anexo I y Anexo III (Cláusulas contractuales tipo de la UE y Adenda del Reino Unido)#

Lo siguiente incluye la información requerida por el Anexo I y el Anexo III de las Cláusulas contractuales tipo de la UE, y la Tabla 1, el Anexo 1A y el Anexo 1B de la Adenda del Reino Unido.

1. Las partes

Exportador(es) de datos:

  • Nombre: Nombre de la entidad legal del cliente
  • Nombre comercial (si es diferente): [Opcional]
  • Dirección: Dirección registrada del cliente
  • Número de registro oficial (si existe): [Opcional]
  • Nombre, cargo y datos de contacto de la persona de contacto: Nombre, cargo, correo electrónico
  • Actividades relevantes para los datos transferidos bajo estas Cláusulas: Uso de los Servicios bajo el Acuerdo, incluida la transferencia de datos personales del cliente a Ultralytics para su tratamiento en relación con los Servicios, tal como se describe en el Acuerdo, este DPA y el Anexo A.
  • Firma y fecha: Mediante la ejecución/aceptación del Acuerdo/DPA
  • Rol (responsable/encargado): Responsable

Importador(es) de datos:

  • Nombre: Ultralytics Inc.
  • Nombre comercial (si es diferente): N/A
  • Dirección e información de contacto: 5001 Judicial Way, Frederick, MD, 21703, Estados Unidos; privacy@ultralytics.com
  • Número de registro oficial (si existe): 6755919
  • Actividades relevantes para los datos transferidos bajo estas Cláusulas: Tratamiento de datos personales del cliente en nombre del cliente para proporcionar, operar, proteger, mantener y respaldar los Servicios, y como se describe de otro modo en el Acuerdo, este DPA y el Anexo A.
  • Firma y fecha: Mediante la ejecución/aceptación del Acuerdo/DPA
  • Rol (responsable/encargado): Como se describe en la Sección 3 del DPA.

2. Descripción de la transferencia

CampoDetalles
InteresadosComo se describe en el Anexo A del DPA
Categorías de datos personalesComo se describe en el Anexo A del DPA
Categoría especial de datos personales (si corresponde)Como se describe en el Anexo A del DPA
Naturaleza del tratamientoComo se describe en el Anexo A del DPA
Fines del tratamientoComo se describe en el Anexo A del DPA
Duración del tratamiento y conservación (o los criterios para determinar dicho período)Como se describe en el Anexo A del DPA
Frecuencia de la transferenciaSegún sea necesario para proporcionar y cumplir con todas las obligaciones y derechos con respecto a los datos personales según lo dispuesto en el Acuerdo o DPA
Destinatarios de los datos personales transferidos al importador de datosLa Empresa mantendrá una lista de subencargados del tratamiento en: Ultralytics Sub-Processor List

Subencargados intragrupo:

Ultralytics Ltd (Reino Unido) - soporte de ingeniería, atención al cliente, asistencia en la incorporación y relaciones comerciales (incluidas demostraciones y asociaciones)

Ultralytics AI Spain, S.L. (España) - soporte de ingeniería, relaciones comerciales y actividades de cara al cliente, que implican un tratamiento limitado de datos de contacto empresarial

3. Autoridad de control competente

La autoridad de control será la autoridad de control del exportador de datos, según lo determinado de acuerdo con la Cláusula 13 de las Cláusulas contractuales tipo de la UE. La autoridad de control a los efectos de la Adenda del Reino Unido será la Oficina del Comisionado de Información del Reino Unido.

Link to this sectionAnexo C: Medidas de seguridad técnicas y organizativas#

Lo siguiente incluye la información requerida por el Anexo II de las Cláusulas contractuales tipo de la UE y el Anexo II de la Adenda del Reino Unido.

