Configuración de cookies
Al hacer clic en “Aceptar todas las cookies”, aceptas el almacenamiento de cookies en tu dispositivo para mejorar la navegación del sitio, analizar el uso del sitio y ayudar en nuestros esfuerzos de marketing. Más información
Configuración de cookies
Al hacer clic en “Aceptar todas las cookies”, aceptas el almacenamiento de cookies en tu dispositivo para mejorar la navegación del sitio, analizar el uso del sitio y ayudar en nuestros esfuerzos de marketing. Más información
Aceptar todas las cookies
Configuración de cookies
Yolo Vision Shenzhen
Shenzhen
Únete ahora

Acuerdo de tratamiento de Ultralytics

Última actualización: 26 de marzo de 2026

El presente Acuerdo de tratamiento de datos («DPA») se incorpora y forma parte de (i) las Ultralytics de servicio Ultralytics y/o (ii) cualquier formulario de pedido, contrato empresarial u otro acuerdo escrito aplicable que haga referencia al presente DPA (cada uno de ellos, el «Acuerdo») entre el cliente («Cliente», «usted») y Ultralytics, Inc. (Ultralytics», «la Empresa», «nosotros»).

El presente acuerdo de tratamiento de datos refleja el acuerdo alcanzado por las partes en relación con:

  • (A) Condiciones entre el responsable y el encargado del tratamiento: el tratamiento Ultralytics de los datos personales del cliente en calidad de encargado del tratamiento (o subencargado del tratamiento, en caso de que el cliente sea un encargado del tratamiento) en nombre del cliente en relación con los servicios; y
  • (B) Condiciones entre responsables del tratamiento: el tratamiento por parte de cada una de las partes de los datos personales del responsable del tratamiento en su calidad de responsable independiente, únicamente en la medida descrita en la sección 10.

El presente Acuerdo de tratamiento de datos (DPA) permanecerá en vigor durante la vigencia del Contrato y mientras Ultralytics los datos personales del cliente en nombre de este.

El presente Acuerdo de Tratamiento de Datos (DPA) se aplica exclusivamente al tratamiento de los datos personales del Cliente por parte de Ultralytics la Ultralytics . Para evitar cualquier duda, el presente DPA no se aplica al uso, la implementación o el funcionamiento por parte del Cliente de los modelosYOLO Ultralytics fuera de la Ultralytics , lo cual se lleva a cabo bajo la exclusiva responsabilidad del Cliente.

Ultralytics actualizar el presente Acuerdo de Tratamiento de Datos periódicamente para reflejar cambios en la legislación, las directrices normativas o los Servicios, con efecto a partir de la fecha de publicación, siempre que dichas actualizaciones no reduzcan de manera significativa las garantías de privacidad de los Datos Personales del Cliente sin el consentimiento de este (salvo cuando lo exija la legislación aplicable).

1. Definiciones

Por «afiliado» se entiende cualquier entidad que, directa o indirectamente, controle, sea controlada por o esté bajo control común con una parte, entendiéndose por «control» la titularidad de más del 50 % de los derechos de voto.

Por «garantías adecuadas» se entiende aquellos mecanismos legalmente exigibles para la transferencia de datos personales que estén permitidos en virtud de la legislación aplicable en materia de protección de datos, en particular, aunque no de forma exclusiva, el artículo 46 del RGPD.

Por «subencargado del tratamiento» se entiende cualquier encargado del tratamiento contratado por Ultralytics sus filiales para tratar los datos personales de los clientes en nombre Ultralytics en relación con los Servicios.

Por «Datos de la cuenta de la Empresa» se entiende los datos personales relacionados con la relación de la Empresa con el Cliente, incluidos los nombres o la información de contacto de las personas autorizadas por el Cliente para acceder a su cuenta, así como la información de facturación de las personas que el Cliente haya asociado a su cuenta. Los Datos de la cuenta de la Empresa también incluyen cualquier dato que la Empresa pueda necesitar recopilar con el fin de gestionar su relación con el Cliente, verificar la identidad o cumplir con cualquier otro requisito establecido por las leyes y normativas aplicables.

Por «Datos de uso de la Empresa» se entiende los datos de uso del Servicio recopilados y tratados por la Empresa en relación con la prestación de los Servicios, incluidos, entre otros, los datos utilizados para identificar el origen y el destino de una comunicación, los registros de actividad y los datos utilizados para optimizar y mantener el rendimiento de los Servicios, así como para investigar y prevenir el uso indebido del sistema.

Por «Datos del Cliente» se entiende cualquier dato, contenido, material, archivo o información (incluidos conjuntos de datos, imágenes, vídeos, anotaciones, etiquetas, metadatos, entradas y salidas de modelos, y otros contenidos) que el Cliente o sus usuarios autorizados suban, envíen, transmitan o pongan a disposición de cualquier otra forma para su Tratamiento en relación con los Servicios, incluidos los datos generados para el Cliente a través del uso que este haga de los Servicios.

Por «violación de la seguridad de los datos personales del cliente» se entiende una violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, de forma accidental o ilícita, a los datos personales del cliente tratados por Ultralytics sus subencargados del tratamiento en relación con los Servicios. La violación de los datos personales del cliente no incluye los intentos fallidos ni las actividades que no pongan en peligro los datos personales del cliente (por ejemplo, intentos fallidos de inicio de sesión, escaneos de puertos, ataques de denegación de servicio u otros ataques a cortafuegos o sistemas en red).

Por «leyes de protección de datos» se entiende todas las leyes aplicables en materia de privacidad y protección de datos que se aplican al tratamiento de datos personales por parte de una de las partes en virtud del Acuerdo, incluidas (según proceda) el RGPD, el RGPD del Reino Unido, la FADP suiza, la Directiva sobre privacidad electrónica/PECR, la CCPA/CPRA y otras leyes estatales estadounidenses aplicables en materia de privacidad.

Por «RGPD» se entiende el Reglamento (UE) 2016/679; por «RGPD del Reino Unido» se entiende el RGPD incorporado a la legislación del Reino Unido; por «FADP suiza» se entiende la Ley Federal Suiza de Protección de Datos (en su versión revisada). Por «instrucciones» se entiende las instrucciones documentadas del Cliente a Ultralytics al tratamiento de los datos personales del Cliente, tal y como se describe en la sección 2.2.

Por «SCC» se entiende las cláusulas contractuales tipo de la UE (Decisión 2021/914); por «Anexo del Reino Unido» se entiende el Anexo sobre transferencia internacional de datos de la ICO. Los demás términos en mayúsculas tienen el significado que se les atribuye en las Leyes de Protección de Datos y/o en el Acuerdo.

Por «Servicios» se entiende los servicios y funcionalidades que Ultralytics pone a disposición Ultralytics Cliente en virtud del Contrato, incluida la Ultralytics y cualquier servicio de asistencia, administración y documentación relacionados, tal y como se describe con más detalle en el Contrato.

PorUltralytics » se entiende el entorno de software como servicio (SaaS) basado en la nube Ultralytics a través del cual los clientes pueden cargar, gestionar, anotar y versionar conjuntos de datos; entrenar, evaluar, comparar, exportar e implementar modelos de visión artificial; gestionar proyectos y usuarios; y acceder a funciones y asistencia relacionadas, y a través del cual Ultralytics los datos personales de los clientes en nombre de estos, de conformidad con el presente Acuerdo de Tratamiento de Datos.

Por «modelosYOLO Ultralytics se entiende los modelos de visión artificial de código abierto y el código fuente correspondiente que Ultralytics pone a disposición Ultralytics las licencias de código abierto aplicables, y que los clientes pueden descargar, implementar, alojar y utilizar de forma independiente en sus propios entornos. A efectos de claridad, cuando los clientes implementen o utilicen los modelosYOLO Ultralytics fuera de Ultralytics , Ultralytics datos personales en nombre del cliente en virtud del presente Acuerdo de Tratamiento de Datos.

