Grupo CitNOW: estándar (edición de octubre de 2023)

Entre las Partes:

El presente Acuerdo se celebra entre:

1. La entidad que se identifica como "Proveedor" en los Formularios de pedido ("Proveedor").
2. La entidad que se identifica como "Cliente" en los Formularios de pedido ("Cliente").

Introducción

El Proveedor forma parte del Grupo CitNOW y opera dentro de él. El Grupo CitNOW es un grupo de empresas que ofrecen Productos y Servicios en el sector de la automoción.

Como parte del suministro de Productos y Servicios, el Proveedor actuará como encargado del tratamiento de los datos del Cliente. Los términos de las cláusulas 1 (Protección de datos) y 2 (Datos de consumidores y Datos de empleados) de los Términos y condiciones del Grupo CitNOW se aplican con respecto a las obligaciones de protección de datos de las partes. Los clientes pueden utilizar este documento si desean disponer de un apéndice sobre el tratamiento de los datos firmado.

Las disposiciones de este apéndice son muy importantes y requieren que el Cliente establezca procesos para garantizar que se cumplen sus requisitos sobre el tratamiento de los datos. Le rogamos que las lea atentamente. En particular, antes de transferir los datos personales de cualquier Consumidor al Proveedor a través de los Productos, el Cliente debe garantizar (y procurar que todos los Usuarios garanticen) lo siguiente:

1. que se obtenga el consentimiento de todos los Consumidores para cargar los Datos de los consumidores en los Productos, o transferirlos de otro modo al Proveedor; o
2. que el Cliente haya identificado claramente una o varias bases legales (tal y como se establece en la Legislación sobre Protección de Datos) que permitan que los Datos de los consumidores se carguen en los Productos o se transfieran de otro modo al Proveedor.

Definiciones

Los términos definidos en los Términos y condiciones, el Acuerdo de licencia y/o en los Formularios de pedido tendrán, salvo que se definan de otro modo en el presente documento, el mismo significado en este Apéndice sobre el tratamiento de los datos.