Medida de seguridad técnica y organizativaDetalles
Medidas de seudonimización y cifrado de datos personalesLos datos personales del cliente están protegidos mediante cifrado en tránsito utilizando conexiones seguras estándar de la industria (TLS) entre componentes de la plataforma y puntos finales externos. Los datos almacenados en servicios en la nube se benefician del cifrado en reposo gestionado por el proveedor de la nube y de controles seguros de gestión de claves.
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamientoUltralytics mantiene compromisos de seguridad, confidencialidad y disponibilidad para sus Servicios, incluida una configuración del sistema diseñada para restringir el acceso no autorizado, detección y monitoreo de intrusiones, análisis de vulnerabilidades y pruebas de penetración, cifrado en tránsito y en reposo, y controles de retención/eliminación de datos. La plataforma Ultralytics opera utilizando servicios en la nube gestionados con alta disponibilidad. Nuestros proveedores de infraestructura como servicio (IaaS) respaldan la resiliencia de la base de datos a través de la replicación y la alta disponibilidad. Ultralytics también se asegura de que las medidas técnicas y organizativas (TOM) de los subencargados cumplan o superen los estándares establecidos en este acuerdo.
Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnicoLos datos del cliente dentro de la plataforma Ultralytics se respaldan mediante servicios nativos del proveedor de la nube. Las copias de seguridad se monitorean y las excepciones se investigan y corrigen. Los datos de copia de seguridad están cifrados en reposo y en tránsito, y el acceso está restringido al personal autorizado. La planificación de la continuidad del negocio y la recuperación ante desastres incluye objetivos de punto de recuperación (RPO), objetivos de tiempo de recuperación (RTO) y funciones y responsabilidades definidas.
Procesos para probar, evaluar y valorar regularmente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamientoUltralytics realiza análisis de vulnerabilidades periódicos en el sistema y la red, así como pruebas de penetración en el entorno de producción. La gestión de vulnerabilidades incluye el análisis de dependencias y prácticas de desarrollo seguro integradas en los procesos de CI/CD, y las vulnerabilidades identificadas se priorizan y corrigen según su gravedad y riesgo. Además, Ultralytics realiza una evaluación de riesgos anual y una revisión de la gestión como parte de la práctica estándar de ISMS.
Medidas para la identificación y autorización de usuariosLa plataforma Ultralytics utiliza un proveedor de autenticación e identidad, que admite la autenticación de usuarios y la gestión de sesiones. El acceso a los sistemas de ingeniería (incluidos los repositorios de código fuente) está restringido al personal autorizado y se rige por permisos basados en roles, protecciones de ramas y revisiones obligatorias. El acceso interno sigue un modelo de privilegio mínimo y controles de acceso basados en roles.
Medidas para la protección de datos durante la transmisiónEl tráfico de red entrante a la plataforma Ultralytics está restringido a conexiones HTTPS (TLS) seguras a través de puntos finales de frontend designados. Las comunicaciones internas entre los componentes de la plataforma y los servicios de almacenamiento están cifradas en tránsito mediante TLS.
Medidas para la protección de datos durante el almacenamientoPara la plataforma Ultralytics, los datos del cliente se almacenan en servicios en la nube gestionados y cifrados con redundancia y soporte de copia de seguridad. Los servicios en la nube gestionados proporcionan cifrado integrado, copias de seguridad automáticas, almacenamiento redundante y alta disponibilidad. El cifrado gestionado por el proveedor de la nube se aplica a los datos en reposo.
Medidas para garantizar la seguridad física de los lugares en los que se tratan datos personalesLa plataforma Ultralytics está alojada utilizando proveedores de servicios en la nube de terceros. Las protecciones físicas y ambientales de los centros de datos de alojamiento son operadas por las organizaciones subencargadas correspondientes. Ultralytics revisa los informes de certificación de la organización subencargada y realiza análisis de riesgos al menos una vez al año.
Medidas para garantizar el registro de eventosUltralytics aprovecha el registro nativo de la nube para el monitoreo, la resolución de problemas y las investigaciones de incidentes. Las alertas relacionadas con la disponibilidad y la seguridad de la plataforma se comunican internamente a través de comunicaciones internas y correo electrónico, y externamente a través de una página de estado alojada. Además, Ultralytics revisa periódicamente el acceso a las aplicaciones, herramientas y recursos que tratan o almacenan datos del cliente.