2. Responsabilidades del cliente

2.1 Cumplimiento de la legislación. El cliente es responsable de cumplir con la legislación en materia de protección de datos en relación con el tratamiento de datos personales y el uso de los Servicios, lo que incluye facilitar los avisos obligatorios y obtener los consentimientos y autorizaciones necesarios.

2.2 Instrucciones. El Contrato (incluido el presente DPA), junto con la configuración y el uso de los Servicios por parte del Cliente de conformidad con el Contrato, constituyen las instrucciones completas del Cliente a Ultralytics el tratamiento de los Datos Personales del Cliente. El Cliente podrá proporcionar instrucciones adicionales durante la vigencia del Contrato, siempre que sean compatibles con el Contrato y los Servicios. Si Ultralytics considera Ultralytics que las instrucciones adicionales requieren cambios sustanciales o suponen una carga, las partes lo discutirán de buena fe.

2.3 Datos prohibidos. Salvo que las partes lo acuerden expresamente por escrito (incluido el acuerdo sobre las garantías adicionales exigidas por la legislación aplicable en materia de protección de datos), el Cliente no facilitará a Ultralytics , ni remitirá a través de ella, ni pondrá a su disposición de ningún otro modo, Ultralytics las categorías especiales de datos personales contempladas en el artículo 9 del RGPD (o su equivalente), ni datos relativos a condenas penales o infracciones contempladas en el artículo 10 del RGPD.

A modo de ejemplo y sin carácter limitativo, los datos prohibidos incluyen:

  • números de identificación emitidos por el gobierno (como números de pasaporte, números de identificación nacional o números de la seguridad social);
  • información sanitaria o médica, incluidos los identificadores biométricos utilizados con el fin de identificar de forma unívoca a una persona física;
  • información relativa al origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la afiliación sindical de una persona;
  • datos genéticos o biométricos tratados con el fin de identificar de forma unívoca a una persona física;
  • datos personales relativos a menores, cuando así lo restrinjan las leyes de protección de datos aplicables;
  • y datos relativos a condenas penales, presuntas conductas delictivas o actividades policiales.

Además, los Servicios tampoco están destinados a tratar otros datos que requieran una protección reforzada en virtud de la legislación aplicable en materia de protección de datos, tales como datos de tarjetas de pago, números de cuentas bancarias o datos de geolocalización precisos. El Cliente es el único responsable de garantizar que los conjuntos de datos, imágenes, vídeos, anotaciones, etiquetas, metadatos u otros contenidos subidos a los Servicios o tratados a través de ellos no incluyan Datos Prohibidos. Cualquier tratamiento de Datos Prohibidos que incumpla lo dispuesto en la presente sección constituirá un incumplimiento sustancial del presente DPA.

2.4 Datos inadecuados; indemnización. El Cliente es el único responsable de la legalidad de los Datos personales del Cliente facilitados a Ultralytics de garantizar que sean adecuados para los Servicios. El Cliente defenderá e indemnizará Ultralytics cualquier reclamación de terceros que se derive del suministro por parte del Cliente de Datos personales a los Servicios en incumplimiento del Contrato, del presente DPA o de la legislación aplicable en materia de protección de datos.

3. Ultralytics como encargado del tratamiento

3.1 Limitación de la finalidad. Ultralytics los Datos personales del Cliente únicamente (a) para prestar los Servicios de conformidad con el Contrato y el Anexo A, (b) de acuerdo con las Instrucciones del Cliente, y (c) según lo exija la legislación aplicable. Ultralytics no Ultralytics los Datos personales del Cliente ni los Datos del Cliente para entrenar, mejorar o desarrollar los modelos generales o comercialmente disponibles Ultralytics, salvo que el Cliente lo indique expresamente por escrito o a través de los Servicios.

3.2 Colisión de leyes. Si Ultralytics conocimiento de que no puede tratar los datos personales del cliente de conformidad con las instrucciones debido a un requisito legal, Ultralytics (en la medida en que lo permita la ley) Ultralytics al cliente y, cuando sea necesario, suspenderá el tratamiento afectado (excepto el almacenamiento seguro) hasta que el cliente emita instrucciones que cumplan con la normativa.

3.3 Confidencialidad del personal. Ultralytics asegurará Ultralytics las personas autorizadas a tratar los datos personales del cliente estén sujetas a obligaciones de confidencialidad. El cliente acepta que Ultralytics revelar los datos personales del cliente a sus asesores profesionales y auditores en la medida en que sea razonablemente necesario para el cumplimiento del Contrato o del DPA, siempre que se respeten las obligaciones de confidencialidad.

3.4 Subcontratación. Ultralytics recurrir a subcontratistas de conformidad con la sección 5 y seguirá siendo responsable del cumplimiento por parte de estos de las obligaciones correspondientes.

3.5 Supresión / Devolución. Tras la rescisión de los Servicios, Ultralytics o devolverá los Datos Personales del Cliente de conformidad con el Contrato y el Anexo A, salvo que la ley exija su conservación. Se facilitará un certificado de supresión conforme a las Cláusulas Contractuales Típicas (SCC) a petición del Cliente.

4. Derechos de los interesados (o consumidores)

4.1 Solicitud del interesado (o consumidor). Ultralytics la medida en que lo permita la ley, Ultralytics al Cliente a través del contacto principal de la cuenta sin demora injustificada si Ultralytics una solicitud de un interesado (o consumidor) para ejercer el derecho de acceso (o divulgación), el derecho de rectificación, la limitación del tratamiento, la supresión (o eliminación o el «derecho al olvido»), portabilidad de los datos, oposición al tratamiento o su derecho a no ser objeto de una toma de decisiones individual automatizada («Solicitud del interesado (o del consumidor)»).

4.2 Asistencia. Teniendo en cuenta la naturaleza del tratamiento, Ultralytics asistencia razonable al Cliente para responder a las solicitudes de ejercicio de los derechos de los interesados en virtud de las leyes de protección de datos, en la medida en que el Cliente no pueda atender dicha solicitud utilizando las funciones disponibles del Servicio.

4.3 EIPD; consulta previa. Teniendo en cuenta la naturaleza del tratamiento y la información de que dispone Ultralytics, Ultralytics asistencia razonable al Cliente en relación con (i) las evaluaciones de impacto relativas a la protección de datos y (ii) la consulta y/o cooperación del Cliente con las autoridades de control, en cada uno de los casos en que así lo exijan las Leyes de Protección de Datos y cuando el Cliente no tenga acceso a la información pertinente por otros medios. Salvo cuando lo exijan las Leyes de Protección de Datos o en relación con una violación de los datos personales del Cliente, este no solicitará dicha asistencia más de una vez en cualquier periodo de doce (12) meses. El Cliente reembolsará Ultralytics los costes y gastos razonables en que haya incurrido al prestar dicha asistencia, cuando lo permita la ley.

5. Subencargados del tratamiento

5.1 Autorización general. El cliente concede Ultralytics autorización general por escrito para contratar a subencargados del tratamiento con el fin de que traten los datos personales del cliente en el marco de los Servicios.

5.2 Lista y notificación. La lista actualizada de subencargados del tratamiento está disponible en ultralytics (la «Lista»). Ultralytics un mecanismo para suscribirse a las notificaciones de actualizaciones de la Lista y notificará la incorporación de nuevos subencargados del tratamiento al menos diez (10) días antes de autorizarlos a tratar los datos personales del cliente. El Cliente es responsable de suscribirse a dichas notificaciones cuando estén disponibles; si el Cliente no se suscribe, reconoce que es posible que no reciba notificación previa a través de dicho mecanismo. En todos los casos, las actualizaciones de la Lista constituirán notificación de los cambios en los subencargados del tratamiento. El Cliente reconoce que determinados subencargados del tratamiento son esenciales para la prestación de los Servicios y que oponerse al uso de un subencargado del tratamiento puede impedir que la Empresa ofrezca los Servicios al Cliente.