• Acuerdo: el contrato celebrado entre el Proveedor y el Cliente que comprende los Formularios de pedido, los Términos y condiciones y los Acuerdos de licencia.
• Grupo CitNOW: los miembros del grupo de empresas CitNOW, lo que incluye a cualquier entidad que controle al Proveedor, que controle el Proveedor o que se controle en común con el Proveedor. Por su parte, "control" tendrá el significado que se le da en la sección 1124 de la Ley del Impuesto de Sociedades de 2010. Todas las entidades figurarán en todo momento en la página web del Grupo CitNOW (https://www.citnowgroup.com/).
• Consumidor: cualquier consumidor que sea cliente del Cliente y respecto del cual un Usuario cargue datos personales en los Productos.
• Datos de los consumidores: se refiere a toda la información, incluidos los datos personales, relativos a un Consumidor que el Cliente, o cualquier Usuario, cargue en los Productos o transfiera al Proveedor.
• Contenido: el vídeo, las imágenes fijas, el audio, los gráficos, el texto, los mensajes y cualquier otra información creada por Usted y cargada a través del Producto;
• Responsable del tratamiento, encargado del tratamiento, interesado, datos personales, infracción de datos personales, tratamiento y medidas técnicas y organizativas apropiadas: estos términos tienen el significado que se define en la Legislación sobre Protección de Datos.
• Cliente: el cliente designado como tal en los Formularios de pedido, que puede ser un OEM, una Compañía de ventas nacional, un Grupo de concesionarios o un Minorista.
• Datos: cualquier dato, incluidos los datos personales, que el Cliente cargue en los Productos o transfiera al Proveedor, incluidos los Datos de los consumidores y/o los Datos de los empleados.
• Legislación sobre protección de datos: significa: (a) en la medida en que se aplique el RGPD del Reino Unido, la legislación del Reino Unido o de una parte del Reino Unido que esté relacionada con la protección de datos personales; o (b) en la medida en que se aplique el RGPD de la UE, la legislación de la Unión Europea o de cualquier estado miembro de la Unión Europea a la que estén sujetos el Proveedor o el Cliente que esté relacionada con la protección de datos personales.
• Grupo de concesionarios: una empresa que controla a varios Minoristas.
• Datos de los empleados: cualquier dato, incluidos los datos personales, que el Cliente (incluido cualquier Usuario) cargue en los Productos o transfiera al Proveedor.
• RGPD de la UE: el Reglamento General de Protección de Datos ((UE) 2016/679), tal y como se aplica en la legislación de la UE.
• OEM: fabricante de equipos originales.
• Formularios de pedido: los Formularios de pedido suministrados por el Proveedor y firmados por el Cliente que, por referencia, incorporan estos Términos y condiciones y el Acuerdo de licencia.
• Productos: los productos descritos en los Formularios de pedido, que suministra el Proveedor al Cliente (ya sea directamente o como revendedor autorizado) en régimen de suscripción, y que pueden estar disponibles en los niveles estándar, pro y plus (en su caso). Los Productos adquiridos por el Cliente, incluido el nivel del producto, serán los que se detallen en los Formularios de pedido de la suscripción. El suministro de los Productos incluye la prestación de Asistencia técnica;
• Minorista: los concesionarios franquiciados que se identifican en los Formularios de pedido.
• Servicios: los servicios que el Proveedor presta al Cliente (ya sea directamente o como revendedor autorizado), tal y como se detallan en los Formularios de pedido, que pueden incluir formación, importaciones de datos, exportaciones de datos, limpiezas de datos, desarrollos a medida y/o seminarios web, pero no incluyen el Servicio de configuración;
• Software de terceros: cualquier aplicación o servicio de software de terceros que el Proveedor suministre o ponga a disposición del Cliente como parte de los Productos (incluida cualquier Característica adicional) y/o Servicios (incluido cualquier Servicio de configuración), condicionado siempre a que el Cliente acepte quedar vinculado por cualesquiera términos que sean aplicables a dicho software de terceros;
• Usuarios: empleados del Cliente en las instalaciones del Cliente (incluidos los empleados de las oficinas centrales, en su caso) que se detallan en los Formularios de pedido y que están autorizados a utilizar los Productos;
• RGPD del Reino Unido: tiene el significado que se le da en la Sección 3(1) (que se complementa con la Sección 205(4)) de la Ley de Protección de Datos de 2018.