Medidas para garantizar la configuración del sistema, incluida la configuración predeterminadaUltralytics mantiene procesos de gestión de cambios documentados que rigen los cambios en la plataforma Ultralytics y en la base de código del modelo Ultralytics YOLO, incluida la iniciación de cambios, documentación, estándares de desarrollo, pruebas, revisión y aprobación antes del lanzamiento o despliegue. Los cambios se rastrean en el control de versiones con revisión por pares y validación de los procesos de CI/CD.
Medidas para la gobernanza y gestión interna de TI y seguridad de TIUltralytics mantiene políticas y procedimientos de seguridad alineados con los compromisos de servicio y los requisitos de cumplimiento interno, con revisiones anuales de las políticas y procedimientos clave. Los empleados deben reconocer las políticas a través de una herramienta dedicada de Gobernanza, Riesgo y Cumplimiento (GRC) y deben completar una capacitación anual en conciencia de seguridad y capacitación en privacidad, con capacitación en codificación segura para los roles de ingeniería. Los riesgos se documentan en un registro de riesgos centralizado y se revisan formalmente al menos una vez al año.
Medidas para la certificación/garantía de procesos y productosUltralytics confía en servicios gestionados por terceros (incluidas las suborganizaciones de servicio) y revisa sus informes SOC 2 anualmente como parte de los controles de monitoreo. La diligencia debida del proveedor se basa en el riesgo y los proveedores se clasifican en niveles (Crítico/Alto/Medio/Bajo), con salvaguardias contractuales y reevaluaciones periódicas.
Medidas para garantizar la minimización de datosUltralytics trata los datos del cliente de acuerdo con los acuerdos con el cliente y los requisitos de protección de datos aplicables, y limita el tratamiento a lo necesario para ofrecer y respaldar los Servicios (incluida la gestión de conjuntos de datos, anotación, entrenamiento de modelos, evaluación y funcionalidad de plataforma relacionada). El uso de código abierto de Ultralytics YOLO es gestionado por el cliente y Ultralytics no procesa cargas de trabajo de inferencia para los clientes en ese contexto.
Medidas para garantizar la calidad de los datosUltralytics utiliza prácticas de desarrollo y despliegue controladas diseñadas para respaldar la integridad y la fiabilidad, incluida la revisión por pares, pruebas automatizadas, flujos de trabajo de CI/CD y gestión de cambios controlada para las versiones de la plataforma y el código abierto.
Medidas para garantizar la retención limitada de datosUltralytics aplica compromisos de retención y eliminación de datos como parte de sus compromisos de servicio. Los datos del cliente para la plataforma se respaldan utilizando servicios gestionados, y la eliminación/devolución se maneja de acuerdo con los acuerdos con el cliente y la ley aplicable.
Medidas para garantizar la rendición de cuentasUltralytics mantiene un plan de respuesta a incidentes y procedimientos documentados para identificar, informar, gestionar y rastrear incidentes de seguridad y privacidad, incluidas las comunicaciones para la notificación de vulnerabilidades externas a través de security@ultralytics.com. Los incidentes se documentan y gestionan con la participación de los departamentos de Ingeniería, Legal y la dirección ejecutiva según la gravedad.
Medidas para permitir la portabilidad de los datos y garantizar la supresiónLos datos personales del cliente enviados a la plataforma Ultralytics pueden ser eliminados por el cliente y/o a solicitud del cliente, de acuerdo con el Acuerdo y este DPA. Cuando se requiera la eliminación, Ultralytics actuará de acuerdo con las instrucciones del cliente y los requisitos legales aplicables. (La portabilidad se admite en la medida en que el cliente pueda exportar o recuperar sus datos de los Servicios según corresponda). Los modelos de código abierto de Ultralytics YOLO son desplegados por el cliente dentro de su entorno dedicado, lo que garantiza un control total de la gobernanza de los datos.
Medidas técnicas y organizativas de los subencargadosUltralytics utiliza un programa de gestión de proveedores basado en el riesgo para la incorporación y el monitoreo de proveedores de servicios externos, incluida la revisión de certificaciones de cumplimiento y requisitos contractuales de seguridad y protección de datos. Ultralytics también monitorea a las organizaciones subencargadas y revisa sus informes SOC 2 anualmente. Ultralytics también celebra acuerdos de tratamiento de datos con sus subencargados con obligaciones de protección de datos sustancialmente similares a las contenidas en este DPA.