A efectos de claridad, Ultralytics que participan en la prestación de los Servicios, incluidas Ultralytics (Reino Unido) y Ultralytics Spain, S.L., podrán actuar como subencargados del tratamiento dentro del grupo cuando traten los datos personales de los clientes en nombre de Ultralytics . en relación con los Servicios.

5.3 Objeción a nuevos subencargados del tratamiento. El Cliente podrá oponerse por escrito a la contratación de un nuevo subencargado del tratamiento por motivos razonables relacionados con la protección de datos, de conformidad con la sección 5.2. Si Ultralytics resolver de manera razonable la objeción del Cliente, este podrá suspender el Servicio afectado mediante notificación por escrito, sin que ello le exima del pago de las tarifas devengadas antes de dicha suspensión.

5.4 Transferencia a subencargados del tratamiento. Ultralytics solo Ultralytics subencargados del tratamiento tras llevar a cabo una diligencia debida razonable y basada en el riesgo para evaluar si el subencargado es capaz de proporcionar un nivel adecuado de protección de los datos personales del cliente de conformidad con la legislación aplicable en materia de protección de datos, y supervisará periódicamente a los subencargados del tratamiento como parte de su programa de gestión de proveedores. Ultralytics asegurará Ultralytics que sus subencargados del tratamiento estén sujetos a obligaciones de protección de datos que sean sustancialmente equivalentes a las establecidas en el presente DPA, o que ofrezcan un mayor nivel de protección. A petición del Cliente, Ultralytics copias (que podrán ser censuradas por motivos de confidencialidad) de las condiciones de protección de datos de los subencargados del tratamiento pertinentes, tal y como exigen las CCT.

6. Seguridad

6.1 Medidas. Teniendo en cuenta el estado actual de la técnica, la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de diferente probabilidad y gravedad para los derechos y libertades de las personas físicas, Ultralytics y mantendrá las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado a dicho riesgo, de conformidad con la legislación aplicable en materia de protección de datos, incluido el artículo 32 del RGPD. Estas medidas se describen en el Anexo C, que Ultralytics actualizar periódicamente, siempre que dicha actualización no reduzca de manera significativa el nivel general de protección de los Datos Personales del Cliente.

6.2 Responsabilidades del Cliente. Sin perjuicio de lo anterior, el Cliente reconoce que, salvo que se disponga expresamente lo contrario en el presente DPA, es responsable del uso seguro de los Servicios, lo que incluye proteger las credenciales de autenticación de su cuenta, configurar adecuadamente los controles de acceso y garantizar que sus usuarios accedan y utilicen los Servicios de conformidad con la legislación aplicable en materia de protección de datos y con las funciones de seguridad que Ultralytics pone a su disposición.

7. Auditorías de clientes y demostración del cumplimiento

7.1 Documentación. Previa solicitud razonable, Ultralytics la información razonablemente necesaria para demostrar el cumplimiento del presente DPA (incluidos los informes de auditoría o certificaciones de terceros vigentes, cuando estén disponibles). Ultralytics registros suficientes para demostrar el cumplimiento del presente DPA y mantendrá dichos registros durante un período razonable tras la rescisión (por ejemplo, tres (3) años), salvo que la ley exija un período más largo.

7.2 Auditoría. Cuando así lo exijan las leyes de protección de datos y la documentación sea insuficiente, el Cliente podrá, previa notificación por escrito con una antelación razonable y a su cargo, solicitar una auditoría o inspección de los sistemas y procesos pertinentes Ultralytics. Dicha auditoría o inspección se llevará a cabo únicamente tras un acuerdo mutuo por escrito entre las partes sobre el alcance, el calendario y la duración de la auditoría, así como sobre cualquier tarifa de reembolso razonable por el tiempo y los recursos Ultralytics dedicados a la misma. Toda auditoría realizada de conformidad con esta sección deberá:

  • (a) no se produzcan más de una vez en un período de doce (12) meses;
  • (b) se realicen durante el horario laboral habitual Ultralytics;
  • c) estar sujetos a controles razonables de confidencialidad, seguridad y protección; y
  • (d) limitarse a los sistemas y registros que sean razonablemente pertinentes para el tratamiento de los datos personales de los clientes.

El cliente deberá notificar sin demora Ultralytics cualquier incumplimiento sustancial detectado durante una auditoría, a fin de que Ultralytics disponga de Ultralytics plazo razonable para subsanar dichos incumplimientos.

8. Violaciones de la seguridad de los datos personales

8.1 Notificación. Ultralytics al Cliente sin demora injustificada y, a más tardar, en un plazo de 72 horas tras tener conocimiento de una violación de la seguridad de los datos personales del Cliente.

8.2 Asistencia. Ultralytics la asistencia razonable necesaria para que el Cliente pueda realizar las notificaciones requeridas a las autoridades reguladoras y a los interesados afectados, teniendo en cuenta la información de que disponga Ultralytics.

8.3 Ausencia de reconocimiento. La notificación de una violación de datos no constituye un reconocimiento de culpa ni de responsabilidad. La obligación de notificar una violación de datos no se aplicará en la medida en que dicha violación de los datos personales del Cliente sea causada por las acciones u omisiones del Cliente o de sus usuarios.

9. Traslados (UE/Reino Unido/Suiza)

9.1 Transferencias internacionales. El cliente reconoce que las principales operaciones de tratamiento Ultralytics pueden llevarse a cabo en los Estados Unidos y en otros lugares, según sea necesario para prestar los Servicios.

A efectos de claridad, los datos personales del cliente también podrán transferirse entre Ultralytics . y sus filiales (incluidas Ultralytics (Reino Unido) y Ultralytics Spain, S.L.) cuando dichas filiales actúen como subencargados del tratamiento en relación con los Servicios. Cuando dichas transferencias se consideren transferencias internacionales en virtud de las Leyes de Protección de Datos aplicables, estarán sujetas a las Garantías Adecuadas, incluidas las CCT (Módulo 3, cuando proceda) u otros mecanismos de transferencia válidos.

Cuando sea necesario transferir los datos personales del cliente a un país que no haya sido reconocido como un país que ofrece un nivel adecuado de protección de datos, dichas transferencias se realizarán con sujeción a las garantías adecuadas, de conformidad con la legislación aplicable en materia de protección de datos, incluidas, en su caso, las Cláusulas Contractuales Típicas (SCC) y el Anexo del Reino Unido, tal y como se incorporan al presente Acuerdo de Tratamiento de Datos.

9.2 Cláusulas contractuales tipo de la UE. Para las transferencias de datos personales del cliente sujetas al RGPD a un tercer país sin declaración de adecuación, las partes incorporarán las cláusulas contractuales tipo de la UE. El módulo dos (responsable del tratamiento → encargado del tratamiento) se aplica cuando el cliente es responsable del tratamiento; el módulo tres (encargado del tratamiento → subencargado del tratamiento) se aplica cuando el cliente es encargado del tratamiento. Los anexos de las cláusulas contractuales tipo se completarán utilizando el anexo B (anexo I/III) y el anexo C (anexo II).

9.3 Anexo del Reino Unido. Para las transferencias sujetas al RGPD del Reino Unido, las partes incorporarán el Anexo del Reino Unido, cumplimentado con referencia al Anexo B/C y a la selección del mecanismo de transferencia aplicable.

