Cláusula (1) Propósito y Alcance

a. El propósito de estas Cláusulas es garantizar que se aplique un nivel adecuado de protección de datos personales equivalente al nivel de protección aplicable en virtud de la Ley de Protección de Datos Personales y sus Reglamentos de Ejecución en caso de no haber un nivel adecuado de protección de datos personales fuera del Reino especificando las obligaciones de las partes involucradas en la transferencia de datos personales a un país u organización internacional que no tenga un nivel de protección de datos personales adecuado. El Apéndice (1) muestra los datos tanto de los exportadores de datos como de los importadores de datos.

b. Estas Cláusulas se aplican a la transferencia de datos personales tal y como se especifica en el Apéndice (2) («Datos personales que se transferirán o divulgarán»).

Cláusula (2) Modificación e impacto 

a. Estas Cláusulas establecen las salvaguardas adecuadas, incluidos los derechos de queja de los Sujetos de Datos Personales, y no se pueden modificar excepto para seleccionar la plantilla adecuada o para añadir o actualizar información en el apéndice.

b. Las partes pueden incorporar estas Cláusulas en un acuerdo global o añadir otras cláusulas o garantías adicionales, siempre que no entren en conflicto directa o indirectamente con estas Cláusulas ni infrinjan los derechos fundamentales de los Sujetos de Datos Personales.

c. Estas Cláusulas no eximen a ninguna de las partes de sus obligaciones en virtud de la Ley y las regulaciones, ni perjudican las disposiciones de las Leyes y otras regulaciones en vigor en el Reino o de los acuerdos de los que el Reino es parte.

Cláusula (3) Derechos de los Sujetos de Datos Personales

a. Estas Cláusulas Contractuales Estándar se entienden sin perjuicio de los derechos de los Sujetos de Datos Personales en virtud de la Ley y otras regulaciones.

b. Los Sujetos de Datos Personales cuyos datos personales se transfieren de las partes según estas Cláusulas Contractuales Estándar pueden notificar a la Autoridad Competente («Autoridad de Datos y de IA de Arabia Saudí») si se dan cuenta de cualquier incumplimiento de estas Cláusulas Contractuales Estándar.

Cláusula (4) Interpretación

a. A menos que el contexto exija lo contrario, las palabras y frases utilizadas en estas Cláusulas tendrán los significados asignados a ellas en el Artículo (1) de la Ley de Protección de Datos Personales emitida por el Real Decreto N.º (M/19) de fecha 2/9/1443 AH y modificado por el Real Decreto N.º (M/148) de fecha 9/5/1444 AH, el Artículo (1) del Reglamento de Ejecución de la LOPDP y el Artículo (1) del Reglamento de Transferencia de Datos Personales fuera del Reino.

b. Estas Cláusulas deben leerse e interpretarse teniendo en cuenta y de acuerdo con las disposiciones de la Ley y las regulaciones a las que se hace referencia en el párrafo (a) de este Artículo, y no se pueden interpretar de ninguna otra manera que sea incompatible con las disposiciones de la Ley y otras regulaciones.

Cláusula (5) Conflicto 

En caso de conflicto entre estas Cláusulas y cualquier disposición de cualquier otro acuerdo entre las partes, prevalecerán estas Cláusulas.

Cláusula (6) Detalles de las transferencias

La(s) transferencia(s), así como las categorías de Datos Personales y los fines de las transferencias, se describen en el Apéndice.

Cláusula (7) Incorporación de Nuevas Partes

a. Cualquier importador de datos personales o exportador de datos personales que no sea parte de estas Cláusulas Estándar puede incorporarse a estas Cláusulas Contractuales Estándar completando y firmando el Apéndice (1), con el consentimiento de las partes existentes. La Entidad Incorporada será el Importador de Datos Personales o el Exportador de Datos Personales.

b. Una vez que se haya completado y firmado el Apéndice (1), la Entidad Incorporada formará parte de estas Cláusulas, y la Entidad recién Incorporada deberá, a partir de la fecha de incorporación, asumir las responsabilidades dependiendo de la naturaleza de las operaciones de procesamiento y transferencia de datos personales que se hayan producido en la fecha de incorporación o después, y tendrá derecho a ejercer los derechos y obligaciones correspondientes a su papel tal y como se define en estas Cláusulas.

Cláusula (8) Ley aplicable y Jurisdicción

Estas Cláusulas Contractuales Estándar se regirán por las leyes aplicables del Reino de Arabia Saudí. Cualquier disputa que surja de la aplicación de las disposiciones de estas Cláusulas caerá bajo la jurisdicción del Reino y se transferirá a sus tribunales. El Importador de Datos Personales, en virtud de estas Cláusulas Contractuales Estándar, acepta responder ante la jurisdicción del Reino de Arabia Saudí.