Link to this sectionAnexo D: Adenda del Reino Unido#

Adenda de transferencia internacional de datos a las Cláusulas contractuales tipo de la Comisión de la UE

Link to this sectionParte 1: Tablas#

Tabla 1: Partes

CampoExportadorImportador
Fecha de inicioEste Anexo para el Reino Unido tendrá la misma fecha de entrada en vigor que el DPAEste Anexo para el Reino Unido tendrá la misma fecha de entrada en vigor que el DPA
Datos de las partesClienteEmpresa
Contacto claveVer Anexo B de este DPAVer Anexo B de este DPA

Tabla 2: SCC seleccionadas, módulos y cláusulas seleccionadas

CampoDetalles
SCC de la UELa versión de las SCC de la UE aprobadas a la que se adjunta este Anexo para el Reino Unido según lo definido en el DPA y completado por las secciones 6.2 y 6.3 del DPA.

Tabla 3: Información del anexo

"Información del anexo" significa la información que debe proporcionarse para los módulos seleccionados tal como se establece en el anexo de las SCC de la UE aprobadas (distintas de las partes), y que para este Anexo para el Reino Unido se establece en:

AnexoReferencia
Anexo 1A: Lista de partesSegún la Tabla 1 anterior
Anexo 2B: Descripción de la transferenciaVer Anexo B de este DPA
Anexo II: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datosVer Anexo C de este DPA
Anexo III: Lista de subprocesadores (solo módulos 2 y 3)Ver Anexo B de este DPA

Tabla 4: Finalización de este Anexo para el Reino Unido cuando cambie el Anexo aprobado para el Reino Unido

Nota: Esta disposición permite a la parte seleccionada (si la hay) rescindir el Anexo para el Reino Unido si la ICO modifica el Anexo aprobado para el Reino Unido, lo que resulta directamente en un aumento sustancial, desproporcionado y demostrable en (a) sus costes directos de cumplimiento de sus obligaciones bajo el Anexo para el Reino Unido o (b) su riesgo bajo el Anexo para el Reino Unido.

CampoSelección
Finalización de este Anexo para el Reino Unido cuando cambie el Anexo aprobado para el Reino Unidox Importador x Exportador ☐ Ninguna de las partes

Link to this sectionCelebración de este Anexo para el Reino Unido#

Cada parte acepta quedar vinculada por los términos y condiciones establecidos en este Anexo para el Reino Unido, a cambio de que la otra parte también acepte quedar vinculada por este Anexo para el Reino Unido.

Aunque el Anexo 1A y la Cláusula 7 de las SCC de la UE aprobadas requieren la firma de las partes, a efectos de realizar transferencias fuera del Reino Unido, las partes pueden celebrar este Anexo para el Reino Unido de cualquier forma que los haga legalmente vinculantes para las partes y permita a los interesados ejercer sus derechos tal como se establece en este Anexo para el Reino Unido. La celebración de este Anexo para el Reino Unido tendrá el mismo efecto que la firma de las SCC de la UE aprobadas y cualquier parte de las SCC de la UE aprobadas.

Link to this sectionInterpretación de este Anexo para el Reino Unido#

Cuando este Anexo para el Reino Unido utilice términos definidos en las SCC de la UE aprobadas, dichos términos tendrán el mismo significado que en las SCC de la UE aprobadas. Además, los siguientes términos tienen los siguientes significados:

TérminoDefinición
Anexo para el Reino Unidosignifica este Anexo de Transferencia Internacional de Datos que incorpora las SCC de la UE, adjunto al DPA como Anexo D.
SCC de la UEsignifica la(s) versión(es) de las SCC de la UE aprobadas a las que se adjunta este Anexo para el Reino Unido, tal como se establece en la Tabla 2, incluida la Información del anexo
Información del anexoserá tal como se establece en la Tabla 3
Salvaguardias adecuadassignifica el estándar de protección sobre los datos personales y los derechos de los interesados, que es requerido por las leyes de protección de datos del Reino Unido cuando realizas una transferencia fuera del Reino Unido basándote en cláusulas estándar de protección de datos en virtud del Artículo 46(2)(d) del RGPD del Reino Unido.
Anexo aprobado para el Reino Unidosignifica el modelo de Anexo emitido por la ICO y presentado ante el Parlamento de acuerdo con la sección 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como pueda ser revisado bajo la Sección 18 del Anexo para el Reino Unido.
SCC de la UE aprobadassignifica las cláusulas contractuales estándar aprobadas por la Comisión Europea en la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021, para las transferencias de datos personales a países no reconocidos por la Comisión Europea como países que ofrecen un nivel adecuado de protección de los datos personales (según se modifiquen y actualicen periódicamente).
ICOsignifica la Information Commissioner's Office.
Transferencia fuera del Reino Unidotendrá la misma definición establecida en el DPA.
Reino Unidosignifica el Reino Unido de Gran Bretaña e Irlanda del Norte
Leyes de protección de datos del Reino Unidosignifica todas las leyes relativas a la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluido el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.
RGPD del Reino Unidotendrá la definición establecida en el DPA.

El Anexo para el Reino Unido siempre debe interpretarse de manera que sea coherente con las leyes de protección de datos del Reino Unido y de modo que cumpla la obligación de las partes de proporcionar las salvaguardias adecuadas.