9.4 Suiza. Para las transferencias a Suiza, se aplican las cláusulas contractuales tipo de la UE con las modificaciones habituales en Suiza (las referencias al RGPD incluyen la FADP suiza; el FDPIC como autoridad competente, etc.), completadas mediante referencia a los anexos.

9.5 Solicitudes de acceso por parte de las autoridades. Ultralytics las solicitudes legalmente vinculantes de datos personales del cliente de conformidad con la legislación aplicable y las Cláusulas Contractuales Típicas (SCC), lo que incluye (cuando lo permita la ley) la notificación al cliente y la cooperación razonable.

10. Condiciones entre responsables del tratamiento (Ultralytics / Uso / Operaciones de seguridad)

10.1 Ámbito de aplicación. La presente sección se aplica al tratamiento de los datos personales por parte de cada una de las partes en su calidad de responsable del tratamiento independiente (y no de responsables conjuntos), incluido el tratamiento Ultralytics de los datos de la cuenta de la empresa y los datos de uso de la empresa.

10.2 Obligaciones del encargado del tratamiento independiente. Cada una de las partes deberá:

  • (a) Tratar los datos personales de conformidad con la legislación en materia de protección de datos;
  • b) aplicar las medidas de seguridad adecuadas; y
  • c) responder a las comunicaciones de las autoridades reguladoras relacionadas con su propio tratamiento.

10.3 Tratamiento Ultralytics . Ultralytics los datos de las cuentas de la empresa y los datos de uso de la empresa en calidad de responsable del tratamiento con los siguientes fines: administración de cuentas, facturación, supervisión de la seguridad y prevención de abusos, verificación de la identidad, cumplimiento normativo, auditorías y contabilidad, y operaciones de servicio (incluido el rendimiento y la fiabilidad). Dicho tratamiento se describe en la Política Ultralytics . Nada de lo dispuesto en el presente DPA se interpretará en el sentido de que se establece una relación de corresponsables del tratamiento entre las partes.

Para evitar cualquier duda, Ultralytics sus filiales podrán tratar datos de contacto profesionales de carácter limitado (como nombres, direcciones de correo electrónico corporativas y datos de contacto profesionales) en el marco de actividades de promoción comercial, demostraciones, colaboraciones y gestión de las relaciones con los clientes, en calidad de responsables del tratamiento independientes.

11. Condiciones de California (CCPA/CPRA)

11.1 Proveedor de servicios / Encargado del tratamiento. En la medida en que sean de aplicación la CCPA y la CPRA, y Ultralytics los datos personales del cliente en nombre de este, Ultralytics como «proveedor de servicios» y/o «encargado del tratamiento», y no «venderá» ni «compartirá» dicha información personal.

11.2 Uso limitado. Ultralytics no Ultralytics , utilizará ni divulgará los datos personales del cliente fuera del ámbito del objetivo comercial directo de prestar los Servicios, salvo en los casos permitidos por la CCPA/CPRA.

11.3 Discriminación. Las Partes no podrán discriminar a un Consumidor por el hecho de haber ejercido sus derechos.

12. Disposiciones generales

12.1 Limitación de responsabilidad. Las limitaciones y exclusiones previstas en el Acuerdo se aplican al presente DPA, salvo en la medida en que lo prohíba la ley o las Cláusulas Contractuales Típicas (SCC) o el Anexo del Reino Unido.

12.2 Divisibilidad. En caso de que alguna disposición del presente DPA resultara inválida o inaplicable, el resto del DPA seguirá siendo válido y vigente. La disposición inválida o inaplicable se modificará, según sea necesario, para garantizar su validez y aplicabilidad, preservando al máximo las intenciones de las Partes o, si esto no fuera posible, se interpretará como si la parte inválida o inaplicable nunca hubiera figurado en el presente.

12.3 Celebración del presente DPA. El presente DPA se incorpora al Contrato y forma parte del mismo. El Cliente celebra el presente DPA (incluidas, en su caso, las Cláusulas Contractuales Típicas de la UE y el Anexo del Reino Unido) mediante:

  • (a) aceptar o consentir quedar vinculado por el Acuerdo (por ejemplo, haciendo clic en «Acepto» o mediante un mecanismo similar en las Condiciones del servicio),
  • b) la firma de un formulario de pedido, un pliego de condiciones u otro acuerdo escrito que incorpore o haga referencia al Acuerdo, o
  • (c) utilizar o seguir utilizando los Servicios después de que la Empresa haya puesto a disposición el presente DPA.

El Cliente declara y garantiza que la persona que acepta el Acuerdo y/o utiliza los Servicios en nombre del Cliente está facultada para obligar al Cliente y, en su caso, a sus filiales.

12.4 Contacto. Solicitudes relacionadas con la privacidad: ultralytics; Delegado de Protección de Datos (DPO): ultralytics; avisos legales: ultralytics.

13. Partes; filiales

El Cliente celebra el presente Acuerdo de Tratamiento de Datos (DPA) en su propio nombre y en el de sus filiales que sean usuarios autorizados de los Servicios en virtud del Contrato y que actúen como responsables o encargados del tratamiento de los Datos Personales del Cliente («Filiales Autorizadas»). El Cliente declara que está facultado para obligar a las Filiales Autorizadas.

Anexo A: Detalles sobre el tratamiento de datos personales

Nature: Ultralytics un software basado en la nube y servicios relacionados que permiten a los clientes acceder y utilizar Ultralytics y funciones Ultralytics , entre los que se incluyen el entrenamiento de modelos, la inferencia, la gestión de conjuntos de datos, los flujos de trabajo de implementación y el soporte y la administración correspondientes («Servicios»), tal y como se describe en el Contrato.

A efectos de claridad, los Servicios incluyen la Ultralytics , a través de la cual Ultralytics los Datos Personales del Cliente en nombre de este, de conformidad con el presente DPA. Por otra parte, Ultralytics pone a disposición los modelosYOLO Ultralytics YOLO , que los Clientes pueden implementar y operar de forma independiente en sus propios entornos. Cuando los Clientes implementen o utilicenYOLO Ultralytics YOLO fuera de la Ultralytics , Ultralytics Datos Personales en nombre del Cliente, y los Clientes serán los únicos responsables de implementar las medidas técnicas y organizativas adecuadas, determinar los fines y medios del tratamiento, y garantizar el cumplimiento de las Leyes de Protección de Datos aplicables en relación con dicha implementación y uso.

Finalidad: Ultralytics los datos personales del cliente en nombre de este con los siguientes fines:

  • proporcionar, gestionar, proteger y dar soporte a los Servicios de conformidad con el Contrato y las Instrucciones documentadas del Cliente;
  • cumplir con otras instrucciones razonables y documentadas facilitadas por el Cliente, siempre que dichas instrucciones sean compatibles con el Contrato y el presente DPA;
  • para responder a las solicitudes presentadas por el Cliente o sus usuarios autorizados en el marco de su uso de los Servicios (incluidas las solicitudes de asistencia al cliente);
  • para supervisar, prevenir y detect incidentes detect , fraudes, abusos y usos indebidos del servicio; y
  • para cumplir con las obligaciones legales aplicables.

Ultralytics no Ultralytics los Datos personales del Cliente para entrenar o mejorar los modelos generales Ultralytics, salvo que el Cliente lo indique expresamente por escrito o a través de los Servicios. A efectos de claridad, Ultralytics utilizar los Datos de uso de la empresa y los datos agregados o anonimizados (cuando esté permitido) para gestionar, proteger y mejorar los Servicios.

Cuando el Cliente decida compartir conjuntos de datos, modelos u otro contenido a través de las funciones comunitarias o públicas de los Servicios, dicho intercambio constituirá una instrucción documentada del Cliente. El Cliente será el único responsable de garantizar que dispone de todos los derechos y fundamentos jurídicos necesarios para poner dichos datos a disposición de otros usuarios.