1. Protección de datos
   1. El Proveedor tratará los Datos en nombre del Cliente. El alcance y la duración, las categorías y la finalidad de los datos personales que trata el Proveedor en virtud del presente Acuerdo se establecen en el Anexo A de los Acuerdos de licencia.
   2. El Cliente será el propietario de todos los derechos, títulos e intereses sobre todos los Datos y será el único responsable de la legalidad, fiabilidad, integridad, exactitud y calidad de todos ellos. El Proveedor reconoce y acepta que el Cliente será el responsable del tratamiento de los datos personales incluidos en los Datos. Cuando el Cliente sea un OEM o un Grupo de concesionarios, las partes acuerdan que el OEM o el Grupo de concesionarios, o los Minoristas del grupo del Cliente, podrán compartir los Datos con el Proveedor. En este caso, el Proveedor entiende y reconoce que el Minorista y un OEM/Grupo de concesionarios serán responsables conjuntos del tratamiento de los datos personales que se revelen al Proveedor, sujeto a los términos de un acuerdo por escrito separado entre el Minorista y el OEM/Grupo de concesionarios, según corresponda.
   3. Las instrucciones del Cliente en relación con el tratamiento de los datos personales incluidos en los Datos son las que se establecen en el Anexo A de los Acuerdos de licencia. El Cliente tendrá derecho, por escrito o en un formato legible por máquina (en formato de texto*), a actualizar, modificar, enmendar o sustituir dichas instrucciones individuales notificándoselo al contacto que el Proveedor haya designado para las cuestiones de protección de datos. El Cliente deberá, sin demora injustificada, confirmar por escrito o de forma textual cualquier instrucción dada de forma oral.
   4. Ambas partes cumplirán todos los requisitos aplicables de la Legislación sobre Protección de Datos. Esta cláusula 1 se suma a —y no exime, elimina ni sustituye— las obligaciones o derechos de una de las partes en virtud de la Legislación sobre Protección de Datos.
   5. Sujeto siempre a la cláusula 1.7.2, los datos personales que se incluyen en los Datos podrán transferirse o almacenarse fuera del Reino Unido y del EEE, o del país donde se encuentre el Cliente, con el fin de proporcionar los Productos y/o Servicios (incluida, en su caso, cualquier Característica adicional) en virtud del Acuerdo.
   6. Sin perjuicio de la generalidad de la cláusula 1.4, el Cliente se asegurará de que dispone de todas las bases legales y avisos necesarios y apropiados para realizar la transferencia legal de los datos personales al Proveedor durante el periodo del Acuerdo y para los fines del Acuerdo.
   7. Sin perjuicio de la generalidad de la cláusula 1.4, el Proveedor deberá, en relación con cualquier dato personal que trate en el cumplimiento de sus obligaciones en virtud del Acuerdo:
      1. Tratar dichos datos personales únicamente de acuerdo con las instrucciones por escrito y documentadas del Cliente, a menos que las leyes de cualquier miembro de la Unión Europea y/o la legislación nacional del Reino Unido obliguen al Proveedor a tratar dichos datos personales (Leyes aplicables). Si las Leyes aplicables exigen que el Proveedor trate dichos datos personales, informará al Cliente antes de dicho tratamiento, a menos que dichas Leyes aplicables se lo prohíban;
      2. No transferir ninguna información personal fuera del Espacio Económico Europeo y del Reino Unido a menos que se cumplan las siguientes condiciones:
         1. El Proveedor ha proporcionado las garantías adecuadas en relación con la transferencia;
         2. el interesado tiene derechos exigibles y recursos legales efectivos;
         3. el Proveedor cumple sus obligaciones en virtud de la Legislación sobre Protección de Datos, y proporciona un nivel adecuado de protección a cualquier información personal que se transfiera; y
         4. el Proveedor cumple las instrucciones previas razonables del Cliente cuando trata la información personal del Cliente;
      3. ayudar al Cliente, a su costa, a responder a cualquier solicitud de un interesado para que el Cliente pueda cumplir las obligaciones de la Legislación sobre Protección de Datos con respecto a la seguridad, las notificaciones de infracciones, las evaluaciones del impacto y las consultas a las autoridades supervisoras o reguladoras;
      4. notificar sin demora al Cliente cuando tenga conocimiento de una infracción de datos personales que afecte a los datos personales del Cliente;
      5. a petición por escrito del Cliente y a la rescisión del Acuerdo, eliminar o devolver los datos personales del Cliente de conformidad con la cláusula 1.11, a menos que la Legislación aplicable exija que se conserven los datos personales; y