Si las disposiciones incluidas en el Anexo para el Reino Unido modifican las SCC de la UE aprobadas de cualquier manera no permitida bajo las SCC de la UE aprobadas o el Anexo aprobado para el Reino Unido, dicha(s) modificación(es) no se incorporarán al Anexo para el Reino Unido y la disposición equivalente de las SCC de la UE aprobadas ocupará su lugar.

Si existe alguna inconsistencia o conflicto entre las leyes de protección de datos del Reino Unido y el Anexo para el Reino Unido, se aplicarán las leyes de protección de datos del Reino Unido.

Si el significado del Anexo para el Reino Unido no está claro o tiene más de un significado, se aplicará el significado que más se ajuste a las leyes de protección de datos del Reino Unido.

Cualquier referencia a la legislación (o disposiciones específicas de la legislación) significa dicha legislación (o disposición específica) tal como pueda cambiar con el tiempo. Esto incluye cuando dicha legislación (o disposición específica) ha sido consolidada, promulgada de nuevo y/o reemplazada después de la entrada en vigor del Anexo para el Reino Unido.

Link to this sectionJerarquía#

Aunque la Cláusula 5 de las SCC de la UE aprobadas establece que las SCC de la UE aprobadas prevalecen sobre todos los acuerdos relacionados entre las partes, las partes acuerdan que, para las transferencias fuera del Reino Unido, prevalecerá la jerarquía de la Sección 10 a continuación.

Cuando exista alguna inconsistencia o conflicto entre el Anexo aprobado para el Reino Unido y las SCC de la UE (según corresponda), el Anexo aprobado para el Reino Unido prevalecerá sobre las SCC de la UE, excepto cuando (y en la medida en que) los términos inconsistentes o conflictivos de las SCC de la UE proporcionen una mayor protección a los interesados, en cuyo caso dichos términos prevalecerán sobre el Anexo aprobado para el Reino Unido.

Cuando este Anexo para el Reino Unido incorpore las SCC de la UE que se han celebrado para proteger las transferencias fuera de la UE sujetas al RGPD, las partes reconocen que nada en el Anexo para el Reino Unido afecta a dichas SCC de la UE.

Link to this sectionIncorporación y cambios en las SCC de la UE#

Este Anexo para el Reino Unido incorpora las SCC de la UE que se modifican en la medida necesaria para que:

  • juntas operen para las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que las leyes de protección de datos del Reino Unido se apliquen al tratamiento del exportador de datos al realizar dicha transferencia de datos, y proporcionen salvaguardias adecuadas para dichas transferencias de datos;
  • las Secciones 9 a 11 anteriores prevalezcan sobre la Cláusula 5 (Jerarquía) de las SCC de la UE; y
  • el Anexo para el Reino Unido (incluidas las SCC de la UE incorporadas en él) se rija (1) por las leyes de Inglaterra y Gales y (2) cualquier disputa que surja del mismo sea resuelta por los tribunales de Inglaterra y Gales.

A menos que las partes hayan acordado modificaciones alternativas que cumplan los requisitos de la Sección 12 de este Anexo para el Reino Unido, se aplicarán las disposiciones de la Sección 15 de este Anexo para el Reino Unido.

No se pueden realizar modificaciones a las SCC de la UE aprobadas que no sean para cumplir con los requisitos de la Sección 12 de este Anexo para el Reino Unido.

Se realizan las siguientes modificaciones a las SCC de la UE (a efectos de la Sección 12 de este Anexo para el Reino Unido):