Duración del tratamiento: Ultralytics los datos personales del cliente durante la vigencia del contrato y durante el tiempo que sea necesario para prestar los servicios de conformidad con las instrucciones del cliente. Tras la rescisión o la expiración del contrato, Ultralytics o devolverá los datos personales del cliente de conformidad con el contrato y el presente DPA, salvo que la legislación aplicable exija una conservación más prolongada. A efectos de claridad, cuando Ultralytics datos personales del responsable del tratamiento (incluidos los datos de la cuenta de la empresa y los datos de uso de la empresa) en calidad de responsable del tratamiento independiente con arreglo a la sección 10, dicho tratamiento se llevará a cabo durante los periodos establecidos en la Política Ultralytics .

Categorías de interesados: Los datos personales del cliente pueden referirse a las siguientes categorías de interesados, según lo determine y controle el cliente:

  • los empleados, contratistas, agentes y representantes del cliente;
  • Usuarios autorizados y administradores del cliente;
  • y los usuarios finales del Cliente, los clientes u otras personas cuyos datos personales el Cliente decida facilitar a los Servicios.

Categorías de datos personales: Los datos personales del cliente pueden incluir las siguientes categorías de datos personales, en la medida en que sean facilitados o puestos a disposición a través de los Servicios por el cliente o en su nombre:

  • Datos de la cuenta y de identidad del usuario, como el nombre, la dirección de correo electrónico, el nombre de usuario o el ID de usuario, el nombre de la organización y el rol o los permisos del usuario (por ejemplo, administrador o usuario).
  • Datos de uso y técnicos del dispositivo, tales como la dirección IP, los identificadores del dispositivo y los atributos del sistema (por ejemplo, el tipo de dispositivo, el sistema operativo y el tipo de navegador), los archivos de registro, las marcas de tiempo, los eventos de autenticación, el historial de acceso y (cuando proceda) las aplicaciones instaladas o los detalles de configuración recopilados como parte de los flujos de trabajo de seguridad o de los dispositivos de la empresa.
  • Contenidos y aportaciones proporcionados por el Cliente, tales como indicaciones generadas por el usuario, comentarios, anotaciones, metadatos o etiquetas de conjuntos de datos, y cualquier otro contenido que el Cliente suba o envíe a través de los Servicios (incluidas imágenes, vídeos, archivos de audio u otros archivos), pero únicamente en la medida en que dichos contenidos incluyan Datos Personales.
  • Datos de asistencia y comunicaciones, tales como comunicaciones con el servicio de atención al cliente, informes de incidencias, información sobre resolución de problemas y datos de contacto administrativos.

Las categorías de datos personales tratados pueden incluir, además, las descritas en la Política Ultralytics .

Datos sensibles o categorías especiales de datos: Los Servicios no están diseñados ni destinados al tratamiento de categorías especiales de datos personales (tal y como se definen en el artículo 9 del RGPD o su equivalente en la legislación aplicable en materia de protección de datos) ni de datos personales relacionados con condenas penales y delitos (artículo 10 del RGPD), y el Cliente tiene prohibido facilitar dichos datos, salvo que se acuerde expresamente por escrito con Ultralytics se apliquen medidas de seguridad adicionales.

Anexo B: Información del anexo I y del anexo III (Cláusulas contractuales tipo de la UE y apéndice del Reino Unido)

A continuación se incluye la información exigida en los anexos I y III de las Cláusulas Contractuales Típicas de la UE, así como en la tabla 1, el anexo 1A y el anexo 1B del Apéndice del Reino Unido.

1. Las Partes

Exportador(es) de datos:

  • Nombre: Nombre de la persona jurídica del cliente
  • Nombre comercial (si es diferente): [Opcional]
  • Dirección: Domicilio del cliente
  • Número de registro oficial (si lo hay): [Opcional]
  • Nombre, cargo y datos de contacto de la persona de contacto: Nombre, Cargo, Correo electrónico
  • Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: el uso de los Servicios previstos en el Contrato, incluida la transferencia de los Datos Personales del Cliente a Ultralytics su tratamiento en relación con los Servicios, tal y como se describe en el Contrato, en el presente Acuerdo de Tratamiento de Datos y en el Anexo A.
  • Firma y fecha: Mediante la firma o aceptación del Acuerdo o del DPA
  • Función (responsable del tratamiento/encargado del tratamiento): Responsable del tratamiento

Importador(es) de datos:

  • Nombre: Ultralytics .
  • Nombre comercial (si es diferente): N/A
  • Dirección e información de contacto: 5001 Judicial Way, Frederick, MD, 21703, Estados Unidos; ultralytics
  • Número de registro oficial (si procede): 6755919
  • Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: el tratamiento de los datos personales del cliente por cuenta de este con el fin de prestar, gestionar, proteger, mantener y dar soporte a los servicios, así como según se describe en el contrato, el presente acuerdo de tratamiento de datos y el anexo A.
  • Firma y fecha: Mediante la firma o aceptación del Acuerdo o del DPA
  • Función (responsable del tratamiento/encargado del tratamiento): Según se describe en la sección 3 de la Ley de Protección de Datos.

2. Descripción de la transferencia

Campo Detalles
Los interesados Tal y como se describe en el Anexo A del acuerdo de no enjuiciamiento
Categorías de datos personales Tal y como se describe en el Anexo A del acuerdo de no enjuiciamiento
Datos personales de categorías especiales (si procede) Tal y como se describe en el Anexo A del acuerdo de no enjuiciamiento
Naturaleza del tratamiento Tal y como se describe en el Anexo A del acuerdo de no enjuiciamiento
Finalidades del tratamiento Tal y como se describe en el Anexo A del acuerdo de no enjuiciamiento
Duración del tratamiento y del almacenamiento (o los criterios para determinar dicho plazo) Tal y como se describe en el Anexo A del acuerdo de no enjuiciamiento
Frecuencia de la transferencia En la medida en que sea necesario para cumplir y ejercer todas las obligaciones y derechos relativos a los datos personales, tal y como se establece en el Acuerdo o en el DPA
Destinatarios de los datos personales transferidos al importador de datos La empresa mantendrá una lista de subencargados del tratamiento en: ultralytics

Subencargados del tratamiento intragrupo:

Ultralytics (Reino Unido): asistencia técnica, atención al cliente, asistencia en la incorporación y relaciones comerciales (incluidas demostraciones y colaboraciones)

Ultralytics Spain, S.L. (España): asistencia técnica, relaciones comerciales y actividades de atención al cliente, lo que implica un tratamiento limitado de los datos de contacto comerciales


3. Autoridad de control competente

La autoridad de control será la autoridad de control del exportador de datos, tal y como se establece en la cláusula 13 de las Cláusulas Contractuales Típicas de la UE. A los efectos del Anexo del Reino Unido, la autoridad de control será la Oficina del Comisionado de Información del Reino Unido.

Anexo C: Medidas de seguridad técnicas y organizativas

A continuación se incluye la información exigida en el anexo II de las cláusulas contractuales tipo de la UE y en el anexo II del apéndice del Reino Unido.

