Este Acuerdo de Procesamiento de Datos (el "Acuerdo de Procesamiento de Datos del Socio") se incorpora al acuerdo o acuerdos celebrados por usted ("Socio") y BROSH, Inc. ("BROSH"), y rige el intercambio de datos entre usted y BROSH (pero excluyendo los acuerdos de clientes entre el Socio y BROSH que rigen la compra y el uso de productos y servicios de BROSH por parte del Socio) ("Acuerdo del Socio").

Este DPA de socio cubre el procesamiento de: (1) Datos personales que el socio carga, transfiere o de otra manera proporciona a BROSH en relación con un Acuerdo de socio; y (2) Datos personales que BROSH (o sus clientes) carga, transfiere o de otra manera proporciona al socio en relación con el Acuerdo de socio.

En conjunto, este DPA para socios (incluidas las cláusulas contractuales estándar, tal como se definen a continuación) y el Acuerdo para socios se denominan en este DPA para socios el "Acuerdo". En caso de conflicto o inconsistencia entre cualquiera de los términos del Acuerdo, prevalecerán las disposiciones de los siguientes documentos (en orden de precedencia): (a) las cláusulas contractuales estándar, (b) este DPA para socios; y (c) el Acuerdo para socios.

El propósito de este DPA de socio es establecer un marco para abordar escenarios en los que:

1. BROSH y el Socio pueden, en relación con el Acuerdo de Socio, cada uno ser Controladores (como se define a continuación) de Datos Personales Europeos y, en ciertos casos, transferir esos Datos Personales Europeos a la otra parte para que esa otra parte actúe como Controlador de esos Datos Personales Europeos;
2. BROSH y el socio pueden ser cada uno controladores de datos personales europeos y, en ciertos casos, transfieren esos datos personales europeos a la otra parte para que esa otra parte proporcione ciertos servicios a la otra parte como procesador (por ejemplo, realizar servicios como socio de soluciones o completar una llamada API); o
3. BROSH y el socio pueden ser cada uno Procesadores de Datos Personales Europeos de un Cliente Conjunto y transferir dichos datos a la otra parte para su procesamiento según las instrucciones de ese Cliente Conjunto.

1. DEFINICIONES

“Empresa” y “Proveedor de servicios” tendrán los significados que se les dan en la CCPA.

“Información personal de California” significa datos personales que están sujetos a la protección de la CCPA.

"CCPA" significa Código Civil de California Sec. 1798.100 y siguientes (también conocida como Ley de Privacidad del Consumidor de California de 2018).

«Responsable del tratamiento» significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del Tratamiento de Datos Personales.

"Leyes de Protección de Datos" significa toda la legislación o reglamentación mundial aplicable relacionada con la protección de datos y la privacidad que se aplica a la parte respectiva en el rol de Procesamiento de Datos Personales en cuestión bajo el Acuerdo, incluidas, entre otras, las Leyes de Protección de Datos Europeas, la CCPA y las leyes de protección de datos y privacidad de Australia y Singapur; en cada caso, según sean modificadas, derogadas, consolidadas o reemplazadas de vez en cuando. "Europa" significa la Unión Europea, el Espacio Económico Europeo y/o sus estados miembros, Suiza y el Reino Unido.

"Leyes europeas de protección de datos" significa las leyes de protección de datos aplicables en Europa, incluyendo: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de dichos datos (Reglamento general de protección de datos) ("RGPD"); (ii) la Directiva 2002/58/CE relativa al procesamiento de datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas; y (iii) las implementaciones nacionales aplicables de (i) y (ii); o (iii) el RGPD tal como forma parte de la legislación nacional del Reino Unido en virtud de la Sección 3 de la Ley de (Retirada) de la Unión Europea de 2018 ("RGPD del Reino Unido"); y (iv) la Ley Federal Suiza de Protección de Datos del 19 de junio de 1992 y su Ordenanza ("LPD Suiza"); en cada caso, según pueda ser enmendada, reemplazada o sustituida.

"Datos Personales Europeos" significa Datos Personales cuyo intercambio de conformidad con este Acuerdo está regulado por las Leyes Europeas de Protección de Datos.

"Cliente conjunto" significa un cliente tanto del Socio como de BROSH.

"Datos Personales de Cliente Conjunto" significa cualquier Dato Personal para el cual un Cliente Conjunto actúa como Controlador.