      6. mantener registros e información para demostrar su cumplimiento de esta cláusula 1 y de la cláusula 2. El Proveedor permitirá al Cliente, y a sus representantes autorizados, auditar e inspeccionar su cumplimiento de la Legislación sobre Protección de Datos, siempre que dicha auditoría y/o inspección se lleve a cabo con un preaviso razonable y en un momento conveniente para ambas partes. Cualquier información que se revele como parte de la auditoría/inspección será tratada como información confidencial de acuerdo con la cláusula 9 de los Términos y condiciones del Grupo CitNOW. Las auditorías e inspecciones no se llevarán a cabo más de una vez al año a menos que el Cliente, actuando de forma razonable, crea que el Proveedor ha infringido la Legislación sobre Protección de Datos; y
      7. notificar sin demora al Cliente si, en opinión del Proveedor, las instrucciones del Cliente infringen la Legislación sobre Protección de Datos. En tales casos, el Proveedor estará autorizado a suspender la ejecución de dicha instrucción hasta que el Cliente la confirme o modifique de tal modo que cumpla la Legislación sobre Protección de Datos.
   8. Cada una de las partes se asegurará de que dispone de las medidas técnicas y organizativas apropiadas para protegerse contra el tratamiento no autorizado o ilícito de datos personales y contra la pérdida, destrucción o daño accidental de los datos personales, que además deberán ser adecuadas al daño que pudiera resultar del tratamiento no autorizado o ilícito o de la pérdida, destrucción o daño accidental, teniendo en cuenta el estado de los avances tecnológicos y el coste de la aplicación de dichas medidas.
   9. El Cliente consiente que el Proveedor designe subencargados del tratamiento de los datos personales en virtud del Acuerdo. La lista de los subencargados del tratamiento que utiliza el Proveedor está disponible en el sitio web de cada empresa. El Proveedor confirma que ha suscrito o suscribirá (ya sea directamente o a través de un miembro del Grupo CitNOW) un acuerdo por escrito con los subencargados del tratamiento que incorpore términos sustancialmente similares a los que se establecen en la presente cláusula 1. El Proveedor seguirá siendo plenamente responsable de todos los actos u omisiones de cualquier subencargado del tratamiento designado por el Proveedor o en su nombre de conformidad con esta cláusula 1. Cuando el Proveedor utilice un subencargado del tratamiento que tenga su sede fuera del Reino Unido y del EEE, en un territorio en el que no exista una norma de adecuación, deberá cumplir los requisitos de la cláusula 1.7.2 antes de transferir cualquier dato personal a dicho subencargado. La lista de los subencargados del tratamiento a los que se aplica esta cláusula está disponible en todo momento en el sitio web del Proveedor. El Proveedor puede designar nuevos subencargados del tratamiento ocasionalmente, por lo que se aconseja al Cliente que compruebe regularmente los sitios web para obtener una lista de los subencargados del tratamiento actuales que utiliza el Proveedor.
   10. Reclamación de terceros. El Cliente indemnizará y defenderá a su costa al Proveedor con respecto a todos los costes, reclamaciones, daños y perjuicios o gastos en los que incurra el Proveedor y/u otros miembros del Grupo CitNOW o por los que el Proveedor y/u otros miembros del Grupo CitNOW puedan llegar a ser responsables debido a cualquier incumplimiento por parte del Cliente, los Usuarios, los Minoristas (en su caso), y/o los empleados, subcontratistas o agentes del Cliente de sus obligaciones en virtud de las cláusulas 1 y/o 2, y/o de la Legislación sobre Protección de Datos, según proceda.
   11. Retención tras la rescisión. En caso de que el presente Acuerdo se rescinda por cualquier motivo, el Proveedor conservará los Datos durante un período de 60 días (o cualquier otro período que se especifique en el Acuerdo de licencia aplicable) tras la rescisión. El Proveedor conserva los Datos durante este periodo por las siguientes razones:
       1. Para permitir al Cliente cambiar de opinión y reanudar su suscripción al Producto con todos los detalles, preferencias y configuraciones aún vigentes, si procede; y
       2. Para permitir al Cliente solicitar la exportación de sus Datos.
   12. Grupo CitNOW. Las Partes acuerdan que la información de contacto del Cliente y el uso que éste haga de los Productos se podrán compartir con otras entidades y empresas del Grupo CitNOW y el Proveedor se asegurará de que dichas entidades traten esa información de conformidad con los compromisos de confidencialidad recogidos en los Términos y condiciones del Grupo CitNOW, así como de conformidad con las normas de compartición de datos que se definen en la Legislación sobre Privacidad vigente.
2. Datos de consumidores y datos de empleados