Medidas de seguridad técnicas y organizativas Detalles
Medidas de seudonimización y cifrado de datos personales Los datos personales de los clientes se protegen mediante cifrado durante la transmisión, utilizando conexiones seguras estándar del sector (TLS) entre los componentes de la plataforma y los puntos finales externos. Los datos almacenados en los servicios en la nube se benefician del cifrado en reposo gestionado por el proveedor de la nube y de controles seguros de gestión de claves.
Medidas para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas y servicios de tratamiento Ultralytics compromisos en materia de seguridad, confidencialidad y disponibilidad para sus servicios, lo que incluye una configuración del sistema diseñada para restringir el acceso no autorizado, la detección y supervisión de intrusiones, el análisis de vulnerabilidades y las pruebas de penetración, el cifrado de datos en tránsito y en reposo, y controles de retención y eliminación de datos. La Ultralytics opera mediante servicios gestionados en la nube con garantía de disponibilidad. Nuestros proveedores de infraestructura como servicio (IaaS) garantizan la resiliencia de las bases de datos mediante la replicación y la alta disponibilidad. Ultralytics se asegura de que las medidas técnicas y organizativas (TOM) de los subencargados del tratamiento posteriores cumplan o superen los estándares establecidos en este acuerdo.
Medidas destinadas a garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de que se produzca un incidente físico o técnico Los datos de los clientes almacenados en la Ultralytics se copian de seguridad mediante servicios nativos del proveedor de la nube. Las copias de seguridad se supervisan y las excepciones se investigan y se corrigen. Los datos de las copias de seguridad se cifran tanto en reposo como en tránsito, y el acceso está restringido al personal autorizado. La planificación de la continuidad del negocio y la recuperación ante desastres incluye objetivos de punto de recuperación (RPO), objetivos de tiempo de recuperación (RTO) y funciones y responsabilidades definidas.
Procedimientos para comprobar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento Ultralytics análisis periódicos de vulnerabilidades en el sistema y la red, así como pruebas de penetración en el entorno de producción. La gestión de vulnerabilidades incluye el análisis de dependencias y prácticas de desarrollo seguro integradas en los procesos de CI/CD; las vulnerabilidades identificadas se priorizan y se corrigen en función de su gravedad y riesgo. Además, Ultralytics una evaluación de riesgos anual y una revisión por parte de la dirección como parte de las prácticas estándar del SGSI.
Medidas para la identificación y autorización de usuarios La Ultralytics utiliza un proveedor de autenticación e identidad que gestiona la autenticación de usuarios y la gestión de sesiones. El acceso a los sistemas de ingeniería (incluidos los repositorios de código fuente) está restringido al personal autorizado y se rige por permisos basados en roles, protecciones de ramas y revisiones obligatorias. El acceso interno sigue un modelo de privilegios mínimos y controles de acceso basados en roles.
Medidas para la protección de los datos durante la transmisión El acceso a la Ultralytics está restringido a conexiones HTTPS (TLS) seguras a través de puntos de acceso front-end designados. Las comunicaciones internas entre los componentes de la plataforma y los servicios de almacenamiento se cifran durante la transmisión mediante TLS.
Medidas para la protección de los datos durante su almacenamiento En la Ultralytics , los datos de los clientes se almacenan en servicios en la nube gestionados y cifrados, que cuentan con redundancia y copias de seguridad. Estos servicios en la nube gestionados ofrecen cifrado integrado, copias de seguridad automáticas, almacenamiento redundante y alta disponibilidad. El cifrado gestionado por el proveedor de la nube se aplica a los datos en reposo.
Medidas para garantizar la seguridad física de los lugares en los que se tratan datos personales Ultralytics se aloja mediante proveedores de servicios en la nube externos. Las medidas de protección física y ambiental de los centros de datos de alojamiento corren a cargo de las organizaciones subcontratadas correspondientes. Ultralytics los informes de certificación de las organizaciones subcontratadas y lleva a cabo análisis de riesgos al menos una vez al año.
Medidas para garantizar el registro de eventos Ultralytics el registro nativo en la nube para la supervisión, la resolución de problemas y la investigación de incidentes. Las alertas relacionadas con la disponibilidad de la plataforma y la seguridad se comunican internamente a través de los canales de comunicación internos y por correo electrónico, y externamente a través de una página de estado alojada. Además, Ultralytics revisa Ultralytics el acceso a las aplicaciones, herramientas y recursos que procesan o almacenan los datos de los clientes.
Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada Ultralytics procesos documentados de gestión de cambios que regulan las modificaciones realizadas en la Ultralytics y en el código fuenteYOLO Ultralytics , lo que incluye la iniciación del cambio, la documentación, las normas de desarrollo, las pruebas, la revisión y la aprobación antes del lanzamiento o la implementación. Los cambios se registran en el sistema de control de versiones, con revisión por pares y validación mediante el proceso de CI/CD.
Medidas para la gobernanza y la gestión internas de las tecnologías de la información y la seguridad informática Ultralytics políticas y procedimientos de seguridad alineados con los compromisos de servicio y los requisitos internos de cumplimiento, y lleva a cabo una revisión anual de las políticas y procedimientos clave. Los empleados deben aceptar las políticas a través de una herramienta específica de gobernanza, riesgo y cumplimiento (GRC) y están obligados a completar una formación anual en materia de concienciación sobre seguridad y protección de datos, además de una formación en programación segura para los puestos de ingeniería. Los riesgos se documentan en un registro de riesgos centralizado y se revisan formalmente al menos una vez al año.
Medidas para la certificación y el control de calidad de procesos y productos Ultralytics a servicios gestionados por terceros (incluidas las organizaciones de subcontratación) y revisa anualmente sus informes SOC 2 como parte de los controles de supervisión. La diligencia debida con los proveedores se basa en el riesgo, y estos se clasifican en distintos niveles (crítico/alto/medio/bajo), con garantías contractuales y reevaluaciones periódicas.
Medidas para garantizar la minimización de datos Ultralytics los datos de los clientes de conformidad con los acuerdos suscritos con ellos y con los requisitos de protección de datos aplicables, y limita el tratamiento a lo estrictamente necesario para prestar y dar soporte a los Servicios (incluida la gestión de conjuntos de datos, la anotación, el entrenamiento de modelos, la evaluación y las funcionalidades relacionadas de la plataforma). El usoYOLO Ultralytics es gestionado por el cliente, y Ultralytics procesa cargas de trabajo de inferencia para los clientes en ese contexto.
Medidas para garantizar la calidad de los datos Ultralytics prácticas controladas de desarrollo e implementación diseñadas para garantizar la integridad y la fiabilidad, entre las que se incluyen la revisión por pares, las pruebas automatizadas, los flujos de trabajo de CI/CD y la gestión controlada de cambios para la plataforma y las versiones de código abierto.
Medidas para garantizar una conservación limitada de los datos Ultralytics compromisos en materia de conservación y eliminación de datos como parte de sus compromisos de servicio. Se realizan copias de seguridad de los datos de los clientes de la Plataforma mediante servicios gestionados, y la eliminación o devolución de dichos datos se lleva a cabo de conformidad con los acuerdos con los clientes y la legislación aplicable.
Medidas para garantizar la rendición de cuentas Ultralytics un plan de respuesta ante incidentes y procedimientos documentados para identificar, notificar, gestionar y realizar un seguimiento de los incidentes relacionados con la seguridad y la privacidad, incluidas las comunicaciones para la notificación de vulnerabilidades externas a través deultralytics. Los incidentes se documentan y se gestionan con la participación de los departamentos de Ingeniería, Asuntos Jurídicos y la dirección ejecutiva, según lo requiera su gravedad.
Medidas para permitir la portabilidad de los datos y garantizar su supresión Los datos personales del cliente enviados a Ultralytics podrán ser eliminados por el cliente o a petición de este, de conformidad con el Contrato y el presente DPA. Cuando sea necesario proceder a la eliminación, Ultralytics de acuerdo con las instrucciones del cliente y los requisitos legales aplicables. (Se admite la portabilidad en la medida en que el Cliente pueda exportar o recuperar sus Datos del Cliente de los Servicios, según corresponda.) Los modelosYOLO Ultralytics son implementados por el Cliente dentro de su entorno dedicado, lo que garantiza un control total de la gobernanza de los datos.
Medidas técnicas y organizativas de los subencargados del tratamiento Ultralytics un programa de gestión de proveedores basado en el riesgo para la incorporación y supervisión de proveedores de servicios externos, lo que incluye la revisión de las declaraciones de cumplimiento y de los requisitos contractuales en materia de seguridad y protección de datos. Ultralytics supervisa a las organizaciones subcontratadas y revisa anualmente sus informes SOC 2. Ultralytics celebra acuerdos de tratamiento de datos con sus subencargados del tratamiento, en los que se establecen obligaciones de protección de datos sustancialmente similares a las contenidas en el presente acuerdo.