“Datos personales de BROSH” significa cualquier dato personal para el cual BROSH actúa como controlador.

“Datos personales del socio” significa cualquier dato personal para el cual el socio actúa como controlador.

"Datos personales" significa cualquier información relacionada con un individuo identificado o identificable cuando dicha información está contenida en los Datos personales de BROSH, Datos personales de socios o Datos personales de clientes conjuntos y está protegida de manera similar a los datos personales o la información de identificación personal según las Leyes de protección de datos aplicables.

"Violación de datos personales" significa cualquier destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a datos personales.

Por "Tratamiento" se entiende cualquier operación o conjunto de operaciones que se realicen sobre Datos Personales, incluyendo la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación o supresión de Datos Personales. Los términos "Tratamiento", "Procesos" y "Tratado" se interpretarán en consecuencia.

"Encargado del Tratamiento" significa una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa Datos Personales en nombre del Responsable del Tratamiento.

«Cláusulas contractuales tipo» o «CCT» significa las cláusulas contractuales tipo anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021.

"Subprocesador" significa cualquier entidad que proporciona servicios de procesamiento a un Procesador.

«Autoridad de supervisión» significa una autoridad pública independiente establecida por un estado miembro del Espacio Económico Europeo, Suiza o el Reino Unido.

"Anexo del Reino Unido" significa el Anexo de Transferencia Internacional de Datos (Versión B.1.0) emitido por la ICO del Reino Unido según la sección 119A de la Ley de Protección de Datos de 2018, según pueda ser modificado, reemplazado o sustituido.

2. CUMPLIMIENTO DE LAS LEYES

Las partes declaran y garantizan que cumplirán con sus respectivas obligaciones y deberes según las leyes de protección de datos aplicables.

3. ESCENARIOS DE ENCARGADO CONJUNTO

Cada parte, en la medida en que actúe junto con la otra parte como procesador con respecto a los datos personales del cliente conjunto, (i) cumplirá con las instrucciones y restricciones establecidas en cualquier acuerdo con el cliente conjunto; y (ii) cooperará razonablemente con la otra parte para permitir el ejercicio de los derechos de protección de datos según lo establecido en las leyes de protección de datos aplicables. Las partes reconocen y acuerdan que cada una de ellas actúa como procesador para el cliente conjunto y que ninguna de las partes contrata a la otra como subprocesador.

4. ESCENARIOS DE CONTROLADOR A CONTROLADOR

Cada parte, en la medida en que, junto con la otra parte, actúe como Controlador con respecto a los Datos Personales, cooperará razonablemente con la otra parte para permitir el ejercicio de los derechos de protección de datos establecidos en las Leyes de Protección de Datos aplicables.

Las partes reconocen y acuerdan que cada una actúa independientemente como Controlador con respecto a los Datos Personales y las partes no son controladores conjuntos según se define en las Leyes Europeas de Protección de Datos.

5. ESCENARIOS DE CONTROLADOR A PROCESADOR

A. Relación entre las partes. Los derechos, responsabilidades y obligaciones de las partes en relación con los artículos 6 a 9 del presente DPA serán los siguientes:

Para las operaciones de procesamiento en las que BROSH procesa datos personales en nombre del socio y bajo la dirección de este, el término "Encargado del tratamiento" se refiere a BROSH, el término "Responsable del tratamiento" se refiere al socio y el término "Datos personales" se refiere a los datos personales del socio. Para las operaciones de procesamiento de datos en las que el socio procesa datos personales en nombre de BROSH y bajo la dirección de BROSH, el término "Encargado del tratamiento" se refiere al socio, el término "Responsable del tratamiento" se refiere a BROSH y el término "Datos personales" se refiere a los datos personales de BROSH.

B. Alcance del Tratamiento .

En el contexto de los escenarios descritos en la Sección 5.a anterior, cada parte acepta procesar Datos Personales únicamente para los fines establecidos en el Acuerdo de Socio aplicable y/o el(los) acuerdo(s) del Socio con el Cliente Conjunto. Para evitar dudas, las categorías de Datos Personales procesados y las categorías de titulares de datos sujetos a este DPA se describen en el Anexo A de este DPA.