   1. Las partes reconocen y acuerdan que, dado que el Proveedor va a tratar los Datos de los consumidores en nombre del Cliente, es responsabilidad del Cliente identificar y registrar la base legal para obtener y compartir los Datos de los consumidores con el Proveedor. El Proveedor no tiene ningún control sobre los datos que introducen en los Productos los Clientes y sus Usuarios. En consecuencia, el Cliente se asegurará, y procurará que todos los Usuarios se aseguren de que:
      1. se obtenga el consentimiento de todos los Consumidores para que los Datos de los consumidores se carguen en los Productos o se transfieran de otro modo al Proveedor; o
      2. si no se obtiene el consentimiento, el Cliente haya identificado claramente una o varias bases legales (tal y como se establece en la Legislación sobre Protección de Datos) que permitan que los Datos de los consumidores se carguen en los Productos o se transfieran de otro modo al Proveedor.
   2. El Cliente mantendrá un registro por escrito de dicha base legal y proporcionará al Proveedor, a petición de éste, pruebas de esa base legal para el tratamiento.
   3. Es responsabilidad del Cliente, independientemente de que sea un OEM, un Grupo de concesionarios o un Minorista, garantizar el cumplimiento de las cláusulas 2.1 y 2.2. El Proveedor no acepta ninguna responsabilidad ni obligación ante el Cliente y/o cualquier Consumidor derivadas del hecho de que el Cliente no obtenga la autoridad y el permiso necesarios para compartir los Datos de los consumidores con el Proveedor. Cuando un Grupo de concesionarios o un OEM hayan suscrito el presente Acuerdo con el fin de adquirir suscripciones para utilizar los Productos en nombre de sus Minoristas, es responsabilidad del Grupo de concesionarios/OEM procurar que cada Minorista de su grupo haya obtenido la autorización y el permiso necesarios antes de que cualquier Dato de los consumidores se cargue en el Producto o se transfiera de cualquier otro modo al Proveedor.
   4. El Cliente indemnizará al Proveedor por cualquier pérdida, coste, reclamación, daño o gasto en que incurra el Proveedor y/u otros miembros del Grupo CitNOW que se deban a la divulgación de los Datos de los consumidores por parte del Cliente sin haber obtenido antes la autorización y el permiso necesarios.
   5. Salvo lo dispuesto en la Legislación sobre Protección de Datos, el Proveedor no utilizará ni permitirá la utilización de los Datos de los consumidores más que para cumplir sus obligaciones en virtud del Acuerdo y/o de conformidad con las instrucciones por escrito del Cliente.
   6. El Proveedor confirma que todos los empleados involucrados en el tratamiento de los Datos de los consumidores tendrán prohibido tratarlos fuera del ámbito de las instrucciones que se detallan en la cláusula 2.5 anterior. El Proveedor confirma que cualquier persona autorizada a tratar los Datos de los consumidores ha firmado un contrato de confidencialidad o está sujeta a una obligación legal apropiada de confidencialidad.
   7. Si una de las partes tiene conocimiento de cualquier tratamiento no autorizado o ilícito de los Datos de los consumidores, si estos se pierden o destruyen, o si una de las partes tiene conocimiento o sospecha de que se ha producido una infracción de los datos personales que afecte a los Datos de los consumidores, dicha parte lo notificará sin demora a la otra y cooperará plenamente con ella para adoptar las medidas correctivas necesarias tan pronto como sea posible.
   8. Si el Cliente carga los Datos de los empleados (como responsable del tratamiento) en el Producto, el Proveedor tendrá acceso a ellos y, solo en esta circunstancia, el Proveedor actuará como responsable conjunto del tratamiento de los Datos de los empleados. Tanto el Cliente como el Proveedor tratarán los Datos de los empleados en la medida necesaria para permitir el cumplimiento de sus obligaciones contractuales en virtud del Acuerdo.
3. General
   1. Supervivencia de las cláusulas. Si alguna de las disposiciones del presente Apéndice sobre el tratamiento de los datos resultara inaplicable, el resto de las disposiciones seguirán siendo válidas.
   2. Ley vigente. Este Acuerdo se rige por la ley aplicable a la entidad que se menciona en los Formularios de pedido y en este Apéndice sobre el tratamiento de los datos y estará sujeto a la jurisdicción exclusiva de los tribunales en los que esté inscrita dicha entidad.
   3. Cambios. A pesar de cualquier disposición contraria contenida en el presente Acuerdo sobre el tratamiento de los datos y sin perjuicio de las cláusulas contenidas en el mismo, el Grupo CitNOW y el Proveedor se reservan el derecho a realizar actualizaciones y cambios en el presente Acuerdo sobre el tratamiento de los datos y, en todo momento, la última versión será la vigente entre el Cliente y el Proveedor. No se introducirán cambios que reduzcan de forma sustancial las obligaciones establecidas para el Proveedor como Encargado del tratamiento ante el Cliente en virtud de las Leyes de privacidad aplicables.