Anexo D: Adenda del Reino Unido

Anexo sobre la transferencia internacional de datos a las cláusulas contractuales tipo de la Comisión Europea

Parte 1: Tablas

Tabla 1: Partes

Campo Exportador Importador
Fecha de inicio El presente anexo para el Reino Unido entrará en vigor en la misma fecha que el DPA
Datos de las partes Cliente Compañía
Persona de contacto Véase el anexo B del presente acuerdo de aplazamiento de enjuiciamiento Véase el anexo B del presente acuerdo de aplazamiento de enjuiciamiento

Tabla 2: SCC, módulos y cláusulas seleccionados

Campo Detalles
Cláusulas contractuales tipo de la UE La versión de las Cláusulas Contractuales Típicas de la UE aprobadas a la que se adjunta el presente Anexo del Reino Unido, tal y como se define en el DPA y se completa en los apartados 6.2 y 6.3 del DPA.


Tabla 3: Información del apéndice

Por «información del apéndice» se entiende la información que debe facilitarse para los módulos seleccionados, tal y como se establece en el apéndice de las cláusulas contractuales tipo de la UE aprobadas (excepto las partes), y que, a efectos de la presente adenda del Reino Unido, se recoge en:

Anexo Referencia
Anexo 1A: Lista de Partes Según la tabla 1 anterior
Anexo 2B: Descripción de la transferencia Véase el anexo B del presente acuerdo de aplazamiento de enjuiciamiento
Anexo II: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas destinadas a garantizar la seguridad de los datos Véase el anexo C del presente acuerdo de aplazamiento de enjuiciamiento
Anexo III: Lista de subencargados del tratamiento (solo módulos 2 y 3) Véase el anexo B del presente acuerdo de aplazamiento de enjuiciamiento

Tabla 4: Finalización de este anexo del Reino Unido cuando se modifique el anexo aprobado del Reino Unido

Nota: Esta disposición permite a la parte seleccionada (si la hubiera) rescindir el Anexo del Reino Unido si la ICO modifica el Anexo del Reino Unido aprobado y ello da lugar directamente a un aumento sustancial, desproporcionado y demostrable de: (a) sus costes directos derivados del cumplimiento de sus obligaciones en virtud del Anexo del Reino Unido, o (b) su riesgo en virtud del Anexo del Reino Unido.

Campo Selección
Finalización de este anexo para el Reino Unido cuando se modifique el anexo aprobado para el Reino Unido x Importador x Exportador ☐ Ninguna de las partes

Aceptación de este anexo para el Reino Unido

Cada una de las partes se compromete a cumplir los términos y condiciones establecidos en el presente Anexo para el Reino Unido, a cambio de que la otra parte se comprometa igualmente a cumplir dicho Anexo.

Aunque el anexo 1A y la cláusula 7 de las CCT de la UE aprobadas exigen la firma de las partes, a efectos de realizar transferencias desde el Reino Unido, las partes podrán suscribir el presente anexo del Reino Unido de cualquier forma que lo haga jurídicamente vinculante para ellas y permita a los interesados hacer valer sus derechos tal y como se establecen en el presente anexo del Reino Unido. La celebración de este Anexo del Reino Unido tendrá el mismo efecto que la firma de las CCT de la UE aprobadas y de cualquier parte de las mismas.

Interpretación de este anexo para el Reino Unido

Cuando en el presente Anexo del Reino Unido se utilicen términos definidos en las CCT aprobadas de la UE, dichos términos tendrán el mismo significado que en las CCT aprobadas de la UE. Además, los siguientes términos tendrán los significados que se indican a continuación:

Término Definición
Anexo para el Reino Unido se refiere al presente Anexo sobre transferencia internacional de datos, que incorpora las Cláusulas Contractuales Típicas de la UE, adjunto al Acuerdo de Tratamiento de Datos como Anexo D.
Cláusulas contractuales tipo de la UE se refiere a la(s) versión(es) de las CCT aprobadas por la UE a las que se adjunta el presente anexo del Reino Unido, tal y como se indica en la tabla 2, incluida la información del apéndice
Información del apéndice será el que se indica en la tabla 3
Medidas de protección adecuadas se refiere al nivel de protección de los datos personales y de los derechos de los interesados que exigen las leyes de protección de datos del Reino Unido cuando se realiza una transferencia fuera del Reino Unido basándose en las cláusulas tipo de protección de datos previstas en el artículo 46, apartado 2, letra d), del RGPD del Reino Unido.
Anexo aprobado para el Reino Unido se refiere al modelo de anexo publicado por la ICO y presentado ante el Parlamento, de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018, el 2 de febrero de 2022, tal y como pueda ser revisado en virtud del artículo 18 del anexo del Reino Unido.
Cláusulas contractuales tipo aprobadas por la UE se refiere a las cláusulas contractuales tipo aprobadas por la Comisión Europea en la Decisión 2021/914 de la Comisión, de 4 de junio de 2021, para las transferencias de datos personales a países que la Comisión Europea no haya reconocido de otro modo como países que ofrecen un nivel adecuado de protección de los datos personales (en su versión modificada y actualizada periódicamente).
ICO se refiere a la Oficina del Comisionado de Información.
Traspaso procedente del Reino Unido tendrá la misma definición que la establecida en la Ley de Protección de Datos.
Reino Unido se refiere al Reino Unido de Gran Bretaña e Irlanda del Norte
Legislación británica en materia de protección de datos se refiere a todas las leyes relativas a la protección de datos, el tratamiento de datos personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido, incluidos el RGPD del Reino Unido y la Ley de Protección de Datos de 2018.
RGPD del Reino Unido tendrá la definición establecida en la Ley de Protección de Datos.

El Anexo del Reino Unido debe interpretarse siempre de manera coherente con la legislación británica en materia de protección de datos y de tal forma que cumpla con la obligación de las Partes de proporcionar las garantías adecuadas.

Si las disposiciones incluidas en el Anexo del Reino Unido modifican las CCT aprobadas de la UE de cualquier forma que no esté permitida en virtud de dichas CCT o del Anexo del Reino Unido, dichas modificaciones no se incorporarán al Anexo del Reino Unido y se sustituirán por la disposición equivalente de las CCT aprobadas de la UE.

En caso de que exista alguna contradicción o conflicto entre la legislación británica en materia de protección de datos y el Anexo del Reino Unido, prevalecerá la legislación británica en materia de protección de datos.

Si el significado del Anexo del Reino Unido no está claro o tiene más de un significado, se aplicará el que más se ajuste a la legislación británica en materia de protección de datos.

Cualquier referencia a una ley (o a disposiciones concretas de una ley) se refiere a dicha ley (o disposición concreta) tal y como pueda modificarse con el tiempo. Esto incluye los casos en que dicha ley (o disposición concreta) haya sido consolidada, promulgada de nuevo o sustituida tras la firma del Anexo del Reino Unido.

Jerarquía

Aunque la cláusula 5 de las CCT de la UE aprobadas establece que estas prevalecen sobre cualquier acuerdo relacionado entre las partes, estas acuerdan que, en el caso de las transferencias desde el Reino Unido, prevalecerá el orden de prelación que se establece en la sección 10 a continuación.