6. OBLIGACIONES DEL RESPONSABLE

Las partes en su calidad de Responsable del Tratamiento acuerdan:

A. Proporcionar instrucciones al Procesador y determinar los propósitos y medios del procesamiento de Datos Personales por parte del Procesador de conformidad con el Acuerdo; y

B. Cumplir con sus obligaciones de protección, seguridad y otras obligaciones con respecto a los Datos Personales prescritas por las Leyes de Protección de Datos aplicables para un Responsable del Tratamiento mediante: (i) establecer y mantener un procedimiento para el ejercicio de los derechos de las personas cuyos Datos Personales se procesan en nombre del Responsable del Tratamiento; (ii) procesar únicamente datos que hayan sido recopilados de manera legal y válida y garantizar que dichos datos sean pertinentes y proporcionales a los respectivos usos; y (iii) garantizar el cumplimiento de las disposiciones de este DPA por parte de su personal o de cualquier tercero que acceda o utilice Datos Personales en su nombre.

7. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
A. Requisitos de procesamiento . Las partes en su calidad de Encargado del tratamiento acuerdan:

a. Procesar Datos Personales (i) únicamente con el propósito de proporcionar, respaldar y mejorar el producto y los servicios del Procesador (incluido para proporcionar información y otros informes), utilizando medidas de seguridad técnicas y organizativas apropiadas; y (ii) de conformidad con las instrucciones recibidas del Controlador. El Procesador no utilizará ni procesará Datos Personales para ningún otro propósito. El Procesador informará de inmediato al Controlador por escrito si no puede cumplir con los requisitos de las Secciones 6 a 9 de este DPA, en cuyo caso el Controlador puede rescindir el Acuerdo y cualquier Acuerdo de Socio aplicable, o tomar cualquier otra medida razonable, incluida la suspensión de las operaciones de procesamiento de datos;

b. Informar al Responsable del Tratamiento con prontitud y sin demora indebida si, en opinión del Encargado del Tratamiento, una instrucción del Responsable del Tratamiento viola las Leyes de Protección de Datos aplicables;

c. Si el Procesador recopila Datos Personales de personas en nombre del Controlador, siga las instrucciones del Controlador con respecto a dicha recopilación de Datos Personales;

d. Tomar medidas comercialmente razonables para garantizar que (i) las personas empleadas por él y (ii) otras personas contratadas para actuar en nombre del Procesador cumplan con los términos del Acuerdo y los Acuerdos de Socios aplicables;

e. Declarar y garantizar que sus empleados, agentes autorizados y cualquier Subprocesador están sujetos a un estricto deber de confidencialidad (ya sea un deber contractual o un deber legal), y no permitirán que ninguna persona procese los datos personales que no esté sujeta a dicho deber de confidencialidad;

f. Si tiene la intención de contratar Subprocesadores para que le ayuden a cumplir con sus obligaciones de conformidad con este DPA o delegar la totalidad o parte de las actividades de procesamiento a dichos Subprocesadores, (i) proporcionar una lista de los Subprocesadores actualmente contratados por el Procesador al Controlador (dicha lista para BROSH está disponible en línea en https://www.brosh.io/pagex/es-uy/sub-processors-page.html ), y notificar al Controlador la contratación de cualquier nuevo Subprocesador con al menos 30 días de anticipación, dando al Controlador la oportunidad de objetar; (ii) seguir siendo responsable ante el Controlador por los actos y omisiones de los Subprocesadores con respecto a la protección de datos cuando dichos Subprocesadores actúen según las instrucciones del Procesador; y (iii) celebrar acuerdos contractuales con dichos Subprocesadores obligándolos a proporcionar el mismo nivel de protección de datos y seguridad de la información que el previsto en este documento;

g. A solicitud del Responsable, proporcionar las políticas de privacidad y seguridad del Encargado; y

h. Informar al Responsable si el Encargado del Tratamiento realiza una revisión de seguridad independiente.