  • Las referencias a las "Cláusulas" significan este Anexo para el Reino Unido, incorporando las SCC de la UE;
  • En la Cláusula 2, elimina las palabras: "y, con respecto a las transferencias de datos de responsables a encargados y/o de encargados a encargados, las cláusulas contractuales estándar en virtud del Artículo 28(7) del Reglamento (UE) 2016/679";
  • La Cláusula 6 (Descripción de la(s) transferencia(s)) se reemplaza por: "Los detalles de la(s) transferencia(s) y en particular las categorías de datos personales que se transfieren y el/los propósito(s) para los que se transfieren son los especificados en el Anexo I.B cuando las leyes de protección de datos del Reino Unido se aplican al tratamiento del exportador de datos al realizar dicha transferencia.";
  • La Cláusula 8.7(i) del Módulo 1 se reemplaza por: "es a un país que se beneficia de regulaciones de adecuación en virtud de la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior";
  • La Cláusula 8.8(i) de los Módulos 2 y 3 se reemplaza por: "la transferencia posterior es a un país que se beneficia de regulaciones de adecuación en virtud de la Sección 17A del RGPD del Reino Unido que cubre la transferencia posterior;"
  • Las referencias al "Reglamento (UE) 2016/679", al "Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)" y a "dicho Reglamento" se reemplazan todas por "Leyes de protección de datos del Reino Unido". Las referencias a artículos específicos del "Reglamento (UE) 2016/679" se reemplazan por el Artículo o Sección equivalente de las leyes de protección de datos del Reino Unido;
  • Se eliminan las referencias al Reglamento (UE) 2018/1725;
  • Las referencias a la "Unión Europea", "Unión", "UE", "Estado miembro de la UE", "Estado miembro" y "UE o Estado miembro" se reemplazan todas por el "Reino Unido";
  • La referencia a la "Cláusula 12(c)(i)" en la Cláusula 10(b)(i) del Módulo uno, se reemplaza por "Cláusula 11(c)(i)";
  • La Cláusula 13(a) y la Parte C del Anexo I no se utilizan;
  • La "autoridad de control competente" y la "autoridad de control" se reemplazan ambas por el "Comisionado de Información";
  • En la Cláusula 16(e), el subapartado (i) se reemplaza por: "el Secretario de Estado dicta reglamentos en virtud de la Sección 17A de la Ley de Protección de Datos de 2018 que cubren la transferencia de datos personales a la que se aplican estas cláusulas;";
  • La Cláusula 17 se reemplaza por: "Estas cláusulas se rigen por las leyes de Inglaterra y Gales";
  • La Cláusula 18 se reemplaza por: "Cualquier disputa que surja de estas cláusulas será resuelta por los tribunales de Inglaterra y Gales." Un interesado también puede iniciar acciones legales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las partes acuerdan someterse a la jurisdicción de dichos tribunales."; y
  • Las notas a pie de página de las SCC de la UE aprobadas no forman parte del Anexo para el Reino Unido, excepto las notas 8, 9, 10 y 11.

Link to this sectionModificaciones al Anexo para el Reino Unido#

Las partes pueden acordar cambiar las Cláusulas 17 y/o 18 de las SCC de la UE para referirse a las leyes y/o tribunales de Escocia o Irlanda del Norte.

Si las partes desean cambiar el formato de la información incluida en la Parte 1: Tablas del Anexo aprobado para el Reino Unido, pueden hacerlo acordando el cambio por escrito, siempre que el cambio no reduzca las salvaguardias adecuadas.

Periódicamente, la ICO puede emitir un Anexo aprobado para el Reino Unido revisado que:

  • realiza cambios razonables y proporcionados al Anexo aprobado para el Reino Unido, incluida la corrección de errores en el Anexo aprobado para el Reino Unido; y/o
  • refleja los cambios en las leyes de protección de datos del Reino Unido.

El Anexo aprobado para el Reino Unido revisado especificará la fecha de inicio a partir de la cual los cambios en el Anexo aprobado para el Reino Unido son efectivos y si las partes deben revisar este Anexo para el Reino Unido, incluida la Información del anexo. Este Anexo para el Reino Unido se modifica automáticamente tal como se establece en el Anexo aprobado para el Reino Unido revisado a partir de la fecha de inicio especificada.

Si la ICO emite un Anexo aprobado para el Reino Unido revisado en virtud de la Sección 18 de este Anexo para el Reino Unido, si una parte sufrirá como resultado directo de los cambios en el Anexo aprobado para el Reino Unido un aumento sustancial, desproporcionado y demostrable en:

  • sus costes directos de cumplimiento de sus obligaciones bajo el Anexo para el Reino Unido; y/o
  • su riesgo bajo el Anexo para el Reino Unido,

y en cualquier caso ha tomado primero medidas razonables para reducir esos costes o riesgos para que no sean sustanciales y desproporcionados, entonces esa parte puede finalizar este Anexo para el Reino Unido al final de un período de notificación razonable, proporcionando una notificación por escrito por ese período a la otra parte antes de la fecha de inicio del Anexo aprobado para el Reino Unido revisado.

Las partes no necesitan el consentimiento de ningún tercero para realizar cambios en este Anexo para el Reino Unido, pero cualquier cambio debe realizarse de acuerdo con sus términos.