Cláusula (9) Cumplimiento con los Requisitos de la Autoridad Competente

a. Cada parte acepta cumplir con cualquier solicitud de la Autoridad Competente en relación con estas Cláusulas Contractuales Estándar o con el procesamiento de datos personales transferidos.

b. El Importador de Datos Personales acepta y se compromete a cooperar con la Autoridad Competente y a cumplir con todas sus solicitudes y consultas, así como a proporcionar los documentos y la información necesarios para garantizar el cumplimiento de las Cláusulas Contractuales Estándar.

c. El Importador de Datos Personales acepta cumplir las medidas adoptadas por la Autoridad Competente, incluidas las medidas correctivas y la compensación.

Cláusula (10) Compensación

a. Si surge alguna disputa entre el Sujeto de Datos Personales y una parte con respecto al cumplimiento de las Cláusulas Contractuales Estándar, dicha parte utilizará todos los medios necesarios para resolver la disputa de manera amistosa con el Sujeto de Datos Personales, y todas las partes se informarán mutuamente de la existencia de dicha disputa para garantizar que se resuelva con cooperación mutua.

b. El Sujeto de Datos Personales puede presentar a la Autoridad Competente cualquier queja que surja de la aplicación de las disposiciones de estas Cláusulas Contractuales Estándar, de acuerdo con los procedimientos para presentar quejas especificadas por la Ley y otras regulaciones.

c. El Sujeto de Datos Personales tiene derecho a reclamar ante el tribunal competente una compensación por daños materiales o morales en proporción a la magnitud del daño que surja de la aplicación de estas Cláusulas Contractuales Estándar.

Cláusula (11) Seguridad de Datos Personales

a. Todas las partes tomarán las medidas organizativas, administrativas y técnicas necesarias que garanticen mantener la privacidad de los datos personales frente a cualquier incumplimiento en todas las etapas de procesamiento, incluida la seguridad de datos personales durante el proceso de transferencia.  Al evaluar el nivel de seguridad adecuado, las Partes tendrán en cuenta el estado actual de la tecnología, los costes de implementación y la naturaleza de los datos personales transferidos, así como la naturaleza, el alcance, el contexto, los propósitos, los riesgos involucrados en el procesamiento de los datos personales, y considerar específicamente la aplicación de cifrado o desidentificación, incluso durante la transferencia de datos personales, cuando el propósito del procesamiento de datos se pueda lograr de esta manera.

b. El Exportador de Datos Personales ayudará al Importador de Datos Personales a cumplir los requisitos de seguridad de datos necesarios, y en caso de cualquier incumplimiento de Datos Personales en relación con los Datos Personales transferidos procesados por el Exportador de Datos Personales en virtud de estas Cláusulas Contractuales Estándar, El Exportador de Datos Personales notificará al Importador de Datos Personales en cuanto sea conocedor de dicha brecha y asistirá al Importador de Datos Personales a contener dicha brecha.

c. El Exportador de Datos garantiza que las personas autorizadas para procesar los datos personales transferidos estén sujetas a confidencialidad y no divulgación en virtud de una obligación legal adecuada de confidencialidad y no divulgación.

Cláusula (12) Duración y Terminación

a. Si, por cualquier motivo, el Importador de Datos Personales no puede cumplir sus obligaciones en virtud de estas Cláusulas Contractuales Estándar, debe informar al Exportador de Datos Personales en un plazo de (24) horas del momento en que tenga conocimiento de ello.

b. En caso de que el importador de datos personales viole estas Cláusulas Contractuales Estándar o no pueda cumplirlas, el Exportador de Datos Personales cesará de inmediato la transferencia de datos personales al Importador de Datos Personales hasta que el Importador de Datos Personales garantice su regreso al cumplimiento de nuevo, siempre que se otorgue al Importador de Datos Personales un período de (30) días, ampliable por un período máximo similar, para demostrar su capacidad para cumplir estas Cláusulas, y si el período expira sin lograr esto, las dos partes acordarán rescindir el contrato, sin ninguna responsabilidad para el Exportador de Datos Personales o el Controlador, según sea el caso.

c. El Exportador de Datos Personales o el Controlador, según sea el caso, garantizará que todos los datos personales transferidos previamente al Importador de Datos Personales se destruirán por completo antes de terminar las Cláusulas Contractuales Estándar en virtud del párrafo (b) anterior. También garantizará que cualquier copia que tenga de dichos datos personales se destruirá.

d. El Importador de Datos Personales debe documentar la destrucción de los datos, y esta documentación debe proporcionarse al Exportador de Datos Personales o al controlador cuando lo solicite.

e. El Importador de Datos Personales debe seguir garantizando, hasta que los datos se destruyan, que cumple con estas Cláusulas Contractuales Estándar.