B. Notificación al Responsable . El Encargado informará inmediatamente y sin demora indebida al Responsable si tiene conocimiento de:

a. Cualquier incumplimiento por parte del Procesador o sus empleados de las Secciones 6 a 9 de este DPA o de las Leyes de Protección de Datos aplicables relacionadas con la protección de Datos Personales procesados bajo este DPA;

b. Cualquier solicitud legalmente vinculante de divulgación de Datos Personales por parte de una autoridad policial o gubernamental, a menos que la ley prohíba al Procesador informar al Controlador, por ejemplo, para preservar la confidencialidad de una investigación por parte de las autoridades policiales;

c. Cualquier notificación, consulta o investigación por parte de una Autoridad de Supervisión con respecto a Datos Personales; o

d. Cualquier reclamación o solicitud (en particular, solicitudes de acceso, rectificación o bloqueo de Datos Personales) recibidas directamente de los interesados del Responsable. El Encargado no responderá a ninguna de dichas solicitudes sin la autorización previa por escrito del Responsable.

C. Asistencia al Responsable. El Encargado del Tratamiento prestará asistencia oportuna y razonable al Responsable en relación con:

a. Responder a cualquier solicitud de una persona para ejercer derechos bajo las Leyes de Protección de Datos aplicables (incluidos sus derechos de acceso, corrección, objeción, eliminación y portabilidad de datos, según corresponda) y el Procesador acepta informar de inmediato al Controlador si recibe dicha solicitud directamente;

b. La investigación de las violaciones de datos personales y la notificación a la Autoridad de Control y al Responsable del Tratamiento de los interesados sobre dichas violaciones de datos personales; y

c. en su caso, la elaboración de evaluaciones de impacto sobre la protección de datos y, cuando sea necesario, la realización de consultas con cualquier Autoridad de Control.

D. Procesamiento requerido.

Si las Leyes de Protección de Datos requieren que el Procesador procese cualquier Dato Personal por un motivo distinto al del Acuerdo, el Procesador informará al Controlador de este requisito antes de cualquier procesamiento, a menos que el Procesador tenga prohibido legalmente informar al Controlador de dicho procesamiento (por ejemplo, como resultado de los requisitos de secreto que puedan existir según las leyes aplicables de los estados miembros de la UE).

E. Seguridad . El Encargado del Tratamiento deberá:

a. Mantener medidas de seguridad organizativas y técnicas adecuadas (incluso con respecto al personal, las instalaciones, el hardware y el software, el almacenamiento y las redes, los controles de acceso, la supervisión y el registro, la detección de vulnerabilidades y violaciones, la respuesta a incidentes y el cifrado de los Datos Personales mientras están en tránsito y en reposo) para proteger contra el acceso no autorizado o accidental, la pérdida, la alteración, la divulgación o la destrucción de los Datos Personales;

b. Ser responsable de la suficiencia de las salvaguardas de seguridad, privacidad y confidencialidad de todo el personal del Procesador con respecto a los Datos Personales y responsable de cualquier incumplimiento por parte de dicho personal del Procesador de los términos de este DPA;

c. Tomar las medidas adecuadas para confirmar que todo el personal del Procesador está protegiendo la seguridad, privacidad y confidencialidad de los Datos Personales de conformidad con los requisitos de este DPA; y

d. Notificar al Responsable del Tratamiento cualquier Violación de Datos Personales cometida por el Encargado del Tratamiento, sus Subencargados del Tratamiento o cualquier otro tercero que actúe en nombre del Encargado del Tratamiento sin demora indebida y en cualquier caso dentro de las 48 horas de tener conocimiento de una Violación de Datos Personales.

F. Disposiciones adicionales para la información personal de California .

Cuando el Procesador procesa información personal de California de acuerdo con las instrucciones recibidas del Controlador, las partes reconocen y aceptan que el Controlador es una Empresa y el Procesador es un Proveedor de servicios a los efectos de la CCPA. Las partes acuerdan que el Procesador procesará información personal de California como Proveedor de servicios estrictamente con el fin de proporcionar, respaldar y mejorar los servicios del Procesador (incluido proporcionar información y otros informes) (el "Propósito comercial") o según lo permita la CCPA.

8. AUDITORÍA, CERTIFICACIÓN

A. Auditoría de la Autoridad de Supervisión .

Si una Autoridad de Control requiere una auditoría de las instalaciones de procesamiento de datos desde las que el Encargado procesa Datos Personales con el fin de determinar o monitorear el cumplimiento de las Leyes de Protección de Datos, el Encargado cooperará con dicha auditoría. El Responsable reembolsará al Encargado los gastos razonables en los que haya incurrido para cooperar con la auditoría, a menos que dicha auditoría revele el incumplimiento por parte del Encargado del presente DPA.