En caso de que exista alguna inconsistencia o conflicto entre el Anexo aprobado del Reino Unido y las CCT de la UE (según corresponda), el Anexo aprobado del Reino Unido prevalecerá sobre las CCT de la UE, salvo cuando (y en la medida en que) las cláusulas inconsistentes o contradictorias de las CCT de la UE ofrezcan una mayor protección a los interesados, en cuyo caso dichas cláusulas prevalecerán sobre el Anexo aprobado del Reino Unido.

En caso de que el presente Anexo del Reino Unido incorpore las Cláusulas Contractuales Típicas de la UE (CCT) que se hayan suscrito para proteger las transferencias fuera de la UE sujetas al RGPD, las partes reconocen que ninguna disposición del Anexo del Reino Unido afecta a dichas CCT.

Incorporación y modificaciones de las cláusulas contractuales tipo de la UE

El presente anexo del Reino Unido incorpora las cláusulas contractuales tipo de la UE, modificadas en la medida necesaria para que:

  • en conjunto, se aplican a las transferencias de datos realizadas por el exportador de datos al importador de datos, en la medida en que la legislación británica en materia de protección de datos sea aplicable al tratamiento que realiza el exportador de datos al efectuar dicha transferencia, y proporcionan las garantías adecuadas para dichas transferencias;
  • Los apartados 9 a 11 anteriores prevalecen sobre la cláusula 5 (Jerarquía) de las Cláusulas Contractuales Típicas de la UE; y
  • El Anexo del Reino Unido (incluidas las Cláusulas Contractuales Típicas de la UE incorporadas en él) (1) se rige por la legislación de Inglaterra y Gales y (2) cualquier controversia que surja del mismo será resuelta por los tribunales de Inglaterra y Gales.

A menos que las partes hayan acordado modificaciones alternativas que cumplan los requisitos del artículo 12 del presente Anexo del Reino Unido, se aplicarán las disposiciones del artículo 15 del presente Anexo del Reino Unido.

No se podrán introducir modificaciones en las cláusulas contractuales tipo de la UE aprobadas, salvo aquellas necesarias para cumplir los requisitos del artículo 12 del presente anexo del Reino Unido.

Se introducen las siguientes modificaciones en las Cláusulas Contractuales Típicas de la UE (a efectos de la sección 12 del presente anexo del Reino Unido):

  • Las referencias a las «Cláusulas» se refieren al presente anexo del Reino Unido, que incorpora las CCT de la UE;
  • En la cláusula 2, suprímase la frase: «y, en lo que respecta a las transferencias de datos de los responsables del tratamiento a los encargados del tratamiento y/o de un encargado del tratamiento a otro, las cláusulas contractuales tipo con arreglo al artículo 28, apartado 7, del Reglamento (UE) 2016/679»;
  • La cláusula 6 (Descripción de la(s) transferencia(s)) se sustituye por: «Los detalles de la(s) transferencia(s) y, en particular, las categorías de datos personales que se transfieren y los fines para los que se transfieren son los especificados en el anexo I.B, siempre que las leyes de protección de datos del Reino Unido sean de aplicación al tratamiento realizado por el exportador de datos al efectuar dicha transferencia.»;
  • La cláusula 8.7(i) del Módulo 1 se sustituye por: «se trata de un país que se beneficia de un régimen de adecuación con arreglo al artículo 17A del RGPD del Reino Unido, que regula la transferencia posterior»;
  • La cláusula 8.8(i) de los módulos 2 y 3 se sustituye por: «la transferencia posterior se realiza a un país que se beneficia de un acuerdo de adecuación con arreglo al artículo 17A del RGPD del Reino Unido que regula dicha transferencia posterior;»
  • Las referencias al «Reglamento (UE) 2016/679», «Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)» y «dicho Reglamento» se sustituyen por «Leyes de protección de datos del Reino Unido». Las referencias a artículos específicos del «Reglamento (UE) 2016/679» se sustituyen por el artículo o apartado equivalente de las Leyes de Protección de Datos del Reino Unido;
  • Se suprimen las referencias al Reglamento (UE) 2018/1725;
  • Las referencias a la «Unión Europea», «Unión», «UE», «Estado miembro de la UE», «Estado miembro» y «UE o Estado miembro» se sustituyen por «Reino Unido»;
  • La referencia a la «cláusula 12, letra c), inciso i)» que figura en la cláusula 10, letra b), inciso i), del módulo uno se sustituye por «cláusula 11, letra c), inciso i)»;
  • No se aplican la letra a) del artículo 13 ni la parte C del anexo I;
  • Los términos «autoridad de control competente» y «autoridad de control» se sustituyen por «Comisionado de Información»;
  • En la cláusula 16, letra e), el inciso i) se sustituye por: «el Secretario de Estado dicte reglamentos, de conformidad con el artículo 17A de la Ley de Protección de Datos de 2018, que regulen la transferencia de datos personales a los que se aplican estas cláusulas;»;
  • La cláusula 17 queda sustituida por: «Las presentes cláusulas se rigen por la legislación de Inglaterra y Gales»;
  • La cláusula 18 se sustituye por: «Cualquier controversia que surja de las presentes cláusulas será resuelta por los tribunales de Inglaterra y Gales. El interesado también podrá interponer acciones judiciales contra el exportador de datos y/o el importador de datos ante los tribunales de cualquier país del Reino Unido. Las partes acuerdan someterse a la jurisdicción de dichos tribunales.»; y
  • Las notas a pie de página de las cláusulas contractuales tipo aprobadas por la UE no forman parte del anexo del Reino Unido, salvo las notas 8, 9, 10 y 11.

Modificaciones al anexo del Reino Unido

Las partes podrán acordar modificar las cláusulas 17 y/o 18 de las Cláusulas Contractuales Típicas de la UE para remitirse a la legislación y/o a los tribunales de Escocia o de Irlanda del Norte.

Si las partes desean modificar el formato de la información incluida en la Parte 1: Cuadros del Anexo aprobado del Reino Unido, podrán hacerlo mediante un acuerdo por escrito, siempre que dicha modificación no reduzca las salvaguardias adecuadas.

De vez en cuando, la ICO puede publicar un anexo revisado aprobado para el Reino Unido que:

  • realice modificaciones razonables y proporcionadas en el Anexo aprobado para el Reino Unido, incluida la corrección de errores en dicho anexo; y/o
  • refleja los cambios introducidos en la legislación británica en materia de protección de datos.

El Anexo para el Reino Unido revisado y aprobado especificará la fecha de entrada en vigor de los cambios introducidos en dicho anexo, así como si las partes deben revisar este Anexo para el Reino Unido, incluida la información del apéndice. Este Anexo para el Reino Unido quedará automáticamente modificado según lo establecido en el Anexo para el Reino Unido revisado y aprobado a partir de la fecha de entrada en vigor especificada.

Si la ICO publica un anexo revisado aprobado para el Reino Unido con arreglo al artículo 18 del presente anexo para el Reino Unido, y si, como consecuencia directa de los cambios introducidos en dicho anexo, una de las partes sufre un aumento sustancial, desproporcionado y demostrable en:

  • sus costes directos derivados del cumplimiento de las obligaciones que le incumben en virtud del Anexo del Reino Unido; y/o
  • su riesgo con arreglo al Anexo del Reino Unido,

y, en cualquiera de los dos casos, siempre que haya tomado previamente medidas razonables para reducir dichos costes o riesgos de modo que no resulten sustanciales ni desproporcionados, dicha parte podrá rescindir el presente Anexo del Reino Unido al término de un plazo de preaviso razonable, notificándolo por escrito a la otra parte antes de la fecha de entrada en vigor del Anexo del Reino Unido revisado y aprobado.

Las partes no necesitan el consentimiento de ningún tercero para introducir modificaciones en este Anexo del Reino Unido, pero cualquier modificación deberá realizarse de conformidad con sus términos.