Cláusula (13) Protección de Datos Personales Transferidos

El Exportador de Datos Personales y el Importador de Datos Personales procesarán los datos personales transferidos de acuerdo con la naturaleza y los fines de la transferencia de la siguiente manera:

Cláusulas de Controlador a Controlador

1. Restricciones de Procesamiento

El Importador de Datos Personales está obligado a procesar los datos personales transferidos de acuerdo con los fines establecidos en el Apéndice (2).

2. Cumplimiento con los requisitos de la Autoridad Competente 

2.1 Las partes proporcionarán una copia de estas Cláusulas a la Autoridad Competente previa solicitud y sin demora indebida para que la Autoridad Competente ejerza sus poderes en virtud de la Ley y otras regulaciones. La Autoridad Competente puede solicitar cualquier información adicional con respecto a las transferencias de datos personales.

2.2 Cada parte acepta cumplir con cualquier solicitud realizada por la Autoridad Competente en relación con estas Cláusulas o con el procesamiento de los datos transferidos. 

2.3 Previa solicitud, el Importador de Datos Personales (ya sea directamente o a través de El Exportador de Datos Personales) revelará su identidad y detalles de contacto y las categorías de datos personales que se procesan al Sujeto de Datos Personales y le proporcionará una copia de esta información

3. La cantidad mínima de datos personales necesaria para cumplir con el objetivo 

Todas las partes garantizarán que los datos personales transferidos sean suficientes y limitados a la cantidad mínima necesaria para cumplir los objetivos establecidos en el Apéndice (2). Si alguna de las partes tiene conocimiento de cualquier transferencia de datos personales innecesarios, dicha parte informará a la(s) otra(s) parte(s) tan pronto como tenga conocimiento de ello.

4. Retención de Datos Personales 

El Importador de Datos Personales conservará los datos personales transferidos si es necesario para cumplir los objetivos establecidos en el Apéndice (2), siempre que el Importador de Datos Personales, sin demora indebida, elimine o anonimice los datos personales transferidos excepto en los siguientes casos: 

4.1 Si fuera de conformidad con una justificación legal en virtud de las leyes del Reino y la Ley de Protección de Datos Personales y sus regulaciones; en este caso, los datos se destruirán después de expirar el período o una vez que se haya cumplido el objetivo de recopilarlos, la opción que más tiempo dure. 

4.2 Si retener los datos personales transferidos por un período adicional está directamente relacionado con un caso pendiente ante una autoridad judicial, y dicha retención se requiere para este fin, los datos se destruirán después de completarse los procedimientos judiciales relacionados con el caso. 

4.3 Si retener los datos personales transferidos por un período adicional es necesario para proteger la vida del Sujeto de Datos o sus intereses vitales.

5. Seguridad de Datos Personales y Notificaciones de Violación de Datos Personales

Las Partes garantizarán que las medidas organizativas, administrativas y técnicas especificadas en el Apéndice (3) proporcionen un nivel de protección suficiente de los datos personales transferidos para cumplir con los requisitos del Artículo (19) de la Ley y del Artículo (23) de los Reglamentos de Ejecución. 

5.1 El Importador de Datos Personales implementará las medidas de seguridad especificadas en el Apéndice (3) y aplicará esas medidas a todos los datos personales transferidos para garantizar la seguridad y protección de los datos personales contra cualquier violación que pueda resultar en daños al Sujeto de Datos Personales, acción ilegal, pérdida, alteración, divulgación de datos personales o acceso no autorizado.

5.2 El Importador de Datos Personales debe revisar periódicamente las medidas de seguridad estipuladas en el Apéndice (3) para garantizar que se están implementando según lo requerido y actualizarlas según sea necesario para garantizar el cumplimiento con el Artículo (19) de la Ley y el Artículo (23) de los Reglamentos de Ejecución. 

5.3 Si el Importador de Datos Personales tiene conocimiento de un incidente de violación de datos que pudiera ocasionar algún tipo de daño a los datos personales transferidos o a los sujetos de datos, o entrar en conflicto con sus derechos o intereses, el Importador de Datos Personales debe notificar a la autoridad competente dentro de un plazo de (72) horas de tener conocimiento del incidente, de acuerdo con los requisitos establecidos en el Artículo (24) del Reglamento de Ejecución de la Ley. 