B. Certificación del Procesador .

El Procesador debe, a solicitud del Controlador (sin exceder una solicitud por año calendario) por correo electrónico (cuando BROSH sea el Procesador, dichos correos electrónicos se enviarán a privacy@brosh.io; cuando el Socio sea el Procesador, el Socio deberá establecer y proporcionar a BROSH, previa solicitud, un único punto de contacto para la correspondencia por correo electrónico sobre protección de datos), certificar el cumplimiento de este DPA por escrito.

9. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS

Las partes acuerdan que, al término de los servicios de procesamiento de datos o tras una solicitud razonable del Responsable, el Encargado del Tratamiento deberá tomar medidas razonables para que los Subencargados del Tratamiento, a elección del Responsable, devuelvan todos los Datos Personales Europeos y copias de dichos datos al Responsable del Tratamiento o los destruyan de forma segura y demuestren a satisfacción del Responsable del Tratamiento que ha tomado tales medidas, a menos que las Leyes de Protección de Datos impidan al Encargado del Tratamiento devolver o destruir la totalidad o parte de los Datos Personales Europeos revelados. En tal caso, el Encargado del Tratamiento acepta preservar la confidencialidad de los Datos Personales Europeos que conserva y que solo procesará activamente dichos Datos Personales Europeos después de dicha fecha para cumplir con las leyes aplicables.

10. TRANSFERENCIAS DE DATOS

Cuando se transfieran datos personales fuera de su país de origen, cada parte garantizará que dichas transferencias se realicen de conformidad con los requisitos de las leyes de protección de datos.

a. Datos personales del socio . En el caso de transferencias de datos personales europeos del socio a BROSH para su procesamiento por parte de BROSH en una jurisdicción fuera de Europa que no proporcione un nivel adecuado de protección de los datos personales (en el sentido de las leyes europeas de protección de datos aplicables), las partes acuerdan que:

(i) Cláusulas contractuales estándar : Las partes acuerdan respetar y procesar los Datos europeos de conformidad con las Cláusulas contractuales estándar incorporadas en la Sección 10(c) a continuación.

(ii) Escudo de privacidad : Aunque BROSH, Inc. no se basa en el Escudo de privacidad UE-EE. UU. como base legal para las transferencias de Datos personales a la luz de la sentencia del Tribunal de Justicia de la UE en el asunto C-311/18, mientras BROSH, Inc. esté autocertificada para el Escudo de privacidad, BROSH Inc. procesará los Datos personales europeos de conformidad con los Principios del Escudo de privacidad y le informará al Socio si no puede cumplir con este requisito.

Las partes acuerdan que los interesados para quienes una entidad de BROSH procesa Datos Personales Europeos son terceros beneficiarios en virtud de las CSC. Si BROSH no puede o llega a no poder cumplir con estos requisitos, los Datos Personales Europeos se procesarán y utilizarán exclusivamente dentro del territorio de un estado miembro de la Unión Europea y cualquier movimiento de Datos Personales Europeos a un país no perteneciente a la UE requiere el consentimiento previo por escrito del Socio con respecto a los Datos Personales Europeos. BROSH notificará de inmediato al Socio cualquier incapacidad de BROSH para cumplir con las disposiciones de esta Sección 10(a).

b. Datos personales de BROSH. En el caso de transferencias de datos personales europeos de BROSH a un socio para su procesamiento por parte del socio en una jurisdicción fuera de Europa que no proporcione un nivel adecuado de protección de los datos personales (en el sentido de las leyes de protección de datos europeas aplicables), las partes acuerdan que:

(i) Cláusulas contractuales estándar : Las partes acuerdan respetar y procesar los Datos europeos de conformidad con las Cláusulas contractuales estándar incorporadas en la Sección 10(c) a continuación.

(ii) Escudo de privacidad : mientras BROSH, Inc. esté autocertificada para el Escudo de privacidad, el Socio procesará los Datos personales europeos de conformidad con los Principios del Escudo de privacidad y le informará a BROSH si no puede cumplir con este requisito.

Las partes acuerdan que los interesados para quienes el Socio procesa Datos Personales Europeos son terceros beneficiarios en virtud de las CSC. Si el Socio no puede o llega a no poder cumplir con estos requisitos, los Datos Personales Europeos se procesarán y utilizarán exclusivamente dentro del territorio de un estado miembro de la Unión Europea y cualquier movimiento de Datos Personales Europeos a un país no perteneciente a la UE requiere el consentimiento previo por escrito de BROSH con respecto a los Datos Personales. El Socio deberá notificar de inmediato a BROSH cualquier incapacidad del Socio para cumplir con las disposiciones de esta Sección 10(b).

c. Cláusulas contractuales estándar. Las Partes reconocen y acuerdan que, a los efectos de las Cláusulas contractuales estándar: (i) con respecto a los Datos personales del socio, el "exportador de datos" será el Socio y el "importador de datos" será BROSH (que actúa en nombre propio y de sus Afiliadas); (ii) con respecto a los Datos personales de BROSH, el "exportador de datos" será BROSH (que actúa en nombre propio y de sus Afiliadas) y el "importador de datos" será el Socio; (iii) los términos del Módulo Uno se aplicarán cuando ambas partes sean Responsables del tratamiento y los términos del Módulo Dos se aplicarán cuando la parte que reciba Datos personales en virtud de las Cláusulas contractuales estándar actúe como Encargado del tratamiento en nombre de la otra parte como Responsable del tratamiento; (iv) en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional; (v) en la Cláusula 9, se aplicará la Opción 2 del Módulo Dos y el Encargado del tratamiento obtendrá la autorización para Subencargados del tratamiento de conformidad con la Sección 7(a) de este DPA; (vi) en la Cláusula 11, se eliminará el lenguaje opcional; (vii) en la Cláusula 17 y la Cláusula 18(b), las SCC se regirán por las leyes de y las disputas se resolverán ante los tribunales de la República de Irlanda o del estado miembro del EEE en el que esté establecida la entidad legal de BROSH que haya celebrado el Acuerdo o, si dicha BROSH no está establecida en el EEE, la República de Irlanda; (viii) en el Anexo I de las SCC, los detalles de las partes se establecen en el Acuerdo; y (ix) la información restante en el Anexo I y el Anexo II de las SCC se considerará completa con la información establecida en el Anexo A de este DPA.

d. Transferencias en el Reino Unido. En relación con los Datos Personales sujetos al RGPD del Reino Unido, las SCC se aplicarán de conformidad con la Sección 10(c) anterior y las siguientes modificaciones adicionales: (i) las SCC se modificarán según lo especificado por el Anexo del Reino Unido, que se incorporará por referencia; (ii) las Tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se completarán con la información relevante establecida en el Anexo A de este DPA; (iii) la Tabla 4 de la Parte 1 del Anexo del Reino Unido se considerará completada al seleccionar "ninguno"; y (iv) cualquier conflicto entre las SCC y el Anexo del Reino Unido se resolverá de conformidad con la Sección 10 y la Sección 11 del Anexo del Reino Unido.

e. Transferencias suizas. En relación con los Datos Personales sujetos a la DPA suiza, las Cláusulas Contractuales Suizas se aplicarán de conformidad con la Sección 10(c) anterior y las siguientes modificaciones adicionales: (i) las referencias al "Reglamento (UE) 2016/679" y artículos específicos del mismo se interpretarán como referencias a la DPA suiza y los artículos o secciones equivalentes del mismo; (ii) las referencias a "UE", "Unión" y "Estado Miembro" se sustituirán por referencias a "Suiza"; (iii) las referencias a la "autoridad supervisora competente" y a los "tribunales competentes" se sustituirán por referencias al "Comisionado Federal de Información y Protección de Datos de Suiza" y a los "tribunales aplicables de Suiza"; y (iv) en la Cláusula 17 y la Cláusula 18(b), las Cláusulas Contractuales Suizas se regirán por las leyes de Suiza y las disputas se resolverán ante los tribunales de Suiza.

11. PLAZO

Este DPA permanecerá en vigor mientras cualquiera de las partes lleve a cabo operaciones de procesamiento de Datos Personales sobre los Datos Personales cargados o de otra manera proporcionados por la otra parte de conformidad con el Acuerdo de Socio.