6. Datos sensibles 

Sin perjuicio de cualquier restricción relacionada con los datos sensibles estipulada en la Ley y en los Reglamentos de Ejecución de la Ley, el Exportador de Datos Personales garantizará que el Importador de Datos Personales adopte dispositivos de seguridad adicionales adecuados a la naturaleza de los datos sensibles y garantice que estén protegidos de cualquier riesgo al procesarlos a la vez que garantiza que se apliquen las restricciones y salvaguardas adicionales descritas en el Apéndice (2). 

7. Transferencia Subsiguiente

7.1 El Importador de Datos Personales no transferirá ni revelará los datos personales transferidos a un tercero fuera del Reino a menos que dicha parte haya accedido a estas Cláusulas y de acuerdo con la plantilla adecuada y las disposiciones de la Cláusula (7) anterior. 

7.2 Sin perjuicio de las disposiciones de los Artículos (8) y (15) de la Ley y (17) del Reglamento de Ejecución de la Ley, las disposiciones de la Ley y otras regulaciones se aplicarán a la transferencia posterior de datos personales que se hayan transferido o divulgado previamente a una entidad fuera del Reino.

8. Asignación de Procesadores 

El Importador de Datos Personales estará obligado a seleccionar un Procesador que proporcione garantías suficientes para la protección de los datos personales transferidos, el acuerdo con el Procesador incluirá todos los requisitos establecidos en el Artículo (17) del Reglamento de Ejecución, y el procesamiento se basará únicamente en las instrucciones del Importador de Datos, siempre que estas instrucciones sean compatibles con los requisitos establecidos en estas Cláusulas.

9. Cumplimiento con estas Cláusulas 

9.1 Todas las partes demostrarán el pleno cumplimiento de estas Cláusulas a la Autoridad Competente previa solicitud, y el Importador de Datos Personales mantendrá documentos relacionados con las actividades de procesamiento de datos personales realizadas bajo su supervisión, además de los registros de actividades de procesamiento de datos personales tal y como se estipula en el Artículo (33) del Reglamento. 

9.2 El Importador de Datos Personales proporcionará estos documentos a la Autoridad Competente previa solicitud. 

10. Responsabilidad 

10.1 Cada parte será responsable ante la otra parte por cualquier daño causado a la otra parte como resultado de una violación de cualquiera de estas Cláusulas Contractuales Estándar. 

10.2 Cada parte será responsable ante el Sujeto de Datos Personales, sin perjuicio de la responsabilidad del Exportador de Datos Personales en virtud de la Ley y otras regulaciones, y el Sujeto de Datos Personales tendrá derecho a compensación por cualquier daño material y moral causado por la parte negligente que perjudique al Sujeto de Datos Personales. Si más de una parte es responsable de causar daños al Sujeto de Datos Personales como resultado de la violación de estas Cláusulas Contractuales Estándar, las partes responsables se considerarán responsables conjunta o individualmente, y el Sujeto de Datos Personales tendrá derecho a emprender acción legal ante un tribunal contra cualquiera de estas partes. 

10.3 Las partes acuerdan que si alguna de las partes asume la responsabilidad (b), tendrá derecho a reclamar de la(s) otra(s) parte(s) esa parte de la compensación correspondiente a su responsabilidad por el daño.

10.4 El Importador de Datos Personales no puede depender del comportamiento del Procesador de Datos o del Subprocesador para eludir responsabilidad. 

11. Derecho de los Sujetos de Datos Personales 

11.1 El Importador de Datos Personales (con el apoyo del Exportador de Datos Personales) tratará, según corresponda, cualquier consulta o solicitud recibida del Sujeto de Datos con respecto al procesamiento de datos personales y el ejercicio de los derechos previstos de acuerdo con la Ley y otras regulaciones aplicables sin ninguna demora dentro de un período de no más de treinta (30) días a partir de la fecha de recepción de dicha solicitud. Este período puede ampliarse por un período similar hasta un máximo de treinta (30) días si la ejecución de la solicitud requiere esfuerzo extraordinario o si el Importador de Datos Personales recibe muchas solicitudes del Sujeto de Datos Personales. El Sujeto de Datos es notificado con antelación de esta extensión y sus razones. 

11.2 Todas las declaraciones realizadas al Sujeto de Datos Personales deben presentarse en un formato claro, legible y accesible.

Apéndice

Para obtener información en los apéndices 1, 2 y 3, consulte los Términos de Privacidad de Arabia Saudí.