12. INDEMNIZACIÓN

Cada Parte defenderá, indemnizará y eximirá de responsabilidad a la otra Parte y a sus subsidiarias, filiales y sus respectivos funcionarios, directores, empleados y agentes de y contra todas las pérdidas, daños, responsabilidades, deficiencias, acciones, sentencias, intereses, laudos, sanciones, multas, costos o gastos de cualquier tipo, incluidos los honorarios razonables de abogados, el costo de hacer cumplir cualquier derecho a indemnización en virtud del presente y el costo de perseguir a cualquier proveedor de seguros, que surja o resulte de cualquier reclamo de terceros contra la otra Parte que surja o resulte del incumplimiento por parte de la parte infractora de cualquiera de sus obligaciones en virtud de este DPA o las leyes, regulaciones o principios aplicables contenidos en las Leyes de Protección de Datos Europeas. La responsabilidad de cada Parte estará sujeta a la limitación de responsabilidad en el Acuerdo de Socio aplicable.

ANEXO A

ANEXO A - DESCRIPCIÓN DE LA TRANSFERENCIA

1. Categorías de interesados . Los datos personales transferidos se refieren a las siguientes categorías de interesados, en función del acuerdo entre el importador y el exportador de datos:

Miembros de BROSH; clientes y empleados potenciales y reales del exportador de datos; clientes potenciales de ventas y marketing del exportador de datos; y terceros que tienen, o pueden tener, una relación comercial con el exportador de datos (por ejemplo, anunciantes, clientes, suscriptores corporativos, contratistas y usuarios de productos).

2. Categorías de datos personales . Los datos personales transferidos se refieren a las siguientes categorías de datos:

Los datos transferidos son los datos personales proporcionados por el exportador de datos al importador de datos en relación con el Acuerdo de Socio. Dichos datos personales pueden incluir nombre, apellido, dirección de correo electrónico, información de contacto, educación e historial laboral y otra información proporcionada en los perfiles de miembros de BROSH, currículums, datos de CRM relacionados con oportunidades de venta y listas de clientes, cualquier nota proporcionada por el exportador de datos con respecto a lo anterior y otras actividades de los miembros de BROSH tomadas en la plataforma de BROSH.

1. Datos sensibles (en su caso) . Los datos personales transferidos podrán referirse a las siguientes categorías especiales de datos:
   Ninguno.
2. Frecuencia de transferencia .
   Los datos personales se transfieren de forma continua.
3. Naturaleza y finalidad del tratamiento . La cesión se realiza con las siguientes finalidades:
   La transferencia tiene como finalidad posibilitar la relación entre las partes contemplada en el Acuerdo de Socio. El "Acuerdo de Socio" es el acuerdo o los acuerdos celebrados entre el importador y el exportador de datos que rigen el intercambio de datos entre dichas partes (pero excluyendo los acuerdos de cliente entre el Socio y BROSH que rigen la compra de productos y servicios de BROSH por parte del Socio).
4. Periodo durante el cual se conservarán los datos personales :
   Los datos personales transferidos entre las partes solo podrán conservarse durante el período de tiempo permitido por el Acuerdo de Socio. Las partes acuerdan que cada una de ellas, en la medida en que actúe junto con la otra parte como Responsable del Tratamiento de los Datos Personales, cooperará razonablemente con la otra parte para permitir el ejercicio de los derechos de protección de datos establecidos en las Leyes de Protección de Datos.
5. Objeto, naturaleza y duración del tratamiento .
   El objeto, la naturaleza y la duración del tratamiento son los descritos en el Acuerdo, incluido el presente DPA.
6. Autoridad supervisora competente . A los efectos de las Cláusulas contractuales estándar, la autoridad supervisora competente es la autoridad del estado miembro del EEE en el que el Socio o el representante del Socio en el EEE esté establecido (con respecto a los Datos personales del Socio) o el [Comisionado de protección de datos de Irlanda] (con respecto a los Datos personales de BROSH). A los efectos de las transferencias al Reino Unido y Suiza, la autoridad supervisora competente es el Comisionado de información del Reino Unido o el Comisionado de información de protección de datos federal de Suiza (según corresponda).

ANEXO B – MEDIDAS DE SEGURIDAD

Utilizamos una variedad de tecnologías y procedimientos de seguridad para ayudar a proteger sus Datos Personales. Todos los Datos Personales están protegidos mediante medidas físicas, técnicas y organizativas adecuadas. Para obtener más información sobre la Seguridad en BROSH, consulte https://www.brosh.io/pagex/es-uy/Security-Policy.html .